centos服务详解(centos重启ssh服务)

大家好，今天给各位分享centos服务详解的一些知识，其中也会对centos重启ssh服务进行解释，文章篇幅可能偏长，如果能碰巧解决你现在面临的问题，别忘了关注本站，现在就马上开始吧！

centos是服务器吗 centos是什么操作系统

1、centos不是服务器硬件，而是面向服务器的操作系统软件。

2、CentOS（Community Enterprise Operating System，中文意思是社区企业操作系统）是Linux发行版之一，它是来自于Red Hat Enterprise Linux依照开放源代码规定释出的源代码所编译而成。由于出自同样的源代码，因此有些要求高度稳定性的服务器以CentOS替代商业版的Red Hat Enterprise Linux使用。两者的不同，在于CentOS完全开源。

CentOS系统常规初始化操作详解

环境准备：

1）设置本地国际化语言为en_US.UTF-8

[root@c58~]#sed-i's/^\(LANG=\).*$/\1en_US.UTF-8/'/etc/sysconfig/i18n

[root@c58~]#cat/etc/sysconfig/i18n

LANG=en_US.UTF-8

[root@c58~]#LANG=en_US.UTF-8

2）更新系统软件包

备份默认yum源：

find/etc/yum.repos.d-name'*.repo'-execmv{}{}.bak\;

添加163yum源：

redhat5或centos5：

wget

redhat6或centos6

wget

添加epel yum源：

redhat5.x 32bit:

rpm-ivh

redhat5.x 64bit:

rpm-ivh

redhat6.x 32bit:

rpm-ivh

redhat6.x 64bit:

rpm-ivh

更新证书：

yum-yupgradeca-certificates--disablerepo=epel

更新系统所有软件包：

yumcleanallyummakecacheyum-yupgrade

下文以redhat5/centos5为例

一、服务最小化原则

关闭所有开机自启动服务，仅开启sshd、crond、network、iptables、syslog（redhat5）、rsyslog（redhat6），然后在此基础上按需添加需要开机启动的服务。

1）关闭所有开机自启动服务

[root@c58~]#foriin`chkconfig--list|awk'{if($1~/^$/){exit0;}else{print$1}}'`;dochkconfig$ioff;done

2）开启基础服务

[root@c58~]#foriinsshdnetworksyslogcrondiptables;dochkconfig$ion;done

3）查看开启的服务

[root@c58~]#chkconfig--list|grep'3:on'

crond0:off1:off2:on3:on4:on5:on6:off

iptables0:off1:off2:on3:on4:on5:on6:off

network0:off1:off2:on3:on4:on5:on6:off

sshd0:off1:off2:on3:on4:on5:on6:off

syslog0:off1:off2:on3:on4:on5:on6:off

二、用户登录限制

1）禁止使用root用户使用远程ssh

[root@c58~]#cd/etc/ssh

[root@c58ssh]#cpsshd_configsshd_config~

[root@c58ssh]#sed-i's/#\(PermitRootLogin\)yes/\1no/'sshd_config

[root@c58ssh]#grep'PermitRoot'/etc/ssh/sshd_config

PermitRootLoginno

2）禁用登录提示信息

[root@c58ssh]#/etc/motd

3）修改ssh的默认监听端口（tcp：22）

#这里修改为tcp的11983端口

[root@c58ssh]#sed-i's/#\(Port\)22/\11983/'sshd_config

[root@c58ssh]#grep'Port'sshd_config

Port11983

4）只允许指定的ip可以ssh(可选)

方法1（使用tcpwrapper）：

#只允许192.168.124.0网段的ip使用ssh

echosshd:192.168.124.0/255.255.255.0/etc/hosts.allow

echosshd:ALL/etc/hosts.deny

方法2（使用iptables）：

#注意，远程操作时需留心，以免把自己也拒绝而导致无法远程连接。如只允许192.168.1.0网段的所有ip进行ssh，其他所有ip都拒绝#先允许自己的ip，以防被后面的操作误伤

iptables-IINPUT-s10.0.0.1-ptcp--dport22-jACCEPT

#允许192.168.1.0网段

iptables-I2INPUT-s192.168.1.0/24-ptcp--dport22-jACCEPT

#拒绝所有

iptables-I3INPUT-ptcp--dport22-jDROP

#保存iptables的设置：

cp/etc/sysconfig/iptables/etc/sysconfig/iptables~

iptables-save/etc/sysconfig/iptables

最后，重启sshd服务使上面配置生效（不用担心重启时已打开的远程终端连接会断开，重启只会对新开的终端生效）

[root@c58ssh]#/etc/init.d/sshdrestart

Stoppingsshd:[OK]

