目录
第七章
RAID(独立冗余磁盘阵列)
RAID技术通过把多个硬盘设备组合在一个容量更大,安全性更好的磁盘阵列,并把数据切割成多个区段后分别存放在各个不同的物理硬盘设备上,然后利用分散读写技术来提升磁盘阵列整体的性能,同时把多个重要数据的副本同步到不同的物理硬盘设备上,从而起到了(优点:)非常好的数据冗余备份效果。
RAID0
(等量模式)
此技术把多块物理硬盘设备(至少两块)通过硬件或软件的方式串联在一起,组成一个大的卷组,并将数据依次写入到各个物理硬盘中。
特点:1 数据分开存放。 2 读写速度无要求。3 数据依次写入到物理硬盘中。 缺点(1 任意一块硬盘发生故障将导致整个系统的数据都受到破坏;2 不具备数据备份和错误修复能力。)优点(1 有效提升硬盘数据的吞吐速度。)
RAID1
(映射或镜像模式)
此技术把两块以上的硬盘设备进行绑定,在写入数据时将数据同时写入到多块硬盘中,当其中一块发生故障时一般会立即自动的以热交换的方式来恢复数据的正常使用。
特点: 缺点(1 硬盘设备的利用率下降,两块真实利用率50%,三块33%左右... 2 增大了系统功能的负载。)优点(增加了数据的安全性)
RAID5
(性能与数据备份均衡考虑)
此技术实际上没有备份硬盘中的真实数据信息,而是把硬盘设备的数据奇偶校验信息保存到其他除自身意外的其他每一块硬盘设备中,以此当硬盘设备出现问题时通过此信息尝试重建损坏的数据。
特点:优点(1 其中任何有一块硬盘设备损坏不至于出现致命缺陷。 2 兼顾了硬盘读写速度,数据安全性与存储成本问题。)
RAID10
(至少4块硬盘设备)
此技术就是RAID1+RAID0技术的一个“组合体”,至少需要4块硬盘来组建。
特点:优点(损坏的不是同一组中的所有硬盘时,最多可损坏50%的硬盘设备而不丢失数据。2 性能最好。3 读写速度最高)
LVM(逻辑卷管理器)
此是linux系统用于对硬盘分区进行管理的一种机制,创建初衷是为了解决硬盘设备在创建分区后不易修改分区大小的缺陷。LVM中最底层,可理解为物理硬盘,硬盘分区或RAID磁盘阵列。
部署逻辑卷
(LVM核心理念)用卷组中空间的资源建立的,并逻辑卷在建立后可动态的扩展或缩小空间。
部署LVM时,需要逐个配置物理卷,卷组,逻辑卷。
| 功能/命令 | 物理卷管理 | 卷组管理 | 逻辑卷管理 |
| 扫描 | pvscan | vgscan | lvscan |
| 建立 | pvcreate | vgcreate | lvcreate |
| 显示 | pvdisplay | vgdisplay | lvdisplay |
| 删除 | pvremove | vgremove | lvremove |
| 扩展 | vgextend | lvextend | |
| 缩小 | vgreduce | lvreduce |
小-->大(物理卷-->卷组-->逻辑卷)
部署步骤:
1 让新添加的两块硬盘设备支持LVM技术(目的:更好演示LVM理念中用户无需关心底层物理硬盘设备的特性)。 pvcreate /dev/sdb/ /dev/sdc
2 把两块硬盘设备加入到storage卷组中,再查看卷组的状态。
vgcreate storage /dev/sdb/ /dev/sdc
vgdisplay
3 切割出一个约为150MB的逻辑卷
lvcreate -n vo -l 37 storage
lvdisplay
4 把生成好的逻辑卷进行格式化,并挂载使用。
mkfs.ext4 /dev/storage/vo
mkdir /linuxprobo
mount /dev/storage/vo /linuxprobe
5 查看挂载状态,并写入到配置文件,使其永久生效。
df -h
echo "/dev/storage/vo /linuxprobe ext4 defaults 0 0" >> /etc/fstab
第八章
策略与规则链
防火墙会从上至下来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻止)。若没有匹配项则执行默认的策略。防火墙策略规则的设置有两种:1 是“通" (即放行)。2 是 “堵”(即阻止)。 当防火墙的默认策略为拒绝时(堵),就要设置允许规则(通);如果防火墙的默认策略为允许时,就要设置拒绝规则,防火墙也就失去了防范的作用。
