一、SSH(Secure Shell,安全的命令解释器)
SSH服务为客户机提供安全的Shell环境,用于远程管理,默认端口:TCP 22;SSH是目前应用最为广泛的服务器远程管理方式.
1、SSH用户登陆验证方式分为两种:
密码验证:输入用户名和密码
密钥对验证:在客户机中生成的公钥、私钥
2、服务器端主配置文件:/etc/ssh/sshd_config
|
1
2
3
4
5
6
7
8
9
10
11
12
13
|
Port 22 #监听的端口(默认22)
ListenAddress 192.168.1.10 #监听 的IP地址(默认监听所有IP)
PermitRootLogin no #禁止ROOT用户远程登录
LoginGraceTime 2m #限制用户登录验证过程的时间(默认为2分钟)
MaxAuthTries 6 #限制用户登录验证过程的最大重试次数
RSAAuthentication yes #开启rsa认证
PubkeyAuthentication yes #开启密钥对验证
AuthorizedKeysFile .ssh/authorized_keys #指定公钥位置,默认在用户宿主目录下
PermitEmptyPasswords no #禁止密码为空的用户远程登录
PasswordAuthentication yes #启用密码验证
DenyUsers test #拒绝test用户远程登录系统,其他均允许
AllowUsers test admin@10.0.0.10 #允许test在任何IP的主机上远程登录,允许admin只能在主机10.0.0.10登录,其他均拒绝(不要同时使用AllowUsers和DenyUsers配置)
UseDNS no #DNS查找,客户端连接服务器时,服务器会根据客户端的IP地址进行PTR反向查询,查询到客户端主机名,再进行DNS正向A记录查询,这样连接时就会等待一下,要关闭此选项会提高SSH连接速度。
|
3、ssh命令远程登陆
|
1
2
3
|
方式1:ssh 用户名@IP
方式2:ssh -l 用户名 IP
方式3:ssh -p 端口 用户名@IP #不加-p,默认使用22端口
|
4、使用scp命令远程复制文件或目录(需要安装openssh-clients)
|
1
2
3
|
方式1:scp 用户名@IP:源文件 目标路径
方式2:scp 本地文件 用户名@IP:目标路径
方式3:scp -r 本地目录 用户名@IP:目标路径 #-r复制目录下所有文件
|
5、使用客户端工具远程登陆
方式1:putty #字符页面
方式2:winscp #图形页面工具,一般用于下载
6、配置SSH密钥对认证登陆
1>.在客户机上创建密钥对
|
1
|
ssh-keygen -t rsa #一路回车
|
2>.登陆ssh服务器,创建.ssh目录及设置权限
|
1
2
|
mkdir /root/.ssh
chmod 700 /root/.ssh
|
3>.将公钥上传到服务器并重命名为authorized.keys
|
1
|
scp /root/.ssh/id_rsa.pub root@192.168.0.203:/root/.ssh/authorized_keys #id_rsa.pub可以追加多个客户端的公钥
|
4>.设置ssh服务器,开启密钥对验证,关闭密码验证
|
1
2
3
4
5
|
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
PasswordAuthentication noservice sshd restart |
5>.验证登陆
|
1
|
ssh root@192.168.0.203 #不用输入密码直接登陆到ssh服务器
|
二、tcp_wrappers机制
1、tcp_wrappers原理图
2、安装tcp_wrappers
yum install tcp_wrappers.x86_64
主配置文件:/etc/hosts.allow,/etc/hosts.deny
3、安全机制实现方式
方式1:通过tcpd主程序对其他服务进行包装,需要运行tcpd
方式2:由网络服务程序调用libwrap.so.*链接库,不需要运行tcpd #更为常用
ldd命令查看程序的共享库:
|
1
2
|
ldd /usr/sbin/sshd |grep "libwrap"
libwrap.so.0 => /lib64/libwrap.so.0 (0x00007fd9ee03e000)
|
4、配置访问控制策略
配置格式:服务器程序列表:客户机地址列表
服务器程序名有vsftpd,sshd,telnetd等以逗号分隔,ALL表示所有程序
客户机地址:单个IP,一个网段(192.168.1.0/255.255.255.0)以逗号分隔,ALL表示所有地址
5、tcp_wrappers访问控制原则
首先检查 hosts.allow 文件,若找到相匹配的策略,则允许访问
否则继续检查 hosts.deny 文件,若找到相匹配的策略,则拒绝访问
如果两个文件中都没有相匹配的策略,则允许访问
三、使用VNC Server远程桌面
VNC软件主要由两个部分组成:VNC Server及VNC Viewer。将VNC SERVER安装在被控制的主机上,才能在主控端执行VNC Viewer控制被控端。
VNC服务使用的TCP端口号从5900开始,例如:桌面号是1,则使用的端口号是5901,桌面号是2,则端口号为5902,VNC Server相关文件都保存在/home/user目录下
1、安装VNC Server
|
1
|
yum install -y tigervnc-server
|
2、修改配置VNC
|
1
2
3
4
|
vi /etc/sysconfig/vncservers
VNCSERVERS="1:root,2:user" #1为桌面号,客户端远程使用需要添加上