Startingsshd:[OK]

三、用户及命令权限最小化

创建一个普通用户tom，将其加入sudo组，该用户作为系统管理员

groupaddsudo#创建sudo组

useradd-Gsudotom#创建tom用户，加入sudo组

passwdtom#设置tom用户的登陆密码

修改sudo配置文件，授权sudo组的用户可以以root身份执行所有命令（可以针对不同用户授予不同的命令执行权限，这里允许执行所有命令，生产环境中系统管理员应该按需为用户分配尽可能少的可执行命令，以实现权限最少化），用户执行的所有sudo操作都将记录在/var/log/sudo.log中，以便日后的安全事件排查。执行命令如下：

[root@cloud~]#cat/etc/sudoersEOF

%sudoALL=(root)ALL

Defaultslogfile=/var/log/sudo.log

EOF

[root@cloud~]#visudo-c

[root@cloud~]#echolocal2.debug/var/log/sudo.log/etc/syslog.conf

[root@cloud~]#/etc/init.d/syslogrestart

注：visudo-c命令用于检查/etc/sudoers文件的语法正确性

四、内核安全参数设置

vim/etc/sysctl.conf#添加如下内容：

#关闭对ping包的响应(可选，一般不建议，因为不方便网络故障时的排查)

net.ipv4.icmp_echo_ignore_all=1

#关闭对广播ping的响应

net.ipv4.icmp_echo_ignore_broadcasts=1

#开启syncookie用于防范synflood攻击，当出现syn等待队列溢出时（syn数量超过tcp_max_syn_backlog的设置值），启用cookie来处理，server在回复syn_ack前会先请求client回复一个序列号，该序列号中要求包含原先syn包中的信息，如果序列号不正确，则server端会忽略此syn连接。

net.ipv4.tcp_syncookies=1

#设置sync_ack的最大重传次数，默认值为5，范围0-255，重传5次的时间大约为180s

net.ipv4.tcp_synack_retries=3

#设置当keepalive打开的情况下，keepalive消息的发送间隔，默认为2小时(由于目前网络攻击等因素,造成了利用这个进行的攻击很频繁,如果两边建立了连接，然后不发送任何数据或者rst/fin消息,那么持续的时间就是2小时,成就了空连接攻击，tcp_keepalive_time就是预防此情形的.）

net.ipv4.tcp_keepalive_time=1200

保存退出后，执行sysctl-p命令将以上设置加载到内核使其立刻生效

五、内核性能相关参数设置（可选）

vim/etc/sysctl.conf#添加如下内容：

#设置syn等待队列的长度，对于内存大于128M的机器，默认值是1024，在并发请求较大时，可以调大该值

net.ipv4.tcp_max_syn_backlog

#开启timewait重用。允许将time_waitsocket重新用于新的tcp连接

net.ipv4.tcp_tw_reuse=1

#开启tcp连接中time_waitsocket的快速回收

net.ipv4.tcp_tw_recycle=1

#TCP发送keepalive探测以确定该连接已经断开的次数，默认值为9

net.ipv4.tcp_keepalive_probes=5

#指定探测消息发送的频率，该值乘以tcp_keepalive_probes就可以得到从开始探测到连接被删除所需的时间。默认值为75，也就是没有活动的连接将在大约11分钟以后将被丢弃。(对于普通应用来说,这个值有一些偏大,可以根据需要改小.特别是web类服务器需要改小该值,15是个比较合适的值)

net.ipv4.tcp_keepalive_intvl=15

#表示系统同时保持TIME_WAITsocket的最大数量，如果超过这个数字，TIME_WAIT套接字将立刻被清除并输出警告信息。默认为180000，改为5000.对于squid服务器来说，此参数可以控制TIME_WAIT套接字的最大数量，避免squid服务器被大量的TIME_WAITsocket拖死。

net.ipv4.tcp_max_tw_buckets=5000

#表示向外连接的端口范围。默认值很小：32768~61000，改为1024~65000

net.ipv4.ip_local_port_range=102465000

保存退出后，执行sysctl-p命令将以上设置加载到内核使其立刻生效

CentOS的网络配置的命令详解

我们在进行对CentOS的网络配置时，一般会从IP地址（IPADDR）、子网掩码（NETMASK）、网关（Gateway）、主机名（HOSTNAME）、DNS服务器等方面入手。而在CentOS中，又有着不同的命令或配置文件可以完成这些配置操作，接下来，我们将从ifcfg系命令，iproute2系命令以及配置文件3个方面来简析网络配置的方法。

