1 路漫漫其修遠兮，吾將上下而求索

2 DNS服務器

作用：負責域名解析的服務器，將域名解析為IP地址

/etc/resolv.conf:指定DNS服務器地址配置文件

3 常用的網絡工具

ip命令（Linux最基礎的命令）

1.查看IP地址

    [root@server ~]# ip  address   show
    [root@server ~]# ip   a    s

2.臨時添加IP地址

    [root@server ~]# ip address add 192.168.10.1/24 dev  eth0
    [root@server ~]# ip   a   a   192.168.20.1/24   dev  eth0
    [root@server ~]# ip  a  s

3.刪除臨時IP地址

    [root@server ~]# ip  address  del  192.168.10.1/24   dev    eth0
    [root@server ~]# ip   a   s

ping 命令，測網絡連接

-c 指定ping包的個數(shù)

    [root@server ~]# ping -c  2  192.168.88.240
    [root@server ~]# ping -c  3  192.168.88.2
    [root@server ~]# ping -c  4  192.168.88.3

4 日志管理

?常見的日志文件

/var/log/messages 記錄內核消息、各種服務的公共消息

/var/log/dmesg 記錄系統(tǒng)啟動過程的各種消息

/var/log/cron 記錄與cron計劃任務相關的消息

/var/log/maillog 記錄郵件收發(fā)相關的消息

/var/log/secure 記錄與訪問限制相關的安全消息

?通用分析工具

–tail、tailf、less、grep等文本瀏覽/檢索命令

–awk、sed等格式化過濾工具

tailf：實時跟蹤文件內容

[root@server /]# echo 123456 > /opt/1.txt

[root@server /]# tailf /opt/1.txt

?users、who、w 命令

–查看已登錄的用戶信息，詳細度不同

?last、lastb 命令

–查看最近登錄成功/失敗的用戶信息

    [root@server /]# users       
    [root@server /]# who   
     pts：圖形命令行終端
    [root@server /]# last          #登錄成功的用戶
    [root@server /]# lastb        #登錄失敗的用戶

Linux內核定義的事件緊急程度（了解）

–分為 0~7 共8種優(yōu)先級別

–其數(shù)值越小，表示對應事件越緊急/重要

      0  EMERG（緊急）     會導致主機系統(tǒng)不可用的情況
      1  ALERT（警告）     必須馬上采取措施解決的問題
      2  CRIT（嚴重）       比較嚴重的情況
      3  ERR（錯誤）        運行出現(xiàn)錯誤
      4  WARNING（提醒）    可能會影響系統(tǒng)功能的事件
      5  NOTICE（注意）     不會影響系統(tǒng)但值得注意
      6  INFO（信息）       一般信息
      7  DEBUG（調試）     程序或系統(tǒng)調試信息等

5 系統(tǒng)安全保護

SELinux概述

?Security-Enhanced Linux

–美國NSA國家安全局主導開發(fā)，一套增強Linux系統(tǒng)安全的強制訪問控制體系

–集成到Linux內核（2.6及以上）中運行

–基于SELinux體系針對用戶、進程、目錄和文件提供了預設的保護策略，以及管理工具

?SELinux的運行模式

–enforcing（強制）、permissive（寬松）

–disabled（徹底禁用）

任何模式變成disabled模式，都要經歷重啟系統(tǒng)

?切換運行模式

–臨時切換：setenforce 1或0

–固定配置：/etc/selinux/config 文件

虛擬機A

    [root@server /]# getenforce  #查看當前運行模式
    Enforcing
    [root@server /]# setenforce 0  #修改當前運行模式
    [root@server /]# getenforce
    Permissive
    [root@server /]# vim    /etc/selinux/config  
    SELINUX=permissive      #需改配置

