使用ssh 服务管理远程主机
➢ 配置网络服务;
➢ 远程控制服务;
➢ 不间断会话服务
讲解了如何使用 nmtui命令配置网络参数,以及通过 nmcli 命令查看网络信息并管 理网络会话服务,从而让您能够在不同工作场景中快速地切换网络运行参数;还讲解了如何手工绑定 mode6模式双网卡,实现网络的负载均衡。本章还深入介绍了 SSH 协议与 sshd 服务程序的理论知识、Linux 系统的远程管理方法以及在系统中配置服务程序的方法,并采用实验的形式演示了使用基于密码验证的 sshd 服务程序进行远程登录,以及使用 screen 服务程序远程管理 Linux 系统的不间断会话等技术。
复习题
1.在 Linux 系统中有多种方法可以配置网络参数,请列举几种。
配置网卡参数可以使用 nmtui 命令、nmcli 命令或者直接编辑网卡配置文件来实现对网卡参数的修改。
2.在 RHEL 7 系统中使用网卡会话技术的目的是什么?
使用 nmcli 命令来管理网卡会话的目的是为了快速切换网卡参数,以便适应不同的工作场景。
3.请简述网卡绑定技术 mode6 模式的特点。
平时两块网卡均工作,且自动备援,无须交换机设备提供辅助支持。
4.在 Linux 系统中,当通过修改其配置文件中的参数来配置服务程序时,若想要让新配置的参数生效,还需要执行什么操作?
需要重新启动相关的服务程序,或让服务程序重新加载配置文件,或重启系统。
5.sshd 服务的口令验证与密钥验证方式,哪个更安全?
一般情况下,密钥验证方式更加安全。若用户若认证有更高的安全需求,还可以再对密钥文件进行口令加密,从而实现双重加密。
想要把本地文件/root/out.txt 传送到地址为 192.168.10.20 的远程主机的/home 目录下,且本地主机与远程主机均为 Linux 系统,最为简便的传送方式是什么?
执行命令 scp /root/out.txt root@192.168.10.20:/home,并在进行口令验证后即可开始传送。
7.请简述配置 Yum 仓库的步骤。
首先应该创建挂载目录并把光盘镜像文件与其关联,然后修改 Yum 的配置文件,填写入相关参数,尤其需要注意挂载目录的存放路径要正确无误,最后便可使用 Yum命令来安装相关的服务程序了。
8. screen 服务程序能够让用户实现远程控制的不间断会话服务,即便网络发生中断也不丢失对远程主机的会话控制。那么,当想要恢复到一个名为 linux 的会话窗口时,应该
怎么做呢?
执行命令 screen -r linux 即可恢复到这个会话窗口中。
使用 Apache 服务部署静态网站
➢ 网站服务程序;
➢ 配置服务文件参数;
➢ SELinux 安全子系统;
➢ 个人用户主页功能;
➢ 虚拟主机功能;
➢ Apache 的访问控制
网站服务程序
Web 网络服务是一种被动访问的服务程序,即只有接收到互联网中其他主机发出的请求后才会响应,最终用于提供服务程序的 Web 服务器会通过 HTTP(超文本传输协议)或HTTPS(安全超文本传输协议)把请求的内容传送给用户。
目前能够提供 Web 网络服务的程序有 IIS、Nginx 和 Apache 等。其中,IIS(Internet Information Services,互联网信息服务)是 Windows 系统中默认的 Web 服务程序,这是一款图形化的网站管理工具,不仅可以提供 Web 网站服务,还可以提供 FTP、NMTP、SMTP。
Apache 程序是目前拥有很高市场占有率的 Web 服务程序之一,其跨平台和安全性广泛被认可且拥有快速、可靠、简单的 API 扩展。它的名字取自美国印第安人的土著语,寓意着拥有高超的作战策略和无穷的耐性。
Apache 服务程序可以运行在 Linux 系统、UNIX 系统甚至是 Windows 系统中,支持基于IP、域名及端口号的虚拟主机功能,支持多种认证方式,集成有代理服务器模块、安全Socket 层(SSL),能够实时监视服务状态与定制日志消息,并有着各类丰富的模块支持。
配置服务文件参数
DocumentRoot 参数用于定义网站数据的保存路径,其参数的默认值是把网站数据存放到/var/www/html 目录中;而当前网站普遍的首页面名称是 index.html,因此可以向/var/www/html 目录中写入一个文件,替换掉 httpd 服务程序的默认首页面,该操作会立即生效。
SELinux 安全子系统
例如,您在自己的电脑上下载了一个美图软件,当您全神贯注地使用它给照片进行美颜的时候,它却在后台默默监听着浏览器中输入的密码信息,而这显然不应该是它应做的事情(哪怕是访问电脑中的图片资源,都情有可原)。
SELinux 安全子系统就是为了杜绝此类情况而设计的,它能够从多方面监控违法行为:
对服务程序的功能进行限制(SELinux 域限制可以确保服务程序做不了出格的事情);
