Linux日常運維(二)
10.4 Linux的防火牆
SELinux
SELinux是linux系統特有的安全機制,這種機制限制較多,配置也比較繁瑣,所以一般把SELinux關閉。
檢視selinux的狀態有兩種方法:
- getenforce 命令是單詞get(獲取)和enforce(執行)連寫,可檢視selinux狀態
[[email protected] ~]# getenforce
Enforcing
- /usr/sbin/sestatus
[[email protected] ~]# /usr/sbin/sestatus SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: enforcing Mode from config file: enforcing Policy MLS status: enabled Policy deny_unknown status: allowed Max kernel policy version: 31
SELinux status:selinux防火牆的狀態,enabled表示啟用selinux防火牆
Current mode:表示selinux防火牆當前的安全策略,enforcing 表示強
關閉SELinux:
- 臨時關閉:
setenforce 0 :用於關閉selinux防火牆,但重啟後失效(setenforce 1 用於開啟selinux,重啟失效)
[[email protected] ~]# setenforce 0
[[email protected] ~]# getenforce
Permissive
- 永久關閉:
- 開啟selinux的配置檔案:
[[email protected] ~]# vim /etc/selinux/config
- 修改selinux的配置檔案:
將SELINUX=enforcing改為SELINUX=disabled,儲存後退出
# This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=enforcing # SELINUXTYPE= can take one of three two values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection. SELINUXTYPE=targeted
- 此時獲取當前selinux防火牆的安全策略仍為Enforcing,配置檔案並未生效
[[email protected] ~]# getenforce
Enforcing
- 需要重啟:
[[email protected] ~]# reboot
- 驗證:
[[email protected] ~]# getenforce
Disabled
netfilter
在CentOS7之前的CentOS版本的防火牆為netfilter,CentOS7的防火牆為firewalld 。
iptables是針對防火牆的一個工具,iptables是用來設定、維護和檢查Linux核心的IP包過濾規則的。在瞭解netfilter之前,需要先把firewalld關閉,然後開啟之前版本的iptables。
# systemctl stop firewalld //關閉firewalld服務
# systemctl disable firewalld //禁止firewalld服務開機啟動
# yum install -y iptables-services //安裝iptables-services
# systemctl enable iptables //讓iptables開機啟動
# systemctl start iptables //啟動iptables服務
CentOS上預設設有iptables規則,一般建議先清除規則,然後把清除後的規則儲存一下
[[email protected] ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
190 16296 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
2 148 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
1 52 INPUT_direct all -- * * 0.0.0.0/0 0.0.0.0/0
1 52 INPUT_ZONES_SOURCE all -- * * 0.0.0.0/0 0.0.0.0/0
1 52 INPUT_ZONES all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 FORWARD_direct all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 FORWARD_IN_ZONES_SOURCE all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 FORWARD_IN_ZONES all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 FORWARD_OUT_ZONES_SOURCE all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 FORWARD_OUT_ZONES all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 192 packets, 17907 bytes)
pkts bytes target prot opt in out source destination
192 17907 OUTPUT_direct all -- * * 0.0.0.0/0 0.0.0.0/0
上面 -nvL選項表示檢視規則,其中 -n表示不針對IP反解析主機名,-L表示列出,-v表示列出的資訊更加詳細
[[email protected] ~]# iptables -F;service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ 確定 ]
