添加一张新的网卡设备
[root@svr7 ~]# ifconfig | less
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.4.7 netmask 255.255.255.0 broadcast 192.168.4.255
eth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.81.130 netmask 255.255.255.0 broadcast 192.168.81.255
为eth1配置IP地址
[root@svr7 ~]# nmcli connection show
[root@svr7 ~]# nmcli connection delete 有线连接\ 1
成功删除连接 '有线连接 1'(1c99da34-de09-3f0d-9f7c-40c842036e40)。
[root@svr7 ~]# nmcli connection add type ethernet con-name eth1 ifname eth1
连接“eth1”(4ab21424-4281-427d-b5fd-87fd0644b00a) 已成功添加。
[root@svr7 ~]# nmcli connection show
[root@svr7 ~]# nmcli connection modify eth1
ipv4.method manual ipv4.addresses 192.168.1.1/24 connection.autoconnect yes
[root@svr7 ~]# nmcli connection up eth1
连接已成功激活(D-Bus 活动路径:/org/freedesktop/NetworkManager/ActiveConnection/6)
[root@svr7 ~]# ifconfig eth1 | head -2
eth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.1.1 netmask 255.255.255.0 broadcast 192.168.1.255
网络工具
利用ip命令,查看ip地址
#ip address show
#ip a s # 支持命令缩写
利用ip地址,临时设置ip地址
[root@svr7 ~]# ip address add 192.168.8.1/24 dev eth0
[root@svr7 ~]# ip a s | less
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 00:0c:29:a1:a5:d3 brd ff:ff:ff:ff:ff:ff
inet 192.168.4.7/24 brd 192.168.4.255 scope global noprefixroute eth0
valid_lft forever preferred_lft forever
inet 192.168.8.1/24 scope global eth0
valid_lft forever preferred_lft forever
ping 测试网络通信
#ping -c 2 192.168.4.7
#ping -c 4 192.168.4.7
自定义Yum仓库
将自己准备的众多软件包,制作成一个软件仓库
Yum仓库:1.众多的软件包 2.仓库数据文件
虚拟机B:
1.准备的众多软件包(rpm包)
# ls /usr/local/tools/other/
2.生成仓库数据文件
#createrepo /usr/local/tools/other/
#ls /usr/local/tools/other/
3.书写客户端配置文件
# vim /etc/yum.repos.d/mydvd.repo
[dc]
name=centos7
baseurl=file:///mydvd
enabled=1
gpgcheck=0
[to]
name=mydvd
baseurl=file:///usr/local/tools/other #指向的是仓库数据文件目录
enabled=1
gpgcheck=0
#yum -y install cmatrix
#cmatrix
日志简介
•系统和程序的“日记本”
记录系统、程序运行中发生的各种事件
通过查看日志,了解及排除故障
信息安全控制的“依据”
•由系统服务rsyslog统一记录/管理
–日志消息采用文本格式
–主要记录事件发生的时间、主机、进程、内容
•常见的日志文件
日志文件 主要用途
/var/log/messages 记录内核消息、各种服务的公共消息
/var/log/dmesg 记录系统启动过程的各种消息
/var/log/cron 记录与cron计划任务相关的消息
/var/log/maillog 记录邮件收发相关的消息
/var/log/secure 记录与访问限制相关的安全消息
日志分析
•通用分析工具
–tail、tailf、less、grep等文本浏览/检索命令
–awk、sed等格式化过滤工具
tailf:实时跟踪日志消息
•users、who、w 命令
–查看已登录的用户信息,详细度不同
•last、lastb 命令
–查看最近登录成功/失败的用户信息
[root@jy55 ~]# users
roo roo
[root@jy55 ~]# who
roo :0 2020-10-28 23:14 (:0)
roo pts/0 2020-10-28 23:18 (:0)
[root@jy55 ~]# w
00:17:18 up 1:06, 2 users, load average: 0.00, 0.01, 0.05
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
roo :0 :0 23:14 ?xdm? 59.19s 0.35s /usr/libexec/gnome-ses
roo pts/0 :0 23:18 6.00s 0.27s 2.64s
pts(图形命令行终端)
/usr/libexec/gnome-ter
[root@jy55 ~]# last -2
roo pts/0 :0 Wed Oct 28 23:18 still logged in
roo :0 :0 Wed Oct 28 23:14 still logged in
wtmp begins Wed Oct 28 06:30:50 2020
[root@jy55 ~]# lastb -2
roo :0 :0 Wed Oct 28 23:14 - 23:14 (00:00)
root pts/0 Wed Oct 28 06:35 - 06:35 (00:00)
btmp begins Wed Oct 28 06:35:39 2020
•Linux内核定义的事件紧急程度
–分为 0~7 共8种优先级别
–其数值越小,表示对应事件越紧急/重要
0 EMERG(紧急) 会导致主机系统不可用的情况
1 ALERT(警告) 必须马上采取措施解决的问题
2 CRIT(严重) 比较严重的情况
3 ERR(错误) 运行出现错误
4 WARNING(提醒) 可能会影响系统功能的事件
5 NOTICE(注意) 不会影响系统但值得注意
6 INFO(信息) 一般信息
7 DEBUG(调试) 程序或系统调试信息等
•提取由 systemd-journal 服务搜集的日志
–主要包括内核/系统日志、服务日志
•常见用法
–journalctl | grep 关键词
–journalctl -u 服务名 [-p 优先级]
–journalctl -n 消息条数
SELinux安全机制