VNCSERVERARGS[1]="-geometry 800x600 -alwaysshared" #-alwaysshared代表允许多用户同时登陆
VNCSERVERARGS[2]="-geometry 800x600"
|
3、设置VNC登陆密码
|
1
2
|
vncserver :1 #root用户密码设置
su - user,vncserver :2 #普通用户设置
|
4、使用vnc viewer登陆
|
1
2
|
service vncserver startchkconfig vncserver on |
停止vnc server:
|
1
2
|
vncserver -kill :1
vncserver -kill :2
|
四、磁盘管理
1、查看系统中的磁盘设备:fdisk -l [磁盘设备]
Device Boot Start End Blocks Id System
Device:磁盘设备分区名
Boot:是不是引导分区,*则是
Start:该分区在磁盘中的起始位置(柱面数)
End:该分区在磁盘中的结束位置(柱面数)
Blocks:该分区大小,以blocks(块)为单位,默认块大小是1024字节
Id:分区类型的ID标记号,对于EXT3分区为83,LVM分区为8e。
System:分区类型
2、分区格式化新磁盘设备
|
1
|
fdisk -cu 磁盘设备(例如:/dev/sdb)#考试时候要用-cu参数
|
-u:搭配"-l"参数列表,会用分区数目取代柱面数目,来表示每个分区的起始地址,即改变分区大小的显示方式
-c:标识一个分为DOS兼容的分区
3、交互模式中常用命令
m:查看操作指令的帮助信息
p:列表查看分区信息
n:新建分区
d:删除分区
t:变更分区类型
w:保存分区设置并退出
q:放弃分区设置并退出
变更磁盘(特别是正在使用的硬盘)的分区设置以后,新的分区在/dev下查看不到,partprobe命令也不能把新分区调出来。只有两种方法,一个是重启,另一个就是partx -a /dev/硬盘设备。
4、格式化并创建文件系统
|
1
2
3
4
5
6
7
8
9
10
11
|
mkfs.ext4 /dev/sdb1
mkdir /data
mount /dev/sdb1 /data #将分区挂载到/data
-----------------------------------------------------也可以使用tune2fs将ext3转换ext4tune2fs -O extent,uninit_bg,dir_index /dev/sdb1
e2fsck /dev/sdb1
fsck -pf /dev/sdb1
df -h #查看是否成功
使用tune2fs将ext2转换ext3tune2fs –j /dev/sdb1
|
5、增加交换分区
1>.添加交换分区文件为2G
|
1
|
dd if=/dev/zero of=/opt/swap bs=2048M count=1
|
2>.格式化为交换分区空间
|
1
|
mkswap /opt/swap
|
3>.启动交换区空间
|
1
|
swapon /opt/swap
|
4>.查看是否生效(确定已经添加成功)
|
1
2
3
|
free -m
-/+ buffers/cache: 38 452
Swap: 3039 5 3034 |
5>.设置开机自动加载新增加的swap分区(也可以使用UUID挂载)
|
1
2
|
vi /etc/fstab
/opt/swap swap swap defults 0 0
|
五、磁盘配额
1、设置磁盘配额条件:需要linux内核支持,安装quota软件包
2、磁盘配额特点
作用范围:文件系统(分区)
限制对象:用户,组
限制类型:磁盘容量,文件数量
限制方法:软限制,硬限制
基本步骤:
1>.启用文件系统的配额支持:添加usrquota、grpquota挂载参数,修改/etc/fstab文件,重启系统
|
1
2
3
|
vi /etc/fstab
/dev/sdb1 /data ext4 defaults,usrquota,grpquota 1 2 #1是开机启动被fsck扫描,0为不检查
mount -o remount /data #重新挂载
|
2>.quotacheck命令检测磁盘配额并创建配额文件
|
1
|
quotacheck -augcv #执行完后/data目录会生成aquota.group,aquota.user
|
-u、-g:检测用户、组配额
-c:创建配额数据文件
-v:显示执行过程信息
-a:检测所有可用的分区
3>.设置用户或组的限制
|
1
2
|
edquota -u 用户edquota -g 组 |
在实际应用中,一般只对用户最磁盘使用的大小,不用设置用户对文件的多少,硬限制应大于软限制。
设置组限制,需要把用户的基本组加入需要设置的组里,组配额对附属组是没有效果的。
4>.启动或关闭磁盘配额功能
|
1
2
3
4
|
quotaon -ugv /data
quotaoff -ugv /data
quotaon -augv #启动所有可用分区磁盘配额功能
quotaoff -augv |
5>.查看磁盘配额使用情况
|
1
2
3
4
|
quota -u 用户
quota -g 组
repquota /data
repquota -a |
六、制作ISO文件
1、从光盘中制作ISO文件:
把光盘放入光驱中(不需要挂载光盘)
|
1
|
cp /dev/cdrom mycd.iso
|
2、使用目录文件制作ISO文件:
|
1
|
mkisofs -r -o my.iso /data
|
挂载ISO文件:
命令挂载:
|
1
|
mount -o loop -t iso9660 my.iso /mnt
|
自动挂载:
|
1
|
mount -o loop my.iso /mnt
|