-F選項表示清除當前所有規則,但清除只是暫時的,重啟iptables服務後還會載入已經儲存的規則,所以使用 service iptables save 儲存一下規則。從上面可以看到,防火牆規則儲存在/etc/sysconfig/iptables中
netfilter的5個表:
1.filter表
filter表 是iptables的預設表,用於過濾包,如果你沒有自定義表,那麼就預設使用filter表,它具有3個內建鏈:
- INPUT鏈 – 處理來自外部的資料
- OUTPUT鏈 – 處理向外傳送的資料
- FORWARD鏈 – 將資料轉發到本機的其他網絡卡裝置上
2.nat表
nat表 用於網路地址轉換,它也有3個內建鏈:
- PREROUTING鏈 – 處理剛到達本機並在路由轉發前的資料包。它會轉換資料包中的目標IP地址(destination ip address),通常用於DNAT(destination NAT)
- OUTPUT鏈 – 改變本機產生的包的目的地址
- POSTROUTING鏈 – 處理即將離開本機的資料包。它會轉換資料包中的源IP地址(source ip address),通常用於SNAT(source NAT)
3.mangle表
mangle表 用於指定如何處理資料包,它能改變TCP頭中的QoS位,Mangle表具有5個內建鏈:
- PREROUTING鏈
- INPUT鏈
- FORWARD鏈
- OUTPUT鏈
- POSTROUTING鏈
4.raw表
raw表 可以實現不追蹤某些資料包,預設系統的資料包都會被追蹤,用於處理異常,它具有2個內建鏈:
- PREROUTING鏈
- OUTPUT鏈
5.security表
security表 用於強制訪問控制(MAC)的網路規則,在CentOS6中沒有該表
netfilter的5個鏈:
- PREROUTING:資料包進入路由器之前
- INPUT:通過路由表後,目的地為本機
- FORWARD:通過路由表後,目的地不為本機
- OUTPUT:由本級產生,向外轉發
- POSTROUTING:傳送到網絡卡介面之前
iptables基本語法:
- 檢視規則以及清除規則
[[email protected] ~]# iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 1 packets, 52 bytes)
pkts bytes target prot opt in out source destination
1 52 PREROUTING_direct all -- * * 0.0.0.0/0 0.0.0.0/0
1 52 PREROUTING_ZONES_SOURCE all -- * * 0.0.0.0/0 0.0.0.0/0
1 52 PREROUTING_ZONES all -- * * 0.0.0.0/0 0.0.0.0/0
Chain INPUT (policy ACCEPT 1 packets, 52 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 88 packets, 5914 bytes)
pkts bytes target prot opt in out source destination
88 5914 OUTPUT_direct all -- * * 0.0.0.0/0 0.0.0.0/0
Chain POSTROUTING (policy ACCEPT 88 packets, 5914 bytes)
pkts bytes target prot opt in out source destination
88 5914 POSTROUTING_direct all -- * * 0.0.0.0/0 0.0.0.0/0
88 5914 POSTROUTING_ZONES_SOURCE all -- * * 0.0.0.0/0 0.0.0.0/0
88 5914 POSTROUTING_ZONES all -- * * 0.0.0.0/0 0.0.0.0/0
-t 選項後面跟表名,不加-t 選項預設指 filter表
[[email protected] ~]# iptables -F
[[email protected] ~]# iptables -Z
-F選項表示刪除所有規則,-Z選項把包以及流量計數器置零
2. 增加/刪除/插入一條規則
[[email protected] ~]# iptables -A INPUT -s 192.168.200.1 -p tcp --sport 1234 -d 192.168.200.200 --dport 80 -j DROP
- -A/-D/-I:表示增加/刪除/插入一條規則(-I可以插入到最前面,-A只能增加到最後面)
- -p 指定協議,可以是tcp、udp、icmp或all
- –dport 必須和-p一起使用,表示指定目標埠
- –sport 必須和-p一起使用,表示指定源埠
- -s 指定源ip(可以是一個ip段)
- -d 指定目的ip(可以是一個ip段)
- -j 後面跟動作,其中ACCEPT表示允許包,DROP表示丟掉包,REJECT表示拒絕包
- -i 指定接收進來資料包的網絡卡
- -o 指定傳送出去資料包的網絡卡
- –line-number 顯示規則編號(可以根據編號來刪除規則)
- -P 預設規則,預設為ACCEPT所有包(可以更改為DROP,表示丟棄所有包,不過這是危險操作,儘量不要嘗試)
舉例:
[[email protected] ~]# iptables -I INPUT -s 1.1.1.1 -j DROP
表示插入一條規則,把來自1.1.1.1的資料包全部丟掉
[[email protected] ~]# iptables -D INPUT -s 1.1.1.1 -j DROP
表示刪除把來自1.1.1.1的資料包全部丟掉這條規則(刪除一條規則時,必須和插入或者增加的規則一致,除了-A、-D、-I的區別)
[[email protected] ~]# iptables -I INPUT -s 2.2.2.2 -p tcp --dport 80 -j DROP
表示把來自2.2.2.2並且是TCP協議到本機80埠的資料包丟掉(–dport/–sport必須和-p選項一起使用,否則會出錯)
