【网络安全之Web系列六】Linux自有服务（二）

系列文章目录

【网络安全之Web系列一】常用工具安装及使用之Burp Suite
【网络安全之Web系列二】常用工具安装及使用之VMware Workstation
【网络安全之Web系列三】CentOS6.5基础
【网络安全之Web系列四】vim编辑器
【网络安全之Web系列五】Linux自有服务

---

---

前言

自有服务的概念：不需要用户独立去安装的软件的服务，而是当系统安装好之后就可以直接使用的服务（内置）。

一、设置主机名

1、临时设置主机名

语法：hostname 设置的主机名

案例：设置主机名为yunwei
hostname yunwei

2、永久设置主机名（需要重启）

1.修改主机名配置文件：/etc/sysconfig/network

2.修改Linux服务器的hosts文件，将主机名指向本地。
hosts文件的位置：/etc/hosts

二、chkconfig

作用：相当于Windows下“安全卫士”之类的安全辅助工具，提供“开机启动项”的一个管理服务。
在Linux下不是所有的软件安装完成之后都有开机启动服务，有的可能需要自己去添加，除此之外还可以查看和删除。

1.开机启动服务查询

chkconfig --list

0-6对应的是各个启动级别。

2.删除服务

chkconfig --del 服务名

案例：删除httpd服务
chkconfig --del httpd

3.添加开机启动服务

chkconfig --add 服务名

4.设置服务在某个级别下开机启动/不启动

chkconfig --level 连在一起的启动级别 服务名 on/off

案例：设置httpd服务在3和5级别下开机启动
chkconfig --level 35 httpd on/off

案例：设置httpd服务在5级别下默认开机不启动
chkconfig --level 5 httpd off

三、ntp服务

作用：主要用于对计算机的时间同步管理操作。
例如当前虚拟机的时间：

同步服务器时间方式有2个：一次性同步（手动同步）、通过服务自动同步。

1.一次性同步时间

ntpdate 时间服务器的域名或地址

时间服务器地址查询：http://www.ntp.org.cn/pool

2.设置时间同步服务

服务名：ntpd

1.启动ntpd服务：service ntpd start 或者 /etc/init.d/ntpd start
2.设置开机自启动：chkconfig --level 35 ntpd on

四、防火墙

在当前的CentOS6.5中防火墙有一个名称：iptables【7.x中默认使用的是firewalld】

1.查看iptables是否开机启动

[root@localhost ~]# chkconfig --list | grep iptables
iptables        0:关闭  1:关闭  2:启用  3:启用  4:启用  5:启用  6:关闭
[root@localhost ~]# 

2.iptables的启动/重启/关闭

service iptables start/restart/stop 或 /etc/init.d/iptables start/restart/stop

[root@localhost ~]# service iptables restart
iptables：将链设置为政策 ACCEPT：filter                    [确定]
iptables：清除防火墙规则：                                 [确定]
iptables：正在卸载模块：                                   [确定]
iptables：应用防火墙规则：                                 [确定]
[root@localhost ~]# 

3.查看iptables的规则

如果iptables没有启动则提示服务没有启动，如果已经启动，则显示防火墙的相关规则信息

[root@localhost ~]# service iptables status
表格：filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
2    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22 
5    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         
1    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         

[root@localhost ~]# 

4.查看规则的命令

[root@localhost ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22 
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
[root@localhost ~]# 

-L：表示列出规则
-n：表示将单词表达形式显示为数字

5.简单设置防火墙规则

常用防火墙规则：

# 允许本地回环接口（即运行本机访问本机）
iptables -I INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
# 允许已建立的或相关连的通行
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 允许所有本机向外的访问
iptables -I OUTPUT -j ACCEPT
# 允许访问22端口
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
# 允许访问80端口
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
# 允许FTP服务的21端口
iptables -I INPUT -p tcp --dport 21 -j ACCEPT
# 允许FTP服务的20端口
iptables -I INPUT -p tcp --dport 20 -j ACCEPT
# 禁止其它未允许的规则访问
iptables -I INPUT -j reject
# 禁止其它未允许的规则访问
iptables -I FORWARD -j REJECT 

-l：表示把规则放到最前面
-A：add，添加规则（加到最后）
INPUT：进站请求，出站（OUTPUT）
-p：protocal，指定协议（icmp/tcp/udp）
–dport：指定端口号
-j：指定行为结果，允许（accept）/禁止（reject）

添加完成后，需要执行保存操作

[root@localhost ~]# /etc/init.d/iptables save
iptables：将防火墙规则保存到 /etc/sysconfig/iptables：     [确定]
[root@localhost ~]# 

五、rpm管理

作用：类似于WIndows上的电脑管家中的“软件管理”，其主要的作用是对Linux服务器上的软件包进行对应管理操作，管理分为：查询、卸载、安装（更新）。

1.查询某个软件的安装情况

语法：rpm -qa | grep 关键词
选项含义：
-q：查询，query
-a：全部，all

案例：查询是否安装火狐浏览器
[root@localhost ~]# rpm -qa | grep firefox
firefox-17.0.10-1.el6.centos.x86_64

