一、前言 二、通过tcp_wrappers限制 三、通过防火墙限制 四、通过ssh配置限制 五、通过pam机制限制
一、前言 为了系统安全,我们经常对Linux服务器做设置,限制远程登录的来源IP,只允许我们信任的IP进行访问。 今天要讲的几种限制IP的方法,其中“通过tcp_wrappers限制”和“通过防火墙限制”只能通过IP进行限制,就是所有用户都得遵循这个限制。而“通过ssh配置限制”和“通过pam机制限制”可以根据用户名分别来进行IP的限制。
二、通过tcp_wrappers限制 这种方法有比较大的局限性,只能针对一些针对tcp_wrappers的服务进行限制。而SSH登录服务是刚好支持的。 这种方法就是配置文件/etc/hosts.deny和/etc/hosts.allow。
先编辑/etc/hosts.allow,先把允许要登录的IP或者IP段添加进去。
sshd: 192.168.0.2 172.31.1.* 192.168.10.*
再编辑/etc/hosts.deny,拒绝所有的登录。
sshd: ALL
这样设置好后,只有在/etc/hosts.allow中的IP和IP段能登录这个系统,其它的IP都不能登录。
三、通过防火墙限制 这种方式相对简单,只要拒绝相应的IP就可以。 可以拒绝IP不能访问系统的所有服务,也就不能登录了
# iptables -I INPUT -s 192.168.0.3 -j DROP # 拒绝从192.
一、shell+expect 二、shell+sshpass 三、ansible、Puppet、SaltStack… 四、堡垒机系统 五、一些运维系统
环境:oracle linux 6.4
#fdisk -v fdisk (util-linux-ng 2.17.2) #parted -v parted (GNU parted) 2.1 我们讲的调整分区大小,都是要保证不损坏分区中数据为前提。 这里我们讲一下用fdisk、parted调整普通分区的方法。 LVM卷组的就不讲了,这个一般比较简单。
切记:一般都只用于扩容分区,如果要缩减分区,特别是根目录,可能会出问题 而扩容分区时,要保证跟扩容分区相邻的分区是未分配的(或者可以先暂时删除的)
操作有风险,重要数据还是要备份保存一下。
一、fdisk普通分区调整: 大概步骤: 先执行fdisk查看原分区的cylinder起始值,一定要记住。 再umount分区,进fdisk删除原有分区, 再重建原有分区,再分区的时候,cylinder起始值一定要跟原来的是一样的,要不然就会破坏原分区的数据,只要调整cylinder结束值大小即可扩容分区。
分区建好后, 用e2fsck先检查一下分区, 再用resize2fs扩大就可以了。
实例演示: 我要把swap分区删掉,把原先swap中的一部分空间增加到根目录/中来(/dev/sda2),剩下的空间再创建新的比原来小的swap。 (增加点实验难度)
以自己有限的经验说说作为一名合格的Linux运维工程师需要掌握的东西:
1、选择版本 现在发行版本已经让人有点眼花缭乱了。但是架构和底层的东西都是一样的,只是各自会有一些自己特有的工具。 LINUX:CentOS、Red Hat、Oracle Linux、Debian、Ubuntu、SUSE 只要玩转精通一类,基本上就可以了。有空再去玩玩其它的发行版本。Unix版本也要学学。 UNIX:Oracle Solaris、IBM AIX、HP-UX、FreeBSD 在熟悉之前可以多安装系统,了解系统安装的每个步骤,自定义选择组件安装。
注:Unix系统现在慢慢被淘汰掉了,比如Solaris就不再更新了。(2023.2.8更新) 由于CentOS8开始更新规则变化,很多人开始不用CentOS了,所以Debian现在最好也要掌握
2、系统基础 要去了解和理解跟WIN不一样的思想,彻底改变固定的思维,如 开源的思想和本质 一切皆文件 根目录结构 根目录下每个文件存放什么文件 挂载分区 安装软件 源码编译安装软件 系统上各种服务的功能
3、各种命令 因为Linux下一般都是文字界面,不用图形界面,平时管理都要靠命令来操作。 掌握基本的命令至关重要,特别是一些基本的文件操作命令,如: cp 复制文件 mkdir 新建目录 touch 新建文件 cat 显示文件内容 rm 删除目录和文件 cd 切换路径 ls 列出目录和文件 man 列出命令的详细说明 find 找文件
环境:redhat 6.4 工具:script、scriptreplay、mkfifo
在redhat 6中自动带有scriptreplay指令,在redhat5中没有该指令,需要手动安装 从ftp://ftp.kernel.org/pub/linux/utils/util-linux/v2.14/下载util-linux-ng-2.14.1.tar.gz 从http://rpm.pbone.net中下载util-linux-2.13-0.44.el5.x86_64.rpm 安装rpm包 #rpm -ivh util-linux-2.13-0.44.el5.x86_64.rpm 解压util-linux-ng-2.14.1.tar.gz #tar zxvf util-linux-ng-2.14.1.tar.gz 进入解压后的目录 然后运行 #./configure && make && make install 前言: 平时用history也能查自己操作过的命令,但是只能看自己输入的命令记录,系统的回显等等信息是看不了的。 而script工具可以记录在终端中所做的一切,包括回显信息等,就相当于是图形桌面环境下的录屏软件,不同的是,这里记录下来保存的文件是文本格式。 这些记录可以用来当作日志,保存终端所发生的一切,需要时回放查看。 也可以结合mkfifo,实时跟同事共享,协同工作。
一、script详解: 1、默认状态 默认情况下,我们可以通过在终端中输入script来启动scirpt命令:
环境:Redhat 6.4
方法1: 实时记录历史命令到.bash_history
[root@itbing~]#vim /etc/bashrc export HISTTIMEFORMAT='%F %T ' #让历史命令记录操作时间 export HISTSIZE=1000000 #设置保存历史命令条数 export HISTFILESIZE=1000000 #设置保存历史命令的文件大小 shopt -s histappend PROMPT_COMMAND='history -a' #实时记录历史命令,防止丢失 优点:简单方便,易设置 缺点:安全性较差,多用户下,只能分别记录到各自的.bash_history中,没有统一管理
方法2: 实时记录历史命令到自定义文件中
[root@itbing~]#vim /etc/bashrc export HISTORY_FILE=/var/.
###推荐使用的NTP服务器:http://www.pool.ntp.org/zone/cn
time.pool.aliyun.com cn.pool.ntp.org 2.cn.pool.ntp.org s1a.time.edu.cn s2c.time.edu.cn s2m.time.edu.cn time.asia.apple.com 1.asia.pool.ntp.org 3.asia.pool.ntp.org #加两个IP的,防止DNS域名解析有问题 202.112.10.60 202.112.10.36 有的可能是集群,一个域名后面有很多服务器。可以通过ntpdate -q cn.pool.ntp.org
# ntpdate -q cn.pool.ntp.org server 202.118.1.130, stratum 2, offset -0.011422, delay 0.18146 server 202.120.2.101, stratum 3, offset -0.