Linux云计算【第一阶段】第十二章:网络管理、进制及SSH管理与攻防
第十二章:网络管理及SSH管理与攻防 【重难点】
一.网络发展概述
局域网
城域网
广域网
基本网络协议
- 客户端与服务器的概念
- 从客户端到服务器的经过
No.1 客户端与服务器的概念
客户端: 即表示可以介入互联网的个人终端设备, 比如个人PC机、个人Mac电脑, 操作系统为Windows和MacOS.
服务端: 即代表在互联网中提供给用户服务的设备, 比如淘宝网、京东网、阿里云等网站或平台.
No.2 从客户端到服务器的经过
Q: 是客户端主动访问服务器获取信息?还是服务器主动给客户端发送信息?
集线器 hub 最早使用的一种连接工具
网桥 bridge
交换机 switch 隔离冲突域
路由器 router 隔离广播域同轴电缆 //光纤
双绞线 //网线
中继器 //1 2 3 4 5 6 7 8
橙白 橙 绿白 蓝 蓝白 绿 棕白 棕二进制 十进制 十六进制 相互转换在遇到网络请求过程中可能会遇到哪些安全问题
1.DNS劫持 //设置固定的dns [dhcp的劫持]
2.cookies 窃取 //尽量不要在非自己设备上记住密码,登录后及时退出 [社会工程学]
3.中间人劫持 //网站考虑问题 ssl加密
4.数据截取 //网站考虑的问题 ssl加密//邮递员偷看了你的信
5.数据篡改 //网站考虑的问题 ssl加密 ca证书//邮递员修改了你的信
6.伪装 //网站考虑的问题 ssl加密 ca证书//邮递员伪装了你和小红见面密码三原则:密码设定长度在十位数以上、带有英文大小写、数字、字符,每三个月定时更换一次密码,密码不以手机号、身份证、生日挂钩。
了解通讯过程,重点例:
淘宝双十一2600亿销量额 访问用户1000w 要保证安全首先要保证【高并发】 【高可用】 【安全】 //后面持续更细会讲到
====================================================================================
二.网络基础【重点】
OSI七层模型
"
ISO(International Standardization Organization) 国际标准化组织 在1987年制定了OSI七层参考模型
OSI(Open System Interconnection) 开放系统互联应用层(Application layer):用户接口、应用程序 HTTP、FTP、Telnet
表示层(Presentation layer):数据的表示、压缩和加密等 MP3、JPEG
会话层(Session Layer):允许不同机器上的用户之间建立会话关系 区分不同应用间的数据,负责建立、维护和管理会话连接 QQ、MAIL
传输层(Transport Layer):实现网络不同主机的进程间的数据通信,提供可靠或者不可靠的数据传输TCP:Transmission Control Protocol 传输控制协议提供面向连接的可靠的数据传输、适合传输大数据、速度慢UDP:User Datagram Protocol 用户数据报协议提供非面向连接的不可靠的数据传输、传输小数据、速度快网络层(Network Layer):提供逻辑地址(IP地址)、选路、数据从源端到目的端的传输网络层的主要设备:路由器 router
数据链路层(Data Link Layer):将上层数据封装成帧,用MAC地址访问媒介,错误的检测和修正数据链路层分为两个子层:MAC(Media Access Control):负责MAC地址寻址并且提供介质访问控制方法LLC(Logical Link Control):为上层协议提供sap服务访问点并且为数 据加上控制信息数据链路层主要设备:交换机 switch
物理层(Physical Layer):提供设备之间的比特流传输 bit 0101001物理层的主要设备:集线器(HUB) 中继器 传输介质连接器"
OSI七层模型及其对应的协议
OSI七层: 物理层、数据链路层、网络层、传输层、会话层、表示层、应用层
- 特点: 下层只和上层有来往关系, 不可跨层传输
- 协议:
- 物理层: 由底层网络定义协议, 即遵循ISP所制定的底层协议
- 数据层: 同上
- 网络层: ICMP IP(IPV4 IPV6) ARP
- 传输层: TCP UDP
- 会话层: 建立、管理、终止会话
- 表示层: 数据的表示、安全、压缩
- 应用层: HTTP FTP DNS TELNET HTTPS POP3 DHCP
- 设备:
- 物理层: 网线、光纤等通讯器材
- 数据层: 交换机
- 网络层: 路由器
数据包的传输过程
OSI七层: 物理层、数据链路层、网络层、传输层、会话层、表示层、应用层
TCP/IP四层: 物理层、网络层、传输层、应用层
osi 模型只是参考模型。
真正使用的是TCP/IP协议模型
IP
No.1 网络地址的划分及区分
ip地址组成 :
IP地址由4部分数字组成,每部分数字对应于8位二进制数字,各部分之间用小数点分开 这是点分2进制 如果换算为10进制我 们称为点分10进制.每个ip地址由两部分组成网络地址(NetID)和主机地址(HostID).网络地址表示其属于互联网中的哪一个网络,而主机地址则表示其属于该网络中的哪一台主机.
