防火墙管理
# 开放端口
firewalld-cmd --add-port=880/tcp --permanent
# 移除端口或阻止端口
firewalld-cmd --remove-port=880/tcp --permanent
# 重启服务
systemctl restart firewalld
# 查看防火墙开放哪些端口(查看当前区域的规则)
firewall-cmd --list-all
# 查看服务状态
systemctl status firewalld
如果是loaded:loaded是关闭,active:running是开启
# 关闭防火墙
systemctl stop firewalld
# 开机不启动
systemctl disable firewalld
端口
为了实现进程间通信,让网络服务绑定端口号。
通过ip地址只能找到某台电脑,但运行了很多进程(QQ/微信/钉钉),不同的进程有不同的端口号,可以通过端口号来查找进程。
20/21 ftp
22 ssh
23 telnet
25 SMTP
53 DNS
80 http
443 https
3306 mysql
6379 redis
8080 tomcat
日志管理
日志(log):将服务各种操作、执行结果、报错等信息记录到.log文件中。
时间
级别:日志级别log输出分为五种:DEBUG(调试)、INFO(信息)、WARN(警告)、ERROR(错误)、FATAL(崩溃)(从小到大)
事件(内容)
日志轮转:定时备份日志、删除旧日志、创建新日志。
一、系统日志基础管理
1. 核心日志文件位置(均位于 /var/log/ 目录)
/messages # 系统通用日志(服务启动、错误信息等)
/secure # 安全日志(用户登录、认证失败记录)
/maillog # 邮件服务日志
/boot.log # 系统启动日志
/audit/audit.log # 系统审计日志(用户操作、文件变更等)
2. 常用日志查看命令
tail -f /var/log/messages # 实时监控最新日志(按Ctrl+C停止)
grep "error" /var/log/messages # 搜索包含"error"的日志行
less /var/log/secure # 分页查看日志(按空格翻页,q退出)
journalctl -u httpd.service # 查看HTTPD服务的systemd日志(CentOS 7默认日志系统)
二、日志轮转工具 logrotate(自动清理旧日志)
1. 全局配置文件
主配置:/etc/logrotate.conf(定义通用策略) 自定义服务配置:/etc/logrotate.d/ 目录(如/etc/logrotate.d/httpd)
2. 典型配置示例(以系统通用日志为例)
vim /etc/logrotate.d/messages
/var/log/messages {
daily
rotate 7
compress
missingok
notifempty
create 0640 root root
postrotate
if [ -x /usr/sbin/service ]; then
service rsyslog restart > /dev/null 2>&1
else
systemctl restart rsyslog > /dev/null 2>&1
fi
endscript
}
3. 手动触发日志轮转
logrotate -f /etc/logrotate.d/messages # 强制立即轮转messages日志
logrotate -f /etc/logrotate.conf # 强制立即轮转所有日志(用于测试)
三、日志文件权限安全
1. 设置严格权限(防止未授权访问)
chmod 600 /var/log/secure # 仅root可读可写(安全日志敏感)
chmod 640 /var/log/messages # 允许root和adm组读取(通用日志)
chown root:root /var/log/audit/audit.log # 确保审计日志由root所有
2. 禁止日志文件被删除(重要服务器)
chattr +i /var/log/audit/audit.log # 添加不可删除属性(需root执行,删除需先执行chattr -i)
Linux基础服务
·是什么?
·有什么功能?
·怎么搭建?
··安装yum/apt(基础服务)/源码/二进制/容器化部署……
··配置:多查文档,多试
··重启:成功
失败→排错→查日志→改配置文件
·如何使用?
FTP/SFTP
FTP( File Transfer Protocol,文件传输服务 )
FTP 是一种在互联网中进行文件传输的协议
基于C/S模式,默认服务端口号是20、21
20端口用于数据传输
21端口用于接收客户端的 FTP 命令与参数。
SFTP是安全的FTP服务,默认端口是22,依赖SSH服务;
作用:实现文件的上传与下载;
·客户端:ftp/Xftp/winSCP/FileZilla
·服务端:vsftp/openssh-server(sftp)
# 准备工作:
1、关闭防火墙
systemctl stop firewalld
systemctl disable firewalld
2、关SELinux
setenforce 0(临时关闭沙盒)
或者永久关闭二选一
vim /etc/selinux/config(永久关闭沙盒)
改为
sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config(永久关闭沙盒)
# 重启系统
reboot
3、配置YUM源(跳过)
4、安装vsftpd(服务端)
yum -y install vsftpd
5、配置vsftp
vim /etc/vsftpd/vsftpd.conf
# 备份
cp vsftpd.conf vsftpd.conf.bak
# 删除注释与空白行
grep -Ev "^$|^#" vsftpd.conf.bak > vsftpd.conf
vim vsftpd.conf(监听yes,ipv6注释掉)
anonymous_enable=YES
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=YES
#listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
6、重启服务,检查服务状态
systemctl restart vsftpd
systemctl status vsftpd
# 客户端操作:
yum install ftp
ftp 服务端IP
# 上传
put 文件
# 下载
get 文件
vsftpd服务详细步骤⭐⭐⭐
服务端:vsftp /openssh-server(sftp)
# 准备工作:(服务端)1.关闭防火墙 2.关SELinux 3.yum安装vsftp
# 服务端:192.168.221.10
# 客户端:192.168.221.20
systemctl stop firewalld
systemctl disable firewalld
# 关闭沙盒
setenforce 0
yum install -y vsftpd #(服务端安装)
# 配置vsftp
vim /etc/vsftpd/vsftpd.conf
# 备份
cp vsftpd.conf vsftpd.conf.bak
# 删除注释与空白行
grep -Ev "^$|^#" vsftpd.conf.bak > vsftpd.conf
vim vsftpd.conf
-----------------------------------------------------------
listen=YES # 改YES
#listen_ipv6=YES # 注释掉
-----------------------------------------------------------
# 重启vsftpd服务,检查服务状态
systemctl restart vsftpd
systemctl status vsftpd
客户端操作
# 安装ftp
yum install ftp
ftp 192.168.221.10 (服务端IP地址)
# 输入用户名
ftp> user yang
passwd:123123
# 上传文件
ftp>put 文件(只能文件,不能目录)
# 下载文件
ftpget 文件
———————
# 了解ftp三种用户模式
一、匿名用户模式是 最不安全的方式,一般用在访问不重要的,允许公开的文件,且放在企业内网环境中,置于防火墙规则下,保证基本的安全性。
vsftpd 默认开启了 匿名用户模式
修改配置文件:定义匿名用户的权限
二、使用 Linux 本地用户模式( 基于系统层面的用户 ),比匿名用户模式更安全
修改配置文件:关闭匿名模式,开启本地用户模式
三、了解了有 匿名用户、本地用户、再来了解下 虚拟用户模式
顾名思义是 虚拟创建出的用户,也是最为安全的一种模式。
扫一扫
1281
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
