IP端口-协议等基本概念
互联网上的计算机,都会有一个唯一的32位的地址,IP地址。
我们访问服务器。就必须通过这个IP地址。
局域网也有预留的IP地址 192/10/172开头。局域网的 IP地址也是唯一的。
NAT模式,电脑属主机的IP在局域网是唯一的 ,选择了NAT模式创建虚拟机,虚拟机就是一个新的局域网(私有网络)。
老师的机器IP 192.168.33.128
端口的简单概念
192.168.33.128代表一台主机,但是主机上可能会有很多服务。
一台主机上的不同服务功能,就是通过端口区分,然后让外部人员访问。
远程连接服务 ssh 22端口
协议
汉语,英语,法语,不同的服务提供了不同的端口,对应了不同的功能,通信方式可能也是不同的,这种通信方式我们就可以理解为协议。
一台主机上的不同服务功能,就是通过端口区分,不同的服务端口,客户端和服务器之间的通信,就可能使用不同的协议。
IP,port(端口),protocol(协议)
SSH通信示意图
远程连接服务。
排查故障:
1、两个机器之间是否通畅,看物理网络(网线网卡,IP是不是在正确)
ifconfig(查看IP)
ping ip 来检查物理网络是否通畅。(win系统)
不通:
1、客户端到服务器端物理链路有问题。
网卡,IP,网线,防火墙。
2、服务是否好的
SSH服务是否好的。
检测办法:从哪个机器连就在那个机器操作
telnet IP 22 (服务器的IP和端口(port))在命令行输入
telnet也可以远程连接,因为不是加密的。很少人用了。
不通可能原因:
1、服务器的防火墙阻挡了,
重启(SSH服务)iptables:
/etc/init.d/iptables restart
2、端口没开放,服务器端没有监听你连接的端口。
[root@oldboy ~]# netstat -lntup|grep 22 (以SSH服务22端口为例)
[root@oldboy ~]# netstat -lntup|grep sshd
客户端工具
Securcrt,Xshell,putty
服务端SSH服务:进程名sshd,openssh(连接用的),openssl(加密用的).
总结:
第一步:物理链路是否有问题,比喻为(高速路是否修通?)客户端操作。
ping ip地址 :
排查客户端到服务端线路问题,pings 常用的网络连接性检查工具(路通否)
tracert -d IP地址:
路由跟踪命令,也可以检查路是否通畅,-d 是不进行反向解析。
第二部:SSH服务是否有问题,比喻为 旅游景点是否开放? 客户端操作。
telnet IP地址 22 判断SSH服务器默认的22端口打开了?(客户端操作)
1、看端口是否打开,
2、看端口是否改变了。
3、看防火墙等问题。
nmap IP地址 -p 22:
也能达到和telnet相同效果,但nmap仅在linux中使用。
第三部:是不是防火墙阻挡,即是不是下雪封路,高速路阻碍通行了。(服务端查看)
/etc/init.d/iptables stop
Linux防火墙iptables ,可能好心办坏事,阻挡了远程连接,学习环境建议关掉防火墙,生产按需要开启。
本章知识相关考题
1)企业场景面试题:Linux系统如何让优化
2)企业场景面试题:SSH服务连不上,如何排查?
3)企业场景面试题:32位和64位系统的区别?
4)企业面试题:Linux的7种运行级别和对应作用。
5)企业面试题:掌握Linux系统从开机到登陆前的启动流程
Linux主机的文件传输。
下面来看一下有关上传下载的命令说明。
1)rz、sz命令的安装方法
第一种方法:安装系统时选包含rz、sz命令的包组。Dlal-up Networking Support.
第二种方法:安装系统后通过执行yum install lrzsz -y 或 yum groyupinstall"Dial-up Networking Support" -y 命令来安装。
2)上传内容时,执行rz命令,如果希望覆盖服务器上的同名内容上传,可加-y参数,输入rz-y 命令后直接回车,会打开一个上传文件的窗口,然后选择我们想上传的文件进行上传,在这个上传的窗口内选择文件是客户端电脑本地要上传到Linux的文件。
3)下载命令 sz
下载内容时,执行命令“sz filename”,如果希望覆盖本地的同名内容下载,则可输入“sz -y filename”命令,sz -y命令后面的filename为命令行Linux主机当前目录下的文件,
例如:sz oldboy.olg。使用sz或”sz -y 文件名“命令从服务器上下载文件时,默认的客户端下载路径就是在CRT里设置的下载路径地址
4)使用rz sz 命令的注意事项
1、只能上传下载文件而不是目录,如果是目录需要打包成文件再传输。(zip)
2、上传的文件可以是电脑里的任意文件,下载的文件会下载到SecureCRT配置到对应下载路径目录中。
3、执行rz命令回车后出现的窗口最下面,一定不要勾选“以ASXII“方式上传文件,否则会遇到问题。
5)其他工具
除了rz、sz等传输文件命令外,还可以用ftp、sftp、(SSH服务)、winscp等工具来传输文件。
批量执行命令演示图
提示:
1、如果要批量部署或执行任务到服务器为数十台,就可以利用SecureCRT的这个小功能,非常不错,简单易用,可以替代一些大型的批量部署软件,如果是大规模服务器数量,则可以用saltstack等批量管理工具。
2、特别需要注意的是,上述批量管理操作,不能使用交互的命令,例如:vi/vim rz等。但可以变通使用,
例如:vi/vim命令可以用echo,cat,sed替代。
Linux系统应用管理
1、一般情况下,在企业生产环境中应尽量避免直接到root用户下操作,除非有超越普通用户权限的系统维护需求。
使用完后立刻退回到普通用户
安装Linux系统后调优及安全设置
关闭SELinux功能
1)修改配置文件,使关闭SELinux永久生效:
sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config
<==修改配置文件可使配置永久生效,但必须要重启系统,此步是sed快速修改方法,也可以通过vi编辑修改此文件。
grep SELINUX=disabled /etc/selinux/config
SELINUX=disabled <==检查替换结果为disabled就表示编辑成功了
2)临时关闭SELinux,可在命令行执行如下命令:
