下载文档原格式
1,[root@localhost -root]#2.Unix sys v:shBsd :csh (freebsd)32333[root@localhost -root]# ls *.txt 可以显示出所有txt的文档[root@localhost -root]# touch test1.txt test2.txt test11.txt可以创建文档。
4,[root@localhost -root]# pw 再按键盘tab键可以补齐指令名,若有多个按2次tab键。
5.[root@localhost -root]# history可以查看历史的指令命令假如要执行地150的历史指令[root@localhost -root]# !1506[root@localhost -root]# ping 192.168.200.100若要更改成ping 192.168.200.1。
只需要把指令更改为:[root@localhost -root]# ^100^17. [root@localhost -root]# cd ~比如要进入user1目录下[root@localhost -root]# cd ~user1就会显示[root@localhost –user1]# 8.设置变量a,[root@localhost -root]# echo a[root@localhost -root]# echo $a显示空就是没有设置。
没有设置就[root@localhost -root]# a=1简单的数学运算:echo $[$a + $b]或者echo $[$a * $b] echo $[$a / $b]结果是取整echo $[$a % $b] 结果是取余数9。
系统工具-终端,下面的快捷键组合。
2010 wensir RHCE 网络工程师备考笔记考试重点了解硬盘分割的观念及 RedHat Linux 的安装流程 熟悉 RedHat Linux 各种安装选项的差异包含网络及自动安装 了解 LILO , GRUB 等激活管理程序及开机流程 能够事后安装及设定其它的安装选项 了解 RedHat Linux 的档案系统 (FHS) 了解 /etc/sysconfig 下的各种系统组态文件 了解并实作 RedHat 各种安装工具,如 rawrite, fips 等 自动安装 RedHat Linux(kickstart installation) 了解并实作 rpm 的安装,移除及查询 10.熟悉 *.src.rpm 的基本观念 11.熟悉救援模式 (rescueenvironment) 12.使用者帐户管理 13.管理使用者环境 14.了解系统及使用者的 bash 设定档 (bashrc)15.设定使用者空间配额 (quota) 16.了解并使用 cron 系统排程17 .了解系统核心(kernel)的各项观念,如 monolithic , modular kernels , initial ramdisks 等 18.能重编/自定系统核心 (kernel)19. 能在 LILO 或 GRUB 中设定新的系统核心20. 了解 Apache, Samba, NFS, basic sendmail, POP3/IMAP4 email, DNS, 和 ftp 服务 21 .能设定,激活,关闭上述的服务并在失败的状况下除错 22.能限制上述服务的网络存取 23.熟悉其它的服务,例如squid, innd NNTP server和 xntpd 24.熟悉并设定 X25. 能设定各种不同的窗口管理员 (window manager) 26. 熟悉各种包含 X 在内的 Linux 远程控制方式27. 能设定 xinetd 服务并整合 tcp wrapper28 .了解nis 服务29. 了解并设定 30. 了解并设定31. 了解并设定RHCE 31 个重点及考试方向:1.2.3.4.5.6.7.8. 9.PAM IP 路由IP 防troubshooting第一部分GRUB 故障解决.开机后直接到GRUB 模式**说明电脑正常,只是/boot/grub/grub.conf 文件遭到破坏.所以直接写.进入系统后重新建立建立/boot/grub/grub.co nf 文件即可… ******1.1情况:开机直接进入GRU模式1) grub>root (hd0,0)boot目录所在文件系统安装在哪个硬盘的第几个分区2),grub>kernel/boot/vmlinuz-2.6.9-5.ELsmp ro root=LABEL=/ ro rhgh quiet如果“ boot”是单独的分区,那么上边kernel的路径中就没有“ /boot ”3),grub>initrd /boot/initrd-269.9-5.ELsmp.img上边kernel和initrd 所用文件的名字要看自己的系统内核。
RHCE课程-RH253Linux服务器架设笔记一-VSFTPD的配置FTP可以通过很多软件实现,我们linux下面最常用的FTP服务器架设使用vsftpd软件vsftpd 是一个基于GPL发布的FTP服务器软件。
其中的vs是“ Very Secure”的缩写,由此名称缩写可以看出,本服务器的初衷就是服务的安全性。
当然,vsftpd也是REDHAT默认安装的ftp服务器软件后台进程:vsftpd类型:System V 服务使用端口:20(ftp-data),21(ftp)所需RPM包:vsftpd配置文件:/etc/vsftpd/vsftpd.confFTP的主动模式和被动模式很重要主动模式:client 先连接服务器的21端口(命令端口),然后client开放一个大于1024的端口等待服务器的20端口连接,2 1号端口的链接建立以后,服务器就用20去连接client开放的端口,简单来说就是服务器主动连客户端啦基于上面的连接方式,如果client端有个防火墙,服务器的20端口就连接不进入,导致会连接失败。
