IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 系统运维 -> Linux系统管理--(2) -> 正文阅读

[系统运维]Linux系统管理--(2)

Linux系统管理

实验所用系统为Redhat-rhel8.2。

Linux的系统管理–Linux中的远程登陆服务

实验环境–配置两台纯净的虚拟机

  • 真机
westos-vmctl reset westosa
westos-vmctl reset westosb
  • westosa–server服务端
hostnamectl set-hostname westosa.westos.org		
nmcli connection show
nmcli connection delete Wired\ connection\ 1
cd /etc/sysconfig/network-scripts/(非图形设定,也可以nm-connection-editor图形设定)
ls()
vim ifcfg-ens3
###
DEVICE=ens3
ONBOOT=yes
BOOTPROTO=none
IPADDR=172.25.254.109
NETMASK=255.255.255.0
NAME=ens3
###
nmcli connection reload
nmcli connection up ens3
rm -rf /root/.ssh/ (默认没有这个文件,删掉保存原始状态)
ifconfig
init 3

sshd(默认下载)
systemctl enable --now sshd(默认打开)

#也可图形方式进行设置

  • wesosb–client客户端
    操作同a
    请添加图片描述

  • 真机

ssh -l root 172.25.254.109
ssh -l root 172.25.254.209

一、Openssh的功能

1、sshd服务的用途

Secure Shell		===>ssh		##客户端
Secure Shell daemon	===>sshd	##服务端

2、安装包

openssh-server

3、主配置文件

rpm -qc openssh-server
/etc/ssh/sshd_conf

4、默认端口

netstst -antupe | grep ssh

对外开放的接口 22

5、客户端命令

ssh(ssh sshd)

二、ssh

1、基本用法

ssh [-l 远程主机用户] <ip|hostname>

ssh -l root 172.25.254.109		##通过ssh命令在105主机中 以root身份开启远程shell

当收入yes后
109主机会向当前主机发送身份公钥,并保存此公钥到~/.ssh/known_hosts
109主机持有私钥,当客户主机再次连接时对其进行身份验证

当连接因为认证问题被拒绝时,
vim ~/.ssh/know_hosts
在此文件中删除报错提示相应的行

ssh 常用参数
-l		##指定登陆用户
-i		##指定私钥
-X		##开启图形
###
真机,开启图形
ssh -X -f -l root 172.25.254.109 gedit
###
-f		##后台运行
-o		##指定连接参数
		#ssh -l root@172.25.254.x -o "StrictHostKeyChecking=no"	首次连接不需要输入yes
-t		##指定连接跳板
	ssh -l root 172.25.254.1 -t ssh -l root 172.25.254.109

实验步骤:

  1. 客户端b连接服务端a,/root/.ssh/known_hosts中生成公钥
  2. 服务端a/etc/ssh/ssh_host-ecdsa_key.pub中生成私钥
  3. 公钥与私钥内容相同
  4. 当不同时,ssh失败,即当连接因为认证问题被拒绝
  5. 客户端b重新连接,报错known_hosts:x出错,则删掉对应的行,重新连接。

客户端b连接服务端a

###客户端b
ssh -l root 172.25.254.109(客户端连接服务器)
exit
cd /root/.ssh
ls
cat known_hosts

###服务端a
cd /etc/ssh/
ls
cat ssh_host_ecdsa_key.pub	

请添加图片描述
#客户端b
请添加图片描述
##服务端a,两者内容相同

##如果两个文件内容不同则不能ssh成功,(当连接因为认证问题被拒绝时)解决:

###a(模仿连接出错)
cd /etc/ssh/
ls
rm -rf ssh_host_*	##删掉配置文件
systemctl restart sshd	##重启sshd

###b
ssh -l root 172.25.254.109
报错known_hosts:1出错
vim known_hosts
删掉对应行
ssh -l root 172.25.254.109
成功
exit

请添加图片描述

请添加图片描述
#/root/.ssh/known_hosts中删除第一行

三、sshd key认证

1、认证类型

1)

对称加密:加密和解密是同一串字符
缺点:容易泄露;可暴力破解;容易遗忘

2)

非对称加密加密用公钥,解密用私钥
优点:不会被盗用;攻击者无法通过无密钥方式登陆服务器

2、生成非对称加密密钥

不必要求在服务器或者客户端,在哪都可以

1)方法1:交互式生成密钥

  • 客户端b
ssh-keygen

Generating public/private rsa key pair.
Enter file in which to save the key(/root/.ssh/id_ras):		##存放密钥加密字符串的文件,可输入或者默认
Enter passphrase (empty for no passphrase):					##密钥密码,可为空(免密认证)
Enter same passphrase again:								##确认密码
Your identification has been saved in /root/.ssh/id_ras.	##私钥
Your public key has been saved in /root/.ssh/id_ras.pub。	##公钥
The key fingerprint is:生成的密钥

请添加图片描述[注意] 如果接下来要做自动生成,需要删除已经生成的密钥文件
rm -rf /root/.ssh/

2)自动生成密钥

  • 客户端b
ssh-keygen -f /root/.ssh/id_ras -P ""						##生成key;-f 保存加密字符的文件,-P设定密码,""表示免密认证
ssh-copy-id -i /root/.ssh/id_ras.pub root@172.25.254.109	##用key对指定root用户加密(此时需要输入109的密码才能设定成功)
cat /root/.ssh/id_ras.pub

请添加图片描述

  • 服务端a
ls -l /root/.ssh/
cat /root/.ssh/authorized_keys			##上锁成功,密码内容和b里的/root/.ssh/id_ras.pub相同

