今天学习了后两种防火墙配置方法,分别是:一、firewall防火墙图形化界面配置。二、TCP Wrappers经过编辑hosts.allow和hosts.deny黑白名单文件进行简单的防火墙配置。而后学习了第9章建立网络会话、绑定网卡和远程SSH控制传输服务。vim
1、firewall防火墙图形化配置安全
命令行模式中经过firewall-config命令开启界面。依然要注意runtime配置和permanent配置,考试时直接配置permanent,并reload便可使命令当即永久生效。服务器
2、TCP Wrappers网络
| 匹配顺序 | 文件 | 参数 | 备注 |
| 首先匹配 | /etc/hosts.allowapp 白名单,天使文件ssh |
单一主机:192.168.1.1学习 指定网段:192.168.1.0/24spa 指定网段:192.168.1.命令行 指定DNS后缀:.cisco.com3d 指定主机名:www.derek.com 指定全部终端:ALL或* |
TCP Wrapper只能匹配具备服务名称的应用,没法基于端口配置。 格式:服务名称:源(如源IP,源主机,源DNS后缀等) 服务名称:sshd;协议:ssh 配置保存后,无需重启,便可生效,但不影响当前链接。 |
| 而后匹配 | /etc/hosts.deny 黑名单,恶魔文件 |
同上 | 同上 |
| 没有匹配到 | 默认直接放行数据 |
3、建立网络会话
建立网络会话的主要目的适用于,当Linux终端频繁在不一样环境中切换时,更换IP配置较为麻烦,故能够预先定义多种IP配置模板,当切换至某个环境时,直接应用对应的IP配合模板便可。
| 命令 | 参数 | 备注 |
| nmcli | nmcli connection show | 查看当前已有IP配置模板 |
| nmcli | nmcli connection add con-name 模板名称 ifname 网卡名 autoconnect yes/no(是否自动链接) type ethernet(网卡类型) ip4 IP地址 gw4 网关地址 | 新增IP配置模板 |
| nmcli | nmcli connection up 模板名称 nmcli connection down 模板名称 |
启用模板 禁用模板 |
4、网卡绑定——bond
bond优势:既能实现端口的冗余备份,又能增长端口带宽。相似于网络中的端口聚合ethernet channel group
bond经常使用的三种绑定模式:
| 模式 | 描述 |
| mode0 | 平衡负载模式,两张网卡同时工做,实现带宽增长,双主冗余备份。但须交换机配置链路聚合。 |
| mode1 |
自动备援模式,主备模式,只有一张网卡工做,带宽不增长,实现一主一备冗余。 |
| mode6 | 平衡负载模式,两张网卡同时工做,实现带宽增长,双主冗余备份,无需交换机配置。 |
配置方法:
| 步骤 | 命令/参数 | 备注 |
| 第一步 编辑网卡配置文件 |
vim /etc/sysconfig/network-scripts/ifcfg-网卡1/网卡2 TYPE=Ethernet BOOTPROTO=none ONBOOT=yes USERCTL=no DEVICE=网卡1/网卡2 MASTER=bond0 SLAVE=yes |
编辑须要绑定的物理网卡配置文件 网卡类型=以太网 IP获取方式=none(默认),static(静态),dhcp(动态) 开机启用网卡=是 是否容许非root用户配置该网卡 网卡名=网卡1/网卡2 绑定网卡名=bond0 是不是从属网卡=是的 |
| 第二步 编辑bond网卡配置文件 |
vim /etc/sysconfig/network-scripts/ifcfg-bond0 TYPE=Ethernet BOOTPROTO=none ONBOOT=yes USERCTL=no DEVICE=bond0 IPADDR=1.1.1.1 PREFIX=24 或 NETMASK=255.255.255.0 DNS=8.8.8.8 NM_CONTROLLED=no |
编辑bond绑定网卡配置文件 网卡类型 IP获取方式 是否开机启用 是否非root用户配置该网卡 bond绑定网卡名 IP地址 IP掩码 DNS地址 禁止network manager控制 |
| 第三步 编辑内核文件,启用bond |
vim /etc/modprobe.d/bond.conf alias bond0 bonding options bond0 miimon=100 mode=6 |
编辑内核文件,启用bond 使bond0网卡支持bonding技术 配置bond0网卡切换时间为100毫秒,使用模式6 |
| 第四步 重启网络服务 |
systemctl restart network ifconfig |
重启网络服务 查看网卡配置 |
5、远程SSH控制
Linux系统中的服务文件通常保存在/etc/协议名/服务名称.conf文件中,如SSH协议配置文件路径为:/etc/ssh/sshd.conf
主配置文件:最重要的配置参数;
普通配置文件:主要是用来被调用,保存常规参数。
ssh远程登陆格式:ssh 用户名@远程服务器IP:端口。
因为密码登陆较为不安全,平时咱们可以使用密钥认证登陆,并禁用ssh密码登陆,步骤以下:
第一步:客户端机器生成密钥对,ssh-keygen,密钥保存路径:/Users/用户名/.ssh/id_rsa
第二步:客户端将生成的公钥文件传送至远程服务器,ssh-copy-id 远程服务器IP,客户端公钥信息保存在/root/.ssh/authorized_keys文件中或/home/用户名/.ssh/authorized_keys文件中
第三步:禁用ssh密码登陆,仅容许密钥登陆,编辑sshd.conf配置文件,vim /etc/ssh/sshd.conf,将PasswordAuthentication选项置为no
第四步:重启ssh服务,systemctl restart sshd
6、SCP远程文件传输
发送文件:scp 参数 本地路径/本地文件 远程服务器用户名@远程服务器IP:远程保存路径
下载文件:scp 参数 远程服务器用户名@远程服务器IP:远程文件路径 本地保存路径
| 参数 | 做用 |
| -v | 显示详细的链接进度 |
| -P | 指定远程主机的sshd端口号 |
| -r | 用于传送文件夹 |
| -6 | 使用IPv6协议 |
