目录
一切从“/”开始
| 目录名称 | 应放置文件的内容 |
|---|---|
| /boot | 开机所需文件——内核、开机菜单以及所需配置文件等 |
| /dev | 以文件形式存放任何设备与接口 |
| /etc | 配置文件 |
| /home | 用户家目录 |
| /bin | 存放单用户模式下还可以操作的命令 |
| /lib | 开机时用到的函数库,以及/bin与/sbin下面的命令要调用的函数 |
| /sbin | 开机过程中需要的命令 |
| /media | 用于挂载设备文件的目录 |
| /opt | 放置第三方的软件 |
| /root | 系统管理员的家目录 |
| /srv | 一些网络服务的数据文件目录 |
| /tmp | 任何人均可使用的 “共享” 临时目录 |
| /proc | 虚拟文件系统,例如系统内核、进程、外部设备及网络状态等 |
| /usr/local | 用户自行安装的软件 |
| /usr/sbin | Linux系统开机时不会使用到的软件/命令/脚本 |
| /usr/share | 帮助与说明文件,也可放置共享文件 |
| /var | 主要存放经常变化的文件,如#日志 |
| /lost+found | 当文件系统发生错误时,讲一些丢失的文件片段存放在这里 |
物理设备的命名规则
| 硬件设备 | 文件名称 |
|---|---|
| IDE设备 | /dev/hd[a-d] |
| SCSI / SATA / U盘 | /dev/sd[a-p] |
| 软驱 | /dev/fd[0-1] |
| 打印机 | /dev/lp[0-15] |
| 光驱 | /dev/cdrom |
| 鼠标 | /dev/mouse |
| 磁带机 | /dev/st0 或 /dev/ht0 |
挂载硬件设备
mount
mount 文件系统 挂载目录
mount 命令用于挂载文件系统
一般不需要使用 -t 参数来指定文件系统的类型,Linux系统会自动进行判断。使用-a 参数后,会自动检查 /etc/fstab 文件中有无疏漏被挂载的设备文件,如果有,则进行自动挂载操作。
| 参数 | 作用 |
|---|---|
| -a | 挂载所有在 /etc/fstab 中定义的文件系统 |
| -t | 指定文件系统的类型 |
[root@linuxprobe ~]# mount /dev/sdb2 /backup
按照上面方法挂载重启后挂载就会失效。如果想永久挂载,必须把挂载信息写入 /etc/fstab 文件中,填写格式为 “设备文件 挂载目录 格式类型 权限选项 是否备份 是否自检” 。
| 字段 | 意义 |
|---|---|
| 设备文件 | 一般为设备的路径 + 设备名称,也可以写唯一识别码(UUID,Universally Unique Identifier) |
| 挂载目录 | 指定要挂载到的目录,需在挂载前创建好 |
| 格式类型 | 指定文件系统的格式,比如Ext3、Ext4、XFS、SWAP、iso9660(此为光盘设备)等 |
| 权限选项 | 若设置为 defaults,则默认权限为:rw,suid,dev,exec,auto,nouser,async |
| 是否备份 | 若为1则开机后使用 dnmp 进行磁盘备份,为0则不备份 |
| 是否自检 | 若为1则开机后进行磁盘自检,为 0 则不自检 |
例:如果想将文件系统为 ext4 的硬件设备 /dev/sdb2 在开机后自动挂载到 /backup 目录上,并保持默认权限且无需开机自检,就需要在 /etc/fstab 把文件中写入下面的信息,这样在系统重启也会成功挂载。
[root@linuxprobe ~]# vim /etc/fstab
#
# /etc/fstab
# Created by anaconda on Tue Aug 11 11:24:10 2020
#
# Accessible filesystems, by reference, are maintained under '/dev/disk'
# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info
#
/dev/mapper/rhel_linuxprobe-root / xfs defaults 1 1
UUID=f27c197c-53ad-46fc-a64a-24b7ac866190 /boot xfs defaults 1 2
/dev/mapper/rhel_linuxprobe-swap swap swap defaults 0 0