•Security-Enhanced Linux
–美国NSA国家安全局主导开发,一套增强Linux系统安全的强制访问控制体系
–集成到Linux内核(2.6及以上)中运行
–RHEL7基于SELinux体系针对用户、进程、目录和文件提供了预设的保护策略,以及管理工具
SELinux的运行模式
–enforcing(强制)、permissive(宽松)
–disabled(彻底禁用)
–任何模式变成disabled,都需要重启系统
•切换运行模式
–临时切换:setenforce 1|0
–固定配置:/etc/selinux/config 文件
虚拟机a
[root@jy55 ~]# getenforce #查看当前系统SELinux模式
Enforcing
[root@jy55 ~]# setenforce 0 #临时设置当前SELinux模式
[root@jy55 ~]# getenforce
Permissive
[root@jy55 ~]# setenforce 1
[root@jy55 ~]# getenforce
Enforcing
#vim /etc/selinux/config
SELINUX=permissive
系统故障修复
/etc/fstab书写错误:
1.输入root的密码(输入的内容不显示)
2.继续编辑/etc/fstab内容进行修复
遗忘root的密码(破解系统root的密码)
前提:必须是服务器的管理者,涉及重启服务器
破解密码思路
1)重启系统,进入 恢复模式
[root@A ~]# reboot
开启虚拟机A,在此界面按e键
找到linux16该行,在该行的最后,空格输入 rd.break console=tty0
按 ctrl + x 启动,会看到switch_root#
**2)以可写方式重新挂载 /,并切换到此环境 **
switch_root# chroot /sysroot #切换环境,切换到硬盘操作系统的环境
sh-4.4# mount -o remount,rw / #让根目录下所有数据,可以读也可以写入
**3)重新设置root的密码 **
sh-4.4# echo 1 | passwd --stdin root
4)如果SELinux是强制模式,才需要重设SELinux策略(其他模式不需要做此操作)
sh-4.4# vim /etc/selinux/config #查看SELinux开机的运行模式
sh-4.4# touch /.autorelabel #SELinux是强制模式,让SELinux失忆
5)强制重启系统完成修复
sh-4.4# reboot -f
构建基本的Web服务
Web服务:提供网页内容的服务
Web服务器:提供网页内容的服务机器
实现web服务软件:httpd nginx tomcat
http协议:超文本传输协议
虚拟机A:
1.安装httpd软件
[root@svr7 ~]# yum -y install httpd
2.写一个网页文件
[root@svr7 ~]# vim /var/www/html/index.html
hahaxixihehelele哈哈嘻嘻
3.运行httpd程序
[root@svr7 ~]# > /etc/resolv.conf #清空文件内容,加快启用
[root@svr7 ~]# /usr/sbin/httpd #绝对路径方式运行程序
[root@svr7 ~]# pgrep -l httpd #查看httpd进程
[root@svr7 ~]# killall httpd #停下httpd进程
[root@svr7 ~]# pgrep -l httpd
[root@svr7 ~]# /usr/sbin/httpd #绝对路径方式运行程序
[root@svr7 ~]# firefox http://192.168.4.7 #图形浏览器
[root@svr7 ~]# curl http://192.168.4.7 #命令行浏览器
hahaxixihehelele哈哈嘻嘻
防火墙管理
作用:隔离,严格过滤入站,放行出站
硬件防火墙:保护一个网络中所有机器
软件防火墙:保护本机
•管理工具:firewall-cmd(命令)、firewall-config(图形工具)
•根据所在的网络场所区分,预设保护规则集
•public:仅允许访问本机的ssh、dhcp、ping服务
•trusted:允许任何访问
•block:拒绝任何来访请求,有明确的回应
•drop:丢弃任何来访的数据包,没有明确的回应
•防火墙判定的规则:
1.查看请求中源IP地址,查看自己所有区域,哪个区域有该源IP地址规则,则进入哪个区域
2.进入默认区域(默认情况下为public)
修改默认区域
虚拟机A:
[root@svr7 ~]# rpm -q firewalld #防火墙软件
firewalld-0.4.4.4-14.el7.noarch
虚拟机A
]# firewall-cmd --get-default-zone #查看默认区域
虚拟机B
[root@pc207 /]# ping -c 2 192.168.4.7 #成功
[root@pc207 /]# curl http://192.168.4.7 #失败
虚拟机A
]# firewall-cmd --set-default-zone=trusted #修改默认区域
虚拟机B
[root@pc207 /]# ping -c 2 192.168.4.7 #成功
[root@pc207 /]# curl http://192.168.4.7 #成功
区域中添加允许的协议
虚拟机A:
]# firewall-cmd --set-default-zone=public #修改默认区域
]# firewall-cmd --get-default-zone #查看默认区域
]# firewall-cmd --zone=public --list-all #查看区域规则
]# firewall-cmd --zone=public --add-service=http #添加协议
]# firewall-cmd --zone=public --list-all #查看区域规则
虚拟机B
[root@pc207 /]# curl http://192.168.4.7 #访问成功
hahaxixihehelele哈哈嘻嘻
永久规则
–永久(–permanent)
–默认区域的修改,默认就是永久的
虚拟机A:
]# firewall-cmd --reload #重新加载防火墙永久的配置
]# firewall-cmd --zone=public --list-all #查看区域规则
]# firewall-cmd --permanent --zone=public --add-service=http #永久规则
]# firewall-cmd --zone=public --list-all #查看区域规则
]# firewall-cmd --reload #重新加载防火墙永久的配置
]# firewall-cmd --zone=public --list-all #查看区域规则
单独拒绝192.168.4.207所有访问,允许其他机器
防火墙判定的规则:
1.查看请求中源IP地址,查看自己所有区域,哪个区域有该源IP地址规则,则进入哪个区域
2.进入默认区域(默认情况下为public)
虚拟机A
1.添加源IP地址规则
]# firewall-cmd --zone=block --add-source=192.168.4.207
]# firewall-cmd --get-default-zone #查看默认区域
public
虚拟机B
]# curl http://192.168.4.7 #访问失败