Linux第五天 网络IP地址配置与日志服务器的搭建

网络地址配置

IP地址 子网掩码 网关 DNS

临时配置

1、确认系统网卡信息和 IP 地址

命令：

ip addr

以下为网卡的名字，一共说明了你有五张网卡 ，只是你的网卡的名字被输出重定向了 ，名字做了变更

其中

Lo 127.0.0.1 分配给自己的，无法与外界通信的，测试本机网卡是否有问题可以 ping 本地环回地址

ens33 为自动备援模式，名称定为 ens33。网卡的编号存在一定的规则，网卡的代号与网卡的来源有关。Linux 继承了Unix 以网络为核心的设计思想

1、eno1：代表由主板 bios 内置的网卡。
2、ens1:代表有主板 bios 内置的 PCI-E 网卡。
3、enp2s0: PCI-E 独立网卡。
4、eth0：如果以上都不使用，则回到默认的网卡名。

virbr0 虚拟网络接口

virbr0-nic 虚拟网卡

因为我们今天要尝试自己去配置 IP 地址 则需要关闭一个服务 否则会自动获

取影响实验

2、关闭 networkmanage 服务

临时关闭：

systemctl stop NetworkManager

永久关闭：

低版本：chkconfig --level 345 NetworkManager off
高版本：systemctl disable NetworkManager

然后在虚拟机的网络适配器中将对应的网卡更改为桥接模式

同时

***在虚拟网络编辑器中，将桥接模式的VMnet0网卡桥接至自己的WiFi的网卡

3、配置网络地址

首先，需要知道的是，桥接模式下，相当于这台虚拟机和我们的主机在一个网段中，共享真实的网络，连接在我们的家庭路由器上

所以为了确保桥接模式下的虚拟机可以上网，虚拟机的IP地址要和主机的IP在同一个网段，网关要和主机的默认网关相同，DNS也要和主机的一样

先看一下主机的配置：

ipconfig /all

配置虚拟机的网络地址：

(1)先把网卡 eth0 通过 NAT 获取到的IP地址删除

ip addr del 192.168.192.134/24 dev eth0

(2)配置IP

ip addr add 192.168.101.10/24 dev eth0

(3)验证网卡IP

ip addr

网卡配置完成后，默认是up的，如果down了，使用下述命令使其up

ip link set eth0 up

(4)如果想上网需要给这台虚拟机配置一个默认网关，指向我们的家庭路由器

ip route add default via 192.168.101.1 dev eth0

(5)验证路由

route -n

(6)用本地记录的DNS服务做域名解析，测试DNS

nslookup www.baidu.com

无结果

(7)配置 DNS

vim /etc/resolv.conf

nameserver 192.168.101.1

(8)访问百度，测试能否上网

ping www.baidu.com

(9)测试主机与虚拟机的网络连通性

建议用主机去 ping 虚拟机(虚拟机ping主机会被主机的防火墙阻挡)

Linux 系统的 ping 默认会一直 ping

Windows 系统 ping 默认 4 次

永久配置

通过修改网卡配置文件来配置网络地址

/etc/sysconfig/network-scripts/ifcfg-eth0

vim /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE=eth0  网卡设备名
TYPE=Ethernet  类型
ONBOOT=yes  是否允许 network 服务管理该文件
BOOTPROTO=static  静态获取
IPADDR=192.168.1.254    IP地址
NETMASK=255.255.255.0   掩码
GATEWAY=192.168.1.254   网关
DNS1=8.8.8.8    DNS1
DNS2=    DNS2

重启网卡，使其生效：

service network restart

实验：搭建日志服务器

什么是日志文件

日志文件是用于记录Linux系统中各种运行消息的文件，不同的日志文件记载了不同类型的信息，如Linux内核消息、用户登录事件、程序错误等

日志文件对于诊断和解决系统中的问题很有帮助，因为在Linux系统中运行的程序通常会把系统消息和错误消息写入相应的日志文件，这样系统一旦出现问题就会"有据可查”。此外,当主机遭受攻击时,日志文件还可以帮助寻找攻击者留下的痕迹

日志文件的位置

Linux系统的日志统一存放在 /var/log 目录下

日志文件的分类

/var/log/messages	系统服务及日志，包括服务的信息，报错等等
/var/log/secure	系统认证信息日志(登录日志)
/var/log/maillog	系统邮件服务信息
/var/log/cron	系统定时任务信息
/var/log/boot.log	系统启动信息

日志设备(可以理解为日志类型)

auth	pam产生的日志
authpriv	ssh,ftp等登录信息的验证信息
cron	定时任务相关
kern	内核
lpr	打印
mail	邮件
mark(syslog)-rsyslog	服务内部的信息,时间标识
news	新闻组
user	用户程序产生的相关信息
uucp	unix to unix copy, unix主机之间相关的通讯
local 1~7	自定义的日志设备

日志管理服务

rsyslog日志服务的配置文件： /etc/rsyslog.conf

vim /etc/rsyslog.conf

日志级别

man rsyslog.conf 搜索 priority

等级	等级信息	效果
0	EMERG (紧急)	会导致主机系统不可用的情况
1	ALERT (警告)	必须马上采取措施解决的问题
2	CRIT (严重)	比较严重的情况
3	ERR(错误)	运行出现错误
4	WARNING (提醒)	可能影响系统功能 ，需要提醒用户的重要事件
5	NOTICE (注意)	不会影响正常功能,但是需要注意的事件
6	INFO(信息)	一般信息
7	DEBUG (调试)	程序或系统调试信息等

