1、firewall防火墙端口设置
1、添加删除端口
firewall-cmd --zone=public --add-port=1080/tcp --permanent # 添加端口:单个
firewall-cmd --zone=public --add-port=10000-20000/tcp --permanent # 添加端口:范围
firewall-cmd --reload # 重新载入
firewall-cmd --zone=public --list-ports # 查看
firewall-cmd --zone=public --remove-port=1080/tcp --permanent # 删除
2、重启、关闭、开启firewalld服务
systemctl start firewalld # 启动
systemctl enable firewalld # 开机启动
systemctl stop firewalld # 关闭
systemctl disable firewalld # 取消开机启动
service firewalld restart # 重启
3、查看firewall的状态
firewall-cmd --state
2、fail2ban+Firewalld防止SSH爆破与CC攻击
1、检查Firewalld是否启用
service iptables stop #如果您已经安装iptables建议先关闭
firewall-cmd --state #查看Firewalld状态
systemctl start firewalld #启动firewalld
systemctl enable firewalld.service #设置开机启动
2、安装fail2ban
yum -y install epel-release #CentOS内置源并未包含fail2ban,需要先安装epel源
yum -y install fail2ban #安装fial2ban
安装成功后fail2ban配置文件位于/etc/fail2ban,
其中jail.conf为主配置文件,相关的匹配规则位于filter.d目录,
其它目录/文件一般很少用到,如果需要详细了解可自行搜索。
3、配置规则
新建jail.local来覆盖fail2ban的一些默认规则:
#新建配置
vi /etc/fail2ban/jail.local
#默认配置
[DEFAULT]
ignoreip = 127.0.0.1/8
bantime = 86400
findtime = 300
maxretry = 3
banaction = firewallcmd-ipset
action = %(action_mwl)s
[sshd]
enabled = true
filter = sshd
port = 22
action = %(action_mwl)s
logpath = /var/log/secure
上面的配置意思是如果同一个IP,在300s内,连续错误登录3次,将会屏蔽此IP,屏蔽时长为86400s(24小时)。
4、启动fail2ban
systemctl start fail2ban #启动fail2ban
systemctl stop fail2ban #停止fail2ban
systemctl restart fail2ban #重启fail2ban
systemctl enable fail2ban #设置开机自启动
5、常用命令
systemctl status fail2ban #查看fail2ban状态
tail -f /var/log/fail2ban.log #显示fail2ban日志信息(按Ctrl+C退出)
fail2ban-client get sshd ignoreip #查看白名单中的IP
fail2ban-client set sshd addignoreip 10.22.1.115 #设置白名单IP
fail2ban-client set sshd delignoreip 10.22.1.115 #删除白名单中的IP
fail2ban-client status sshd #查看被封禁的IP
fail2ban-client set sshd banip 192.168.1.1 #封禁IP
fail2ban-client set sshd unbanip 192.168.1.1 #删除被封禁的IP
3、文本编辑器(vi)
用vi打开一个文件 vi /usr/bin/yum
按 i 键后 进入insert模式,进入insert模式后才能进行修改
修改完成后
按esc键进入command模式,
然后:wq 保存文件并退出vi(注意先冒号)
保存命令
按ESC键 跳到命令模式,然后:
:w 保存文件但不退出vi
:w file 将修改另外保存到file中,不退出vi
:w! 强制保存,不推出vi
:wq 保存文件并退出vi
:wq! 强制保存文件,并退出vi
q: 不保存文件,退出vi
:q! 不保存文件,强制退出vi
:e! 放弃所有修改,从上次保存文件开始再编辑
4、设置定时任务
1、安装 crontabs服务并设置开机自启:
yum install crontabs # 安装
systemctl enable crond # 设置开机自启
systemctl start crond # 启动
2、配置定时规则
vi /etc/crontab
3、在配置文件中配置你的定时执行规则
30 13 * * * rsync -avz --progress --delete --password-file=/root/rsync-user.pwd
SvnCWRSYNC@10.22.1.245::svn /home/backup/svn
规则很简单,看注释就能看懂了,从左到右分别是 分钟(0~59)、小时(0~23)、天(1~31)、月(1~12)、星期(0~6)、用户名、要执行的命令或者脚本。
crontab /etc/crontab # 保存生效
crontab -l # 查看任务
5、查看使用yum安装的jdk路径并配置java_home
1、查找路径
[root]
# which java
/bin/java
[root]
# ls -l /bin/java
lrwxrwxrwx. 1 root root 22 Mar 22 01:01
/bin/java
->
/etc/alternatives/java
[root]
# ls -l /etc/alternatives/java
lrwxrwxrwx. 1 root root 73 Mar 22 01:01
/etc/alternatives/java
->
/usr/lib/jvm/java-1
.8.0-openjdk-1.8.0.242.b08-0.el7_7.x86_64
/jre/bin/java
2、配置java_home
vi
/etc/profile
插入:
export
JAVA_HOME=
/usr/lib/jvm/java-1
.8.0-openjdk-1.8.0.242.b08-0.el7_7.x86_64
/jre
export
PATH=$PATH:$JAVA_HOME
/bin
3、使配置生效
source
/etc/profile
常用命令
安装wget命令
yum remove wget
yum install -y wget
hostnamectl --static set-hostname hk001 # 修改主机名
hostnamectl --static # 查看
解决yum update失败
mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup #备份
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
yum makecache
who /var/log/wtmp #查看登陆日志
添加用户并授权root权限
adduser test # 创建用户sss
passwd test # 创建sss的密码
chmod -v u+w /etc/sudoers # 增加 sudoers 文件的写的权限,默认为只读
vi /etc/sudoers # 修改sudoers
root ALL=(ALL) ALL
test ALL=(ALL) ALL # 添加这一行
test ALL=(ALL) NOPASSWD:ALL # 避免sudo权限输入密码
chmod -v u-w /etc/sudoers # 删除sudoers的写的权限
账号创建好了,使用test账号登陆,在命令前加 sudo 则是使用root权限了。第一次使用会弹出一些提示信息,正常现象。
禁止root账号登陆
vi /etc/ssh/sshd_config # 修改ssh服务的配置文件
PermitRootLogin no # 找到这一行,改为no
systemctl restart sshd # 重启一下sshd服务
上传下载文件lrzsz
安装命令:
yum -y install lrzsz
上传命令
sudo rz