本文介绍了如何使用图形工具firewalld的firewall-config配置防火墙,包括放行端口和图形界面操作。此外,Cockpit驾驶舱管理工具在RHEL8中应用,涵盖网络管理、服务配置、SSH安全设置和远程控制命令等内容。详细讲解了如何配置网卡、绑定网卡以及通过sshd和密钥验证进行远程访问。
使用Iptables与Firewalld防火墙使用ssh服务管理远程主机
8.3.2 图形管理工具
firewall-config是firewalld防火墙配置管理工具的GUI(图形用户界面)版本,几乎可以实现所有以命令行来执行的操作
放行某个端口号的时候如果没有指定,需要放行tcp和udp
8.5 Cockpit驾驶舱管理工具
Cockpit是一个基于Web的图形化服务管理工具,Cockpit服务程序在RHEL 8版本中没有自动运行
在Cockpit服务启动后,打开系统自带的浏览器,在地址栏中输入“本机地址:9090”即可访问。由于访问Cockpit的流量会使用HTTPS进行加密,而证书又是在本地签发的,因此还需要进行添加并信任本地证书的操作
Cockpit总共分为13个功能模块:系统状态(System)、日志信息(Logs)、硬盘存储(Storage)、网卡网络(Networking)、账户安全(Accounts)、服务程序(Services)、软件仓库(Applications)、报告分析(Diagnostic Reports)、内核排错(Kernel Dump)、SElinux、更新软件(Software Updates)、订阅服务(Subscriptions)、终端界面(Terminal)。
1.System
进入Cockpit界面后默认显示的便是System(系统)界面,在该界面中能够看到系统架构、版本、主机名与时间等信息,还能够动态地展现出CPU、硬盘、内存和网络的复杂情况
2.Logs
这个模块能够提供系统的全部日志。时间和日志级别。通过这两个选项可以让用户更快地找到所需信息
3.Storage
可以让用户通过该界面,用鼠标创建出RAID、LVM、VDO和iSCSI等存储设备
4.Networking
动态看网卡的输出和接收值。不仅可以在这里进行网卡的绑定(Bonding)和聚合(Team),还可以创建桥接网卡及添加VLAN。
5.Accounts
这个界面中的功能非常丰富,我们在这里可以对用户进行重命名,设置用户的权限,还可以锁定、修改密码以及创建SSH密钥信息。
6.Services
可以查看系统中已有的服务列表和运行状态。单击某一服务,进入该服务的管理界面后,可以对具体的服务进行开启、关闭操作。
7.Applications
后期采用Cockpit或红帽订阅服务安装的软件都会显示在这个功能模块中
8.Diagnostic Report
Diagnostic Report模块的功能是帮助用户收集及分析系统的信息,找到系统出现问题的原因
9.Kernel Dump
Kernel Dump(Kdump)是一个在系统崩溃、死锁或死机时用来收集内核参数的一个服务。
10.SElinux
图8-31所示为SELinux服务的控制按钮和警告信息界面
11.Software Updates
用来对红帽客户订阅的服务进行更新的界面
12.Subscriptions
12.Terminal
Cockpit服务提供了Shell终端的在线控制平台,可方便用户通过网页上的终端功能管理服务器。
9.1 配置网卡服务
9.1.1 配置网卡参数
激活网卡使用Vim编辑器将网卡配置文件中的ONBOOT参数修改成yes
当修改完Linux系统中的服务配置文件后,并不会对服务程序立即产生效果。要想让服务程序获取到最新的配置文件,需要手动重启相应的服务
[root@linuxprobe ~]# nmcli connection reload ens160
[root@linuxprobe ~]# nmcli connection up ens160
9.1.2 创建网络会话
RHEL和CentOS系统默认使用NetworkManager来提供网络服务,这是一种动态管理网络配置的守护进程,能够让网络设备保持连接状态。可以使用nmcli命令来管理NetworkManager服务程序。nmcli是一款基于命令行的网络配置工具
[root@linuxprobe ~]# nmcli connection show
RHEL 8系统支持网络会话功能,允许用户在多个配置文件中快速切换