被动模式:就是client开启大于1024的X端口连接服务器的21(命令端口),同时开启X+1端口当21号端口连接成功后,client会发送PASV命令,通知服务器自己处于被动模式,服务器收到这个消息后,就会开放一个大于1024的端口Y通知client,client接到通知后就会用X+1来连接服务器的Y端口,简单的说就是client 主动连接服务器一般我们使用的是主动模式大家了解被动模式就可以了,当你架设FTP服务器,出现这样的情况,你应该想到可以使用被动模式来解决,当然防火墙一般也支持FTP的追踪模块,会自动识别自己发出的FTP数据请求。
这样制动模式也能返回数据下面我们先安装vsftpd吧所有服务里面只有vsftpd 没有依耐关系,其他服务都要yu m来安装或解决其依赖关系哈~没有就安装下~我们来说vsftpd的配置文件大家切换到/etc/vsftpd目录,这个目录就是vsftpd的配置文件存放的目录第一个文件ftpusers是用户控制文件,在这个文件里面的用户,默认是不可以使用vsftpd服务的。
RHCE课堂实验笔记(4)单元五实验 ⽂件访问权限 估计⽤时:30分钟 ⽬标:熟悉多个修改⽂件权限命令的语法和应⽤,并可组合命令以完成⼀般的任务。
实验前准备:⼀台安装好的系统,其上有student 帐号。
实验1:定义⽂件的访问权限的实践 任务: 1、写下⽂件权限的字串(类似rwxr-xr-x): 664:_______________________ 755:_______________________ 000:_______________________ 711:_______________________ 700:_______________________ 777:_______________________ 555:_______________________ 705:_______________________ 111:_______________________ 600:_______________________ 731:_______________________ 2、⼀个⽂件权限为755,哪条命令可以将其权限改为r-xr--r--? 3、你刚从Internet上下载了⼀个值得信任的执⾏⽂件。
在你运⾏它之前你必须做什么?写下两种不同的途径。
4、你在之后的单元中将会学到进程(系统中运⾏的程序)是被⽤户和⽤户组所拥有的,就像⽂件和⽬录⼀样。
⼀个进程只有当它的拥有者和拥有者组拥有相应的权限时,它才可以读、写并执⾏⼀个⽂件或⽬录。
Red Hat Linux 系统通常配置成由⽤户apache 和组apache 运⾏apache Web服务器进程。
在系统安装的时候该⽤户和组已经作为apache 的⼀部分已经建⽴。
假设你有⼀个⽬录结构 /home/student/archive ⾥⾯有许多的⽂件和⽬录,都被设置为权 限700。
你想将archive ⽬录在Internet 上设置为可访问的,但是当前的许可并不允许web服 务器(以⽤户apache 运⾏)访问⽂件。
RHCE课程-RH033Linux基础笔记六RHCE课程-初级部分6、编辑工具VIM,网络配置,进程优先,日志文件简介由于cat 命令虽然可以输入字符,但是功能有限,而且很不方便。
所以我们需要更专业的文本编辑工具我们通常用各种编辑工具来处理文本文件常用的编辑工具:VIVIMEMACSVI和VIM的区别它们都是多模式编辑器,不同的是vim 是vi的升级版本,它不仅兼容vi的所有指令,而且还有一些新的特性在里面。
vim的这些优势主要体现在以下几个方面:易用性 vi只能运行于unix中,而vim不仅可以运行于unix,windows ,mac等多操作平台。
语法加亮 vim可以用不同的颜色来加亮你的代码。
可视化操作(ESC+V)就是说vim不仅可以在终端运行,也可以运行于x window、mac os、windows。
对vi的完全兼容某些情况下,你可以把vim当成vi来使用由于VI和VIM的使用方法基本都一样,所以我们就直接用RHEL带的VIM来讲解,会了VIM,VI也基本没问题了VI作为一个编辑器,vim被广泛地运用在各种Unix操作系统上。
Vim是Linux中的标准文本编辑器。
在Red Hat Linux上,一般采用的“可视编辑器 / visual editor” 是vim(vi improved)用VIM打开文件vim 文件名如果文件已存在,则此文件被打开且显示文件内容如果文件不存在,则vim在第一次存盘时自动建立在硬盘上现在大家使用vim建立一个test 文件vim test最下面会有提示的第一个0,代表第几行;第二个0,代表第几页逗号后面的可以代表这行第几个字符,例:第四行第五个字符字符28这个问题,有兴趣的自己下去研究下。
我也不是很清楚最后的9% 代表当前显示到总内容的百分率由于刚才我们建立的文件是不存在的,所以属于第二种情况现在就是重点了vim提供三种模式命令模式:控制光标移动,删除字符,段落复制(按ESC) 编辑模式/插入模式:新增文字及修改文字末行模式:保存文件,离开vi,以及其他设置如果提示新文件,或者什么都没有就代表是命令模式命令模式在编辑模式下按ESC键可进入到命令模式命令说明h 将光标向左移动一格l 将光标向右移动一格j 将光标向下移动一格k 将光标向上移动一格0 数字0,将光标移动到该行的行首$ 将光标移动到该行的行末H 将光标移动到该屏幕的顶端M 将光标移动到该屏幕的中间L 将光标移动到该屏幕的底端gg 将光标移动到文章的首行G 将光标移动到文章的尾行w或W 将光标移动到下一单词命令模式,删除与块操作在命令模式下可以直接删除字符在命令模式下键入v则进入块操作:1、移动光标以选定操作块2、c 剪切选定块或 y 复制选定块3、p 将选定内容贴在光标所在位置右手边在vi中删除x/:删除一个字符nx:删除下n个字符dd:删除当前行dw:删至词尾ndw:删除后n个词d$:删至行尾nd$:删除后n行在vi中剪贴yy:选定光标所在行复制yw:选定光标所在词复制nyw:选定光标所在位置到之后n个单词复制y$:选定光标所在位置到行尾的部分复制p:贴在光标所在位置之右P:贴在光标所在位置之左命令模式,取消操作u:取消上一个更动U:取消一行内的所有更动:e! :放弃所有更动,重新编辑当我们想要自己给文件输入内容使用什么模式?编辑模式/插入模式恩,当我们进入的时候是属于命令模式。