一:分类:
A类:0.0.0.0 - 127.255.255.255/8 0是保留的并且表示所有IP地址,而127也是保留的地址,并且是用于测试环回用的。回环:一台电脑上两个应用程序通过网络通信。127.0.0.1,通常被称为本地回环地址。
B类:128.0.0.0 - 191.255.255.255/16
C类:192.0.0.0 - 223.255.255.255/24
D类:范围从224-239,D类IP地址第一个字节以“1110”开始,它是一个专门保留的地址。它并不指向特定的网络,目前这一类地址被用在多点广播(Multicast)中。多点广播地址用来一次寻址一组计算机,它标识共享同一协议的一组计算机。224.0.0.0-239.255.255.255 组播地址
E类:范围从240-254,以“11110”开始,为将来使用保留。 全零(“0.0.0.0”)地址对应于当前主机。全“1”的IP地址(“255.255.255.255”)是当前子网的广播地 址。240.0.0.0-255.255.255.254 保留地址
## 网络位 主机位
子网掩码:网络位全1,主机位全0 就是为了区分ip地址的中的网络号和主机号的, 对于一台具体的主机,子网掩码用于判断要通信的对象跟自己是否在同一网络
私有IP地址:
所谓的私有地址就是在互联网上不使用,而被用在局域网络中的地址- A类: 10.0.0.0 — 10.255.255.255
- B类: 172.16.0.0 — 172.31.255.555
- C类: 192.168.0.0 — 192.168.255.255
概念:
- IP地址: 用于端对端通信时所使用的标识地址
- 子网掩码: 用来划分网络位与主机位所使用的数字, 可以表示一个网段中IP地址的数量
- 网关: 从局域网到广域网 或 从局域网到局域网的关口
- 网段: 包含所有IP地址的一个区域
- DNS: 用来解析公网中存在的域名与公网IP之间的对应关系
特殊的IP地址:
- 网段中255结尾的IP地址为广播地址
- 网段中1结尾的IP地址为网关地址
- 网段中0结尾的IP地址表示整个网段
进制:
2: 0 1 10 11 100 101 ...
8: 0 1 2 3 4 5 6 7 10 11 12 13 14 15 16 17 20 ...
10: 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 ...