虛擬機B：同上

虛擬機C：同上

6 破解root密碼思路

前提：必須是服務器的管理者，涉及重啟服務器

1)重啟系統(tǒng),進入 救援模式

    [root@A ~]# reboot 

開啟虛擬機A，在此界面按e鍵

在linux開頭的該行，將此行的ro修改為rw 然后空格輸入 rd.break

按 ctrl x 啟動，會看到switch_root:/#

2)切換到硬盤操作系統(tǒng)環(huán)境

    # chroot    /sysroot   #切換環(huán)境，切換到硬盤操作系統(tǒng)的環(huán)境

3)重新設置root的密碼

    sh-4.2# echo   1    |    passwd   --stdin    root

4)如果SELinux是強制模式，才需要SELinux失憶，其他模式不需要讓SELinux進行失憶

    sh-4.2# touch   /.autorelabel    #讓SELinux失憶
    或者可以修改SELinux運行模式，修改成寬松模式即可
    sh-4.2# vim   /etc/selinux/config #查看SELinux開機的運行模式

5)強制重啟系統(tǒng)完成修復

    sh-4.2# reboot   -f     #-f強制重啟系統(tǒng) 才能                                                                                             

密碼防護（了解）

1.設置救援模式密碼

[root@A ~]# grub2-setpassword

Enter password: #輸入密碼，密碼不顯示

Confirm password: #重新輸入密碼，密碼不顯示

[root@A ~]# cat /boot/grub2/user.cfg #存放grub密碼的文件

7 構建Web服務

Web服務：提供一個頁面內容的服務

提供Web服務的軟件：httpd、Nginx、tomcat

http協(xié)議：超文本傳輸協(xié)議

daemon(守護神)

英 [?di?m?n] 美 [?di?m?n]

n.(古希臘神話中的)半神半人精靈

虛擬機A：

1.安裝軟件包

    [root@server ~]# yum  -y  install  httpd

2.運行提供Web服務程序

    ]# /usr/sbin/httpd         #絕對路徑運行程序
    ]# pgrep  -l  httpd        #查看進程信息

4.書寫一個頁面文件

    ]# vim   /var/www/html/index.html
    haha陽光明媚

5.本機瀏覽器訪問測試

    ]# curl   192.168.88.240
    haha陽光明媚

8 構建FTP服務

FTP協(xié)議：文本傳輸協(xié)議

實現(xiàn)FTP服務功能的軟件：vsftpd

默認共享數(shù)據(jù)的主目錄：/var/ftp/

虛擬機A

1.安裝軟件包

    [root@server ~]# yum  -y  install  vsftpd
    [root@server ~]# vim /etc/vsftpd/vsftpd.conf
    anonymous_enable=YES   #開啟無需密碼驗證功能

2.運行程序

    [root@server ~]# /usr/sbin/vsftpd
    [root@server ~]# pgrep  -l  vsftpd  #查看進程信息
    [root@server ~]# touch  /var/ftp/dcc.txt

3.本機訪問測試

    [root@server ~]# curl  ftp://192.168.88.240
    -rw-r--r--    1 0   0    0 May 16 06:42 dcc.txt
    drwxr-xr-x    2 0    0   6 Oct 13  2020 pub

9 防火墻的策略管理

作用：隔離，嚴格過濾入站，放行出站

?系統(tǒng)服務：firewalld ----》iptables(底層防火墻)

?管理工具：firewall-cmd、firewall-config(圖形)

?根據(jù)所在的網絡場所區(qū)分，預設區(qū)域

• public：僅允許訪問本機的ssh、dhcp、ping服務
• trusted：允許任何訪問
• block：拒絕任何來訪請求，明確拒絕客戶端
• drop：丟棄任何來訪的數(shù)據(jù)包，不給任何回應

?防火墻判定原則：

1.查看客戶端請求中來源IP地址，查看自己所有區(qū)域中規(guī)則，那個區(qū)域中有該源IP地址規(guī)則，則進入該區(qū)域

2.進入默認區(qū)域（默認情況下為public）

10 防火墻默認區(qū)域的修改

虛擬機A

]# firewall-cmd    --get-default-zone   #查看默認區(qū)域

虛擬機B

    ]# curl      192.168.88.240    #失敗
    ]# curl      ftp://192.168.88.240      #失敗
    ]# ping    -c2    192.168.88.240        #成功

