今天學習了後兩種防火牆配置方法,分別是:一、firewall防火牆圖形化界面配置。二、TCP Wrappers經過編輯hosts.allow和hosts.deny黑白名單文件進行簡單的防火牆配置。而後學習了第9章建立網絡會話、綁定網卡和遠程SSH控制傳輸服務。vim
1、firewall防火牆圖形化配置安全
命令行模式中經過firewall-config命令開啓界面。依然要注意runtime配置和permanent配置,考試時直接配置permanent,並reload便可使命令當即永久生效。服務器
2、TCP Wrappers網絡
| 匹配順序 | 文件 | 參數 | 備註 |
| 首先匹配 | /etc/hosts.allowapp 白名單,天使文件ssh |
單一主機:192.168.1.1學習 指定網段:192.168.1.0/24spa 指定網段:192.168.1.命令行 指定DNS後綴:.cisco.com3d 指定主機名:www.derek.com 指定全部終端:ALL或* |
TCP Wrapper只能匹配具備服務名稱的應用,沒法基於端口配置。 格式:服務名稱:源(如源IP,源主機,源DNS後綴等) 服務名稱:sshd;協議:ssh 配置保存後,無需重啓,便可生效,但不影響當前鏈接。 |
| 而後匹配 | /etc/hosts.deny 黑名單,惡魔文件 |
同上 | 同上 |
| 沒有匹配到 | 默認直接放行數據 |
3、建立網絡會話
建立網絡會話的主要目的適用於,當Linux終端頻繁在不一樣環境中切換時,更換IP配置較爲麻煩,故能夠預先定義多種IP配置模板,當切換至某個環境時,直接應用對應的IP配合模板便可。
| 命令 | 參數 | 備註 |
| nmcli | nmcli connection show | 查看當前已有IP配置模板 |
| nmcli | nmcli connection add con-name 模板名稱 ifname 網卡名 autoconnect yes/no(是否自動鏈接) type ethernet(網卡類型) ip4 IP地址 gw4 網關地址 | 新增IP配置模板 |
| nmcli | nmcli connection up 模板名稱 nmcli connection down 模板名稱 |
啓用模板 禁用模板 |
4、網卡綁定——bond
bond優勢:既能實現端口的冗餘備份,又能增長端口帶寬。相似於網絡中的端口聚合ethernet channel group
bond經常使用的三種綁定模式:
| 模式 | 描述 |
| mode0 | 平衡負載模式,兩張網卡同時工做,實現帶寬增長,雙主冗餘備份。但須交換機配置鏈路聚合。 |
| mode1 |
自動備援模式,主備模式,只有一張網卡工做,帶寬不增長,實現一主一備冗餘。 |
| mode6 | 平衡負載模式,兩張網卡同時工做,實現帶寬增長,雙主冗餘備份,無需交換機配置。 |
配置方法:
| 步驟 | 命令/參數 | 備註 |
| 第一步 編輯網卡配置文件 |
vim /etc/sysconfig/network-scripts/ifcfg-網卡1/網卡2 TYPE=Ethernet BOOTPROTO=none ONBOOT=yes USERCTL=no DEVICE=網卡1/網卡2 MASTER=bond0 SLAVE=yes |
編輯須要綁定的物理網卡配置文件 網卡類型=以太網 IP獲取方式=none(默認),static(靜態),dhcp(動態) 開機啓用網卡=是 是否容許非root用戶配置該網卡 網卡名=網卡1/網卡2 綁定網卡名=bond0 是不是從屬網卡=是的 |
| 第二步 編輯bond網卡配置文件 |
vim /etc/sysconfig/network-scripts/ifcfg-bond0 TYPE=Ethernet BOOTPROTO=none ONBOOT=yes USERCTL=no DEVICE=bond0 IPADDR=1.1.1.1 PREFIX=24 或 NETMASK=255.255.255.0 DNS=8.8.8.8 NM_CONTROLLED=no |
編輯bond綁定網卡配置文件 網卡類型 IP獲取方式 是否開機啓用 是否非root用戶配置該網卡 bond綁定網卡名 IP地址 IP掩碼 DNS地址 禁止network manager控制 |
| 第三步 編輯內核文件,啓用bond |
vim /etc/modprobe.d/bond.conf alias bond0 bonding options bond0 miimon=100 mode=6 |
編輯內核文件,啓用bond 使bond0網卡支持bonding技術 配置bond0網卡切換時間爲100毫秒,使用模式6 |
| 第四步 重啓網絡服務 |
systemctl restart network ifconfig |
重啓網絡服務 查看網卡配置 |
5、遠程SSH控制
Linux系統中的服務文件通常保存在/etc/協議名/服務名稱.conf文件中,如SSH協議配置文件路徑爲:/etc/ssh/sshd.conf
主配置文件:最重要的配置參數;
普通配置文件:主要是用來被調用,保存常規參數。
ssh遠程登陸格式:ssh 用戶名@遠程服務器IP:端口。
因爲密碼登陸較爲不安全,平時咱們可以使用密鑰認證登陸,並禁用ssh密碼登陸,步驟以下:
第一步:客戶端機器生成密鑰對,ssh-keygen,密鑰保存路徑:/Users/用戶名/.ssh/id_rsa
第二步:客戶端將生成的公鑰文件傳送至遠程服務器,ssh-copy-id 遠程服務器IP,客戶端公鑰信息保存在/root/.ssh/authorized_keys文件中或/home/用戶名/.ssh/authorized_keys文件中
第三步:禁用ssh密碼登陸,僅容許密鑰登陸,編輯sshd.conf配置文件,vim /etc/ssh/sshd.conf,將PasswordAuthentication選項置爲no
第四步:重啓ssh服務,systemctl restart sshd
6、SCP遠程文件傳輸
發送文件:scp 參數 本地路徑/本地文件 遠程服務器用戶名@遠程服務器IP:遠程保存路徑
下載文件:scp 參數 遠程服務器用戶名@遠程服務器IP:遠程文件路徑 本地保存路徑
| 參數 | 做用 |
| -v | 顯示詳細的鏈接進度 |
| -P | 指定遠程主機的sshd端口號 |
| -r | 用於傳送文件夾 |
| -6 | 使用IPv6協議 |