第一章get started with the gnome graphical desktop1、using the gnome desktop2、editing files with gedit第二章manage files graphically with nautilus1、nautilus file manager #using nautilus2、using remote storage3、managing local files with nautilus4、accessing remote file systems in nautilus5、managing remote fiels with nautilus6、copy,move ,and remove remote files第三章get help in a graphical environment1、research local documentation2、research on-line documentation3、getting the most from Red Hat Global Support Services第四章configure local services1、understand the role of the root user2、manage the system clock3、configure printers4、manage print queues5、manage print jobs6、print job management第五章get started with bash1、introducing to bash2、using the command line3、using bash4、launching graphical tools from bash第六章manage physical storage I1、IBM PC storage model2、Determine disk usage3、Manage virtual guests4、Create a new file system5、Describe MBR,Primary,Extended ,and logical partitions6、List available disk devices7、Introduce classroom virtual machines8、Create a new disk partition, format it with a file system and use it . 第七章Manage logical volumes1、LVM(logical volume management ) concepts and terms2、Displaying LVM usage3、Deploying LVM4、Extending LVM storage5、Extending a file system on LVM6、Removing a disk from LVM7、General LVM concepts and terms8、Displaying current LVM usage9、Initial LVM deployment10、Extending a volume group11、extending a logical volume12、Removing a physical volume第8章M onitor system resources1、processes, priorities ,and signals #understand2、system monitor #monitor processes bye CPU or Memory3、process management #manage running processes4、Terminate and change process priority5、Monitor disk usage #disk usage analyzer6、Monitoring processes and filesystems第9章manage system software1、software inventory2、Red Hat Network (RHN) registration3、manage packages4、Identify installed packages5、Using packageKit6、Register with Red HAT network (RHN)(1)what is red hat network ?(2) using rhn_register7、install ,remove,and update packages8、software management & update and install software第10章get help in a textual environment1、man reader(1)read documentation using man(2)navigating man pages(3)identify relevant man pages by keyword2、searching for keywords3、pinfo reader #read documentation using pinfo4、additional package documentation5、documentation in /usr/share/doc第11章establish network connectivity1、IPV4 concepts2、Linux network configuration3、Confirming network functionality4、Essential