zoukankan      html  css  js  c++  java
  • Linux 笔记

    博客地址:http://www.moonxy.com

    一、前言

    Linux 下的的防火墙功能是非常丰富的,作为 Linux 系统工程师有必要了解一下。防火墙一般分为硬件防火墙和软件防火墙。但是,不管是硬件还是软件防火墙,它们都需要使用硬件来作为联机介质,也需要使用软件来设定安全规则。

    二、Linux 的防火墙

    2.1 selinux

    安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。SELinux 主要由美国国家安全局开发。2.6 及以上版本的 Linux 内核都已经集成了 SELinux 模块。SELinux 的结构及配置非常复杂,而且有大量概念性的东西,要学精难度较大。很多 Linux 系统管理员嫌麻烦都把 SELinux 关闭了。

    关闭 selinux 的方法为修改 /etc/selinux/config 文件,将 SELINUX=disabled,默认为 enforcing。

    [root@ryan ~]# cat /etc/selinux/config
    
    # This file controls the state of SELinux on the system.
    # SELINUX= can take one of these three values:
    #     enforcing - SELinux security policy is enforced.
    #     permissive - SELinux prints warnings instead of enforcing.
    #     disabled - No SELinux policy is loaded.
    #SELINUX=enforcing
    SELINUX=disabled
    # SELINUXTYPE= can take one of these two values:
    #     targeted - Targeted processes are protected,
    #     mls - Multi Level Security protection.
    SELINUXTYPE=targeted

    保存配置文件后,重启 Linux 才能生效。临时关闭 selinux 的命令为:

    # setenforce 0

    可以使用 getenforce 命令获得当前 selinux 状态:

    # getenforce

    [root@ryan ~]# getenforce
    Disabled

    2.2 iptables

    iptables 是 Linux 上特有的防火墙 netfilter 的机制,iptables 其实是 ip tables 的含义,也就是 IP 表的意思。iptables 是由4个表(table)和5个链(chain)组成。每个表的用途都不一样。在每个表中,又定义了多个链,通过这些链可以设置相应的规则和策略。

    CentOS 7.x(RHEL7.x)之后,防火墙规则设置由 firewalld 服务进程默认管理,取代了 CentOS/RHEL 6.x 的 iptables 服务。

    iptables 过滤流程图,如下:

    4表5链,每个表所涉及到的链,如下:

    4个表包括:

    filter:数据包过滤,用于防火墙规则,最常用。

    net:地址转换,用于网关路由器。

    mangle:数据包修改(QOS),用于实现服务质量。

    raw:高级功能,如:网址过滤。

    5个规则链名包括:

    INPUT链:处理输入数据包。

    OUTPUT链:处理输出数据包。

    PORWARD链:处理转发数据包。

    PREROUTING链:用于目标地址转换(DNAT)。

    POSTOUTING链:用于源地址转换(SNAT)。

    动作包括:

    accept:接收数据包。

    DROP:丢弃数据包。

    REDIRECT:重定向、映射、透明代理。

    SNAT:源地址转换。

    DNAT:目标地址转换。

    MASQUERADE:IP伪装(NAT),用于ADSL。

    LOG:日志记录。

    实例

    查看已添加的iptables规则

    # iptables -nvL

    默认查看filter表的规则,可以使用 -t 选项表名,来指定查看具体表的规则。如:

    # iptables -t nat -nvL

    开放指定的端口

    iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT               #允许本地回环接口(即运行本机访问本机)
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT    #允许已建立的或相关连的通行
    iptables -A OUTPUT -j ACCEPT         #允许所有本机向外的访问
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT    #允许访问22端口
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT    #允许访问80端口
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT    #允许ftp服务的21端口
    iptables -A INPUT -p tcp --dport 20 -j ACCEPT    #允许FTP服务的20端口
    iptables -A INPUT -j reject       #禁止其他未允许的规则访问
    iptables -A FORWARD -j REJECT     #禁止其他未允许的规则访问

