明明白白你的Linux服务器——网络篇
原文地址:http://os.51cto.com/art/201007/209530.htm
一、服务器的网络配置
在服务器的网络配置时,喜欢图形的朋友可用setup或system-config-network来配置。
网卡配置文件为/etc/sysconfig/network-scripts/ifcfg-eth0,设置完毕后直接用service network restart生效
- [root@linpcl root]#cat /etc/sysconfig/networking/devices/ifcfg-rth0
- DEVICE=eth0
- ONBOOT=yes
- BOOTPROTO=static
- IPADDR=192.168.0.2
- NETMASK=255.255.255.0
- GATEWAY=192.168.0.1
GATEWAY选项可以设置网关参数,这里注意下ONBOOT选项,它表示网卡是否随系统启动而启动,此项一定要设置成on
这里介绍二个不是太常用的参数
USERCTL=no,即不允许普通用户修改网卡 PEERDNS=yes,它表示允许从DHCP获得的DNS覆盖本地的DNS
查看本机所有的网卡情况 ifconfig –a,更高级的网卡路由命令用ip addr,特别是你的服务器由keepalived绑定了虚拟VIP后用其查看很方便查看本机路由 netstat –rn或route
增加一条本机网络路由用命令route add -net 172.16.6.0 netmask 255.255.255.0 gw 172.16.2.25,即增加一条网络172.16.6.0/24 经过172.16.2.254 ,这个地址也可以理解为你的下一跳的地址
删除路由用命令route del –net 172.16.86.0/24
如果要永久的生效可用文件编辑的办法
vim /etc/sysconfig/network-scripts/route-eth0 172.16.6.0/24 via 172.16.2.25
查看本机的DNS服务器 cat /etc/resolv.conf 查看主机名hostname 查看主机名对应的IP地址 /etc/hosts
它的执行顺序是优于DNS的,现在多用于集群环境,比如Heartbeat;还有一个妙用,在没用DNS的环境中做测试时,直接改服务器的此文件,达到优先解析的目的查看与本机直连的网络设备用命令arp
这里跟大家介绍一个很有用的工具,mii-tool,判断哪块网卡连接了网线,同事们靠抽插网线来判断哪个网卡连接了网线的办法比较没有效率
- [root@mail~]#mii-tool
- eth0: negotiated 100baseTx-FD flow-control, link ok
- SIOCGMIIPHY on 'eth1' failed: Resource temporarily unavailable
大家看这段文字可能没什么感觉,但到了机房就非常有用了,特别是那些网卡多的服务器,我见得最多的某台Linux服务器上绑定了六块网卡。
二、查看你的服务器网络连接状态
- netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'
- LAST_ACK 14
- SYN_RECV 348
- ESTABLISHED 70
- FIN_WAIT1 229
- FIN_WAIT2 30
- CLOSING 33
- TIME_WAIT 18122
状态:描述
◆CLOSED:无连接是活动的或正在进行
◆LISTEN:服务器在等待进入呼叫
◆SYN_RECV:一个连接请求已经到达,等待确认
◆SYN_SENT:应用已经开始,打开一个连接
◆ESTABLISHED:正常数据传输状态
◆FIN_WAIT1:应用说它已经完成
◆FIN_WAIT2:另一边已同意释放
◆ITMED_WAIT:等待所有分组死掉
◆CLOSING:两边同时尝试关闭
◆TIME_WAIT:另一边已初始化一个释放
◆LAST_ACK:等待所有分组死掉
ESTABLISHED的值其实也是当前的并发数,这个可重点关注下;另外,可关注下TIME——WAIT这项的数值。Linux下高并发的Squid服务器,TCP TIME_WAIT套接字数量经常达到两、三万,服务器很容易被拖死。通过修改Linux内核参数,可以减少Squid服务器的TIME_WAIT套接字数量,具体可参见我的另一篇文章:优化Linux生产服务器的经验之谈。
三、 寻找恶意IP并用iptables禁止掉
找出恶意连接你的服务器80端口的IP,直接用iptables来drop掉它;这里建议写脚本来运行,有兴趣的请参考我在51cto.com里发表的自动分析黑名单及白名单的iptables脚本一文
netstat -an| grep :80 | grep -v 127.0.0.1 |awk '{ print $5 }' | sort|awk -F: '{print $1,$4}' | uniq -c | awk '$1 >50 {print $1,$2}'
iptables脚本执行完毕后,用iptables –nv –L 可查看其规则,下面的iptables语法比较详细,推荐记忆
iptables [-t表名] <-A| I |D |R > 链名[规则编号] [-i | o 网卡名称] [-p 协议类型] [-s 源IP地址 | 源子网][--sport 源端口号] [-d 目标IP地址 | 目标子网][--dport 目标端口号] <-j 动作>
四、SMTP会话处理方式
捕获一个SMTP会话,以下命令很管用,推荐下 ;不喜欢用命令的同学我推荐用wireshark
- tcpdump -vv –x –X –s 1500 `port 25`
五、打印自动运行服务
打印出自动运行的服务,3、5级别的即可;当然喜欢图形的同学可用ntsysv工具。
- [root@ltos test]# chkconfig -list | grep 3:on | awk '{print $1,$5}'
- [root@ltos test]# chkconfig –list | grep 5:on | awk '{print $1,$7}'
六、使用Netstat查看协议数据
Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据,一般用于检验本机各端口的网络连接情况。
- NETSTAT [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-v] [interval]
