一、vim編輯與shell腳本
在命令行輸入大寫的C,可執行刪除光標之後並插入。
二、系統安全防護
2.1 SElinux
- 運行模式
enforcing(強制)
permissive (寬鬆)
disabled(禁用):與其相關的切換都需重啓系統 - 模式切換
臨時切換:setenforce 1|0
固定配置:/etc/selinux/config 設置後重啓有效,當前無效
2.2 用戶環境配置
用戶命令設置:別名
alias/unalias
用戶個性化配置
影響指定用戶的bash環境:~/.bashrc
影響所有用戶的bash環境:/etc/bashrc
2.3 防火牆
2.3.1 虛擬機server構建web服務:提供一個頁面內容
httpd
nginx:比httpd支持的併發訪問量多。tengine:淘寶發起,基於nginx,針對大訪問量網站的需求
tomcat
- httpd
- 安裝、啓動
yum -y install httpd - 重啓httpd
systemctl restart httpd
systemctl enable httpd(開機自啓動) - 測試:(防火牆默認拒絕所有外界訪問本機web服務)
firefox 本機IP - 測試頁面
默認存放路徑:/var/www/html
網頁文件名字:index.html
2.3.2 虛擬機server構建ftp服務:提供文件傳輸
1.安裝軟件:vsftpd
2.本機測試:firefox ftp://本機ip,會看到一個pub文件夾
3.默認共享路徑:/var/ftp/
2.3.3 firewall
1.根據所在的網絡場所區分,預設保護規則集
public:僅允許訪問本機的sshd、dhcp、ping服務
trusted:允許任何訪問
block:阻塞任何來訪請求(明確拒絕,學習時用於調試)
drop:丟棄任何來訪的數據包(直接丟棄,不給客戶端迴應,一般使用這種節省服務器資源)
2.防火牆匹配原則:匹配及停止
收到數據包(源IP地址、目標IP地址、數據)
查看數據包中的源IP地址,然後查詢所有區域中的規則哪一個區域中有該源IP地址的規則,則進入該區域;
進入默認區域(public)
server端:
firewall-cmd --get-default-zone #查看防火牆默認區域
firewall-cmd --set-default-zone= #設置防火牆默認區域
區域中添加協議
互聯網常見協議:
http:超文本傳輸協議,網頁內容傳輸 ,默認端口80
https:安全超文本傳輸協議,443
ftp:文件傳輸協議,21
tftp:簡單的文件傳輸協議,69
telnet:遠程管理協議,管理交換機、路由器,23
dns:域名解析協議,53
snmp:簡單的網絡管理協議,監控服務器,161
smtp:郵件協議,發郵件,25
pop3:郵件協議,收郵件,110
先將默認區域改爲public
查看public有哪些協議:firewall-cmd --zone=public --list-all
添加協議:firewall-cmd --zone=public --add-service=ftp
配置規則的位置
永久:firewall-cmd --permanent --zone=public --add-service=http(寫入了相關配置文件,重啓生效,或者firewall-cmd --reload生效,都是重新加載配置文件)
區域中添加源IP地址(瞭解)
單獨拒絕某一客戶端的所有訪問。
將該客戶端的源IP地址寫入區域block
firewall-cmd --zone=block --add-source=xxx.xxx.xxx.xxx
根據不同場景配置
寬鬆設置:默認區域爲trusted,單獨拒絕的源IP地址寫入block
嚴格設置:默認區域爲block,單獨允許的源IP地址寫入trusted
刪除添加的協議:remove
2.4 實現本機的端口映射
- 什麼是端口
協議或程序的編號
數據包:源IP地址、目標IP地址、目標端口、數據(端口相對於地址相當於酒店房間號相對於酒店地址) - 端口映射(端口重定向)
從客戶機訪問端口1的請求,會自動映射到本機端口2,如:訪問以下兩個地址可以看到相同的頁面:
xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx:5423
firewall-cmd --zone=public --add-forward-port=port=5423:proto=tcp:toport=80
三、iSCSI網絡磁盤
3.1 iSCSI服務基礎
- Internet SCSI,網際SCSI接口
一種基於C/S架構的虛擬磁盤技術
服務器提供磁盤空間,客戶機連接並當本地磁盤使用
3.1.1 iSCSI磁盤的構成
- backstore,後端存儲
對應到服務端提供實際存儲空間的設備,需要起一個管理名稱 - target,磁盤組
是客戶端的訪問目標,作爲一個框架,由多個lun組成 - lun,邏輯單元
每一個lun需要關聯到某一個後端存儲設備,在客戶端會是爲一塊虛擬硬盤
冰箱-> 紙質箱子 ->木製箱子
3.1.2 發佈iSCSI磁盤
服務端:
- 準備空間存儲設備
fdisk /dev/xxx - 安裝targetcli
- 使用targetcli建立配置
1.生成及指定後端存儲(backstore)
backstores/block create name=nsd dev=/dev/xxx1
2.生成target磁盤組
IQN(ISCSI Qualified Name)名稱規範
iqn.yyyy-mm.倒敘域名(xxx.xxx):自定義標識
用來識別target磁盤組,也用來識別客戶機身份
如:iqn.2019-11.com.example.server0
iscsi/ create iqn.2019-11.com.example:server
3.進行lun關聯
iscsi/iqn.2019-11.com.example:server/tpg1/luns create /backstores/block/nsd
4.設置ACL驗證,設置客戶端聲稱的名字(需符合iqn命名規範)
iscsi/iqn.2019-11.com.example:server/tpg1/acls create iqn.2019-11.com.example:abc
5.指定本機提供服務的ip地址及端口(默認爲3260)
iscsi/iqn.2019-11.com.example:server/tpg1/portals create ip_address=172.25.0.11
其他輔助配置命令:ls、saveconfig、exit - 重啓target服務
systemctl resetart target
systemctl enable target
3.1.3 連接、發現iSCSI磁盤
客戶端:
1.安裝軟件包;iscsi-initiator-utils
2.設置客戶端聲稱的名字(與服務端設置的是一樣的)
vi /etc/iscsi/initiatorname.iscsi
3.客戶端刷新聲稱的名字的服務
systemctl restart iscsid
4.發現共享存儲
iscsiadm --mode discoverydb --type sendtargets --portal xxx.xxx.xxx.xxx --discover
5.連接iSCSI磁盤
iscsiadm -m node -L all