/dev/sdb2 /backup ext4 defaults 0 0
umount
umount [挂载点 / 设备文件]
umount 命令用于撤销已经挂载的设备文件
[root@linuxprobe ~]# umount /dev/sdb2
fdisk
fdisk [ 磁盘名称 ]
fdisk 命令用于管理磁盘分区
提供了集添加、删除、转换分区等功能于一身的 “一站式分区服务 ”。
| 参数 | 作用 |
|---|---|
| m | 查看全部可用参数 |
| n | 添加新的分区 |
| d | 删除某个分区信息 |
| l | 列出所有有用的分区类型 |
| t | 改变某个分区的类型 |
| p | 查看分区信息 |
| w | 保存并退出 |
| q | 不保存直接退出 |
partprobe
partprobe
使用fdisk命令看不到新建的分区信息,可以使用partprobe命令解决这个问题而不用重启系统,因为partprobe可以使kernel重新读取分区信息,从而避免重启系统。(建议连续执行两次命令)
mkfs
连续敲两下 Tab 键补齐命令,如下命令就是常用的文件系统名称用后缀的方式保存成了多个命令文件,用来进行格式化操作的。
[root@linuxprobe ~]# mkfs
mkfs mkfs.cramfs mkfs.ext3 mkfs.fat mkfs.msdos mkfs.xfs
mkfs.btrfs mkfs.ext2 mkfs.ext4 mkfs.minix mkfs.vfat
mkswap
mkswap [设备名称]
SWAP分区专用的格式化命令
df
df -h
查看挂载状态和硬盘使用量信息
du
du [选项] [文件]
du 命令用于查看一个或多个文件占用了多大的硬盘空间。
[root@linuxprobe ~]# mkdir /newFS
[root@linuxprobe ~]# cp -rf /etc/* /newFS/
[root@linuxprobe ~]# ls /newFS/
abrt ethertypes jvm-commmon passwd sestatus.conf
adjtime exports kdump.conf passwd- setroubleshoot
aliases exports.d kernel pbm2ppa.conf setuptool.d
aliases.db favicon.png krb5.conf pinforc sgml
......................省略部分输入信息............................
[root@linuxprobe ~]# du -sh /newFS/
33M /newFS/
uquota
需要手动编制配置文件,让系统中的 /boot 目录能够支持 quota磁盘配额技术。
[root@linuxprobe ~]# vim /etc/fstab
xfs_quota
xfs_quota [参数] 配额 文件系统
xfs_quota 命令是一个专门针对 XFS 文件系统来管理 quota 磁盘容量配额服务而设计的命令
-c 参数用于以参数的形式设置要执行的命令。
-x参数是专家模式,让运维人员能够对 quota 服务进行更多复杂的配置。
具体的限额控制包括:硬盘使用量的软限制和硬限制分别为 3MB 和 6MB;创建文件数量的软限制和硬限制分别为 3个 和 6 个。
[root@linuxprobe Desktop]# xfs_quota -x -c 'limit bsoft=3m bhard=6m isoft=3 ihard=6 tom' /boot
[root@linuxprobe Desktop]# xfs_quota -x -c report /boot
User quota on /boot (/dev/sda1)
Blocks
User ID Used Soft Hard Warn/Grace
---------- --------------------------------------------------
root 95344 0 0 00 [--------]
tom 0 3072 6144 00 [--------]
[root@linuxprobe Desktop]#
edquota
edquota [参数] [用户]
edquota 命令用于编辑用户的 quota 配额限制
可以使用该命令按需修改限额的数值。其中,-u 参数表示要针对哪个用户进行设置;-g 参数表示要针对哪个用户组进行设置。edquota 命令会调用 Vi 或 Vim 编辑器来让 root 管理员修改要限制的具体细节。