- -a 显示所有连接和监听端口。
- -b 显示包含于创建每个连接或监听端口的可执行组件。
- -e 显示以太网统计信息。此选项可以与-s选项组合使用。
- -n 以数字形式显示地址和端口号。
- -o 显示与每个连接相关的所属进程 ID。
- -p proto 显示 proto 指定的协议的连接。
- -r 显示路由表。
- -s 显示按协议统计信息。
一般用得比较多的就是netstat -an与netstat –rn
七、使用lsof查看文件信息
在unix里面,一切皆文件;而Linux秉承了这一特性,将unix下的工具lsof移植过来得很成功。lsof可以列出被进程所打开的文件的信息。
被打开的文件可以是
1.普通的文件
2.目录
3.网络文件系统的文件
4.字符设备文件
5.(函数)共享库
6.管道,命名管道
7.符号链接
8.底层的socket字流。网络socket,unix域名socket,用得比较多的用法是lsof -i:端口号,列出谁在使用某个端口,例如:lsof -i :3306,我喜欢用此用法来判断服务到底有没有正常启用。
八、使用fuser查看和杀死相关进程
与lsof –i的用法相法,如果我想查找占用3306端口的程序,则用fuser –n tcp -v 8080,另外,fuser的其它功能也是很强大的,我常用的它的两个功能:查看我需要的进程和我要杀死我查到的进程(抚琴煮酒是一般用来解决device is busy的问题)
比如当你想umount光驱的时候,结果系统提示你设备正在使用或者正忙,可是你又找不到到底谁使用了他。这个时候fuser可派上用场了。
- [root@lancy sbin]# eject
- umount: /media/cdrom: device is busy
- umount: /media/cdrom: device is busy
- eject: unmount of `/media/cdrom' failed
- [root@lancy sbin]# fuser /mnt/cdrom
- /mnt/cdrom: 4561c 5382c
- [root@lancy sbin]# ps -ef |egrep '(4561|5382)' |grep -v grep
- root 4561 4227 0 20:13 pts/1 00:00:00 bash
- root 5382 4561 0 21:42 pts/1 00:00:00 vim Autorun.inf
示例中,我想弹出光驱,系统告诉我设备忙着,于是采用fuser命令,参数是你文件或scoket,fuser将查出那些使用了他。4561c,5382c表示目前用两个进程在占用着/mnt/cdrom,分别是4561,5382,进程ID后的字母表示占用资源的方式。
九、TCP_wrappers防火墙
linux上一种特殊的防火墙TCP_wrappers防火墙,TCP 封包会先经过所谓的 IP 过滤机制( IP Filtering ),这是 Linux 提供的第一层保护,他可以将你不想要的来源 IP (经由 TCP 封包的 Head 资料)先当掉再说!如果可以通过的话,在就是要通过TCP_wrappers过滤。如果上面两个都通过了,再就根据每个服务访问控制的设定决定客户机能得到不同的权限和信息.TCP_wrappers防火墙主要涉及到两个文件/etc/hosts.allow和/etc/hosts.deny,可作iptables的补充来保护你的Linux安全,比如只允许内网IP访问你的NFS服务器。
这里说下Linux是怎么识别其顺序的,这里好多朋友容易混淆了;当某个ip想访问你的Linux下的特定服务时,系统首先会检查/etc/hosts.alllow文件,如是有的话就放行,没有的话继续检查/etc/hosts.deny文件,有的话拒绝,没有的就放行,不过一般的做法就直接在/etc/hosts.allow里放允许通行的ip,/etc/hosts.deny里放不允许通行的ip。另外,这里跟大家分享一个经验心得吧: Linux下的服务众多,samba,nfs,rsync,tcp_wrapper,xinetd等,而每个又都有各自支持的写法,这样对于考试学习及工作记忆很不方便,其实它们都支持192.168.0.1/255.255.255.0这样的点分十进制写法;另,iptables是不支持的,它只支持192.168.0.1/24比特建网制。
十、推荐下Linux/unix中常用的扫描端口工具-Nmap
下面是Nmap支持的四种最基本的扫描方式:
- TCP connect()端口扫描(-sT参数,-sP是用于扫描整个局域网段)
- TCP同步(SYN)端口扫描(-sS参数)
- UDP端口扫描(-sU参数)
- TCP ACK扫描(-sA参数)
我这里以自己的线上邮件服务器为例说明下:
- [root@mail postfix]# nmap -P0 -sS 211.143.6.X
- Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-03-29 16:21 CST
- Interesting ports on 211.143.6.X:
- Not shown: 1668 closed ports
- PORT STATE SERVICE
- 22/tcp open ssh
- 25/tcp open smtp
- 80/tcp open http
- 110/tcp open pop3
- 111/tcp open rpcbind
- 143/tcp open imap
- 443/tcp open https
- 465/tcp open smtps
- 587/tcp open submission
- 993/tcp open imaps
- 995/tcp open pop3s
- 1014/tcp open unknown
lsof -i:1014,发现又是rpc.statd,这东东,每次用的端口都不一样啊;它不能正确处理SIGPID信号,远程攻击者可利用这个漏洞关闭进程,进行拒绝服务攻击;发现rpc.statd是由服务nfslock开启,关闭它即可service nfslock stop;chkconfig nfslock off
关于网站的安全,我这里也有一些自己的浅见,特与大家共享下:
- iptables最好写成脚本形式,想开哪个端口开哪个,想关哪个关哪个,iptables服务都可关闭;可以用crontab每5分钟自动关闭一次iptables,注意别把自己SSH停掉了,毕竟公司离机房还是很远的!