一、ifcfg系命令

ifcfg系命令包括ifconfig，route，netstat和hostname。

1、ifconfig命令

用来配置一个网络接口。它的使用格式如下：

a)：ifconfig [-a] [interface]

-a：表示显示所有的网络接口信息，包括inactive状态的接口

~]#ifconfig-a

b)：ifconfig IFACE（网络接口名，下同） IPADDR netmask NETMASK [up|down]

表示通过ifconfig命令直接修改接口的ip地址和netmask，并可启停该接口。

该命令会将配置参数立即送往内核中的TCP/IP协议栈，所以会立即生效，但是重启服务后会无效。

~]#ifconfigeth1172.16.7.14netmask255.255.0.0~]#ifconfigeth1172.16.7.14/16down

2、route命令

显示和配置ip路由表。它的使用格式如下：

a)：route [-n]

表示查看全部的路由表,并以数字显示ip地址

~]#route-n

b)：route add [-net|-host] target [netmask Nm] [gw Gw][[dev] If]

添加相应接口的路由

~]#routeadd-host172.16.7.14gw172.16.0.1deveth1#主机路由~]#routeadd-net172.16.7.0/24gw172.16.0.1deveth1#网段路由~]#routeadddefaultgw172.16.0.1deveth1#默认路由

c)：route del [-net|-host] target [netmask Nm][[dev] If]

删除路由

~]#routedel-host172.16.7.14deveth1~]#routedel-net172.16.7.0/24deveth1~]#routedeldefaultdeveth1

3、netstat命令

显示网络连接，路由表，接口状态等。它的使用格式如下：

netstat [-n] [-r] [-p] [-e] [-a] [--tcp|-t] [--udp|-u] [--raw|-w] [--listening|-l] [-i] [-I]

-n：以数字格式显示ip和端口号，不做地址转换；

-r：显示内核路由表

-p：显示相关的进程和PID

-e：显示扩展格式

-a：显示所有的连接状态

-t：显示tcp协议的相关连接的状态

-u：显示udp协议的相关连接的状态

-w：显示raw socket相关连接的状态

-l：显示处于监听状态的连接

-i：显示所有接口状态

-I：显示特定的接口状态

以上个选项可组合使用，常用组合有-tan，-uan，-tln，-uln，-tunlp等

~]#netstat-tan~]#netstat-Ieth1

4、hostname命令

显示配置主机名。它的使用格式如下：

hostname：显示当前主机名

hostname HOSTNAME：修改当前主机名为HOSTNAME，仅当前有效，重启无效。

~]#hostname~]#hostnameTEST

5、hostnamectl命令（CentOS7新增）

显示配置主机名。它的使用格式如下：

hostnamectl [status]：显示当前主机名信息

hostnamectl set-hostname：设定主机名，永久有效

~]#hostnamectlset-hostnameCentOS7

二、iproute2系命令

iproute2系命令有ip link，ip addr，ip route，ip netns和ss等。

1、ip link命令

配置网络接口属性。它的使用格式如下：

a)：ip link set [dev] IFACE [up|down] [multicast on|off] [name IFACE] [mtu NUMBER]

up and down：启动或禁止选定的网络接口

multicast on or multicast off：启动或禁止组播功能

name NAME：重命名接口（命名前需先down掉接口）

mtu NUMBER：设置接口的mtu大小，默认为1500

~]#iplinkseteth1nameeth2up~]#iplinkseteth2multicastoffmtu1000

b)：ip link [show|list]

显示全部网络接口的属性。

~]#iplinkshow

2、ip addr命令

配置网络接口的ip地址。它的使用格式如下：

a)：ip addr add IPADDR dev IFACE[label NAME][broadcast ADDRESS][scope SCOPE_VALUE]

