46.firewalld
firewalld什么是 firewalldFirewalld 提供了动态管理的防火墙,该防火墙支持网络/防火墙区域,该区域定义了网络连接或接口的信任级别。
它运行时和永久的配置分开。(有临时规则和永久规则)
它还为应用程序和服务提供了一个接口来直接添加防火墙规则。
它的前任防火墙模型是一个具有 system-config-firewall/lokkit 的静态防火墙且没次修改都需要完全重启的防火墙
以前带有 system-config-firewall / lokkit 的防火墙模型是静态的,每次更改都需要重新启动防火墙。这还包括卸载防火墙 netfilter 内核模块和加载新配置所需的模块。模块的卸载破坏了状态防火墙和已建立的连接。另一方面,防火墙守护程序动态管理防火墙并应用更改,而无需重新启动整个防火墙。因此,无需重新加载所有防火墙内核模块。但是,使用防火墙后台驻留程序要求所有对该防火墙后台驻留程序的修改都必须确保该后台驻留程序中的状态与内核中的防火墙处于同步状态。防火墙守护程序无法解析 iptables 和 ebtables 命令行工具添加的防火 ...
45.iptables 防火墙
iptables 防火墙什么是 iptablesiptables 是一个配置Linux 内核防火墙的命令行工具。iptables 也经常指代内核级防火墙。
iptables 可以检测、修改、转发、重定向和丢弃 IPv4 数据包。
过滤 IPv4 数据包的代码已内置于内核中,并且按照不同的目的被组织成表的集合,每一个表都有不同的目的。表由一组预先定义的链组成,链包含依序遍历的规则。每条规则由可条件和在条件匹配为真时执行的动作(被称为 target)组成。如果一个数据包通过了一个链的所有匹配(如果这个链是空的,也被视为通过所有匹配),链的策略决定了这个数据包的最终去向。
iptables 就是允许管理员来操作链/规则的用户工具
iptables 是基于 Netfilter 框架的,所以所有的网络相关操作都可以由 iptables 来执行。每一条 iptables 的规则都被 Linux 核心直接使用,被作为 kernel task 存在。
表
raw: 仅用于配置数据包,以使它们免于连接跟踪
filter: 默认表,通常是所有与防火墙相关行为发生的地方
nat: 被用来进行 NA ...
44.LVM
LVMBackgroundLVM 解决了硬盘灵活性 (不容易调整分区大小,扩容困难) 的问题。
LVM 有什么缺点吗?
在如今计算、存储分离的环境下,LVM 还具备实用性吗?
在云计算环境中呢?
Introduction从根本上来讲,LVM 是将底层的物理卷 PV(磁盘)组成了一个大的资源池 VG 卷组。PE 是 LVM 的最小单元默认为 4M。当 Linux 需要使用到一块 block 来存储资料时,就可以简单的找 LVM 去按需申请一个逻辑卷。并且因为扩容方便,用户不需要在一开始就配置好未来很长时间才会使用的资源,这样运维人员可以按部就班的有计划的对存储设施进行升级。
LVM 的扩容和缩小LVM 的一个特点就是能够灵活的配置用户需要的存储。
扩容/缩小的异同点在于:扩容和缩容操作都需要先取消逻辑卷与目录的挂载关联;扩容操作是先扩容后检查文件系统完整性,而缩容操作为了保证数据的安全,需要先检查文件系统完整性再缩容。
另外在日常工作中,一定要谨慎使用或使用缩小的方案,因为这有数据丢失的风险。
LVM 的快照功能特点如下:
快照卷 size = 逻辑卷 size。 ...
43.Raid 阵列卡
Raid 阵列Backgroud对于存储要求高可靠的同时又要求性能,并且成本不能太高
现在有相应的存储设备来做这样的事情,但是 raid 也是一个很好的解决方案
另外在云计算环境下,raid 也是一个非常好的选择,例如在 AWS 中,EBS(volume) 本身就具备高可用,这种环境下的 raid 0 的收益会非常高。
常见的 Raid 类型Raid 0Riad 0 读取、写入最快:将数据写入 Raid 阵列中的不同磁盘,及对读取和写入的需求扩散到不同磁盘,这样读取、写入速度自然就快了(理论上 Raid 0 的读取、写入就是所有在阵列中的磁盘的 IOPS 总和),同样它对空间的浪费也是最小的,理论上阵列的大小及时所有磁盘的总和。但是缺点也很明显,Raid 0 不支持校验,这样如果阵列中的磁盘受损是没办法恢复数据的,但是在云计算中本来就支持高可用的磁盘非常适合这种类型。最少两块磁盘就可以组成 Raid 0 阵列了。
Raid 1Raid 1 读取、写入不变:将数据同时写入到多块磁盘中,这样只要不是所有磁盘同时损坏,数据是不会丢失的。缺点是成本高。最少两块磁盘就可以组成 Raid 1 阵 ...