请添加图片描述

当有很多私钥对应一个公钥时,可以用-i指定私钥

  • 客户端b
ssh -i /root/.ssh/id_ras -l root 172.25.254.109			##登陆成功,此时登陆不需要密码,是因为第一步-P "",没有设置密码

3、安全优化(对服务器a)

rpm -qc openssh-server			##查找主配置文件
/etc/ssh/sshd_config			##主配置文件
vim /etc/ssh/sshd_config
vim ~/.vimrc					##写入set nu,永久添加行号
systemctl status sshd			##查看sshd服务状态,保证开启

请添加图片描述

1)关闭原始密码认证

vim /etc/ssh/sshd_config
///
73 PasswordAuthentication yes ##原始密码认证开启 改成no
///
systemctl restart sshd		##重启服务

请添加图片描述
#原始密码认证关闭,即不能输入密码来登录

测试
没有key的用户没有输入密码的途径
有key的用户可以使用私钥连接

请添加图片描述
#有key的客户端b使用私钥可以连接服务端a
请添加图片描述#没有key的真机被拒绝

[注意] 做完实验要将no改回yes。

2)修改默认端口

将默认端口22改为2021

  • 服务端a
getenforce							##限制端口更改
setenforcr 0 						##关掉限制
systemctl disable --now firewalld	##关闭火墙
vim /etc/ssh/sshd_config
///
17 Port 22	改成2021					(同时删掉注释符)
///
systemctl restsrt sshd				##重启服务

请添加图片描述

  • 服务端b
ssh -l root 172.25.254.109			##连接失败
ssh -l root 172.25.254.109 -p 2021	##指定端口,连接成功

请添加图片描述[注意] 做完实验要将端口改回22。

3)用户白名单

  • 服务端a
vim /etc/ssh/sshd_config
///
50 AllowUsers root ...	##指定多个用户可以登陆
///
systemctl restsrt sshd

请添加图片描述

  • 服务端b
ssh -l root 172.25.254.109		##可以登录
ssh -l westos 172.25.254.109	##不可以登录

请添加图片描述

4)用户黑名单

  • 服务端a
vim /etc/ssh/sshd_config
///
51 DenyUsers westos ...	##指定用户不可以登陆
								##注意:需要注释掉白名单
///
systemctl restsrt sshd			##重启服务

请添加图片描述

  • 客户端b
ssh -l root 172.25.254.109		##可以登录
ssh -l westos 172.25.254.109	##不可以登录

请添加图片描述

Linux的系统管理–Linux中的日志管理

[注意] 还原配置文件或者重启,但是不建议重启

重启
rm -rf /etc/ssh/sshd_config
dnf  reinstall openssh-server -y
vim /etc/ssh/sshd_config
systemctl restart sshd

实验环境:
两台纯净的虚拟机
systemctl disable --firewalld

一、journald程序

服务名称:system-journald.service(默认开启)

systemctl status system-journald-journald.service	##查看状态

默认日志存放路径:/run/log/机器码/system.journal

hostnamectl			##查看机器码

1、实验1 journalctl命令的用法

journalctl	#分析日志(n,N向上/下匹配)
	-n 3					##日志的最新3条
	--since “11:00:00“		##显示11点之后的日志
	--until “11:05:00"		##显示11:05之前的日志(注意引号的中英文区分)
	-o			##设定日志的显示方式
		#short		经典模式显示日志
		#verbose	显示日志的全部字节
		#export		适合传出和备份的二进制格式(不常用)
		#json		js格式显示输出(不常用)	

	-p			##显示制定级别的日志
		#0 emerg	系统的严重问题日志
		#1 alert	系统中立即要更改的信息
		#2 crit		严重级别会导致系统软件不能正常工作
		#3 err		程序报错
		#4 warning	程序警告
		#5 notice	重要信息的普通日志
		#6 info		普通信息
		#7 debug	程序排错信息
	-F	PRIORITY	##查看可控日志级别
	-u	sshd		##查看指定服务
	--disk-usage		##查看日志大小
设定日志回滚,将最先生成,最早存放的日志删除(期限,大小)
	--vacuum-size=1G	##设定日志存放大小
	--vacuum-time=1w	##设定日志在系统中最长存放时间
	-f					##监控日志
	_日志里的信息			##查看该信息的日志
例:journalctl _PID=32350
journalctl _PID=10924 _SYSTEMD_UNIT=sshd.servie

[注意] 关机后/run/log/机器码/system.journal会被清理,重启后日志从当前开始

2、实验2 用journald服务永久存放日志

  • 系统默认保存日志:/run/log/journal中,关机后被清理

想要永久保存日志,则需要将其放在硬盘里

mkdir /var/log/journal
chgrp systemd-journal /var/log/journal	##程序只能识别属于他的组的文件
chmod 2775 /var/log/journal
systemctl restart systemd-journald.service

服务重启后,日志将存放在:/var/log/journal

  系统运维 最新文章
配置小型公司网络WLAN基本业务(AC通过三层
如何在交付运维过程中建立风险底线意识,提
快速传输大文件,怎么通过网络传大文件给对
从游戏服务端角度分析移动同步(状态同步)
MySQL使用MyCat实现分库分表
如何用DWDM射频光纤技术实现200公里外的站点
国内顺畅下载k8s.gcr.io的镜像
自动化测试appium
ctfshow ssrf
Linux操作系统学习之实用指令(Centos7/8均
上一篇文章      下一篇文章      查看所有文章
加:2021-07-23 11:14:16  更:2021-07-23 11:15:08 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/25 16:52:09-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码