network concepts5、Ipv6 networking concepts6、Network routing and dns concepts第12章administer users and groups1、user and group administration2、creating ,and deleting users3、disabling user accounts4、creating and deleting groups5、changing group memberships6、managing password aging policies第13章manage files from the command line1、linux file system hierarchy2、absolute path names3、file/directory management commands4、relative path names5、command line file management6、save typing with relative path names7、relative path name applications: gather vs.scantter第14章secure linux file access1、user/group/other (UGO)security scheme2、nautilus file security3、cmmand line file security4、manage permissions using GUI tools5、manage permissions from the command line6、changing file/directory user or group ownership7、special permissions第15章administrattor remote systems1、remote shell access2、remote file transfers3、archives and compression4、SSH keys第16章configure general services1、managing network services2、SSH hardening3、Desktop server (VNC) configuration4、Secure remote desktop access5、Deploy a generic network service6、Securing SSH access7、Configuring a VNC server8、Secure Access to a remote GNOME desktop 第17章manage physical storage II1、file system parameters2、modify file system parameters3、partition removal4、swap space concepts5、swap space management6、examine filesystem parameters7、delete an existing partition8、swap space concepts第18章install linux graphically1、anaconda: Red Hat Enterprise Linux’s installer2、Firstboot customization3、Graphical installation with Anaconda getting started with Anaconda4、Troubleshooting Anaconda5、Post-install configuration with firstboot第19章manage virtual machines1、KVM virtualization2、Virtual guest installation3、Autostart at boot4、Introduction to KVM virtualization5、Virtual guest installation6、Configuring guests to start at boot time7、Configuring virtual machines at boot-time第20章control the boot process1、boot an alternate kernel2、boot into a specific runlevel3、overcome bootloader misconfigurations4、/boot/grub/grub.conf5、Kernel boot parameters6、/etc/inittab7、Booting an alternate kernel8、Booting into a different runlevel9、Changing the root password10、Resolve grub issues11、Making persistent grub changes12、Passing kernel arguments13、Passing kernel arguments14、Changing the default runlevel第21 章deploy file sharing services1、ftp server deployment2、ftp server configuration3、web server deployment4、web server configuration5、deploy an ftp server6、ftp server configuration7、restrict ftp access8、deploy a web serverservice vsftpd restartchkconfig vsftpd onvsftpd的配置文件见:/etc/vsftpd/vsftpd.confvsftp server的默认根目录为/var/ftp/pub , 我们也可以通过annon_root= “”来修改。