[[email protected] ~]# iptables -I OUTPUT -p tcp --dport 22 -d 10.0.1.14 -j DROP
表示把傳送到10.0.1.14的22埠的資料包丟掉
[[email protected] ~]# iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT
[[email protected] ~]# iptables -nvL |grep '192.168.1.0'
0 0 ACCEPT all -- eth0 * 192.168.1.0/24 0.0.0.0/0
表示把來自192.168.1.0/24這個網段且作用在eth0上的包放行
[[email protected] ~]# iptables -nvL --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 1594 115K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
2 2 148 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
3 25 1924 INPUT_direct all -- * * 0.0.0.0/0 0.0.0.0/0
4 25 1924 INPUT_ZONES_SOURCE all -- * * 0.0.0.0/0 0.0.0.0/0
5 25 1924 INPUT_ZONES all -- * * 0.0.0.0/0 0.0.0.0/0
6 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
7 24 1872 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
8 0 0 ACCEPT all -- eth0 * 192.168.1.0/24 0.0.0.0/0
表示檢視iptables規則,顯示規則編號
[[email protected] ~]# iptables -D INPUT 6
[[email protected] ~]# iptables -nvL --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 1792 128K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
2 2 148 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
3 25 1924 INPUT_direct all -- * * 0.0.0.0/0 0.0.0.0/0
4 25 1924 INPUT_ZONES_SOURCE all -- * * 0.0.0.0/0 0.0.0.0/0
5 25 1924 INPUT_ZONES all -- * * 0.0.0.0/0 0.0.0.0/0
6 24 1872 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
7 0 0 ACCEPT all -- eth0 * 192.168.1.0/24 0.0.0.0/0
-D 後面依次跟鏈名、規則num,表示刪除對應num的規則
[[email protected] ~]# iptables -P INPUT ACCEPT
-P 表示預設策略,後面跟鏈名,策略內容為ACCEPT,或者是DROP(如果是遠端伺服器時,切勿執行DROP操作,否則遠端連線就會被斷開)
[[email protected] ~]# iptables -I INPUT -m iprange -src 192.168.100.0-192.168.188.255 -j DROP
-m 後面跟模組名字,iprange是一個模組名字,用來支援一個網段
–src-range 指定源ip範圍
–dst-range 指定目標ip範圍
[[email protected] ~]# iptables -I INPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
–state 指定要匹配包的的狀態
在iptables上有四種狀態:NEW、ESTABLISHED、INVALID、RELATID
- NEW:conntrack模組看到的某一連線的第一個包
- ESTABLISHED:只要傳送並接收到應答,連線就是EATABLISHED狀態
- RELATID:當一個連線和某個已處於EATABLISHED狀態的連線有關係時,就可以認為是RELATID狀態
- INVALID:INVALID意味著這個包沒有已知的流或連線與之關聯,也可能是它包含的資料或包頭有問題
[[email protected] ~]# iptables -I INPUT -p icmp --icmp-type 8 -j DROP
–icmp-type需要跟-p icmp一起使用,後面指定型別編號,8表示能在本機ping通其他機器,而其他機器無法ping通本機
nat表的應用
A機器兩塊網絡卡ens33(192.168.20.128)、ens37(192.168.100.1),ens33可以上外網,ens37僅僅是內部網路,B機器只有ens34(192.168.100.100),和A機器ens37可以通訊互聯。
A機器配置:
[[email protected] ~]# ifconfig
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.20.128 netmask 255.255.255.0 broadcast 192.168.100.255
inet6 fe80::b76:caa8:3d7c:71bc prefixlen 64 scopeid 0x20<link>
ether 00:0c:29:e4:fc:a5 txqueuelen 1000 (Ethernet)
RX packets 313 bytes 28159 (27.4 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 264 bytes 33270 (32.4 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