ln
ln [选项] 目标
ln 命令用于创建链接文件。
| 参数 | 作用 |
|---|---|
| -s | 创建 “ 符号链接 ”(如果不带 -s 参数,则默认创建硬链接) |
| -f | 强制创建文件或目录的链接 |
| -i | 覆盖前先询问 |
| -v | 显示创建链接的过程 |
RAID
mdadm
| 参数 | 作用 |
|---|---|
| -a | 检测设备名称 |
| -n | 指定设备数量 |
| -l | 指定RAID级别 |
| -C | 创建 |
| -v | 显示过程 |
| -f | 模拟设备损坏 |
| -r | 移除设备信息 |
| -Q | 查看摘要信息 |
| -D | 查看详细信息 |
| -S | 停止RAID磁盘阵列 |
例:RAID5磁盘阵列 + 备份盘
RAID5 至少需要3块硬盘,还需要再加一块备份硬盘,所以一共需要4个硬盘。
参数 -n 3 代表创建这个 RAID 5 磁盘阵列所需的硬盘数,参数 -l 5
代表 RAID 的级别,而参数 -x 1 则代表有一块备份盘。
部署好 RAID 5 磁盘阵列格式化为 ext4 文件格式,然后挂载到目录上,就可以使用了。
例:RAID 10磁盘阵列
RAID10 至少需要4块硬盘(每块10G)
-C 参数代表创建一个 RAID 阵列卡;-v 参数显示创建过程,同时在后面追加一个设备名称 /dev/md0 (RAID 磁盘阵列名称);-a yes 参数代表自动创建设备文件;-n 4 参数代表用4块硬盘来部署这个 RAID 磁盘阵列;-l 10 参数代表 RAID 10 方案;最后再加上4块硬盘的名称就搞掂了。制作好的 RAID 磁盘阵列格式化为 ext4 格式。然后,创建挂载点把硬盘设备进行挂载操作。挂载成功后就可以看到可用空间为 20GB。
LVM
常用的 LVM 部署命令
| 功能/命令 | 物理卷管理 | 卷组管理 | 逻辑卷管理 |
|---|---|---|---|
| 扫描 | pascan | vgscan | lvscan |
| 建立 | pvcreate | vgcreate | lvcreate |
| 显示 | pvdisplay | vgdisplay | lvpdislay |
| 删除 | pvremove | vgremove | lvremove |
| 扩展 | vgextend | lvextend | |
| 缩小 | vgreduce | lvreduce |
部署逻辑卷
例:用两块硬盘来演示 LVM 。
- 1.让两块新硬盘设备支持LVM技术
- 2.把两块硬盘设备加入到 storage 卷组中,然后查看卷组状态
- 3.切割出一个约为150MB 的逻辑卷设备
对逻辑卷进行切割时有两种计量单位。第一种是以容量为单位,所用的参数为 -L 。例,使用 -L 150M 生成一个大小为150MB 的逻辑卷。另外一种是以基本单元的个数为单位,所使用的参数 -l 。每个基本单元的大小默认为 4MB。例,使用 -l 37 可以生成一个大小为 37×4MB=148MB 的逻辑卷。
- 4.把生成好的逻辑卷进行格式化,然后挂载使用。
Linux 系统会把 LVM 中的逻辑卷设备存放在 /dev 设备目录中(实际上是做了一个符号链接),同时会以卷组名称来建立一个目录,其中保存了逻辑卷的设备映射文件(即 /dev/卷组名称/逻辑卷名称)
- 5.查看挂载状态,并写入到配置文件,使其永久生效
扩容逻辑卷
扩展前一定要记得卸载设备和挂载点的关联
[root@linuxprobe Desktop]# umount /linuxprobe
- 1.把上一个实验中的逻辑卷 vo 扩展至 290MB
- 2.检查硬盘完整性,并重置硬盘容量
- 3.重新挂载硬盘设备并查看挂载状态
缩小逻辑卷
相较于扩容逻辑卷,在对逻辑卷进行缩容操作时,其丢失数据的风险更大。所以在生产环境中执行相应操作时,一定要提前备份好数据。另外Linux 系统规定,在对 LVM 逻辑卷进行缩容操作之前,要先检查文件系统的完整性(当然这也是为了保证我们的数据安全)。在执行缩容操作前记得先把文件系统卸载掉。
[root@linuxprobe Desktop]# umount /linuxprobe
- 1.检查文件系统的完整性
- 2.把逻辑卷 vo 的容量减少到120MB
- 3.重新挂载文件系统并查看系统状态
逻辑卷快照
LVM 还具备有 “快照卷” 功能,该功能类似于虚拟机软件的还原时间点功能。例如,可以对某一个逻辑卷设备做一次快照,如果日后发现数据被改错了,就可以利用之前做好的快照卷进行覆盖还原。LVM 的快照卷功能有两个特点:
- 快照卷的容量必须等同于逻辑卷的容量
- 快照卷仅一次有效,一旦执行还原操作后则会被立即自动删除
首先查看卷组的信息
通过卷组的输出信息可以清晰看到,卷组中已经使用了 120MB 的容量,空闲容量还有 1111GB 。接下来用重定向向往逻辑卷设备所挂载的目录中写入一个文件。
- 1.使用 -s 参数生成一个快照卷,使用 -L 参数指定切割的大小。另外,还需要在命令后面写上是针对哪个逻辑卷执行的快照操作。
- 2.在逻辑卷所挂载的目录中创建一个 100MB 的垃圾文件,然后再查看快照卷的状态。可以发现存储空间占的用量上升了。
- 3.为了校验 SNAP 快照卷的效果,需要对逻辑卷进行快照还原操作。在此之前记得先卸载掉逻辑卷设备与目录的挂载。
- 4.快照卷会被自动删除掉,并且刚刚在逻辑卷设备被执行快照操作后再创建出来的 100MB 的垃圾文件也被清除了。
删除逻辑卷
当生产环境中想要重新部署 LVM 或者不再需要使用 LVM 时,则需要执行 LVM 的删除操作。为此,需要提前备份好重要的数据新信息,然后依次删除逻辑卷、卷组、物理卷设备,这个顺序不可颠倒。
- 1.取消逻辑卷与目录的挂载关联,删除配置文件中永久生效的设备参数。
- 2.删除逻辑卷设备,需要输入 y 来确定操作
- 3.删除卷组,此处只写卷组名称即可,不需要设备的绝对路径
- 4.删除物理卷设备
配置网卡
找到配置文件修改对应信息
[root@linuxprobe Desktop]# vim /etc/sysconfig/network-scripts/ifcfg-eno16777736
修改成以下
然后重启服务
[root@linuxprobe Desktop]# systemctl restart network
iptables 与 firewalld 防火墙
iptables
iptables 服务把用于处理或过滤流量的策略条目称之为规则,多条规则可以组成一个规则链,而规则链则依据数据包处理位置的不同进行分类,具体如下:
- 在进行路由选择前处理数据包(PREROUTING);
- 处理流入的数据包(INTPUT);
- 处理流出的数据包(OUTPUT);
- 处理转发的数据包(FORWARD);
- 在进行路由选择后处理数据包(POSTROUTING);
一般来说,从内网向外网发送的流量一般都是可控且良性的,因此我们使用最多的就是INPUT规则链,该规则链可以增大黑客人员从外网进入内网的难度。
iptables 命令可以根据流量的源地址、目的地址、传输协议、服务类型等信息进行匹配,一旦匹配成功,iptables 就会根据策略规则所预设的动作来处理这些流量。另外,再次提醒一下,防火墙策略规则的匹配顺序是从上至下的,因此要把较为严格、优先级较高的策略规则放到前面,以免发生错误。
| 参数 | 作用 |
|---|---|
| -P | 设置默认策略 |
| -F | 清空规则链 |
| -L | 查看规则链 |
| -A | 在规则链的末尾加入新规则 |
| -I num | 在规则链的头部加入新规则 |
| -D num | 删除某一条规则 |
| -s | 匹配来源地址 IP/MASK,加叹号 “ !” 表示除了这个 IP 外 |
| -d | 匹配目的地址 |
| -i 网卡名称 | 匹配从这块网卡流入的数据 |
| -o 网卡名称 | 匹配从这块网卡流出的数据 |
| -p | 匹配协议,如 TCP、UDP、ICMP |
| –dport num | 匹配目标端口昊 |
| –sport num | 匹配来源端口号 |
iptables -L 查看已有的防火墙规则链
iptables -F 清空已有的防火墙规则链
把 INPUT 规则链的默认策略设置为拒绝
向 INPUT 链添加允许 ICMP 流量进入的策略规则
删除 INPUT 规则链中刚刚加入的那条策略(允许 ICMP 流量),并把默认策略设置为允许
将 INPUT 规则链设置为只允许指定网段的主机访问本机的 22 端口,拒绝来自其他所有主机的流量
向 INPUT 规则链中添加拒绝所有人访问本机 12345 端口的策略规则
向 INPUT 规则链中添加拒绝 192.168.10.5 主机访问本机 80 端口(Web服务)的策略规则
向 INPUT 规则链中添加拒绝所有主机访问本机 1000~1024 端口的策略规则
特别注意,使用 iptables 命令配置得到防火墙规则默认会在系统下一次重启时失效,如果想让配置的防火墙策略永久生效,就要执行保存命令。
firewalld
| 区域 | 默认策略规则 |
|---|---|
| trusted | 允许所有数据包 |