iptables服务把用于处理或过滤流量的策略条目称之为规则,多条规则可以组成一个规则链,依据数据包处理位置的不同进行分类:
1 在进行路由选择前处理数据包( PREROUTING );
2 处理流入的数据包(INPUT);(使用最多)
3 处理流出的数据包( OUTPUT );
4 处理转发的数据包(FORWARD);
5 在进行路由选择后处理数据包( POSTROUTING );
iptables中服务:
ACCEPT:允许流量通过。
REJECT:拒绝流量通过。(拒绝流量后再回复一条"您的信息已收到,但被扔掉了"。)
LOG:记录日志信息。
DROP:拒绝流量通过。 (直接将流量丢弃而不相应)
iptables中基本的命令参数
iptables命令可以根据流量的源地址、目的地址、传输协议、服务类型等信息进行匹配,匹配成功则根据策略规则所预设的动作来处理这些流量,防火墙策略规则的匹配顺序是从上至下的,因此优先级较高的策略规则放到前面,以免发生错误。
| -p -F -L | 设置默认策略 清空规则链 查看规则链 |
| -A -I num | 在规则链的末尾 / 头部加入新规则 |
| -D num | 删除某一条规则 |
| -s | 匹配来源地址IP/MASK.加叹号"!” 表示除这个IP外 |
| -d | 匹配目标地址 |
| -i 网卡名称 -0网卡名称 | 匹配从这块网卡流入 / 流出的数据 |
| -P | 匹配协议,如TCP、UDP、ICMP |
| --dport num -sport num | 匹配目标 / 来源端口号 |
| -j | 执行动作 |
命令举例:1 在此命令后添加-L参数查看已有的防火墙规则链 iptables -L
2 把INPUT规则链的默认策略设为拒绝 iptables -P INPUT DROP (回车) iptables -L
3 将INPUT规则链设置为只允许指定的主机访问本机的22端口,拒绝来自其他所有主机的流量(允许动作放在拒绝动作前面,否则所有流量会被拒绝掉导致任何主机都无法访问我们的服务。)
iptables -I INPUT -s 192.168.10.0/24 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j REJECT
iptables -L
终端管理工具
| --get -default-zone | 查询默认的区域名称 |
| --set -default- zone=<区域名称> | 设置默认的区域,使其永久生效 |
| --get-zones --get-services | 显示可l用的区域 显示预先定义的服务 |
| --get-active- zones | 显示当前正在使用的区域与网卡名称 |
| --add-source= -- remove- source= | 将 / 不再将 源自此IP或子网的流量导向指定的区域 |
| --add-interface=<网卡名称> --change- interface=<网卡名称> | 将源自该网卡的所有流量都导向某个指定区域 将某个网卡与区域进行关联 |
| --list-all --list-all- zones | 显示当前 / 所有 区域的网卡配置参数、资源、端口以及服务等信息 |
| --add-service=<服务名> -- remove-service=<服务名> | 设置默认区域允许该服务的流量 设置默认区域允许该端口的流量 设置默认区域不再允许该服务的流量 设置默认区域不再允许该端口的流量 |
| --reload | 让“永久生效”的配置规则立即生效,并覆盖当前的配置规则 |
| --panic-on --panic-off | 开启 / 关闭 应急状况模式 |
使用firewalld配置的防火墙策略默认为运行时(Runtime)模式,又称为当前生效模式,并随着系统的重启会失效。若让配置策略一直存在,要使用永久模式(Permanent),方法是在用firewall-cmd命令正常设置防火墙策略时添加--permanent参数。但只有在系统重启后才能自动生效,若立即生效则手动执行firewall-cmd--reload命令。
第九章
配置网络服务:
安装系统时默认没有激活网卡,要使用vim编辑器配置文件中的ONBOOT参数改成yes, 把Bootproto修改成static,在系统重启后网卡就被激活了。