42.磁盘配额
磁盘配额BackgroudLinux 上可以对用户和扩展组限定可以使用磁盘量(可创建的文件数量和文件的大小)。但是随着时代的发展,存储和计算分离,目前在企业中更普遍的做法是购买单独的存储然后通过 NFS 或 iscsi 等通过网络挂载到计算节点。这有很多优势,首先当服务器(一般来说是虚机)出现问题时,不会影响到存储的数据,将存储挂载到另一个计算节点即可使用;另外,也可以使同一份数据(也可能是二进制可执行文件)同时挂载到不同计算节点上,这样也算是一种环境的统一。但是这种方法也有劣势,那就是对存储的 I/O 等性能要求更高了。
使用方法
在 /etc/fstab 文件中对需要进行配额的设备的 option 选项上添加 uquota 字段。
根据文件系统使用对应的工具进行 quota 管理,例如对于 xfs 文件系统
xfs_quota [参数] 配额 目标/directory/文件系统xfs_quota -x -c 'limit bsfot=3m bhard=6m isoft=3 ihard=6 xingyuan' /home/xingyuan
遗留问题
...
41.软、硬链接
软、硬链接软链: 保存另一个文件的绝对路径路径(该路径不会自动更新,见下实验),有独立的区块(inode 与源文件不一致),独立的文件。
硬链:与源文件拥有一致的 inode,因此直接指向数据存储的物理块,即使源文件移动 (mv) 或移除 (rm). 可以理解为对一个文件做了一个别名,其他都保持一直。
Name
Soft Link
Hard Link
inode
与源文件不一致(独立文件)
与源文件一致
权限
不一致为 lrwxrwxrwx
一致
size
不一致
一致
源文件删除/移动是否有影响
有
没有
是否可以跨文件系统/分区
可以
不可以
文件属性实验[cdadmin@SZ-szlicsta link_test]$ touch test_file && echo "this is a test file" > test_file[cdadmin@SZ-szlicsta link_test]$ ls -l-rw-rw-r-- 1 cdadmin cdadmin 20 Aug 26 ...
40.fstab 解析
fstab 解析fstab(5) 文件可用于定义磁盘分区,各种其他块设备或远程文件系统应如何装入文件系统。
在/etc/fstab 中描述的磁盘分区会在系统启动时自行加载。
Example[root@ray_d62 ~]# cat /etc/fstab | grep -v "^#"# <file system> <dir> <type> <options> <dump> <pass>/dev/mapper/rhel-root / xfs defaults 0 0UUID=e52aa668-070e-4ed9-b025-123b8a7d731b /boot xfs defaults 0 0UUID=248F-3EF4 /boot/efi vfat umask=0077,shortname=winnt 0 2/dev/mapper ...
39.Linux 存储结构和磁盘划分
存储结构和磁盘划分目录结构Linux 中一切都是文件,包括目录、字符设备、块设备、套接字等等。Linux 中的一切都从根“/” 目录开始,并按照文件系统层次化标准(FHS)采用树形结构来存放文件,如下图。Linux 中的文件和目录名称是严格区分大小写的。
Linux 系统中常见的目录名称及内容(注意结合实际情况,不要认死理):
目录
文件内容
/boot
开机所需文件—内核、开机菜单以及所需配置文件等
/dev
以文件形式存放任何设备与接口
/etc
配置文件
/home
用户主目录
/bin
存放单用户模式下还可以操作的命令(binary)
/lib
开机时用到的函数库,以及/bin 与/sbin 下面的命令要调用的函数
/sbin
开机过程中需要的命令
/media
用于挂载设备文件的目录
/opt
放置第三方的软件
/root
系统管理员的家目录
/srv
一些网络服务的数据文件目录
...
38.Linux 用户身份和文件权限
用户身份和文件权限
用户身份
ID
Remark
root
0
系统管理员,最大权限
系统用户
1 - 999
避免服务出现漏洞导致黑客的提权攻击;默认服务程序会有对应的系统用户负责运行
普通用户
≥ 1000
由管理员创建;用户日常工作使用的账户
UID 不可冲突;
即使前面有空闲的 UID,普通用户也要从 1000 开始
添加、修改和删除用户useradd - 添加用户useradd [options] _username_-d user home directory-u assign a default UID-g assign a basic group (group must exist)-G assign one or more extend group-s assign shell interpreter
usermod - 修改用户属性usermode [options] _username_-c comment info-d -m assign a new directory to user and migrate all data fro ...
37.思科设备管理安全
设备管理本地认证只配置 IP 地址可以 ping 通,使用 telnet、ssh 远程提示 password required, but none set ,会话立即关闭。
只配置 VTY 密码line vty 0 4password cisc0123
可以登录设备,但使用命令 enable 时,设备提示 No password set 无法进入特权模式,对设备进行配置。
此时可以对设备状态进行查看,例如使用命令 show ip int brief 等。
配置 enable 密码enable secret cisc0123
此时,设备已经可以被远程管理,通过使用 vty 和 enable 的密码登陆设备。
配置 console 口密码line console 0password cisc0123
使用 console 口登录,发现 password 命令并未生效。这是因为 console 口的默认认证策略是 no login 无需认证即可登录的。
line
默认策略
备注
console
默认 no login
不需要认证即可登录
AUX
默认 login ...