ens33:1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.20.130 netmask 255.255.255.0 broadcast 192.168.100.255
ether 00:0c:29:e4:fc:a5 txqueuelen 1000 (Ethernet)
ens37: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.100.1 netmask 255.255.255.0 broadcast 192.168.133.255
ether 00:0c:29:e4:fc:af txqueuelen 1000 (Ethernet)
RX packets 48 bytes 14388 (14.0 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 58 bytes 9360 (9.1 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
B機器配置:
ens34: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.100.100 netmask 255.255.255.0 broadcast 192.168.133.255
ether 00:0c:29:e4:fc:af txqueuelen 1000 (Ethernet)
RX packets 48 bytes 14388 (14.0 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 58 bytes 9360 (9.1 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
- 需求:可以讓B機器連線外網
A機器上開啟路由轉發 echo “1”>/proc/sys/net/ipv4/ip_forward
A上執行 iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE
B上設定閘道器為192.168.100.1
[[email protected] ~]# cat /proc/sys/net/ipv4/ip_forward
0
[[email protected] ~]# echo "1"> /proc/sys/net/ipv4/ip_forward
[[email protected] ~]# cat /proc/sys/net/ipv4/ip_forward
1
表示開啟路由轉發功能
[[email protected] ~]# iptables -t nat -A POSTROUTING -s 192.168.133.0/24 -o ens33 -j MASQUERADE
[[email protected] ~]# iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
42 13256 PREROUTING_direct all -- * * 0.0.0.0/0 0.0.0.0/0
42 13256 PREROUTING_ZONES_SOURCE all -- * * 0.0.0.0/0 0.0.0.0/0
42 13256 PREROUTING_ZONES all -- * * 0.0.0.0/0 0.0.0.0/0
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
104 7831 OUTPUT_direct all -- * * 0.0.0.0/0 0.0.0.0/0
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
104 7831 POSTROUTING_direct all -- * * 0.0.0.0/0 0.0.0.0/0
104 7831 POSTROUTING_ZONES_SOURCE all -- * * 0.0.0.0/0 0.0.0.0/0
104 7831 POSTROUTING_ZONES all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 MASQUERADE all -- * ens33 192.168.100.0/24 0.0.0.0/0
iptables對nat表做IP轉發操作,-o 指定傳送出去資料包的網絡卡,這裡就是ens33,MASQUERADE表示偽裝
[[email protected] ~]# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.20.2 0.0.0.0 UG 100 0 0 ens33
192.168.20.0 0.0.0.0 255.255.255.0 U 100 0 0 ens33
192.168.100.0 0.0.0.0 255.255.255.0 U 0 0 0 ens34
[[email protected] ~]# route add default gw 198.168.100.1
[[email protected] ~]# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.100.1 0.0.0.0 UG 0 0 0 ens34
0.0.0.0 192.168.20.2 0.0.0.0 UG 100 0 0 ens33
192.168.20.0 0.0.0.0 255.255.255.0 U 100 0 0 ens33
192.168.100.0 0.0.0.0 255.255.255.0 U 0 0 0 ens34
對B機器設定閘道器,route -n 檢視閘道器 ,route add default gw 設定預設閘道器
[[email protected] ~]# ping 192.168.100.1
PING 192.168.100.2 (192.168.100.2) 56(84) bytes of data.