rhce知识点:
一、作为Linux系统认证的考试,需要理解和熟悉Linux操作系统是非常重要的。
你需要到redhat原厂重庆思庄认证学习中心学习Linux的基本架构、内核原理、文件系统及目录结构等。
二、网络配置和管理:RHCE考试中涉及到网络配置和管理的内容很多。
你需要学习如何设置IP地址、子网掩码、网关等基本网络设置,还需要学习如何配置和管理网络接口、路由、防火墙以及网络服务等。
三、系统安全:RHCE考试对系统安全的要求较高。
你需要学习如何配置和管理安全策略、使用防火墙和SELinux进行安全保护、使用密钥和证书进行远程登录等。
四、Shell脚本编程:熟练掌握Shell脚本编程是成为一名RHCE的关键技能。
也需要学习Shell基本语法、流程控制、函数、变量和输入输出等。
五、服务和应用管理:RHCE考试还涉及到服务和应用的管理。
同时也学习如何安装、配置和管理常见的服务和应用程序,如Web服务器、数据库服务器、邮件服务器等。
六、故障排除和性能优化:学习RHCE的同时需要学习如何快速诊断和解决系统故障,并进行性能优化。
使用系统日志、监测工具和性能调优命令进行故障排查和性能优化。
I.监控管理进程/日志管理/控制服务和守护进程124-7 监控和管理进程一、进程基本概念1、一个进程组成部分1)已分配的内存地址空间2)安全属性、包括所有凭据和特权3)程序代码的一个或多个执行线程4)进程状态2、进程的环境1)本地和全局变量2)当前调度上下文3)分配的系统资源,如文件描述符和网络端口3、父进程和子进程及进程的生命周期1)systemd是所有进程父进程。
2)父进程生成子进程,并为其调度资源。
3)子进程处于前端(显示)。
4)子进程exit后,其运算资源为可被调用,由父进程回收。
5)如果子进程的资源未被父进程回收(父进程意外关闭),将处于僵尸状态,导致内存泄露,资源减少。
二、进程状态1、进程状态关系图2、进程状态表1)Sleep为等待状态,如ping间隔时(主要看应用)如cp进程也会在拷贝过程中sleep,cpu释放进行其他作业,cpu等待i/o结束后再唤醒复制进程。
由于cp进程在复制期间保持不能中断,进程等待。
2)常见状态:R S T ——R状态取决于cpu核数,大部分为S,Z为瞬间出现。
3、查看进程1)使用ps命令可查看当前终端的进程,参数如下:2)常见组合:aux,-ef,-o <title>三、控制作业1、作业控制1)作业控制是shell的一种功能,允许单个shell实例运行和管理多个命令2)每个终端有一个会话(具有一个前台进程和多个后台进程),一个作业只能它所在的终端的会话3)作业可以前台运行也可以后台运行2、查看作业和调度作业1)Jobs命令可以查看当前shell的后台作业2)fg 命令可以将后台作业调到前台3、操作示例四、中断信号1、基本信号管理2、中断信号操作1)kill -l 列举信号2)kill -信号pid暂停一个作业:kill -19 %1恢复一个作业:kill -18 %13)killall 批量杀进程,可匹配关键字4)pkill 针对用户、组中断进程五、监控进程活动1、查看CPU参数1)cat /proc/cpuinfo:查看cpu信息2、查看CPU使用1)uptime 查看1/5/15分钟的cpu使用3、top监控进程动态1)top命令看到系统进程的动态视图2)top操作键135-4 管理进程优先级一、进程优先级和NICE1、Priority和Nice1)进程cpu资源分配就是指进程的优先权(priority),优先权高的进程有优先执行权利。
RHCE笔记(监控管理进程-日志管理-控制服务和守护进程)7I.监控管理进程/日志管理/控制服务和守护进程124-7 监控和管理进程一、进程基本概念1、一个进程组成部分1)已分配的内存地址空间2)安全属性、包括所有凭据和特权3)程序代码的一个或多个执行线程4)进程状态2、进程的环境1)本地和全局变量2)当前调度上下文3)分配的系统资源,如文件描述符和网络端口3、父进程和子进程及进程的生命周期1)systemd是所有进程父进程。
2)父进程生成子进程,并为其调度资源。
3)子进程处于前端(显示)。
4)子进程exit后,其运算资源为可被调用,由父进程回收。
5)如果子进程的资源未被父进程回收(父进程意外关闭),将处于僵尸状态,导致内存泄露,资源减少。
二、进程状态1、进程状态关系图2、进程状态表1)Sleep为等待状态,如ping间隔时(主要看应用)如cp进程也会在拷贝过程中sleep,cpu释放进行其他作业,cpu等待i/o结束后再唤醒复制进程。
由于cp进程在复制期间保持不能中断,进程等待。
2)常见状态:R S T ——R状态取决于cpu核数,大部分为S,Z为瞬间出现。
3、查看进程1)使用ps命令可查看当前终端的进程,参数如下:2)常见组合:aux,-ef,-o三、控制作业1、作业控制1)作业控制是shell的一种功能,允许单个shell实例运行和管理多个命令2)每个终端有一个会话(具有一个前台进程和多个后台进程),一个作业只能它所在的终端的会话3)作业可以前台运行也可以后台运行2、查看作业和调度作业1)Jobs命令可以查看当前shell的后台作业2)fg 命令可以将后台作业调到前台3、操作示例rj公司车辆运输安全生产管理制度[1]收集资料1乔元星安全生产管理制度第一章公司概况深圳市乔元星科技有限公司成立于二零零陆年四月廿四日,注册资金为50万元,经营范围是塑胶五金模具的技术开发、生产加工、销售、上门维修,化工原料、化工产品购销,国内贸易,货物及技术进出口。