虛擬機A：修改默認區(qū)域

    ]# firewall-cmd   --set-default-zone=trusted

虛擬機B

    ]# curl      192.168.88.240    #成功
    ]# curl      ftp://192.168.88.240    #成功

11 防火墻public區(qū)域添加規(guī)則

虛擬機A：添加允許的協(xié)議

]# firewall-cmd --set-default-zone=public

    ]# firewall-cmd  --zone=public  --add-service=http   
    ]# firewall-cmd   --zone=public   --list-all

虛擬機B

    ]# curl   http://192.168.88.240    #成功
    ]# curl   ftp://192.168.88.240     #失敗

?虛擬機A：添加允許的協(xié)議

    ]# firewall-cmd    --zone=public  --add-service=ftp
    ]# firewall-cmd   --zone=public  --list-all

虛擬機B

    ]# curl   http://192.168.88.240    #成功
    ]# curl   ftp://192.168.88.240    #成功

12 防火墻public區(qū)域添加規(guī)則（永久）?

    -永久（--permanent  破門能它） 
    ]# firewall-cmd   --reload    #加載防火墻永久策略
    ]# firewall-cmd   --zone=public    --list-all
    ]# firewall-cmd    --permanent --zone=public   --add-service=http   #永久添加http協(xié)議
    ]# firewall-cmd   --permanent  --zone=public     --add-service=ftp    #永久添加ftp協(xié)議
    ]# firewall-cmd   --reload    #加載防火墻永久策略
    ]# firewall-cmd   --zone=public   --list-all

13 防火墻單獨拒絕PC2所有的訪問?

    虛擬機A：   
    [root@server ~]# firewall-cmd  --zone=block       --add-source=192.168.88.2
    虛擬機A：刪除策略
    [root@server ~]# firewall-cmd --zone=block      --remove-source=192.168.88.2

?14 三臺虛擬機，卸載防火墻軟件

    [root@server ~]# yum  -y remove  firewalld

15 服務管理：程序的運行

手動方式：

/usr/sbin/httpd #絕對路徑運行

killall httpd #手動殺死

systemd方式：

用戶--->systemd--->找到相應的進程或程序

用戶--systemctl--->systemd--服務啟動配置文件--->找到相應的進程或程序

服務啟動配置文件目錄：/lib/systemd/system/

    systemctl  restart    服務名    #重起服務     
    systemctl   start     服務名      #開啟服務 
    systemctl   stop     服務名      #停止服務
    systemctl   status    服務名      #查看服務當前的狀態(tài)
    systemctl  enable   服務名     #設置服務開機自啟動
    systemctl   disable   服務名      #設置服務禁止開機自啟動
    systemctl   is-enabled  服務名    #查看服務是否開機自啟
    ]# yum -y install httpd          
    ]# killall   httpd       #殺死手動啟動的httpd   
    ]# systemctl  restart  httpd    #重啟httpd服務
    ]# systemctl  status  httpd     #查看服務httpd狀態(tài)
    ]# systemctl  enable  httpd    #設置httpd開機自啟動
    Created symlink from /etc/systemd/system/multi-user.target.wants/httpd.service to /usr/lib/systemd/system/httpd.service.
    ]# systemctl  is-enabled httpd   #查看httpd是否是開機自啟動
    ]# systemctl disable  httpd     #關閉httpd開機自啟動
    Removed symlink /etc/systemd/system/multi-user.target.wants/httpd.service.
    ]# systemctl  is-enabled httpd   #查看httpd是否是開機自啟動