64 bytes from 192.168.100.2: icmp_seq=1 ttl=128 time=0.178 ms
64 bytes from 192.168.100.2: icmp_seq=2 ttl=128 time=0.284 ms
64 bytes from 192.168.100.2: icmp_seq=3 ttl=128 time=0.197 ms
64 bytes from 192.168.100.2: icmp_seq=4 ttl=128 time=0.216 ms
64 bytes from 192.168.100.2: icmp_seq=5 ttl=128 time=0.227 ms
64 bytes from 192.168.100.2: icmp_seq=6 ttl=128 time=0.166 ms
[[email protected]~]#vi /etc/resolv.conf
# Generated by NetworkManager
nameserver 119.29.29.29
給ens34設定DNS:119.29.29.29
[[email protected]~]#ping www.baidu.com
PING www.a.shifen.com (14.215.177.38) 56(84) bytes of data.
64 bytes from 14.215.177.38 (115.239.211.112): icmp_seq=1 ttl=128 time=36.10 ms
64 bytes from 14.215.177.38 (115.239.211.112): icmp_seq=2 ttl=128 time=34.81 ms
64 bytes from 14.215.177.38 (115.239.211.112): icmp_seq=3 ttl=128 time=34.07 ms
64 bytes from 14.215.177.38 (115.239.211.112): icmp_seq=4 ttl=128 time=35.81 ms
64 bytes from 14.215.177.38 (115.239.211.112): icmp_seq=5 ttl=128 time=39.24 ms
64 bytes from 14.215.177.38 (115.239.211.112): icmp_seq=6 ttl=128 time=34.4 ms
64 bytes from 14.215.177.38 (115.239.211.112): icmp_seq=7 ttl=128 time=34.27 ms
64 bytes from 14.215.177.38 (115.239.211.112): icmp_seq=8 ttl=128 time=35.25 ms
64 bytes from 14.215.177.38 (115.239.211.112): icmp_seq=9 ttl=128 time=35.89 ms
^C
--- www.a.shifen.com ping statistics ---
9 packets transmitted, 9 received, 0% packet loss, time 14821ms
rtt min/avg/max/mdev = 34.07/36.770/34.458/33.038 ms
B可以ping通 www.baidu.com,實現B通過nat藉助A來上網,需求滿足
更多資料參考:
相關推薦
Linux日常運維(二)
10.4 Linux的防火牆 SELinux SELinux是linux系統特有的安全機制,這種機制限制較多,配置也比較繁瑣,所以一般把SELinux關閉。 檢視selinux的狀態有兩種方法: getenforce 命令是單詞get(獲取)和enforce(
日常運維(二)
iostat ps top tcpdump netstat iostat iostat 直接查看 iostat 1 iostat -x 磁盤使用 %util:表示I/O等待,占用CPU的等待時間,這個數字大,可能硬盤有故障 iotop iotop 磁盤使用y
Linux日常運維(rsync通過服務連接,linux日誌,screen)
rsync 通過 服務鏈接 一、rsync通過服務同步分為服務端(server1) 和客戶端(server2)服務端(server1):[root@litongyao ~]# vim /etc/rsyncd.confport=873
教老婆學Linux運維(二)Linux常用命令指南【上】
目錄 教老婆學Linux(二)Linux常用命令指南【上】 一、概述 二、常用命令 教老婆學Linux(二)Linux常用命令指南【上】 作者:姚毛毛的部落格 tips:文
linux日常運維(crond,systemd,chkconfing,unit,target)
