[系统运维]tenth day for learning

配置yum仓库源：

1.光盘默认指向rhel8镜像文件，识别为/dev/cdrom

2.创建目录/media/cdrom ，并挂载/dev/cdrom ，注意他的文件系统格式为iso9660

3.配置/etc/yum.repos.d/下面新建一个以.repo结尾的文件再编辑

? ? ?[haha]

? ? ?name=rhel8_BaseOS

? ? ?baseurl=file:///media/cdrom/BaseOS 安装系统使用

? ? ?enabled=1

? ? gpgcheck=0

? ? [heihei]

? ? name=rhel8_AppsStream

? ? baseurl=file:///media/cdrom/AppStream 软件包

? ? enabled=1

? ? ?gpgcheck=0

注：rhel5/6/7只需写出/media/cdrom这个根目录就行，rhel8需要写出BaseOS和

AppStream这俩具体位置

防火墙：

iptables:

? ?允许：ACCEPT 拒绝：DROP 不会有回应，直接丢弃，并不能知道是否在线

? ?拒绝：REJECT 会得到回应，明确拒绝了你 日志：LOG

? ?IPtables: 策略从上到下依次匹配，上面优先级高

? ?iptables -L 查看规则链 ； iptables -F 清空所有规则链 ；-P 表名 策略 :设置表策略

? ?-I 表 在规则链头部插入，存放优先级高的 ； -A 表 在规则链尾部添加

? ?-D 表名 数字 ：删除第几条规则 -p 跟协议

? ? iptables -I INPUT -p tcp --dport 22 -j ACCEPT 允许ssh

? ? ?iptables -I INPUT -p icmp -j ACCEPT 允许ping

? ? iptables -D INPUT 2 删除第二条规则

? ? service iptables save 保存配置，重启就不会丢失

Firewalld：默认是runtime

? ?runtime:当前生效，而重启后失效

? ?permanent: 当前不生效，而重启后生效，可以firewall-cmd --reload重启服务使当前生效

? ?查询某一端口号：firewalld-cmd --zone=public --query-port=80/tcp

? ?列举允许的所有端口 ： firewalld-cmd --zone=public --list-ports

? ?添加某一端口：firewalld-cmd --zone=public --add-port=80/tcp

? ?查询某一服务：firewalld-cmd --zone=public --query-service=ssh

? 列举允许的所有服务: firewall-cmd --zone=public --list-services

? 移除某一服务： firewall-cmd --zone=public --remove-service=**

? ?永久开启某一服务：firewalld-cmd --permanent --zone=public --add-service=**

? ? 查询重启后的状态（=永久）：firewalld-cmd --permanent --zone=public --query-service=**

扩展：设置到36000端口的tcp包转发到主机192.168.159.128的22端口

firewall-cmd --permanent --zone=public --add-forward-port=port=36000:proto=tcp:toport=22:toaddr=192.168.159.128

注： 重启或者reload后生效

富（复）规则：拒绝来自192.168.159.1的ssh服务

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.159.1" service name="ssh" reject"

注：重启或者reload后生效

总结：firewall与iptables的不同：

? ? ? ? iptables是以规则组成，规则具有优先级（自上而下）

? ? ? ?firewall是针对服务，服务开启（add）即允许，服务(remove)即--list-services显示所有服务里面没有即拒绝。只有“富规则”里可添加某一规则，产生优先级!!!!!!!!!!!

扩展一：以网页形式配置主机各种东西（网络、存储、账户等）

yum install cockpit

systemctl restart cockpit

systemctl enable cockpit.socket

物理机打开浏览器输入：虚拟机ip:9090 账户为虚拟机账户，即可实现

扩展二：rhel5/6/7里面：/etc/hosts.allow天使文件 /etc/hosts.deny恶魔文件

可以直接编辑这两个文件达到允许/拒绝某服务访问

如：allow:添加一行 sshd :192.168.159.1 允许.1主机访问sshd服务

deny:添加一行 sshd :192.168.159.0/24 不允许159.0 网段访问sshd服务

结果：除了.1主机可访问sshd服务，该网段其余主机不可访问