Linux关于网络部分的学习笔记

网络配置：网卡重启：service network restart
   查看IP地址：
      1.ifconfig       只是单纯的查看ip地址
      2.ip addr show     不光能查看ip   还可以配置
      3.ip route show        查看网关
   虚拟机中网络连接方式：
      桥接模式：将虚拟机连接到物理网络中（相当于真实网络中多了一台pc机）
      NAT模式：网络地址转换。虚拟机有一个属于自己的IP地址，但这个IP不能上网，如果需要上网，
                       需要将IP进行转换，转换成物理机的IP地址，真正上网使用的是物理机的网络。
      进驻及模式：单纯与物理机进行通信。
      虚拟网络：有几个特殊的vmnet虚拟网络（编辑-->虚拟网络编辑器）vmnet1   vmnet8
   自己配置IP：
      ip addr add 1.1.1.1/24 dev eth0 为eth0配置网卡IP为1.1.1.1  子网掩码为255.255.255.0
模拟自己分配IP使能够联网：
    一、实验准备：
          1.将虚拟机网络调制net模式
          2.看一下网络是否联通   右上角的小电脑   使用命令ifconfig或ip addr show  查看IP地址并记下
              IP route show  查看网关地址
          3.关闭NetworkManager：chkconfig --level 5 NetworkManager off
          4.重启 reboot 或  init 0
     二、实验目的：实现自己配的网络可以联网
     三、实验效果：通过自己配置的IP，实现上网
     四、实验步骤：
           1.ifconfig   查看IP有没有发现eth0 网卡（因为刚刚永久关闭了服务，网卡处于未激活状态）
           2.通过IP add show 命令查看网卡是否存在
           3.激活网卡：ip link set up dev eth0
                  ip link set down dev eth0   关闭网卡
           4.配置IP地址： ip  addr add 192.168.34.133/24 dev eth0
    ping物理机  本机
           5.配置网关：ip route add defaulte via 192.168.34.2 dev eth0
    查看网关：ip route show
    现在可以ping通任意有效地址，但用域名ping还不行
           6.配置dns文件：在/etc/resolv.conf中
    用vim /etc/resolv.conf文件   在nameserver后加入有效网关地址，现在就可以任意ping
永久配置
   修改配置文件：在/etc/sysconfig/network-script/ifcfg-eth0 用vim编辑器打开ifcfg-eth0
          DEVICE=eth0                    设备名
          HWADDR=00:0C:29:C5:84:6D            MAC地址
          TYPE=Ethernet                网络类型，以太网
          UUID=61a5fef1-e42d-404b-b09b-0315b9398347    UUID
          ONBOOT=no                    网络管理器（老版本管理器）
          NM_CONTROLLED=yes                NetworkManager controlled
          BOOTPROTO=dhcp/static            动态    static静态
          IPADDR=192.168.1.1                使用静态ip地址
          NETMASK=255.255.255.0            子网掩码
          GATEWAY=192.168.1.1                网关
          DNS1=114.114.114.114            主DNS
          DNS2=8.8.8.8                辅DNS
    重启网络服务：service network restart
    图形化界面修改永久配置：setup
常用网络命令：
    1.ping -c4 [-s 60000 -i0.2] www.baidu.com
    -c  count         -c4    ping4次
    -s   60000     指定包的大小
    -i0.2             指定包发送的时间间隔最小使0.2秒
    2.nslookup www.baidu.com        请求本地dns服务器解析域名
    3.netstat -antupl           查看网络状态
    -a     all     显示所有        -u     显示udp协议
    -n      使用IP地址代替域名    -l     监听状态的服务
    -t       演示tcp协议         -p    显示服务上的pid
    4.hostname baihua.kaoso       修改主机名为baihua.kaoso    baihua为主机名   kaoso为域名
    重启终端生效，重启系统失效
    永久修改配置文件：/etc/sysconfig/network-scripts文件夹下的network文件
==========================================================================================================================
日志：(登录日志，邮件日志，报错日志)
   负责记录日志的程序：
      /sbin/rsyslogd
   日志程序的配置文件：
      /etc/rsyslog.conf
    日志类型.级别  
      解释：
        日志类型：登录日志，邮件日志，报错日志。。。。。。
        级别：
             0 EMERG（紧急）： 会导致主机系统不可用的情况
            1 ALERT（警告）：必须马上采取措施解决的问题
            2 CRIT（严重）：比较严重的情况
            3 ERR（错误）：运行出现错误
            4 WARNING（提醒）：可能影响系统功能的事件
            5 NOTICE（注意）：不会影响系统，但是要注意
            6 INFO（信息）：一般信息
            7 DEBUG（调试）：程序或调试信息    