16: 0 1 2 3 4 5 6 7 8 9 a b c d e f 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 20 ...B byte 字节
b bit 比特 101010101B=8b
三.配置IP【本章重点】
实战:
重点: 静态IP地址配置防护墙: [root@lxw0 ~]# systemctl status firewalld.service //查看防火墙状态
[root@lxw0 ~]# systemctl stop firewalld //关闭防护墙
[root@lxw0 ~]# systemctl disable firewalld //开机不启动SELINUX:
[root@lxw0 ~]# getenforce //查看SELINUX状态,enforcing:拦截 permissive:提醒不拦截 disabled:禁用
[root@lxw0 ~]# setenforce 0 //立即关闭,将状态改为permissive
[root@lxw0 ~]# vim /etc/selinux/config //开机不启动, 修改成SELINUX=disabled 广州铁通DNS:首选:bai61.235.70.98、备用:211.98.4.1广州电信DNS: 首选:202.96.128.143 、备用:202.96.128.68首选:202.96.134.133 、备用:202.96.128.166首选:61.144.56.100、备用:61.144.56.101广州网通DNS:首选:221.4.66.66 、备用:221.4.98.66 首选:210.21.3.140、备用:221.5.88.88
广州移动DNS:211.136.20.203一、查看网络的信息
IP、网关、DNS、主机名
IP:
[root@lxw0 ~]# ifconfig //查看IP、掩码、MAC...
[root@lxw0 ~]# ifconfig enp3s0 //只显示enp3s0的信息
[root@lxw0 ~]# ip a
10.3.133.100/24 ip 10.3.133.181 子网[netmask] 24 255.255.255.0网关:[Gateway]
[root@lxw0 ~]# route -n //查看网关信息
10.3.133.1 [如果你的机器式nat模式 网关为 x.x.x.2] -- x.x.x.1子网掩码ip阶段已经得到dns: 223.5.5.5 225.6.6.6 114.114.114.114 8.8.8.8 DNS:
查看:# cat /etc/resolv.conf
修改:1.直接修改resolv.conf文件2.修改网卡配置文件,添加DNS1=XXX,重启网卡生效主机名:# hostname
修改:
[root@lxw0 ~]# hostname 主机名 //马上生效,开机失效
[root@lxw0 ~]# hostnamectl set-hostname 主机名 //修改主机名,永久生效二、常见网络接口enp3s0 以太网接口 eth0,eth1 wlan0 无线接口lo 本地回环接口 127.0.0.1 localhostvirbr0 桥接接口 vmnet1 vmware提供的 hostonly 模式vmnet8 vmware提供的 nat模式三、修改网络信息【重点】
network 服务
配置静态ip地址
1. 修改网络配置文件
[root@lxw0 ~]# cat /etc/sysconfig/network-scripts/ //网络配置文件
"
[root@lxw0 ~]# cat /etc/sysconfig/network-scripts/ifcfg-ens33 //进入网络配置文件,这里不需要配置,只是了解信息 interface configure-网卡名字
TYPE=Ethernet #网络类型 以太网
BOOTPROTO=none #协议 none static 静态 dhcp 动态
DEVICE=ens33 #设备名,一定要正确
NAME=ens33 #
ONBOOT=yes #是否激活 是否开机启动
IPADDR=10.3.133.181 #IP地址
PREFIX=24 #掩码 prefix prefix
NETMASK=255.255.255.0 #掩码 两个使用一个
UUID=63aa2036-8665-f54d-9a92-c3035bad03f7 #网卡的uuid
HWADDR=00:50:56:c0:00:08 #MAC地址
GATEWAY=10.3.133.1 #默认网关
DNS1=223.5.5.5 #DNS服务器1
DNS2=223.6.6.6 #DNS服务器2
"
[root@lxw0 ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33 //配置静态IP,ps需要把里面原本的所有内容使用#号注释,然后输入新的内容,这样下次调回动态IP就只需要把注释消除即可
TYPE="Ethernet"
PROXY_METHOD="none"
BROWSER_ONLY="no"
BOOTPROTO="static"
DEFROUTE="yes"
NAME="ens33"
DEVICE="ens33"
ONBOOT="yes"
IPADDR=10.3.133.181
PREFIX=24
GATEWAY=10.3.133.1
DNS1=223.5.5.5
DNS2=223.6.6.6'ps:必须要输入自己的ip,网关,掩码,DNS服务器'[root@lxw0 ~]# systemctl restart network //重启网络,也可使用ifdown if-name && ifup if-name' ps:重启之后如果还有ip 能ping www.jd.com 则说明配置成功 否则重新检查配置文件'