对文件资源的访问限制(SELinux 安全上下文确保文件资源只能被其所属的服务程序进行访问)。
SELinux 服务有三种配置模式,具体如下。
➢ enforcing:强制启用安全策略模式,将拦截服务的不合法请求。
➢ permissive:遇到服务越权访问时,只发出警告而不强制拦截。
➢ disabled:对于越权的行为不警告也不拦截。
semanage 命令
semanage 命令用于管理 SELinux 的策略,格式为semanage [选项] [文件]。SELinux 服务极大地提升了 Linux 系统的安全性,将用户权限牢牢地锁在笼子里。
semanage 命令不仅能够像传统 chcon 命令那样—设置文件、目录的策略,还可以管理网络端口、消息接口(这些新特性将在本章后文中涵盖)。使用 semanage 命令时,经常用到的几个参数及其功能如下所示:
➢-l参数用于查询;
➢-a参数用于添加;
➢-m参数用于修改;
➢-d参数用于删除。
个人用户主页功能
如果想在系统中为每位用户建立一个独立的网站,通常的方法是基于虚拟网站主机功能来部署多个网站。但这个工作会让管理员苦不堪言(尤其是用户数量很庞大时),而且在用户自行管理网站时,还会碰到各种权限限制,需要为此做很多额外的工作。其实,httpd 服务程序提供的个人用户主页功能完全可以以胜任这个工作。该功能可以让系统内所有的用户在自己的家目录中管理个人的网站,而且访问起来也非常容易。
有时,网站的拥有者并不希望直接将网页内容显示出来,只想让通过身份验证的用户访
客看到里面的内容,这时就可以在网站中添加口令功能了。
虚拟主机功能
Apache 的虚拟主机功能是服务器基于用户请求的不同 IP 地址、主机域名或端口号,实现提供多个网站同时为外部提供访问服务的技术,如图 10-12 所示,用户请求的资源不同,最终获取到的网页内容也各不相同。如果大家之前没有做过网站,可能不太理解其中的原理,
等一会儿搭建出实验环境并看到实验效果之后,您一定就会明白了
Apache的访问控制
Apache 可以基于源主机名、源 IP 地址或源主机上的浏览器特征等信息对网站上的资源进行访问控制。它通过 Allow 指令允许某个主机访问服务器上的网站资源,通过 Deny 指令实现禁止访问。在允许或禁止访问网站资源时,还会用到 Order 指令,这个指令用来定义 Allow或 Deny 指令起作用的顺序,其匹配原则是按照顺序进行匹配,若匹配成功则执行后面的默认指令。比如Order Allow, Deny表示先将源主机与允许规则进行匹配,若匹配成功则允许访问请求,反之则拒绝访问请求。
复习题
1.什么是 Web 网络服务?
一种允许用户通过浏览器访问到互联网中各种资源的服务。
2.相较于 Nginx 服务程序,Apache 服务程序最大的优势是什么?
Apache 服务程序具备跨平台特性、安全性,而且拥有快速、可靠、简单的 API 扩展。
3.httpd 服务程序没有检查到首页文件,会提示报错信息吗?
不会,httpd 服务在未找到网站首页文件时,会向访客显示一个默认页面。
4.简述 Apache 服务主配置文件中全局配置参数、区域配置参数和注释信息的作用。
全局配置参数是一种全局性的配置参数,可作用于对所有的子站点;区域配置参数则是单独针对于每个独立的子站点进行设置的;而注释信息一般是对服务程序的功能或某一行参数进行介绍。
5.简述 SELinux 服务的作用。
为了让各个服务进程都受到约束,使其仅获取到本应获取的资源。
6.在使用 getenforce 命令查看 SELinux 服务模式时,发现其配置模式为 permissive,这代表强制开启模式吗?
不是,强制开启模式是 enforcing,而 permissive 是只发出警告而不强制拦截的模式。
7.在使用 semanage 命令修改了文件上应用的 SELinux 安全上下文后,还需要执行什么命令才可以让更改立即生效?
还需要restorecon命令即可让新的 SELinux安全上下文参数立即生效。
8.要想查询并过滤出所有与 HTTP 协议相关的 SELinux 域策略有哪些,应该怎么做呢?
可以结合管道符来实现,即执行 getsebool -a | grep http命令。
9. Apache 服务程序可以基于哪些资源来创建虚拟主机网站呢?
可以基于 IP 地址、主机名(域名)或者端口号创建虚拟主机网站。
10.相对于基于 IP 地址和基于主机名(域名)配置的虚拟主机网站来说,使用端口号配置虚拟主机网站有哪些特点?
在使用端口号来配置虚拟主机网站时,必须要考虑到 SELinux 域对 httpd 服务程序所用端口号的控制策略,还要在 httpd 服务程序的主配置文件中使用 Listen 参数来开启要监听的端口号。
2221
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