    登录日志记录位置：
      /var/log/secure 文件
    在windows上安装xshell
       利用远程连接，win登录linux
       ssh root@192.168.0.101
       
       
    1 2 能通  2 3 能通  1 3 不通
    如果 linux关闭防火墙：
       service iptables stop
    修改配置文件：
      vim /etc/sysctl.conf
      net.ipv4.ip_forward = 0 --将0改为1 就可以进行数据包的转发
    程序重读配置文件
      sysctl -p
    此时 1 3 能通
    在1号机上 ssh进行远程连接
    
    日志转发实验：
       实验目的：1号机远程访问2号机，2号将自己的日志转发备份到3号机上
       试验条件： 2号机具备转发条件
                  3号机具备接受条件
       实验步骤：
          1、修改2号机，让2号机具备转发条件
            修改配置文件：
              vim /etc/rsyslog.conf
              找到： *.*这行修改成下面这样：
               *.* @@192.168.0.100:514   --将本机日志转发给192.168.0.100这台机器
                                         --514端口
             重启服务：
               etc/init.d/rsyslog 程序
               ./rsyslog restart
          2、修改3号机，使他具备接收条件;
              修改配置文件：
                vim /etc/rsyslog
              找到： 去掉注释
                  $ModLoad imtcp
                $InputTCPServerRun 514   --开启日志接收服务

                
             规定转发过来的日志存放位置：
               cd /etc/rsyslog.d在这个目录下编写一个配置文件
               vim 192.168.0.100.conf   --ip为转发者的ip
               内容为：
               ：fromhost-ip，isequal，“192.168.0.100”空格 /var/log/client/192.168.0.100.log
               
            日志分析：
                 利用xshell软件多次连接linux失败后分析
                 分析secure日志，分析登录失败状态
                 1、查看日志 cat secure
                      发现内容很多，不太方便分析
                 2、使用grep 过滤分析：
                      grep “Failed password” secure  //过滤关键信息，方便分析
                 3、使用管道符，配合多命令分析更精确
                      | awk ‘{print $11}’    //awk只看关键列（以空格划分列） ‘{print $11}’输出第11列
                      | sort   //排序  分类分析          
                        | awk ‘{}’
                        | uniq [-c] //uniq命令将相同的进行归并  -c统计相同的数量
                        | awk ‘{print "ip",$2,"count",$1}’   //具有标识的显示
==========================================================================================================================
远程加固实验：
       实验：两台虚拟机  win 2003   Linux
       实验步骤：
    1.在win2003上利用xhshell通过talnet远程连接Linux
        telnet  172.16.1.10
         连接失败   失败的原因  Linux上没有telnet
    2.在Linux上安装telnet服务
       yum install telnet-server
    3.再从win2003上连接还是失败
       原因是在Linux上没有开启服务/etc/init.d/xinetd start开启服务
       因为telnet服务很小，需要集成在xineta上，虽然启动了xinetd但是没有启动telnet服务，因为telnet被xinetd管理着
    4.修改xinetd 的配置文件：
       vim /etc/xinetd.d/telnet
        disable=yes   改为=no
        重新启动xinetd服务：/etc/init.d/xinetd restart
    5.此时win2003就可以通过telnet访问到Linux（如果访问不到关闭Linux防护墙：service iptables stop ）
    6.telnet不允许管理员账户直接登陆，需要先登陆普通用户，在切换成管理员
telnet远程连接：
    1.不允许管理员用户直接登陆
    2.传输数据是明文传输：
    证明：在Linux上安装抓包工具wireshark
    yum install wireshark-gnome
    Linux的左上角有应用程序-->internet-->wireshark network anales-->双击启动-->root密码-->internetface-->eth0-->start开启
    3。win2003上利用telnet远程连接  看看数据包（是单个字符抓）
    4.尝试利用ssh远程连接  尝试抓包  看数据是什么样
加固二：
     TCP wrapper
    两个重要文件：
        /etc/hosts.allow   白名单
        /etc/hosts.deny    黑名单
    服务名：IP地址
    举例：sshd：192.168.1.1    禁止192.168.1.1这个IP地址通过ssh远程访问
             192.168.1.0/255.255.255.0     禁止192.168.1.0这个网段的shh远程访问
              sshd：ALL（注意是大写）--所有IP地址
    白名单优先级高于黑名单，白名单通过了，黑名单就不再限制
再Linux安装ftp:
yum install vsftpd
    Windows中通过xshell连接ftp
    ftp+IP地址
    默认用户名是ftp       默认密码：没有
    help查看帮助：
    cd  ls  get获取文件  mput+路径上传文件
    拦截ftp:   vsftpd：ALL