使用nmcli命令并按照“connection add con-name type ifname”的格式来创建网络会话。使用con-name参数指定公司所使用的网络会话名称company,然后依次用ifname参数指定本机的网卡名称,用autoconnect no参数将网络会话设置为默认不被自动激活
[root@linuxprobe ~]# nmcli connection add con-name company ifname ens160 autoconnect no type ethernet ip4 192.168.10.10/24 gw4 192.168.10.1
[root@linuxprobe ~]# nmcli connection add con-name house type ethernet ifname ens160
9.1.3 绑定两块网卡
借助于网卡绑定技术,不仅能够提高网络传输速度,更重要的是,还可以确保在其中一块网卡出现故障时,依然可以正常提供网络服务。
1.创建出一个bond网卡
使用nmcli命令配置网络信息有一定的难度,所以咱们放到了第9章才开始讲解。首先使用如下命令创建一个bond网卡。其中,命令与参数的意思是创建一个类型为bond(绑定)、名称为bond0、网卡名为bond0的绑定设备,绑定模式为balance-rr:
[root@linuxprobe ~]# nmcli connection add type bond con-name bond0 ifname bond0 bond.options “mode=balance-rr”
round-robin的特点是会根据设备顺序依次传输数据包,提供负载均衡的效果,让带宽的性能更好一些;而且一旦某个网卡发生故障,会马上切换到另外一台网卡设备上,保证网络传输不被中断。active-backup是另外一种比较常用的网卡绑定模式,它的特点是平时只有一块网卡正常工作,另一个网卡随时待命,一旦工作中的网卡发生损坏,待命的网卡会自动顶替上去。
2.向bond0添加从属网卡
[root@linuxprobe ~]# nmcli connection add type ethernet slave-type bond con-name bond0-port1 ifname ens160 master bond0
[root@linuxprobe ~]# nmcli connection add type ethernet slave-type bond con-name bond0-port2 ifname ens192 master bond0
3.配置bond0设备的网卡信息
配置网络参数的方法有很多,用nmcli命令依次配置网络的IP地址及子网掩码、网关、DNS、搜索域和手动配置等参数。
[root@linuxprobe ~]# nmcli connection modify bond0 ipv4.addresses 192.168.10.10/24
[root@linuxprobe ~]# nmcli connection modify bond0 ipv4.gateway 192.168.10.1
[root@linuxprobe ~]# nmcli connection modify bond0 ipv4.dns 192.168.10.1 [root@linuxprobe ~]# nmcli connection modify bond0 ipv4.dns-search linuxprobe.com
[root@linuxprobe ~]# nmcli connection modify bond0 ipv4.method manual
4.启动
[root@linuxprobe ~]# nmcli connection up bond0
9.2 远程控制服务
9.2.1 配置sshd服务
SSH(Secure Shell)是一种能够以安全的方式提供远程登录的协议
使用SSH协议来远程管理Linux系统,则需要配置部署sshd服务程序。sshd是基于SSH协议开发的一款远程管理服务程序,不仅使用起来方便快捷,而且能够提供两种安全验证的方法:
基于密码的验证—用账户和密码来验证登录;
基于密钥的验证—需要在本地生成密钥对,然后把密钥对中的公钥上传至服务器,并与服务器中的公钥进行比较;该方式相较来说更安全。
sshd服务的配置信息保存在/etc/ssh/sshd_config文件中。配置文件中有许多以井号(#)开头的注释行,要想让这些配置参数生效,需要在修改参数后再去掉前面的井号。