2.卸载某个软件

语法：rpm -e 软件名称

案例：卸载火狐浏览器
[root@localhost ~]# rpm -e firefox
[root@localhost ~]# 

火狐卸载的时候是没有依赖关系的，所以可以直接卸载。
但是在卸载Apache的时候提示无法卸载：

[root@localhost ~]# rpm -e httpd
error: Failed dependencies:
        httpd >= 2.2.0 is needed by (installed) gnome-user-share-2.28.2-3.el6.x86_64
[root@localhost ~]# 

当存在依赖关系的时候又不想去解决这个问题的时候可以：
rpm -e 软件包名 --nodeps

案例：强制卸载Apache
[root@localhost ~]# rpm -e httpd --nodeps
[root@localhost ~]# 

3.安装

要想装软件，和Windows一样，先得找到安装包。
软件包的获得方式：
1.去官网下载
2.不介意老版本的话，可以从光盘（或者镜像文件）中读取
此处以光盘文件为例：

查看块状设备的信息：
语法：lsblk

NAME：名称
Size：设备大小
Type：类型
MountPoint：挂载点（类似Windows下盘符）

扩展：光盘的挂载和解挂
1.解挂操作
命令：umount
语法：umount 当前设备的挂载点（路径）

[root@localhost ~]# umount /media/CentOS_6.5_Final/
[root@localhost ~]# lsblk
NAME                        MAJ:MIN RM  SIZE RO TYPE MOUNTPOINT
sr0                          11:0    1  4.2G  0 rom  
sda                           8:0    0   20G  0 disk 
├─sda1                        8:1    0  500M  0 part /boot
└─sda2                        8:2    0 19.5G  0 part 
  ├─VolGroup-lv_root (dm-0) 253:0    0 17.6G  0 lvm  /
  └─VolGroup-lv_swap (dm-1) 253:1    0    2G  0 lvm  [SWAP]
[root@localhost ~]# 

此时，相当于U盘在Windows上已经被弹出，但是没有从电脑上拔下来

2.挂载光盘
命令：mount
语法：mount 设备原始地址 要挂载的位置路径
设备原始地址：地址统一都在/dev下，然后根据大小确定具体name值，拼凑在一起组成原始地址值，例如当前“/dev/sr0”
要挂载的位置路径：挂载目录一般都在mnt，也可以在mnt下建目录，以“/mnt/dvd”为例。

[root@localhost mnt]# mount /dev/sr0 /mnt/dvd/
mount: block device /dev/sr0 is write-protected, mounting read-only
[root@localhost mnt]# 

安装软件的命令：rpm -ivh 软件包完整名称
选项含义：
-i：安装
-v：显示进度条
-h：以“#”形式显示进度条

[root@localhost Packages]# rpm -ivh firefox-17.0.10-1.el6.centos.x86_64.rpm 
warning: firefox-17.0.10-1.el6.centos.x86_64.rpm: Header V3 RSA/SHA1 Signature, key ID c105b9de: NOKEY
Preparing...                ########################################### [100%]
   1:firefox                ########################################### [100%]
[root@localhost Packages]# 

六、cron/crontab计划任务

作用：在指定的时间点执行任务
语法：crontab 选项
选项：
-l：list，列出指定用户的计划任务列表
-e：edit，编辑指定用户的计划任务列表
-u：user，指定的用户名，如果不指定，则表示当前用户
-r：remove，删除指定用户的计划任务列表

1.列出

[root@localhost Packages]# crontab -l
no crontab for root
[root@localhost Packages]# 

[root@localhost Packages]# crontab -l -u dev
no crontab for dev
[root@localhost Packages]# 

2.编辑计划任务

计划任务的规则语法格式，以行为单位，一行则为一个计划：
分 时 日 月 周 需要执行的命令

例如：每天0点0分执行reboot指令，则可以写成
0 0 * * * reboot

取值范围：
分：0-59
时：0-23
日：1-31
月：1-12
周：0-6，0表示星期天

四个符号：
*：表示取值范围中的每一个数字
-：做连续区间表达式的，表示1-7则可以写成：1-7
/：表示每多少个，例如每10分钟一次则可以在分的位置写：*/10
,表示多个取值

案例一：每月1、10、22日的4:45重启network服务
45 4 1,10,22 * * service network restart

案例二：每周六、日的1:10重启network服务
10 1 * * 6,0 service network restart

案例三：每天18:00至23:00之间每隔30分钟重启network服务
*/30 18-23 * * * service network restart

案例四：每隔两天的上午8点到11点的第3和第15分钟执行一次重启
3,15 8-11 */2 * * reboot 

案例五：每1分钟往root家目录中的RT.txt中输入当前的时间信息，为了看到效果使用追加输出
*/1 * * * * date +"%F %T" >> /root/RT.txt

Crontab权限问题：本身是任何用户都可以创建自己的计划任务。

但是超级管理员可以通过配置来设置某些用户不允许设置计划任务：
配置文件位于：/etc/cron.deny
里面写用户名，一行一个。

还有一个配置文件（白名单）：/etc/cron.allow 本身不存在，需要自己创建

注意：白名单优先级高于黑名单，如果一个用户同时存在两个名单文件中，则会被默认允许创建计划任务。