[root@lxw0 ~]# nmap -sP 10.3.133.0/24 |grep "report for" //查看目前局域网有那些ip已经使用了
临时配置IP
# ifconfig enp3s0 10.3.133.181
# ip addr add dev eth1 3.3.3.3/24 ip addr add dev ens33 10.3.133.101/24网络管理后续还有更多的内容,目前只讲前期用到的配置静态IP方便目前实战学习的用途.......
四.SSH管理与攻防
本段全部以实战操作为基础:
一.免密登录
1.登录历史信息
[root@lxw0 ~]# last //查看系统最近登录的用户时间和时间总长
[root@lxw0 ~]# lastlog //查看每个用户最近第一次的登录时间
[root@lxw0 ~]# whoami //查看当前用户身份
[root@lxw0 ~]# who i am //原始登录用户身份2.秘钥登录
[root@lxw0 ~]# ssh-keygen //产生秘钥
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): 回车
Enter passphrase (empty for no passphrase): 回车
Enter same passphrase again: 回车
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:uPsWuHLk7ww+jf6E5U1GPLbMBIwWDRzEGzDdv2gHz9o root@vm1
The key's randomart image is:
+---[RSA 2048]----+
| o*=O. |
| .B +o |
| . o .* |
| ...*.o |
| ..S=*. |
| o=++= |
| o+=o=. |
| ..*=+ E |
| ++B* |
+----[SHA256]-----+[root@vm1 ~]# ls /root/.ssh/
id_rsa id_rsa.pub
私钥[打开锁的唯一钥匙] 公钥[锁]
[root@lxw0 ~]# ls /root/.ssh/ //查看秘钥文件
id_rsa 私钥 id_rsa.pub公钥 known_hosts 记录主机信息
[root@lxw0 ~]# ssh-cony-id -i 10.3.133.180 //把公钥【锁拷贝给ip180用户】
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
The authenticity of host '10.3.133.180 (10.3.133.180)' can't be established.
ECDSA key fingerprint is SHA256:GiaWYwKSRo8tU0nxZzDY/wM7BPrW5l6CeK94gl1N/dI.
ECDSA key fingerprint is MD5:9a:ba:f2:09:25:97:af:b6:7b:86:5d:94:b5:54:b1:14.
Are you sure you want to continue connecting (yes/no)? yes [输入yes确认下一步操作]
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@10.3.133.253's password: [输入想要链接的机器的密码]
Number of key(s) added: 1
Now try logging into the machine, with: "ssh '10.3.133.253'"
and check to make sure that only the key(s) you wanted were added.公钥拷贝成功
[root@lxw0 ~]# ssh 10.3.133.180 //测试免费连接
Last login: Fri Sep 11 09:46:29 2020 from 10.3.133.180探察ssh-copy-id 做了什么
ssh-copy-id 把 vm1机器的 ~/.ssh/id_rsa.pub 追加到了目标机器 vm2 的 ~/.ssh/authorized_keys~/.ssh 都有那些问题 分别什么作用
id_rsa id_rsa.pub authorized_keys known_hosts[可以删除]
私钥[打开锁的唯一钥匙] 公钥[锁] 被人拷贝过来的公钥存放位置 记录该机器所链接过的其他机器信息和识别码3.禁止密码登录,防止爆破
[root@lxw0 ~]# vim /etc/ssh/sshd_config //修改password密码登录信息,防止远程攻击,把yes改成no
PasswordAuthentication no //把后面的yes修改成no
[root@lxw0 ~]# systemctl restart sshd //重启sshd 4.远程拷贝
[root@lxw0 ~]# scp /tmp/aa.txt 10.3.133.180:/tmp/ //本地到远端