setenforce
usage: setenforce [ Enforcing | Permissive | 1 | 0 ]←数字0表示Permissive,即给出警告提示,但不会阻止操作,相当于disabled。数字1表示Enforcing,即表示SELinux为开启状态。
[root@@www ~]# setenforce 0 <==临时将SELinux调成Permissive状态。
[root@@www ~]# getenforce <==查看SELinux当前状态
Permissive
命令说明如下。
·setenforce:用于命令行管理SELinux的级别,后面的数字表示设置对应的级别。
·getenforce:查看SELinux当前的级别状态。
[插图]提示:修改配置SELinux后,要想使其生效,必须要重启系统。因此,可配合使用setenforce 0这个临时使其关闭的命令,这样在重启前后都可以使SELinux关闭生效,也就是说无须立刻重启服务器了,在生产场景下Linux机器是不能随意重启的。
3.4.2 设定运行级别3(文本模式)
linux的7种运行级别
Default runlevel. The runlevels used are:
0 - halt (Do NOT set initdefault to this) (关机状态)
1 - Single user mode (维护状态)
2 - Multiuser, without NFS (The same as 3, if you do not have networking)(限单用户使用)
3 - Full multiuser mode(命令行模式)
4 - unused(保留)
5 - X11(桌面模式)
6 - reboot (Do NOT set initdefault to this)(重启模式)
Linux系统有7个运行级别(runlevel)
运行级别0:系统停机状态,系统默认运行级别不能设为0,否则不能正常启动
运行级别1:单用户工作状态,root权限,用于系统维护,禁止远程登陆
运行级别2:多用户状态(没有NFS)
运行级别3:完全的多用户状态(有NFS),登陆后进入控制台命令行模式
运行级别4:系统未使用,保留
运行级别5:X11控制台,登陆后进入图形GUI模式
运行级别6:系统正常关闭并重启,默认运行级别不能设为6,否则不能正常启动
命令说明:
使用 runlevel 查看当前运行级别
使用 init (带运行级别数字即可切换运行级别)
例如:init 6 就是重启Linux服务器了。
课外作业:
掌握Linux7种运行级别。
掌握Linux系统从开机到登陆前的启动流程。
解答:
⑴开机BIOS自检,加载硬盘。
⑵读取MBR,MBR引导。
⑶grub引导菜单(Boot Loader)。
⑷加载内核kernel。
⑸启动init进程,依据inittab文件设定运行级别
⑹init进程,执行rc.sysinit文件。
⑺启动内核模块,执行不同级别的脚本程序。
⑻执行/etc/rc.d/rc.local
⑼启动mingetty,进入系统登陆界面。
匿名者
关闭防火墙
临时关闭防火墙命令:
/etc/init.d/iptables stop
查看防火墙状态命令
/etc/init.d/iptables status
永久关闭防火墙:
chkconfig iptables off
修改字符集
先备份
cp /etc/sysconfig/i18n /etc/sysconfig/i18n.ori
再替换
echo 'LANG="zh_GN.UTF-8"'>/etc/sysconfig/i18n
相当于用vi /etc/sysconfig/i18n 里添加LANG="zh_CN.UTF-8"内容。
使上文修改生效:
-source /etc/sysconfig/i18n
再查看修改后的内容
cat /etc/sysconfig/i18n 或echo $LANG
3.4.10历史记录数及登录超时环境变量设置
1、设置闲置账号超时时间
设置闲置账号的示例命令如下,注意此处的配置仅临时生效。
export TMOUT=10
十秒不操作就退出。
2、设置Linux的命令行历史记录数据
linux特殊变量:
export HISTSIZE=5
(命令行历史记录数量)
history (显示历史记录)
-d (删除指定历史记录)
-c (删除当前历史记录)
设定用户的命令历史记录文件(~/.bash_history)记录指定命令数量的示例命令如下,注意此处的配置仅临时生效。
export HISTFILESIZE=5
命令行命令对应文件的记录数 ~/,bash_history
cat ~/.bash_history
手动同步互联网时间到本地Linux主机
/usr/sbin/ntpdate time.nist.gov
linux 特殊变量:
临时生效
export HISTSIZE=5 (5个)
(命令行历史记录数量)
export HISTFILESIZE=5 (5个)
(命令行命令对应文件的记录数~/.bash_history)
export TMOUNT=10 (10秒)
(连接的超时时间控制变量)
-
把上述命令放入配置文件,使永久生效。
echo 'export TMOUT=300' >>/etc/porfile
echo 'export HISTSIZE=5' >>/etc/porfile
echo 'export HISTFILESTZE=5' >>/etc/profile
tail -3 /etc/profile
source /etc/profile (使得配置文件生效)
隐藏Linux版本信息显示
在登录到Linux主机本地(非CRT连接的窗口)前,会显示系统的版本和内核,
登录后执行如下命令到达上述登录Linux前的终端内容显示的实际存放文件。
[root@oldboy ~]# cat /etc/issue
CentOS release 6.8 (Final)
Kernel \r on an \m
[root@oldboy ~]# cat /etc/issue.net
CentOS release 6.8 (Final)
Kernel \r on an \m
> /etc/issue
> /etc/issue.net
(删除内核系统版本信息等)
因为这个让有心之人看到不安全。
快照
比喻:假设把你的人生做了一个快照
1岁
2岁
10岁
16岁
18岁