目录RHCE 学习笔记 (3)一、破解ROOT密码 (3)二、设置不能破解ROOT密码 (4)三、防火墙 (7)四、SELinux配置 (12)4.1 SELinux的三种模式、两种策略 (12)五SSH远程登录协议 (17)六、system-config-工具 (19)七、LVM逻辑卷轴(LVM) (19)7.1 LVM组件 (19)7.2 使用终端SHELL来管理LVM (23)八、kickstart无人值守安装(踢一脚就开始) (26)九、磁盘主引导记录MBR使用和修复 (30)十、网络共享访问 (34)RHCE 学习笔记一、破解ROOT密码步骤一:在5S中内,抓住时机;按任意键(除Enter键之外),进入操作系统菜单项。
步骤二:注意界面提示,按住E表示编辑菜单项。
步骤三:按住E进入菜单编辑项。
选择内核操作,给当前内核发送一个1或者single,启动后进入单用户模式。
步骤四:按Enter键进入操作系统界面,按B单用户模式启动。
步骤五:进入单用户模式,我们先要关闭SELinux,用getenforce获取状态,用setenforce更改。
密码更改完毕,输入init6重新启动。
二、设置不能破解ROOT密码步骤一:如何防止他人更改密码呢?单用户加密(重要说明:在grub.conf文件中,输入加密密码。
有明文加密和MD5加密两种)[root@huatech ~]# grub-md5-cryptPassword: jstvpsRetype password: jstvps$1$BQRsl1$1KNVkYSKSzvK3rZeLk.Nb0步骤二:把秘钥输入到grub.conf中。
建议:先备份grub.conf文件。
[root@huatech ~]# cp /boot/grub/grub.conf /boot/grub/grub.conf.bak[root@huatech ~]# vim /boot/grub/grub.conf步骤三:此时按E键无法进行编辑,只有先按P键,输入密码,才能进行编辑。
步骤四:也可以明文,直接在title之前输入password 。
三、防火墙在Centos中,防火墙功能显著,可实现相当深入的防火墙设置,属于内核级防火墙。
步骤一:安装、卸载、升级、检查安装。
步骤二:使用GUI图形化管理firewall。
[root@huatech ~]# system-config-firewall步骤三:防火墙基本规则语法。
限制来源端口、IP访问目标端口、目标IP。
[root@huatech ~]# iptables -A INPUT -i eth0 -s 192.168.1.0/24 -p tcp --dport 21 22 -j ACCEPT【禁止SSH端口】[root@huatech ~]# iptables -A INPUT -i eth0 -s 202.102.224.68 -p tcp --dport 22 -j DROP【禁止代理端口】[root@huatech ~]# iptables -A INPUT -i eth0 -s 202.102.224.68 -p tcp --dport 3128 -j DROP步骤四:保存和查看防火墙规则。
[root@huatech ~]# /etc/init.d/iptables saveiptables:将防火墙规则保存到/etc/sysconfig/iptables:[确定]步骤五:防火墙默认规则的清除。
步骤六:打开Linux的路由转发功能。
[root@huatech ~]# echo "1">/proc/sys/net/ipv4/ip_forward [root@huatech ~]# vim /etc/sysctl.confnet.ipv4.ip_forward = 1[root@huatech ~]# sysctl –p步骤七:NAT网络地址解析功能,SNAT配置。
--------------------------------典型的NAT上网-------------------------------------------------- 案例:一般做为NAT的计算机同时也是局域网的网关,假定该机有两块网卡eth0、eth1,eth0连接外网,IP为202.96.134.134;eth1连接局域网,IP为192.168.62.10 [root@huatech ~]# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 202.102.224.68[root@huatech ~]# iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j SNAT --to-source 202.102.224.68步骤八:NAT网络地址解析功能,DNAT功能配置。
[root@huatech ~]# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.2:80[root@huatech ~]# iptables -t nat -A PREROUTING -i eth0 -s 192.168.1.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.3.2:80步骤九:NAT功能,端口映射。
[root@huatech ~]# iptables -t nat -A PREROUTING -i eth0 -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-ports 3128-------------------------------------透明代理------------------------------------------------------- 步骤十:智能DNS,智能DNS解析。
