| 戊戌年 | 姓名:Kevin |
一、网络配置文件
系统网络设备的配置文件放在/etc/sysconfig/network-scripts目录下:
–/etc/sysconfig/network-scripts/ifcfg-eth0文件:
UUID=”~” //网卡的UUID号;
BOOTPROTO=”NONE” //【none:表示无需启动协议;bootp;使用bootp协议;dhcp:使用dhcp协议动态获取IP;static:手动设置静态IP】
DEVICE=”eth0” //物理设备名称
ONBOOT=”yes” //表示启动系统时是否激活网卡
HWADDR=~ //表示该网卡的MAC地址
TYPE=Ethernet IPADDR0=~ //赋给该网卡的IP地址
NETMASK=~ //子网掩码
NETWORK=~ //网络地址
PREFIXO=24
GATEWAY0=~ //网络网关地址
DNS1=~ //该网卡的DNS服务器
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=no
NAME=”系统eth0” //连接名称
–/etc/resolv.conf 【域名解析器,resolver:一个根据主机名解析IP地址的库,详细内容:】
search openarch.com
//表示DNS搜索路径,即解释不完整名称时默认的附加域名后缀;
nameserver ~
nameserver ~
//表示解析域名时使用该地址指定的主机为域名服务器,按照文件中给出的顺序查询;
–/etc/host.conf 【如何解析主机名,通过解析器库来获得主机名对应的IP地址,详细内容:】
order bin~,hosts //指定主机名的查询顺序,这里规定先使用DNS来解析,然后再查询/etc/hosts文件
multi on //表示在/etc/hosts文件中指定的主机是否可以有多个地址,拥有多个IP地址的主机一般称为多穴主机
nospoof on //表示不允许对该服务器进行IP地址欺骗
–/etc/sysconfig/network 【指定服务器上的网络配置信息,详细内容:】
NETWORKING=yes //是否配置网络
HOSTNAME=~ //计算机的主机名
GATEWAY=~ //表示网络网关的IP地址
–/etc/hosts 【查询DNS前,计算机需要查询主机名到IP地址的匹配】
–/etc/services 【定义了Linux中所有服务的名称、协议类型、服务端口信息等信息】 ###
二、OSI七层中传输形式
———————————————————————————————————————————应、表、会:报文传输;
传输层: 段;
网络层: 包;
数据链路层:帧;
物理层: 比特流;
###
三、Linux网络命令
———————————————————————————————————————————1.traceroute [选项] [网站名称] 【显示数据包到目标主机之间的路径】
2.ifconfig [网络设备] [down/up] [add/del[地址]] [mtu[字节]] [netmask[子网掩码]] [ip] 【显示/设置计算机网卡的IP,详例:】『命令中选项: down/up:关闭/启动网络设备;mtu:设置网络设备的 最大传输单元』
–配置网卡eth0的IP,同时激活该设备:ifconfig eth0 192.168~ netmask 255.255~ up
–激活网卡eth0:1设备:ifconfig eth0:1 up
3.ping [-cist][主机名称] 【测试与目标主机之间的连通性】『-c:完成要求回应的次数; -i:指定收法信息的时间间隔; -s:设置数据包的大小;-t: 设置存活数值SSL的大小』
4.netstat [-airtu] 【显示网络状态信息】『-a:所有连线中的套接口;-i:网络界面信息清单;-r:路由表;-t:TCP连接状况;-u:UDP连接状态』
5.arp [-asd]【增加、删除和显示arp缓存】『-a [IP]:显示该接口的ARP缓存信息;-s[IP][物理地址]:增加一个arp缓存信息;-d[IP]:删除』
6.tcpdump [-a dd ddd e vv i] 【监视TCP/IP连接,直接读取数据链路层的数据包头】『-a:将网络/广播地址转变成名字;-dd:将信息包代码以C语言表 示;-ddd:将信息包代码以十进制表示; -e:打印数据链路层的头部信息;-vv:详细输出报文信息;-i:指定监听接口 』
四、管理网络服务
———————————————————————————————————————————-根据不同的服务、系统配置以及对Linux系统的了解来决定使哪种管理方法:
1.ntsysv命令 【基于文本的程序,对于独立服务而言改变不会立即生效】『空格:选择/取消服务;Tab键:退;*:服务已启动』
2.chkconfig和service命令【区别:chkconfig控制服务需等到计算机重启才生效;service立即生效】
–chkconfig命令:【主要设置下次重启计算机以后启动、停止服务】
-chkconfig –list [服务名] 【显示指定服务在不同级别的运行状态,默认显示所有服务】
-chkconfig –level [服务名][on|off|reset] 【设置某项服务在某个运行级别中开启/关闭/重启,默认对2,3,4,5设置】
–service命令:【命令执行后立即生效】
-service [服务名] [start|stop|restart|status] 【启动/停止/重启/查看服务状态】
五、实现网络安全
———————————————————————————————————————————-—提高系统安全性能:
–部署防火墙 【对应外部攻击的第一道防线,第一次连接到internet之前,防火墙就应该配置好,将防火墙配置成拒绝接收所有数据包,打开允许接受 的数据包】
–关闭不用的服务和端口 【网络连接是通过开放的端口来实现的,只开必要的服务取消非必要服务,合理分配系统资源,提高系统性能】
–严格禁止设置默认路由 【建议为每一个子网或者网段设置一个路由】
–口令管理 【口令组成无规则大小写,定期更改口令,涉及对/etc/passwd和/etc/shadow的保护】
–分区管理 【过去几年以缓冲溢出为安全漏洞是最常见的一种形式,使得一个匿名的Internet用户有机会获得一台主机的部分或者全部控制权】
–防范网络嗅探 【嗅探器被广泛应用与网络维护和管理方面,在工作的时候获取目标网络的各种信息】
–完整的日志管理 【日志记录着计算机系统的运行情况,黑客攻击时往往修改日志文件来隐藏踪迹,因此要限制对/var/log文件的访问】
–使用安全的工具软件
–使用保留的IP地址 【维护网络最安全的方法是保证网络中的主机同外界公共网络隔离,】
–部署Linux防病毒软件
–加强登录安全 【通过修改/etc/login.defs文件增强最登录错误延迟、记录日志、登录密码长度和过期限制】
–补丁问题 【Linux服务器主要运行的软件包括:Samba,FTP,telnet,SSH,MySQL,PHP,Apache和Mozilla等,这些软件大多是开源软件,而且不停升级 稳定版和测试版交替出现,所以要经常即使更新补丁】
—Linux系统安全保护措施:
–系统安全记录文件【记录是否有网络入侵的重要线索,如果发现有人对系统做telnet/FTP登录测试可以运行命令 more /var/log/secure|grep refuse d 来检查系统受到的攻击】
–启动和登录安全性:
-BIOS安全【设置BIOS密码且修改引导次序禁止从软盘启动系统】
-用户口令
-默认帐号
-口令文件 【使用chattr [+i][文件名] 命令给文件加上不可更改属性】
-限制使用su命令 【如果不想让用户su切换到root,编辑/etc/pam,d/su文件 将auth required pam_wheel.so use_uid 前边#去掉即可】
-限制NFS访问 【如果使用NFS网络文件系统服务,应确保/etc/exports具有严格访问权限设置,只能安装为只读文件系统,编辑此文件加入: /dir/to/export host1.mydomain.com(ro, root_squash)>> /dir/to/export host2.mydomain.com(ro, root_squash)>> 保存退出 输入/usr/sbin/exportfs -a改动生效】
-登录终端设置 【如果不想让root用户登录某终端编辑/etc/securetty在文件某行加入#即可】
–防止网络攻击:
-阻止ping 【如果没有人能够ping通用户系统自然就安全了,编辑/etc/rc.d/rc.local文件加入echo 1>/proc/sys/net/ipv4/icmp_echo_ignore_all】
-防止IP欺骗 【编辑/etc/host.conf文件加入orser bind,hosts >换行> multi orr >换行> nospoof on 】
-防止DOS攻击 【对系统所有用户设置资源限制可防止DOS攻击,如最大进程数和内存使用数量等,例如,在/etc/security/limits.conf文件中添加: * hard core 0 >换行> * hard rss 5000 >换行> * hard nproc 20然后编辑/etc/pam.d/login文件,检查是否存在: session required /lib/security/pam_limits.so 上面命令禁止调试文件,限制进程数为20,并且限制内存为5M 】
-安装补丁