    比如常用的放行22端口:

    # iptables -A INPUT -p tcp --dport 22 -j ACCEPT

    -A/-D:表示增加/删除一条规则(向后追加)。

    -I:表示插入一条规则,则是效果跟 -A 类型(想前插入第一条位置)。

    -p:表示指定协议,可以是 tcp、udp 或者 icmp。

    --dport:跟 -p 一起使用,表示指定目标端口。

    --sport:跟-p 一起使用,表示指定源端口。

    -s:表示指定源 IP(可以是一个 IP 段)。

    -d:表示指定目的 IP(可以是一个 IP 段)。

    -j:后面跟动作,其中 ACCEPT 表示允许包,DROP 表示丢掉包,REJECT 表示拒绝包。

    -i:表示指定网卡(不常用)。

    屏蔽IP

    iptables -I INPUT -s 123.45.6.7 -j DROP       #屏蔽单个IP的命令
    iptables -I INPUT -s 123.0.0.0/8 -j DROP      #封整个段即从123.0.0.1到123.255.255.254的命令
    iptables -I INPUT -s 124.45.0.0/16 -j DROP    #封IP段即从123.45.0.1到123.45.255.254的命令
    iptables -I INPUT -s 123.45.6.0/24 -j DROP    #封IP段即从123.45.6.1到123.45.6.254的命令是

    删除已添加的iptables规则

    将所有iptables以序号标记显示,执行:

    iptables -L -n --line-numbers

    比如要删除INPUT里序号为8的规则,执行:

    iptables -D INPUT 8

    三、Linux 系统的任务计划

    Linux 中有些管理工作可以通过定期自动执行某一个脚本来完成,这就是 Linux 系统中的任务计划 cron 功能。crontab 命令被用来提交和管理用户的需要周期性执行的任务,与 Windows下的计划任务类似,当安装完成操作系统后,默认会安装此服务工具,并且会自动启动 crond 进程,crond 进程每分钟会定期检查是否有要执行的任务,如果有要执行的任务,则自动执行该任务。

    格式为:

    crontab(选项)(参数)

    Linux 任务计划功能都是通过 crontab 命令来完成的,常用选项如下:

    -e:编辑该用户的计时器设置,编辑某个用户的crontab文件内容。如果不指定用户,则表示编辑当前用户的crontab文件;

    -l:列出该用户的计时器设置,查看已经设定的任务计划使用 crontab -l 命令,显示某个用户的 crontab 文件内容,如果不指定用户,则表示显示当前用户的 crontab 文件内容。;

    -r:删除该用户的计时器设置,从 /var/spool/cron 目录中删除某个用户(username)的 crontab 文件,如果不指定用户,则默认删除当前用户的 crontab文件;

    -u<用户名称>:指定要设定计时器的用户名称。

    参数:

    crontab文件:指定包含待执行任务的 crontab 文件。

    Linux下的任务调度分为两类:系统任务调度和用户任务调度。

    系统任务调度:系统周期性所要执行的工作,比如写缓存数据到硬盘、日志清理等。在/etc目录下有一个crontab文件,这个就是系统任务调度的配置文件。

    /etc/crontab 文件包括下面几行:

    [root@ryan ~]# cat /etc/crontab
    SHELL=/bin/bash
    PATH=/sbin:/bin:/usr/sbin:/usr/bin
    MAILTO=root
    HOME=/
    
    # For details see man 4 crontabs
    
    # Example of job definition:
    # .---------------- minute (0 - 59)
    # |  .------------- hour (0 - 23)
    # |  |  .---------- day of month (1 - 31)
    # |  |  |  .------- month (1 - 12) OR jan,feb,mar,apr ...
    # |  |  |  |  .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
    # |  |  |  |  |
    # *  *  *  *  * user-name command to be executed