[root@huatech ~]# iptables -t nat -A PREROUTING -i eth0 -s 192.168.1.0/24 -p tcp --dport 53 -j DNAT --to-destination 202.102.224.68[root@huatech ~]# iptables -t nat -A PREROUTING -i eth0 -s 192.168.1.0/24 -p udp --dport 53 -j DNAT --to-destination 202.102.224.68[root@huatech ~]# iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -p tcp --dport 53 -j SNAT --to-source 202.102.224.68[root@huatech ~]# iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -p udp --dport 53 -j SNAT --to-source 202.102.224.68步骤十一:保存防火墙规则[root@huatech ~]# /etc/init.d/iptables save[root@huatech ~]# iptables -A INPUT -m state --state INVALID -j DROP[root@huatech ~]# iptables -A OUTPUT -m state --state INVALID -j DROP [root@huatech ~]# iptables -A FORWARD -m state --state INVALID -j DROP [root@huatech ~]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT[root@huatech ~]# iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT四、SELINUX配置SELinux称为安全增强型Linux,也是保护系统的安全机制,它也属于内核级别的服务。
SELinux工作原理:主体是程序、访问是目标、由正常policy决定。
4.1 SELINUX的三种模式、两种策略[root@huatech ~]# vim /etc/selinux/config步骤一:未启用状态,禁用模式。
网页无论放在哪个目录下,程序都可以访问。
同时,系统不做log。
步骤二:许可模式=默认模式,网页无论放在哪个目录下,程序都可以访问,同时,系统做log。
步骤三:强制模式。
网页制定存放在自己的根目录下,可以访问,并受SELinux。
系统做log。
步骤四:查看SELinux的状态。
并更改模式。
步骤五:查看SELInux的权限。
[root@huatech ~]# ll -Zd /var/www/htmldrwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html 步骤六:与SELinux相关的几个命令。
[root@huatech ~]# yum -y install setroubleshoot[root@huatech ~]# /etc/init.d/auditd restart停止auditd:[确定]正在启动auditd:[确定] [root@huatech ~]# yum -y install setroubleshoot-server[root@huatech ~]# mv index.html /var/www/html[root@huatech ~]# cat /var/log/messages|grep run[root@huatech ~]# chcon -Rv -t httpd_sys_content_t/var/www/html/index.html正在更改"/var/www/html/index.html" 的安全环境[root@huatech ~]# restorecon -Rv /var/www/html/index.html[root@huatech ~]# getsebool -a|grep httpd allow_httpd_anon_write --> offallow_httpd_mod_auth_ntlm_winbind --> off allow_httpd_mod_auth_pam --> offallow_httpd_sys_script_anon_write --> off httpd_builtin_scripting --> onhttpd_can_check_spam --> offhttpd_can_network_connect --> offhttpd_can_network_connect_cobbler --> off httpd_can_network_connect_db --> offhttpd_can_network_memcache --> offhttpd_can_network_relay --> offhttpd_can_sendmail --> offhttpd_dbus_avahi --> onhttpd_enable_cgi --> onhttpd_enable_ftp_server --> offhttpd_enable_homedirs --> offhttpd_execmem --> offhttpd_manage_ipa --> offhttpd_read_user_content --> offhttpd_run_stickshift --> offhttpd_setrlimit --> offhttpd_ssi_exec --> offhttpd_tmp_exec --> offhttpd_tty_comm --> onhttpd_unified --> onhttpd_use_cifs --> offhttpd_use_gpg --> offhttpd_use_nfs --> offhttpd_use_openstack --> offhttpd_verify_dns --> off[root@huatech ~]# setsebool -P httpd_enable_homedirs=1五SSH远程登录协议Secure Shell=SSH。