常见的网卡驱动有三种模式:
mode0:(平衡负载模式)平时两块网卡均工作,且自动备援,但需要在与服务器本地网卡相连的交换机设备上进行端口聚合来支持绑定技术。
mode1:(自动备缓模式)平时只有一块网卡来动作,在它故障后自动替换为另外的网卡。
mode6:(平衡负载模式)平时两块网卡均工作,且自动备援,无需交换机设备提供辅助支持。
配置sshd服务:
1.配置网络参数
ONBOOT=yes
IPADDR0=192.168.10.10
2.配置sshd 服务
SSH(Secure Shell)是一种能够以安全的方式提供远程登录的协议,也是目前远程管理Linux 系统的首选方式。
基于口令的验证:用账户和密码来验证登录。
基于密钥的验证:需要在本地生成密钥对,然后把密钥对中的公钥上传至服务器,并与服务器中的公钥进行比较;该方式更安全。
使用ssh命令进行远程连接:格式 ssh[ 参数 ] 主机 IP 地址。
第十章
| 配置文件的名称 | 存放位置 |
| 服务目录 | /etc/httpd |
| 主配置文件 | /etc/httpd/conf/httpd.conf |
| 网站数据目录 | /var/www/html |
| 访问日志 | /var/log/httpd/access_log |
| 错误日志 | /var/log/httpd/error_log |
怎么建立网站数据的保存目录,并创建首页文件:
mkdir /home/wwwroot
[root@linuxprobe ~]# echo "The New Web Directory" > /home/wwwroot/index.html
| ServerRoot Group | 服务目录 运行服务的用户组 |
| ServerAdmin User | 管理员邮箱 运行服务的用户 |
| ServerName DocumentRoot | 网站服务器的域名 网站数据目录 |
| Directory | 网站数据目录的权限 |
SELinux 安全子系统
对服务程序的功能进行限制(SELinux “域限制”可以确保服务程序做不了出格的事情)。
对文件资源的访问限制(SELinux “安全上下文”确保文件资源只能被其所属的服务程序进行访问)。
Apache 的虚拟主机功能是服务器基于用户请求的不同IP 地址、主机域名或端口号
十一章 使用vsftpd 服务传输文件本章
文件传输协议:
主动模式:FTP 服务器主动向客户端发起连接请求。
被动模式:FTP 服务器等待客户端发起连接请求(FTP 的默认工作模式)。
把当前已经被清理的防火墙策略状态保存下来:
iptables -F
service iptables save
vsftpd 服务程序:
匿名开放模式:是一种最不安全的认证模式,任何人都可以无需密码验证而直接登录到FTP 服务器。
本地用户模式:是通过Linux 系统本地的账户密码信息进行认证的模式,相较于匿名开放模式更安全,而且配置起来也很简单。但是如果被黑客破解了账户的信息就可以畅通无阻地登录FTP 服务器,从而完全控制整台服务器。
虚拟用户模式:是这三种模式中最安全的一种认证模式,它需要为FTP 服务单独建立用户数据库文件,虚拟出用来进行口令验证的账户信息,而这些账户信息在服务器系统中实际上是不存在的,仅供FTP 服务程序进行认证使用。
十二章 使用Samba 或NFS 实现文件共享
Samba 文件共享服务;
旨在解决局域网内的文件或打印机等资源的共享问题
chown -Rf linuxprobe:linuxprobe /home/database
chown命令用于设置文件所有者和文件关联组的命令:
-R : 处理指定目录以及其子目录下的所有文件
-f : 忽略错误信息
将当前前目录下的所有文件与子目录的拥有者皆设为 runoob,群体的使用者 runoobgroup:
chown -R runoob:runoobgroup *
简述在Windows 系统中使用Samba 服务程序来共享资源的方法:
在开始菜单的输入框中按照\\192.168.10.10 的格式输入访问命令并回车执行即可。在
Windows 的“运行”命令框中按照“\\192.168.10.10”的格式输入访问命令并按回车键即可。
3410
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
