centos7的基础文档二


systemctl对于Linux来说,就是一个init程序,可以作为sysVinitUpstat的替代。centos7的服务脚本存放在:/usr/lib/systemd/,有系统(system)命令和用户(users)命令之分,像需要开机不登录的就能运行的服务存在系统的服务里,即:/usr/lib/systemd/system目录下,每一个服务以.server结尾。一般会分为三个部分:[unit][service][install][unit]:部分主要是对这个服务的说明,内容包括描述和after,其中after由于描述服务类型[service]:部分是服务的主要部分,是服务的一些具体运行的参数的设置,这里type-forKing是后台运行的形式,pidfiel为存放PID的文件路径,execstart为服务的具体运行命令,[install]:部分是服务安装的相关设置,可设置为对用户的。systemctl命令作为servicechkconfig命令的结合。systemctl命令的基本操作格式:systemctl动作 .service(服务名称)systemctl systemctl list-units//输出激活的单元systemctllist-units –type=service //列出active状态的服务systemctllist-unit-files //列出所有已安装的服务systemctl–failed //显示启动失败的服务所有的可用的单元文件存放在/usr/lib/systemd/system /etc/systemd/syetem/目录(或者的优先级高)使用单元:一个单元可以是:(.service(.mount )(.sockets)systemctlstart //立即启动单元systemctlstop //停止单元systemctlrestart //重启单元systemctlreload //重新加载单元配置systemctlstatus // 输出单元运行状态systemctlis-enabled //检查单元是否设置为自动启动systemctlenable //开机自动启动单元systemctldisable //取消开机自动启动单元systemctlis-active //查看单元是不是正在运行systemctldaemon-reload //重新载入systemd 扫描新的或有变动的单元。电源管理:systemctlreboot // 重启systemctlpoweroff //关机可以通过type来过滤掉其他的类型的单元systemctllist-unit-files -type servicecentos7已经默认使用firewalld作为防火墙了,其实用的方法已经变化,基于iptables的防火墙被默认不启动,但任然可以继续使用。centos7中有firewalld IPtables ebtables 等防火墙共存,默认使用firewalld作为防火墙,管理工具firewalld-configfirewalld-cmd来管理。1systemctl status {firewalldiptablesebtables} //查看各类防火墙的运行状态2)禁用防火墙iptables,:systemctl maskiptables for service in iptables ebtables;dosystemctlmask $(service).servicedone//利用for循环语句来禁用3)取消禁用防火墙iptablessystemctl unmask iptables4)查看几种服务是否正在运行systemctlstatus 服务名 systemctl is-active服务名firewalld 提供了支持网络/防火墙区域定义网络链接以及接口安全等级的防火墙管理工具,拥有运行时配置和永久配置选项。它也支持允许服务或者应用程序直接添加防火墙规则的接口,以前的iptables使静态的,每次修改完之后需要重新加载,相反,firewalld的防火墙不需要重启整个防火墙便可。
firewalld区域的概念:数据包通过到内核必须要通过这些zone中的一个,而不同的zone里定义的规则不一样,可以根据网卡所连接的网络的安全性来判断,这张网卡的流量到底是使用哪个zone,比如eth0流量全部使用zone1的过滤规则,Eth2使用的流量为zone2
预定义的服务:就是端口和协议号入口的集合端口和协议:定义了tcpudp端口,端口可以是一个或者端口范围ICMP阻塞:可以选择internet控制报文协议的报文,这些报文可以是信息请求也可以是对信息请求或错误条件创建的响应。伪装:私有网络地址可以被映射到公网的ip地址,这是一次正规的地址转换。端口转发:端口可以映射到另一个端口以及其他主机1)丢弃区域(drop zone)如果使用丢弃区域,任何进入该区域的数据包将被丢弃,这里类似于我们之前学过的iptables -j DROP 使用丢弃区域将不再有任何的响应2)阻塞区域(block zone)阻塞区域会拒绝进入的网络连接,返回icmp-host-prohibited ,只有服务器已经建立连接会被通过即只允许该系统初始化的网络连接。3)外部区域(external zone)这个区域相当于路由的启用伪装选项,只有指定的连接会被接受,即ssh 其他的连接将被丢弃或者不被接受。4)公共区域(public zone 只接受那些被选中的连接,默认只允许sshdhcp6-client.这个zone是缺省区域。5)隔离区域(DMZ zone 如果想要只允许给部分的服务能够被外部访问,可以在此区域中定义,它也拥有只通过被选中的连接的特性,即ssh6)工作区域(work zone 在这个区域,我们只能定义内部网络,比如私有网络通信才能被允许。7)家庭区域(home zone 这个区域专门用于家庭网络,它同样只允许被选中的连接才能通过和home区域一样。8)内部区域(internal zone 这个区域和工作区域类似,只有通过被选中的连接才能通过。9)信任区域(trust zone 信任区域允许所有的网络通过,因为trusted是最被信任的,即使没有任何服务,那么也是被允许的,因为trusted是允许所有连接的。firewall-cmd –state//获取firewalld的状态firewall-cmd –reload//在不改变状态的情况下重新加载防火墙firewall-cmd –get-zone //获取支持的区域列表firewall-cmd –get-services //获取所有支持的服务想要列出默认的有效服务,也可以进入下面的目录也可以获取cd /usr/lib/firewalld/services/*.xml想要自己定义某个服务,就可以修改这里的配置文件就可以了firewall-cmd –get-icmptypes //获取所有支持的icmp类型firewall-cmd –list-all-zones //列出全部启用的区域的特性firewall-cmd –zone=public–list-all //列出制定区域的全部特性firewall-cmd –get-default-zone //查看默认的区域在文件/etc/firewalld/firewalld.conf可以定义成defaultzone=publicfirewall-cmd –set-default-zone=区域名称 //设置默认区域firewall-cmd –get-active-zones //获取活动的区域firewall-cmd –get免费云主机域名-zone-of-interface=网卡名称 //查看某个接口属于哪个zonefirewall-cmd –add-interface =网卡名称 –zone=区域名称 //将指定接口加入到某个区域firewall-cmd –change-interface=网卡名称 –zone=区域名称 //将某个接口转移到另一个zonefirewall-cmd –remove-interface=网卡名称 –zone=区域名称 //将某个接口从指定的区域删除firewall-cmd –query-interface=网卡名称 –zone=区域名称 //查看某个区域是否包含所查询的接口firewall-cmd –list-services –zone=区域名称 // 列出区域中的所启用的服务firewall-cmd –panic-on//启用应急模式阻断所有的连接,以防出现紧急状况firewall-cmd –panic-off //禁用紧急模式firewall-cmd –query-panic //查询紧急模式

相关推荐: Samba&distcc 漏洞

漏洞测试确实是可以的 当时把文章copy下来进行再进行测试。但是没有copy到图片,实验是成功了,但是没有那么直观。使用metasploit对metasploitable 靶服务器进行***metasploitable 是ubuntu8.0的版本neuss扫描…

免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。

(0)
打赏 微信扫一扫 微信扫一扫
上一篇 01/26 12:55
下一篇 01/26 12:55