- 不定期扫描,发现可疑端口就关闭,实在不太懂就cat /etc/services或google下查找端口。
- 多注意连接数和系统性能,有时能从上面发现问题,有条件的话就布置nagois监控服务器。
- 建议掌握netcat、hping、nmap、等安全工具及网络分析工具tcpdump或wireshark,配合监测iptables的安全策略。
- 多注意自己服务器的内核漏洞,毕竟现在的linux攻击都是内核级的;请至少保证内核为2.6.9以上(不含2.6.9)。
- 密切关注防火墙日志/var/log/messages。
【51CTO.com独家特稿,合作站点转载请注明原文译者和出处。】
明明白白你的Linux服务器——网络篇相关推荐
- 明明白白你的Linux服务器——网络篇(2)
三. 寻找恶意IP并用iptables禁止掉 找出恶意连接你的服务器80端口的IP,直接用iptables来drop掉它:这里建议写脚本来运行,有兴趣的请参考我在51cto.com里发表的自动分析黑名 ...
- 明明白白你的Linux服务器——硬件篇
原文地址:http://os.51cto.com/art/201006/208330.htm 一.如何查看服务器的CPU 今天安装了9台Linux服务器,型号完全不一样(有DELL.HP和IBM服务器 ...
- linux服务器指示灯,【转】明明白白你的Linux服务器——故障篇 | 旺旺知识库
在Linux/unix服务器的维护过程中,遇到各种各样的问题:有的严重,有的很好解决,有的解决过程我就记录下来与大家分享下,希望能给大家带来帮助. 故障一. 今天早上来的第一件事,就是检查昨天晚上刚刚 ...
- 明明白白你的Linux服务器——日志篇
原文地址:http://os.51cto.com/art/201007/211455.htm 一.配置syslog(gyl4802959同学撰写) 目前,linux依旧使用syslogd作为日志监控进 ...
- 2020-02-14 转载 开发应该知道的Linux系统分析-网络篇
开发应该知道的Linux系统分析-网络篇 原文地址:https://cloud.tencent.com/developer/article/1583803 常用网络工具有: 通过ping命令检测网络的 ...
- 明明白白你的Linux服务器——安全篇
原文地址:http://os.51cto.com/art/201008/215932.htm#topx 一.Linux服务器的硬件防护 我在项目实施中和自己的网站架设中,发现防DDOS攻击及SQL注入 ...
- linux服务器网络编程之线程模型
前言 本文将主要介绍传统的和目前流行的进程/线程模型,在讲进程/线程模型之前需要先介绍一种设计模式: Reactor 模式.Reactor 模式首先是事件驱动的,有一个或多个并发输入源,有一个Se ...
- 【Linux】网络篇二--TCP编程
网络篇二--TCP编程 一.TCP编程实现 1.编程步骤 2.socket函数 3.bind函数 4.地址转换函数 5.listen函数 6.accept函数 7.connect函数 8.send函数 ...
- Linux服务器网络开发模型
为什么Nginx的性能要比Apache高得多? 这主要是因为Nginx使用了最新的epoll(Linux 2.6内核)和kqueue(FreeBSD)网络I/O模型,而Apache则使用的是传统的se ...
最新文章
- nodejs渐入佳境[27]-express+mongodb+middleware实现密码哈希
- python的运行窗口-Python初学——窗口视窗Tkinter
- 17_clickhouse分布式集群部署
- chmod 777 修改权限
- activity生命周期图
- k8s服务发现和负载均衡(转)
- 恭喜你们微软论坛版主成为百度知道专家
- 软件测试的功能点理解
- 卖文玩微商怎么引流?在泛滥的人群中脱颖而出
- 太牛了!阿里p8全面透彻剖析《Netty权威指南》,程序员必看!
- Three.js - 加载 .OBJ 格式模型(十六)
- linux计划任务详解(附演示)
- 绑定小程序数据助手,查看小程序的统计数据-微信小程序开发-视频教程22
- linux下刻录光盘读取不了_如何在Linux下刻录数据光盘
- 计算机毕业设计Python+uniapp校园服务微信小程序(小程序+源码+LW)
- 学习笔记 - 用户故事(User Story)
- FFmpeg 安装与使用
- C语言编程习题专项突破
- 如何使错误日志更加方便排查问题?
- 基于Android平台的汽车租赁系统:项目测试心得