为什么要搭建日志服务器

如果别人拿到你的 root 权限，通过 echo "" > /var/log/secure 可以直接清空

你的登录安全日志，这个时候如果对系统发起攻击，我们很难察觉，所以日志

的异地备份至关重要，因此我们在服务器的后面再搭建一个日志服务器，通过

相关配置来将当前服务器上的重要日志文件备份到日志服务器上，保留相关重

要的日志文件。

实验环境

一台 win7 模拟恶意登录客户机

两台 Centos7 被登录服务器 日志记录服务器

tail -f /var/log/secure 从内存中跟踪日志信息

实验目的

了解日志备份服务器的搭建流程，通过搭建日志备份服务器，体会其重要意

义。

配置网络地址，实现三台虚拟机的网络互通

1、恶意登录客户机

win7的网卡IP地址为192.168.1.1，网关为192.168.1.254

使用VMnet2和当前服务器对接

2、被登陆服务器

当前服务器(相当于一个路由器)有两个网卡：eth0 和 eth1

vim /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE=eth0  网卡设备名
TYPE=Ethernet  类型
ONBOOT=yes  是否允许 network 服务管理该文件
BOOTPROTO=static  静态获取
IPADDR=192.168.1.254    IP地址
NETMASK=255.255.255.0   掩码

service network restart

vim /etc/sysconfig/network-scripts/ifcfg-eth1

DEVICE=eth1  网卡设备名
TYPE=Ethernet  类型
ONBOOT=yes  是否允许 network 服务管理该文件
BOOTPROTO=static  静态获取
IPADDR=172.16.1.254    IP地址
NETMASK=255.255.255.0   掩码

service network restart

eth0 使用VMnet2和win7对接

eth1 使用VMnet3和日志服务器对接

3、日志服务器

日志服务器有一个网卡：eth0 

vim /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE=eth0  网卡设备名
TYPE=Ethernet  类型
ONBOOT=yes  是否允许 network 服务管理该文件
BOOTPROTO=static  静态获取
IPADDR=172.16.1.1    IP地址
NETMASK=255.255.255.0   掩码
GATEWAY=172.16.1.254 

service network restart

使用VMnet3和当前服务器对接

此时，三台IP地址配置完成，由于是直连，所以在当前服务器上不需要添加路由

但是，Linux默认是没有路由转发功能的，所以还需要手动开启：

在内核配置文件 /etc/sysctl.conf 中添加

net.ipv4.ip_forward = 1    //是否做 ip 转发

通过 sysctl -p 立刻刷新当前配置文件

#sysctl -p
net.ipv4.ip_forward = 1

测试网络连通性：

在日志服务器上ping恶意登陆客户机

三台虚拟机互通

(若无法 ping 通 则关闭防火墙)

接下来实现被登陆服务器可以向日志服务器发送日志文件，进行日志的异地备份

配置被登录服务器端

1、修改被登录服务器的rsyslog服务的配置文件：

vim /etc/rsyslog.conf

在 begin forwarding rule 下写命令：

authpriv.* @@172.16.1.1:514

含义：

authpriv     登录日志
*            日志的所有级别
172.16.1.1   日志服务器的IP
@@           tcp协议
@            udp协议
authpriv.* @@172.16.1.1:514
将登录日志的所有级别信息通过TCP协议发送到172.16.1.1日志服务器的514端口上

2、关闭防火墙

systemctl stop firewalld.services
或
systemctl stop iptables.services

3、关闭 selinux

sed -i 's#SELINUX=enforcing#SELINUX=disabled#' /etc/selinux/config
<==修改配置文件则永久生效,但是必须要重启系统
grep SELINUX=disabled /etc/selinux/config 
SELINUX=disabled
setenforce 0
<==临时生效的命令
getenforce
<==查看selinx当前状态
Permissive

4、重启rsyslog服务

systemctl restart rsyslog

配置日志记录服务器

1、修改日志服务器的rsyslog服务的配置文件：

vim /etc/rsyslog.conf

因为发送端使用 TCP 的 514 端口发送数据，故接收端要开启 TCP 的 514 端口

接收数据

在 MODULES 下开启：

#Provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514

#Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514

配置收谁的日志，收完存哪

:fromhost-ip,isequal,"172.16.1.254" /var/log/client/172.16.1.254.log

格式：

:属性,比较操作符,“值” 保存位置

含义：

属性包括以下内容：
fromhost            哪个主机名发过来的
fromhost-ip         哪个ip发过来的
msg                 从日志信息里的内容判断
hostname            从日志中的主机名判断

比较操作符包括以下内容：
contains            包含
isequal             等于
startswith          以...开头

日志服务器接收192.168.30.1发过来的日志信息，存在本地的/var/log/client/下的192.168.30.1.log文件中
:fromhost-ip,isequal,"192.168.30.1" /var/log/client/192.168.30.1.log

2、重启rsyslog服务

systemctl restart rsyslog

3、检查 514 端口是否开启

ss -antpl | grep 514

4、关闭防火墙或者在开启的防火墙上放行514端口

测试日志服务器是否正常工作

win7登陆当前服务器

日志服务器上生成了登录日志文件

模拟恶意攻击者删除日志情形

恶意客户机远程登录删除当前服务器日志

当前服务器上的登录日志被清空

查看日志服务器

日志服务器上仍然会记录登录日志，防止了日志的丢失

目的实现

类似案例：

​​https://zhuanlan.zhihu.com/p/124325730​​