[root@lxw0 ~]# scp /root/install.log 10.3.133.180:/tmp/ //远端到本地
[root@lxw0 ~]# scp 10.3.133.180:/tmp/aa.txt 10.3.133.182:/tmp/ //远端到远端=================================================================================================二.ftp共享文件1.rz安装使用 //连接Windows,传输工具
[root@lxw0 ~]# yum -y provides rz //查找rz安装包
[root@lxw0 ~]# yum -y install lrzsz-0.12.20-36.el7.x86_64 //yum安装rz2.ftp 安装使用
[root@lxw0 ~]# /etc/vsftpd/vsftpd.conf //配置文件
[root@lxw0 ~]# yum -y install vsftpd //安装vsftpd
[root@lxw0 ~]# service vsftpd restart //重启服务
[root@lxw0 ~]# systemctl start vsftpd //启动服务
[root@lxw0 ~]# systemctl enable vsftpd //开机启动
[root@lxw0 ~]# systemctl status vsftpd //查看服务状态,dead未启动,running正常启动ps: 若想正常启动需要一键三连:selinux ; iptables;firewalld;
/var/ftp/ //用户共享目录,权限必须755 3.ftp:配置 【重点】
[root@lxw0 ~]# vim /etc/vsftpd/vsftpd.conf
anonymous_enable=YES //开启匿名用户访问
local_enable=YES //开启本地用户访问 访问的目录为该用户自己的家目录
write_enable=YES //
local_umask=022 //本地用户的 umask
anon_umask=077 //新添加 匿名用户的umask
anon_upload_enable=YES //打开注释 允许匿名用户上传文件
anon_mkdir_write_enable=YES //打开注释 允许匿名用户创建目录
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES[root@lxw0 ~]# systemctl restart vsftpd //重启vsftpd经过上边的配置和修改,用户即可访问ftp [以匿名 用户的身份]linux访问ftp的客户端为 lftp
lftp 10.3.133.181 [匿名用户访问 访问的地址为/var/ftp ]cd ls put[上传] filename get[下载] filename lftp tom@10.3.133.181 [第一tom为 254机器上的本地用户 而且tom需要有密码 此时访问的地址为 /home/tom ]lcd 切换get下载的路径 [默认是下载到lftp登录ftp服务器时所在的目录]mirror /dir 上传目录chroot change root暴力破解防御/etc/ssh/sshd_config 限止登录的用户或组 AllowUsers AllowGroups/etc/hosts.allow中设置允许的IP访问,例如sshd:10.3.133.181:allow使用DenyHosts自动统计,并将其加入到/etc/hosts.deny基于PAM实现登录限制: 模块:pam_tally2.so 功能:登录统计 示例:实现防止对sshd暴力破解 [root@lxw0 ~]# grep tally2 /etc/pam.d/sshd
auth required pam_tally2.so deny=2 even_deny_root root_unlock_time=60 unlock_time=60[root@lxw0 ~]# pam_tally2 --reset -u root
Linux云计算【第一阶段】第十二章:网络管理、进制及SSH管理与攻防相关推荐
- 《代码整洁之道 》第十二章 迭进
第十二章 迭进 12.1 通过迭进设计达到整洁目的 据Kent认为,只要遵循了下面的规则,设计就能变得简单 运行所有测试 不可重复 表达了程序员的意图 尽可能减少类和方法的数量 12.2 简单设计规则 ...
- 鸟哥的Linux私房菜(服务器)- 第十二章、网络参数控管者: DHCP 服务器
第十二章.网络参数控管者: DHCP 服务器 最近更新日期:2011/07/27 想象两种情况:(1)如果你在工作单位使用的是笔记本电脑,而且常常要带着你的笔记本电脑到处跑, 那么由第四章.连上 In ...
- 【正点原子Linux连载】第三十二章 U-Boot启动流程详解 -摘自【正点原子】I.MX6U嵌入式Linux驱动开发指南V1.0
1)实验平台:正点原子阿尔法Linux开发板 2)平台购买地址:https://item.taobao.com/item.htm?id=603672744434 2)全套实验源码+手册+视频下载地址: ...