sshd服务配置文件中包含的参数以及作用
参数 作用
Port 22 默认的sshd服务端口
ListenAddress 0.0.0.0 设定sshd服务器监听的IP地址
Protocol 2 SSH协议的版本号
HostKey /tc/ssh/ssh_host_key SSH协议版本为1时,DES私钥存放的位置
HostKey /etc/ssh/ssh_host_rsa_key SSH协议版本为2时,RSA私钥存放的位置
HostKey /etc/ssh/ssh_host_dsa_key SSH协议版本为2时,DSA私钥存放的位置
PermitRootLogin yes 设定是否允许root管理员直接登录
StrictModes yes 当远程用户的私钥改变时直接拒绝连接
MaxAuthTries 6 最大密码尝试次数
MaxSessions 10 最大终端数
PasswordAuthentication yes 是否允许密码验证
PermitEmptyPasswords no 是否允许空密码登录(很不安全)
ssh命令远程连接服务器,其格式为“ssh [参数]主机IP地址”
如果禁止以root管理员的身份远程登录到服务器,则可以大大降低被黑客暴力破解密码的概率。首先使用Vim文本编辑器打开服务器上的sshd服务主配置文件,然后把第46行#PermitRootLogin yes参数前的井号(#)去掉,并把参数值yes改成no,这样就不再允许root管理员远程登录了。
[root@Server ~]# systemctl restart sshd
[root@Server ~]# systemctl enable sshd
主配置文件
/etc/服务名称/服务名称.conf
一般配置文件
/etc/服务名称
/etc/服务名称.d
9.2.2 安全密钥验证
加密是对信息进行编码和解码的技术,它通过一定的算法(密钥)将原本能被直接阅读的明文信息转换成密文形式。密钥即是密文的钥匙,有私钥和公钥之分。在传输数据时,如果担心被他人监听或截获,就可以在传输前先使用公钥对数据加密处理,然后再进行传送。这样,只有掌握私钥的用户才能解密这段数据,除此之外的其他人即便截获了数据,一般也很难将其破译为明文信息。
如果正确配置了密钥验证方式,那么sshd服务程序将更加安全。下面进行具体的配置
第1步:在客户端主机中生成“密钥对”,记住是客户端。
[root@Client ~]# ssh-keygen
第2步:把客户端主机中生成的公钥文件传送至远程服务器。
[root@Client ~]# ssh-copy-id 192.168.10.10
第3步:对服务器进行设置,使其只允许密钥验证,拒绝传统的密码验证方式。记得在修改配置文件后保存并重启sshd服务程序。
[root@Server ~]# vim /etc/ssh/sshd_config
73 PasswordAuthentication no
第4步:客户端尝试登录到服务器,此时无须输入密码也可成功登录,特别方便。
[root@Client ~]# ssh 192.168.10.10
9.2.3 远程传输命令
scp(secure copy)是一个基于SSH协议在网络之间进行安全传输的命令,其格式为“scp [参数]本地文件 远程账户@远程IP地址:远程目录”。
scp不仅能够通过网络传送数据,而且所有的数据都将进行加密处理。
scp命令中可用的参数及作用
参数 作用
-v 显示详细的连接进度
-P 指定远程主机的sshd端口号
-r 用于传送文件夹
-6 使用IPv6协议
在使用scp命令把文件从本地复制到远程主机时,首先需要以绝对路径的形式写清本地文件的存放位置。如果要传送整个文件夹内的所有数据,还需要额外添加参数-r进行递归操作。然后写上要传送到的远程主机的IP地址,远程服务器便会要求进行身份验证了。
如果想使用指定用户的身份进行验证,可使用用户名@主机地址的参数格式。最后需要在远程主机的IP地址后面添加冒号,并在后面写上要传送到远程主机的哪个文件夹中。
[root@Client ~]# scp /root/readme.txt 192.168.10.10:/home
可以使用scp命令把远程服务器上的文件下载到本地主机,其命令格式为“scp [参数]远程用户@远程IP地址:远程文件 本地目录”。
扫一扫
405
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