    前四行是用来配置 crond 任务运行的环境变量,第一行 SHELL 变量指定了系统要使用哪个 shell,这里是bash,第二行PATH变量指定了系统执行命令的路径,第三行 MAILTO 变量指定了 crond 的任务执行信息将通过电子邮件发送给 root 用户,如果 MAILTO 变量的值为空,则表示不发送任务执行信息给用户,第四行的 HOME 变量指定了在执行命令或者脚本时使用的主目录。

    用户任务调度:用户定期要执行的工作,比如用户数据备份、定时邮件提醒等。用户可以使用 crontab 工具来定制自己的计划任务。所有用户定义的 crontab 文件都被保存在 /var/spool/cron 目录中。其文件名与用户名一致,使用者权限文件如下:

    /etc/cron.deny     该文件中所列用户不允许使用crontab命令
    /etc/cron.allow    该文件中所列用户允许使用crontab命令
    /var/spool/cron/   所有用户crontab文件存放的目录,以用户名命名

    crontab 文件的含义:用户所建立的 crontab 文件中,每一行都代表一项任务,每行的每个字段代表一项设置,它的格式共分为六个字段,前五段是时间设定段,第六段是要执行的命令段,格式如下:

    minute   hour   day   month   week   command     顺序:分 时 日 月 周

    其中:

    minute: 表示分钟,可以是从0到59之间的任何整数。

    hour:表示小时,可以是从0到23之间的任何整数。

    day:表示日期,可以是从1到31之间的任何整数。

    month:表示月份,可以是从1到12之间的任何整数。

    week:表示星期几,可以是从0到7之间的任何整数,这里的0或7代表星期日。

    command:要执行的命令,可以是系统命令,也可以是自己编写的脚本文件。

    在以上各个字段中,还可以使用以下特殊字符:

    星号(*):代表所有可能的值,例如month字段如果是星号,则表示在满足其它字段的制约条件后每月都执行该命令操作。

    逗号(,):可以用逗号隔开的值指定一个列表范围,例如,"1,2,5,7,8,9"

    中杠(-):可以用整数之间的中杠表示一个整数范围,例如 "2-6" 表示 "2,3,4,5,6"

    正斜线(/):可以用正斜线指定时间的间隔频率,相当于整除,例如 "0-23/2" 表示每两小时执行一次。同时正斜线可以和星号一起使用,例如 */10,如果用在minute字段,表示每十分钟执行一次。

    crond 服务

    /sbin/service crond start //启动服务

    /sbin/service crond stop //关闭服务

    /sbin/service crond restart //重启服务

    /sbin/service crond reload //重新载入配置

    /sbin/service crond status //查看crontab服务状态

    四、抓包工具

    4.1 tcpdump 工具

    tcpdump命令是一款 sniffer 工具,它可以打印所有经过网络接口的数据包的头信息,也可以使用 -w 选项将数据包保存到文件中,方便以后分析。

    格式:

    tcpdump(选项)

    监视指定网络接口的数据包

    # tcpdump -nn -i eth0

    -nn:直接以IP及port number显示,而非主机名与服务名称;

    -c<数据包数目>:收到指定的数据包数目后,就停止进行倾倒操作;

    -w<数据包文件>:把数据包数据写入指定的文件。

    例如:

    [root@ryan ~]# tcpdump -nn -i eth0
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
    22:31:13.034947 IP 172.31.71.xx.22 > 124.89.91.xx.62990: Flags [P.], seq 223003822:223004030, ack 658294645, win 281, length 208
    22:31:13.035049 IP 172.31.71.xx.22 > 124.89.91.xx.62990: Flags [P.], seq 208:400, ack 1, win 281, length 192
    22:31:13.081450 IP 124.89.91.xx.62990 > 172.31.71.xx.22: Flags [.], ack 400, win 16695, length 0

    -nn 选项的作用是让第三列和第四列显示成 "IP+端口号" 的形式,如果不加 -nn 选项则显示为 "主机名+服务名称"。

    监视指定主机和端口的数据包

    # tcpdump -nn tcp and host xxx and port xxx -c 100 -w /tmp/1.cap

    如果想要获取主机 210.27.48.1 接收或发出的 telnet 包,使用如下命令:

    # tcpdump tcp port 23 host 210.27.48.1

    4.2 wireshark 工具

    使用 wireshark 可以分析数据包,可以通过编辑过滤表达式来达到对数据的分析。需要使用的命令为 tshark,它是一个网络协议分析器。它允许您从实况网络捕获分组数据,或者从先前保存的捕获文件读取数据包,或者将这些分组的解码形式打印到标准输出或将数据包写入文件。tshark 的本地捕获文件格式是PCAP格式,它也是TCPDUMP和各种其他工具使用的格式。

    显示访问http请求的域名以及uri

    tshark -n -t a -R http.request -T fields -e "frame.time" -e "ip.src" -e "http.host" -e "http.request.method" -e "http.request.uri"

    如下所示:

    [root@ryan ~]# tshark -n -t a -R http.request -T fields -e "frame.time" -e "ip.src" -e "http.host" -e "http.request.method" -e "http.request.uri"
    tshark: -R without -2 is deprecated. For single-pass filtering use -Y.
    Running as user "root" and group "root". This could be dangerous.
    Capturing on 'eth0'
    "Jul  8, 2018 22:09:02.394273171 CST"   124.89.91.xx    www.moonxy.com  GET     /wordpress/350.html

    其中:

    "Jul  8, 2018 22:09:02.394273171 CST" 为请求时间;

    124.89.91.xx 为源地址(访问者 IP);

    www.moonxy.com 为请求的域名;

    GET 为 http 请求类型;

    /wordpress/350.html 为请求的路径;

    实时打印当前http请求的url(包括域名)

    tshark -s 512 -i eth0 -n -f 'tcp dst port 80' -R 'http.host and http.request.uri' -T fields -e http.host -e http.request.uri -l | tr -d '	'

    如下所示:

    [root@ryan ~]# tshark -s 512 -i eth0 -n -f 'tcp dst port 80' -R 'http.host and http.request.uri' -T fields -e http.host -e http.request.uri -l | tr -d '	'
    tshark: -R without -2 is deprecated. For single-pass filtering use -Y.
    Running as user "root" and group "root". This could be dangerous.
    Capturing on 'eth0'
    7 www.moonxy.com/wordpress/319.html
    www.moonxy.com/wordpress/wp-content/uploads/2018/04/20180422134436_87982.png
    www.moonxy.com/wordpress/wp-content/uploads/2018/04/20180422134518_98463.png
    www.moonxy.com/wordpress/wp-content/uploads/2018/04/20180422134718_91938.png
    www.moonxy.com/wordpress/wp-content/uploads/2018/04/20180422134927_72555.png
    www.moonxy.com/wordpress/wp-content/uploads/2018/04/20180422134946_41004.png
    www.moonxy.com/wordpress/wp-content/uploads/2018/04/20180422134912_12773.png
    8 www.moonxy.com/wordpress/303.html
    10 www.moonxy.com/wordpress/wp-content/uploads/2018/04/20180422140632_57565.jpg
  • 相关阅读:
    建设工程文件归档规范GB/T50328-2014(2019版)2020年3月1日起执行
    文件快拷工具FastCopy的基本操作
    AH00558: httpd.exe: Could not reliably determine the server's fully qualified do main name, using
    api-ms-win-crt-conio-l1-1-0.dll丢失解决方案
    unicode编码表 最新的下载方法
    zoomit 4.52 教学好工具 免费
    原创 [免费解答]赣南师范大学2017年高等代数考研试题参考解答
    原创 [免费解答]赣南师范大学2018年高等代数考研试题参考解答
    原创 [免费解答]赣南师范大学2017年数学分析考研试题参考解答
    原创 [免费解答]中国计量大学2020年高等代数考研试题参考解答
  • 原文地址:https://www.cnblogs.com/cnjavahome/p/9279636.html
Copyright © 2011-2022 走看看