- 鸟哥的Linux私房菜(服务器)- 第二十二章、邮件服务器: Postfix
第二十二章.邮件服务器: Postfix 最近更新日期:2011/08/10 在这个邮件服务器的架设中,我们首先谈论 Mail 与 DNS 的重要相关性,然后依序介绍 Mail Server 的相关名 ...
- linux i2c adapter 增加设备_「正点原子Linux连载」第六十二章Linux SPI驱动实验(一)...
1)实验平台:正点原子Linux开发板 2)摘自<正点原子I.MX6U嵌入式Linux驱动开发指南>关注官方微信号公众号,获取更多资料:正点原子 第六十二章Linux SPI驱动实验 上一 ...
- 【鸟哥的Linux私房菜】第十二章、学习shell脚本
第十二章.学习shell脚本 以下皆为实践题,请自行编写出程序 请建立一个脚本,当你执行该脚本的时候,该脚本可以显示:(1)你目前的身份(用 whoami) (2)你目前所在的目录(用pwd) #!/ ...
- 【正点原子Linux连载】第六十二章 Linux SPI驱动实验 -摘自【正点原子】I.MX6U嵌入式Linux驱动开发指南V1.0
1)实验平台:正点原子阿尔法Linux开发板 2)平台购买地址:https://item.taobao.com/item.htm?id=603672744434 2)全套实验源码+手册+视频下载地址: ...
- 【正点原子Linux连载】第七十二章 RGB转HDMI实验 -摘自【正点原子】I.MX6U嵌入式Linux驱动开发指南V1.0
1)实验平台:正点原子阿尔法Linux开发板 2)平台购买地址:https://item.taobao.com/item.htm?id=603672744434 2)全套实验源码+手册+视频下载地址: ...
- Linux应用开发【第十二章】I2C编程应用开发
文章目录 12 I2C编程应用开发 12.1 I2C协议 12.1.1 概述 12.2.2 物理层 1) 特性1:半双工(非全双工) 2) 特性2:地址和角色可配置 3) 特性3:多主机 4) 特性4 ...
最新文章
- ThreadPoolExecutor使用介绍
- 从网上下载文件命令wget
- opencv 裁剪 java_如何在opencv java中裁剪检测到的面部图像
- iOS证书申请详细流程
- express 随笔
- 如何使用matlab得出pid控制参数值,基于MATLAB的PID控制器参数整定及仿真
- 要市场导向,不要销售导向,更不要个人导向(转)
- 198道K8sDocker面试真题大汇总,全网最全八股!
- 2017下半年网络规划设计师考试下午真题
- java怎么实现打牌_JAVA入门第三季实战:简易扑克牌
- html页面 js注释,html、css和js注释的规范用法
- 手把手教你配置国内镜像源
- python处理word页码_word——插入页码
- [渝粤教育] 西南科技大学 英语国家概况 在线考试复习资料
- 追梦App系列博客——需求分析报告
- 医院选址c语言课程设计,通信学院2012届本科毕业设计选题结果(学生)2.xls
- HTML标签学习基础新人笔记
- 阿里P7架构师到底有多难?
- 解决“你当前无权访问该文件夹”问题的8种方法
- 只需这一篇博客就能完全弄懂LSM树
热门文章
- React中过渡动画的编写方式
- oracle查询谁修改了数据ip,查询oracle特定表修改的用户及IP信息
- 腾讯视频QLV格式转换mp4的方法
- linux转置的命令,转置文件(awk)
- 互信息配准matlab,基于图像特征和互信息的图像配准方法
- 零基础新手如何学习SEO
- HTTP详解(更新完结)
- 最后一批90后开始养生了,中医科普短视频会火吗?
- Android12华为,谷歌“神助攻”!Android12将不支持华为手机,鸿蒙迎来新挑战
- Mask to Polygons mask转Polygons并展示