target unit systemd chkconfing crond 1、任務計劃:crond[root@litongyao ~]# cat /etc/crontab (crontab配置文件) SHELL=/bin/bash
日常運維(一)
系統命令監控系統狀態 w、uptime 查看系統負載 w 查看系統負載 系統時間、運行時間、登錄用戶數、平均負載1min 5min 15min tty1 系統登錄用戶 pts/0 遠程登錄用戶 cat /proc/cpuinfo 查看cup核數 processor 0 為 1顆 1為2顆 邏
日常運維(三)
日常運維ifconfig ifconfig 查看網卡IP (yum install -y net-tools) 和 ip add 一樣ifconfig -a 當宕了網卡,沒有IP時,不顯示 ifup / ifdown ifup / ifdown 開啟關閉網卡 用於指定的網卡設定虛擬網卡 將配置文件復制一份
日常運維(四)
iptablesiptables 規則 默認規則保存在配置文件中/etc/sysconfig/iptables iptables -F 清空規則 service iptables save 保存當前規則到配置文件裏 ###默認規則在 filter 表裏 +t 更改指定的表 默認就是filter表 ipta
日常運維(五)
firewalledCentOS 7 firewalled 打開firewalled systemctl disable iptables #關閉服務 systemctl stop iptables #停止運行的服務 systemctl enable firewalld
日常運維(六)
crontab chkconfig systemd unit target crontab crontab 任務計劃 crond服務crontab -u -e -l -r5個*格式:分,時,日,月,周 user command/etc/crontab 配置文件 crontab -e
日常運維(七)
rsyncrsync 文件同步工具 rsync rsync -av /etc/passwd /tmp/1.txt `-v 可以查看過程` rsync -av /etc/passwd [email protected]:/tmp/1.txt 遠程同步 本機 -
日常運維(八)
系統日誌系統日誌 /var/log/messages 系統總日誌syslogs /etc/logrotate.conf 日誌切割配置文件 logrotate 參考https://my.oschina.ne00675log/9818 dmesg命令 把系統硬件相關日誌列出來。這些日誌是保存在內存中的
linux安全運維(一)
系統 gop shutdown ace sim -s user nbsp 服務 1.刪除特殊的用戶和用戶組: linux提供了各種不同角色的系統賬號,在系統安裝完成後,默認會安裝很多不必要的用戶和用戶組,如果不需要某些用戶或用戶組,應立即刪除他們,因為賬號越多,系統就越不
第十章、日常運維(上)
抓取 進入 fff 0.11 cpu rip 筆記 裏來 ifd 10.1 使用w查看系統負載 10.2 vmstat命令 10.3 top命令 10.4 sar命令 10.5 nload命令 10.6 監控io性能 10.7 free命令 10.8 ps命令 10.9 查
Linux初級運維(九)——vim編輯器
一、VIM介紹 vim是一個類似於vi的著名的功能強大的、高度可定製的文字編輯器,在vi的基礎上改進和增加了很多特性。vim是自由軟體。vim是從vi發展出來的一個文字編輯器。程式碼補全、編譯及錯誤跳轉等方面
Linux初級運維(十)——Linux檔案查詢詳解
一、檔案查詢 常用命令:locate,find 1、locate locate:在全系統查詢檔案的命令。非實
Linux初級運維(十三)——RAID及mdadm命令
一、RAID介紹 RAID(Redundant arrays of Independent Drives),有“獨立磁碟構成的具有冗餘能力的陣列”。磁碟陣是由很多價格較便宜的磁碟,組合成一個容量巨大的磁碟組,
自動化運維(二)——Ansible
23.3 Ansible Ansible和Saltstack比較類似,都是基於Python開發的,Ansible不需要安裝客戶端,通過ssh去通訊。 Ansible有以下優點: 1. 基於模組工作,模組可以由任何語言開發; 2. 支援命令列使用模組,支援編寫ya
Python運維(二)Docker虛擬機器
一、Docker 虛擬機器架構 Docker 建立的所有虛擬例項共用同一個Linux核心,對硬體佔用較小,屬於輕量級虛擬機器 二、Docker 映象與容器 容器是從映象中創建出來的虛擬例項 映象是用來安裝程式,是隻讀層 容器是用來執行程式,是隻讀層 倉庫、映象