| home | 拒绝流入的流量,除非与流出的流量相关;而如果流量与 ssh、mdns、ipp-client、amba-client 与 dhcpv6-client 服务相关,则允许流量 |
| internal | 等同于 home 区域 |
| work | 拒绝流入的流量,除非与流出的流量相关;而如果流量与 ssh、ipp-client、dhcpv6-client 服务相关,则允许流量 |
| public | 拒绝流入的流量,除非与流出的流量相关;而如果流量与 ssh、dhcpv6-client 服务相关,则允许流量 |
| external | 拒绝流入的流量,除非与流出的流量相关;而如果流量与 ssh 服务相关,则允许流量 |
| dmz | 拒绝流入的流量,除非与流出的流量相关;而如果流量与 ssh 服务相关,则允许流量 |
| block | 拒绝流入的流量,除非与流出的流量相关; |
| drop | 拒绝流入的流量,除非与流出的流量相关; |
| 参数 | 作用 |
|---|---|
| - -get-default-zone | 查询默认的区域名称 |
| - -set-default-zone=<区域名称> | 设置默认的区域,使其永久生效 |
| - -get-zones | 显示可用的区域 |
| - -get-services | 显示预先定义的服务 |
| - -get-active-zones | 显示当前正在使用的区域与网卡名称 |
| - -add-source= | 将源自此 IP 或子网的流量导向某个指定区域 |
| - -remove-source= | 不再将源自此 IP 或子网的流量导向某个指定区域 |
| - -add-interface=<网卡名称> | 将源自该网卡的所有流量都导向某个指定区域 |
| - -change-interface=<网卡名称> | 将某个网卡与区域进行关联 |
| - -list-all | 显示当前区域的网卡配置参数、资源、端口以及服务等信息 |
| - -list-all-zones | 显示所以区域的网卡配置参数、资源、端口以及服务等信息 |
| - -add-service=<服务名> | 设置默认区域允许该服务的流量 |
| - -add-port=<端口号 / 协议> | 设置默认区域允许该端口的流量 |
| - -remove-service=<服务名> | 设置默认区域不再允许该服务的流量 |
| - -remove-port=<端口号 / 协议> | 设置默认区域不再允许该端口的流量 |
| - -reload | 让 “永久生效” 的配置规则立即生效,并覆盖当前的配置规则 |
| - -panic-on | 开启应急状况模式 |
| - -panic-off | 关闭应急状况模式 |
firewalld 配置的防火墙策略默认为运行时 (Runtime) 模式,又称为当前生效模式,而且随着系统的重启会失效。如果想让配置策略一直存在,就需要使用永久(Permanent)模式了,方法就是在用 firewall-cmd 命令正常设置防火墙策略时添加 - -permanent 参数,这样配置防火墙策略就可以永久生效了,使用这个设置策略只有在系统重启后才能自动生效。如果想让配置的策略立即生效,需要手动执行 firewall-cmd - -reload 命令。
查看 firewalld 服务当前所使用的区域
查看 eno 网卡在firewalld 服务中的区域
把 firewalld 服务中 eno 网卡的默认区域修改成 external,并在系统重启后生效。分别查看当前与永久默认下的区域名称
把 firewalld 服务的当前默认区域设置为 public
启动 / 关闭firewalld 防火墙服务的应急状况模式,阻断一切网络连接(当远程控制服务器时请慎重)
查询 public 区域是否允许请求 SSH 和 HTTPS 协议的流量
把 firewalld 服务中请求 HTTPS 协议的流量设置为永久允许,并立即生效
把 firewalld 服务中请求 HTTP 协议的流量设置为永久拒绝,并立即生效
把在 firewalld 服务中访问 8080 和 8081 端口的流量策略设置为允许,但权限当前生效
把原来访问本机 888 端口的流量转发到 22 端口,且要求当前和长期均有效
在firewalld 服务中配置一条规则,使其拒绝192.168.10.0/24 网段的所有用户访问本机的 ssh 服务(22端口)
参考书籍——Linux就该这么学
扫一扫
690
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