16 管理運行級別

5與6系列:運行級別 300服務

0：關機 0個服務 相當于poweroff

1：單用戶模式（基本功能的實現(xiàn)，破解Linux密碼） 50個服務

2：多用戶字符界面（不支持網絡） 80個服務

3：多用戶字符界面（支持網絡）服務器默認運行級別 100個服務

4：未定義 0個服務

5：圖形界面 300個服務

6：重啟 0個服務 相當于reboot

切換運行級別：init 數(shù)字

7與8系列：運行模式（運行級別）

字符模式：multi-user.target

圖形模式：graphical.target

當前直接切換到字符模式

    ]# systemctl  isolate  multi-user.target    #相當于原來的init  3

?當前直接切換到圖形模式

    ]# systemctl  isolate  graphical.target    #相當于原來的init  5

查看每次開機默認進入模式

    [root@server /]# systemctl    get-default

設置永久策略，每次開機自動進入字符模式

    [root@server /]# systemctl   set-default   multi-user.target 
    [root@server /]# reboot 

?設置永久策略，每次開機自動進入圖形模式

    [root@server /]# systemctl   set-default    graphical.target
    [root@server /]# reboot 

17 真機傳遞數(shù)據(jù)到虛擬機?

真機為windows：windterm軟件，效果如圖-1、圖-2、圖-3所示。

18 補充內容

殺死一個用戶開啟的所有進程

命令格式：pkill -9 -u 用戶名 -t 終端

[root@pc2 ~]# who #查看正在登錄的用戶

[root@pc2 ~]# pkill -9 -u root -t pts/1

19 案例1：啟用SELinux保護

19.1 問題

本例要求為虛擬機 svr1、ps2 配置SELinux：

1. 確保 SELinux 處于寬松模式
2. 在每次重新開機后，此設置必須仍然有效

19.2 方案

SELinux，Security-Enhanced Linux：是由美國NSA國家安全局提供的一套基于內核的增強的強制安全保護機制，針對用戶、進程、文檔標記安全屬性并實現(xiàn)保護性限制。

SELinux安全體系直接集成在Linux內核中，包括三種運行模式：

• disabled：徹底禁用，內核在啟動時不加載SELinux安全體系
• enforcing：強制啟用，內核加載SELinux安全體系，并強制執(zhí)行保護策略
• permissive：寬松模式，內核加載SELinux安全體系，只記錄不執(zhí)行

執(zhí)行getenforce可以查看當前所處的模式。

在disabled模式與enforcing、permissive模式之間切換時，需要重新啟動Linux系統(tǒng)；而在enforcing模式與permissive模式之間切換時，并不需要重啟，可以直接執(zhí)行setenforce 1|0操作。

19.3 步驟

實現(xiàn)此案例需要按照如下步驟進行。

步驟一：調整當前的SELinux運行模式

1）查看當前模式

    [root@server0 ~]# getenforce 
    Enforcing                                      //表示當前為強制模式

若上述操作顯示的結果為Disabled，表示SELinux機制已被禁用，只能通過步驟修改固定配置后再重啟；若顯示的結果為Enforcing，表示已經處于強制啟用模式。

2）切換為permissive強制啟用模式

    [root@server0 ~]# setenforce  0                  //設置寬松模式
    [root@server0 ~]# getenforce                      //確認切換結果
    Permissive

如果在操作1）中顯示的結果為Disabled，則無法使用setenforce命令：

    [root@desktop0 ~]# getenforce 
    Disabled
    [root@desktop0 ~]# setenforce 1
    setenforce: SELinux is disabled 

步驟二：為SELinux運行模式建立固定配置

1）修改配置文件/etc/selinux/config

    [root@server0 ~]# vim  /etc/selinux/config
    SELINUX=permissive
    .. ..

2）重啟驗證結果文章來源地址http://www.zghlxwxcb.cn/news/detail-799552.html

    [root@server0 ~]# reboot
    .. .. 
    [root@server0 ~]# getenforce 
    permissive

到了這里，關于SELinux、SELinux運行模式、破解Linux系統(tǒng)密碼、firewalld防火墻介紹、構建基本FTP服務、systemd管理服務、設置運行模式的文章就介紹完了。如果您還想了解更多內容，請在右上角搜索TOY模板網以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網！