8.4、服务的访问控制列表
TCPwrappers是RHEL7中默认启用的流量监控程序,能够对服务做出允许或拒绝。
TCPwrappers服务由两个文件控制:
/etc/hosts.allow //允许控制列表文件
/etc/hosts.deny //拒绝控制列表文件
文件的写入格式:服务名称 【对象】
对象可以是单一主机,网段,DNS后缀,主机名称等。
先匹配允许文件,后匹配拒绝文件,一旦匹配,立即跳出,若都没有匹配上,则默认放行。
第九章
9.1、配置网络服务
配置网卡参数
可使用:nmtui、nm-connection-editor、右上角图形、配置文件等来配置网卡参数。
创建网络会话
网络会话用于不同场所的快速切换网络,例如公司是手动ip,家里是DHCP,如果用网络会话不用频繁的切换,自动切换了。
nmcli connection show //查看会话
nmcli connection add con-name company ifname eno16777736 autoconnect no type ethernet ip4 192.168.10.10/24 gw4 192.168.10.1
//创建名称为company会话
nmcli connection up company //切换到company会话
绑定两块网卡
下面是绑定两块的相关命令,需要两块网卡当成一块使用,另一块备援:
[root@linuxprobe ~]# vim /etc/sysconfig/network-scripts/ifcfg-eno16777736 //从属网卡
TYPE=Ethernet
BOOTPROTO=none
ONBOOT=yes
USERCTL=no
DEVICE=eno16777736
MASTER=bond0
SLAVE=yes
[root@linuxprobe ~]# vim /etc/sysconfig/network-scripts/ifcfg-eno33554968 //从属网卡
TYPE=Ethernet
BOOTPROTO=none
ONBOOT=yes
USERCTL=no
DEVICE=eno33554968
MASTER=bond0
SLAVE=yes
[root@linuxprobe ~]# vim /etc/sysconfig/network-scripts/ifcfg-bond0 //主网卡
TYPE=Ethernet
BOOTPROTO=none
ONBOOT=yes
USERCTL=no
DEVICE=bond0
IPADDR=192.168.10.10
PREFIX=24
DNS=192.168.10.1
NM_CONTROLLED=no
网卡绑定有三种模式:
mode0:平衡负载模式,两块均工作,但需设备上端口聚合来支持。
mode1:自动备援模式,一块工作,另一块备援。
mode6:平衡负载模式,两块均工作,且自动备援,无需交换机端口聚合技术支持。
[root@linuxprobe ~]# vim /etc/modprobe.d/bond.conf
alias bond0 bonding
options bond0 miimon=100 mode=6 //模式mode6,切换时间100毫秒
9.2、远程控制服务
配置sshd服务
sshd服务两种安全验证的方法:
基于口令的验证:用账户密码来验证登录
基于秘钥的验证:本地生成秘钥对,上传公钥至服务器,与服务器中公钥进行比较。
sshd服务中的配置文件在/etc/ssh/sshd_config文件中,其中个字段的说明如下:
Port 22 //默认的sshd服务端口
ListenAddress 0.0.0.0 //设定sshd服务器监听的IP地址
Protocol 2 //SSH协议的版本号
HostKey /tc/ssh/ssh_host_key //SSH协议版本为1时,DES私钥存放的位置
HostKey /etc/ssh/ssh_host_rsa_key //SSH协议版本为2时,RSA私钥存放的位置
HostKey /etc/ssh/ssh_host_dsa_key //SSH协议版本为2时,DSA私钥存放的位置
PermitRootLogin yes //设定是否允许root管理员直接登录
StrictModes yes //当远程用户的私钥改变时直接拒绝连接
MaxAuthTries 6 //最大密码尝试次数
MaxSessions 10 //最大终端数
PasswordAuthentication yes //是否允许密码验证
PermitEmptyPasswords no // 是否允许空密码登录(很不安全)
ssh 命令用来进行远程连接。 ssh 【参数】 主机地址
可针对不同的需求来编辑服务配置文件,如禁止root用户ssh登录:
安全秘钥验证
1、在客户端生成密钥对.
ssh-keygen命令用于生成。
2、在客户端主机,把生成的公钥文件传送至远程主机(服务器)
ssh-copy-id 192.168.10.10 //把公钥文件传送至192.168.10.10服务器
3、对服务器进行设置,十七只允许秘钥验证,拒绝口令验证。
4、在客户端登录远程主机,无须输入密码。
远程传输命令
scp 基于ssh协议在网络之间安全传输的命令。 scp 【参数】 本地文件 远程账户@远程IP地址:远程目录。
-v //显示详细的连接进度
-P //指定远程主机的sshd端口号
-r //用于传送文件夹
-6 //使用IPv6协议
不间断会话服务
当突然远程会话断开后,正在运行的命令也会随之中断,此时需要不间断会话服务。
screen 是实现多窗口不间断服务的设计程序。
会话恢复:即便网络中断,也可以随时恢复,确保用户不会失去会话的控制。
多窗口:每个会话独立运行。
会话共享:多个用户同事登录到远程服务器,可以会话共享。
首先需要安装screen :yum install screen
screen 用于开启管理不间断会话。
-S //创建会话窗口 -d //指定会话进行离线处理
-r //回复指定会话 -x //一次性回复所有会话
-ls //显示当前所有的会话 -wipe //把无法使用的参数删除
screen -S backup 屏幕会闪动一下,就进入screen模式,然后命令窗口上端显示screen,使用screen -ls查看:
会话共享功能
正常打开screen会话,使用screen -x 开启会话共享。
复习:网卡绑定,ssh禁止管理员登录
预习:第十章,部署Apache