《linux就该这么学》第十一节课： 第九章，网卡绑定与sshd服务

8.4、服务的访问控制列表

TCPwrappers是RHEL7中默认启用的流量监控程序，能够对服务做出允许或拒绝。

TCPwrappers服务由两个文件控制：

 /etc/hosts.allow        //允许控制列表文件

 /etc/hosts.deny        //拒绝控制列表文件

文件的写入格式：服务名称      【对象】

对象可以是单一主机，网段，DNS后缀，主机名称等。

先匹配允许文件，后匹配拒绝文件，一旦匹配，立即跳出，若都没有匹配上，则默认放行。

第九章

9.1、配置网络服务

配置网卡参数

可使用：nmtui、nm-connection-editor、右上角图形、配置文件等来配置网卡参数。

  创建网络会话

网络会话用于不同场所的快速切换网络，例如公司是手动ip，家里是DHCP，如果用网络会话不用频繁的切换，自动切换了。

nmcli  connection  show         //查看会话

nmcli connection add con-name company ifname eno16777736 autoconnect no type ethernet ip4 192.168.10.10/24 gw4 192.168.10.1

//创建名称为company会话

nmcli  connection up  company          //切换到company会话

绑定两块网卡

下面是绑定两块的相关命令，需要两块网卡当成一块使用，另一块备援：

[root@linuxprobe ~]# vim /etc/sysconfig/network-scripts/ifcfg-eno16777736       //从属网卡

TYPE=Ethernet

BOOTPROTO=none

ONBOOT=yes

USERCTL=no

DEVICE=eno16777736

MASTER=bond0

SLAVE=yes

[root@linuxprobe ~]# vim /etc/sysconfig/network-scripts/ifcfg-eno33554968            //从属网卡

TYPE=Ethernet

BOOTPROTO=none

ONBOOT=yes

USERCTL=no

DEVICE=eno33554968

MASTER=bond0

SLAVE=yes

[root@linuxprobe ~]# vim /etc/sysconfig/network-scripts/ifcfg-bond0                //主网卡

TYPE=Ethernet

BOOTPROTO=none

ONBOOT=yes

USERCTL=no

DEVICE=bond0

IPADDR=192.168.10.10

PREFIX=24

DNS=192.168.10.1

NM_CONTROLLED=no

网卡绑定有三种模式：

  mode0：平衡负载模式，两块均工作，但需设备上端口聚合来支持。

  mode1：自动备援模式，一块工作，另一块备援。

mode6：平衡负载模式，两块均工作，且自动备援，无需交换机端口聚合技术支持。

[root@linuxprobe ~]# vim /etc/modprobe.d/bond.conf

alias bond0 bonding

options bond0 miimon=100 mode=6            //模式mode6，切换时间100毫秒

9.2、远程控制服务

配置sshd服务

sshd服务两种安全验证的方法：

基于口令的验证：用账户密码来验证登录

  基于秘钥的验证：本地生成秘钥对，上传公钥至服务器，与服务器中公钥进行比较。

sshd服务中的配置文件在/etc/ssh/sshd_config文件中，其中个字段的说明如下：

Port 22                                                      //默认的sshd服务端口

ListenAddress 0.0.0.0                               //设定sshd服务器监听的IP地址

  Protocol 2                                                 //SSH协议的版本号

HostKey /tc/ssh/ssh_host_key                  //SSH协议版本为1时，DES私钥存放的位置

HostKey /etc/ssh/ssh_host_rsa_key         //SSH协议版本为2时，RSA私钥存放的位置

HostKey /etc/ssh/ssh_host_dsa_key        //SSH协议版本为2时，DSA私钥存放的位置

  PermitRootLogin yes                                //设定是否允许root管理员直接登录

  StrictModes yes                                       //当远程用户的私钥改变时直接拒绝连接

MaxAuthTries 6                                        //最大密码尝试次数

MaxSessions 10                                       //最大终端数

  PasswordAuthentication yes                    //是否允许密码验证

PermitEmptyPasswords no                      // 是否允许空密码登录（很不安全）

ssh  命令用来进行远程连接。   ssh   【参数】   主机地址

可针对不同的需求来编辑服务配置文件，如禁止root用户ssh登录:

安全秘钥验证

1、在客户端生成密钥对.

ssh-keygen命令用于生成。

2、在客户端主机，把生成的公钥文件传送至远程主机（服务器）

ssh-copy-id   192.168.10.10      //把公钥文件传送至192.168.10.10服务器

  3、对服务器进行设置，十七只允许秘钥验证，拒绝口令验证。

4、在客户端登录远程主机，无须输入密码。

远程传输命令

scp   基于ssh协议在网络之间安全传输的命令。  scp  【参数】  本地文件  远程账户@远程IP地址：远程目录。

-v                               //显示详细的连接进度

-P                              //指定远程主机的sshd端口号

-r                               //用于传送文件夹

  -6                              //使用IPv6协议

不间断会话服务

当突然远程会话断开后，正在运行的命令也会随之中断，此时需要不间断会话服务。

screen   是实现多窗口不间断服务的设计程序。

会话恢复：即便网络中断，也可以随时恢复，确保用户不会失去会话的控制。

多窗口：每个会话独立运行。

会话共享：多个用户同事登录到远程服务器，可以会话共享。

  首先需要安装screen ：yum   install   screen

screen  用于开启管理不间断会话。

-S    //创建会话窗口                          -d   //指定会话进行离线处理

  -r    //回复指定会话                           -x   //一次性回复所有会话

-ls   //显示当前所有的会话               -wipe  //把无法使用的参数删除

  screen  -S   backup  屏幕会闪动一下，就进入screen模式，然后命令窗口上端显示screen，使用screen  -ls查看：

会话共享功能

正常打开screen会话，使用screen  -x 开启会话共享。

 复习：网卡绑定，ssh禁止管理员登录

预习：第十章，部署Apache