增加一个ip地址。

[label NAME]：为额外添加的地址指明接口别名

[broadcast ADDRESS]：会根据ip和netmask自动计算，不用填

[scope SCOPE_VALUE]：gloal全局可用；link接口可用；host：本机可用

~]#ipaddradd172.16.7.14/24deveth1labeleth1:0

b)：ip addr delete IPADDR dev IFACE

删除一个ip地址。

~]#ipaddrdel172.16.7.14/24deveth1:0

c)：ip addr show [dev IFACE|label IFACE:#]

仅显示指定的接口地址。

~]#ipaddrshowlabeleth1:0~]#ipaddrshoweth1

d)：ip addr flush [dev]{IFACE|label IFACE:#}

清空指定的所有地址或别名的地址。

~]#ipaddrflushlabeleth1:0~]#ipaddrflusheth1

3、ip route命令

配置接口的路由表信息。它的使用格式如下：

a)：ip route addTYPE PREFIX（目标网络）via GateWay [dev IFACE] [src SOURCE_IP]

添加路由表。

~]#iprouteadd172.16.7.14via172.16.0.1deveth1~]#iprouteadd172.16.7.0/24via172.16.0.1deveth1~]#iprouteadddefaultvia172.16.0.1deveth1

b)：ip route del TYPE PREFIX

删除路由表。

~]#iproutedel172.16.7.14~]#iproutedel172.16.7.0/24

c)：ip route show

显示路由表。

~]#iprouteshow

d)：ip route flush dev IFACE

清空指定接口的所有路由表。

~]#iprouteflushdeveth1

4、ss命令

和netstat命令一样用来查看网络状态，其选项参数和netstat命令基本相同，但是其查询速度比netstat命令要快。它的使用格式如下：

ss [options][filter]

filter：过滤器 FILTER:= [ state TCP-STATE ] [ EXPRESSION ]

选项：

-t：TCP协议的相关连接

-u：UDPF相关的连接

-w：raw socket相关的连接

-l：处于监听状态的连接

-a：所有状态

-n：以数字格式显示IP和Port

-e：扩展格式

-p：显示相关的进程及PID

-m：内存用量

-o：计时器信息

EXPRESSION：

dport：目标端口

sport：源端口

‘（ dport=：22 or sport=：22）’

~]#ss-tan#查看当前网络所以tcp的连接状态

三、网络配置文件

在CentOS系统上我们可以通过对修改不同的网络配置文件来使得配置网络接口的各种属性，不过要使其永久有效，还需使内核重读修改后的配置文件。

1、IP/NETMASK/GW/DNS等属性的配置文件：

其路径为：/etc/sysconfig/network-scripts/ifcfg-IFACE

其格式为：

DEVICE：此配置文件对应的设备的名称；

ONBOOT：在系统引导过程中，是否激活此接口；

NETBOOT：是否支持网络引导；

UUID：设备的唯一标识；

IPv6INT：是否初始化IPv6；

BOOTPROTO：激活此接口时使用什么协议来配置属性，常用dhcp、bootp、static、none

TYPE：接口类型，常见的有ethernet、bridge；

DNS1：第一DNS服务器指向；

DNS2：备用DNS服务器指向；

DOMAIN：DNS搜索域；

GATEWAY：默认网关；

IPADDR：本机ip地址；

NETMASK：子网掩码；CentOS7支持使用PREFIX以长度指明子网掩码；

USERCTL：是否允许普通用户控制此设备；

PEERDNS：如果BOOTPROTO的值为“dhcp”，是否运行dhcp server分配的dns服务器指向覆盖本地手动指定的DNS服务器指向；默认为允许

HWADDR：设备的MAC地址；

NM_CONTROLLED：是否使用NetworkManager服务来控制接口；

network-scripts]#catifcfg-eth1 DEVICE="eth1" ONBOOT=yes NETBOOT=yes IPADDR=172.16.7.14 DNS=172.16.0.1 GATEWAY=172.16.0.1 NETMASK=255.255.0.0 IPV6INIT=no BOOTPROTO=none TYPE=Ethernet

2、路由的相关配置文件：

其路径为：/etc/sysconfig/network-scripts/route-IFACE

其格式为：（不可混用）

a)：每行一个路由条目：

TARGET via GW

b)：每三行一个路由条目：

ADDRESS#=TARGET

NETMASK#=MASK

GATEWAY#=NEXTHOP

network-scripts]#catroute-eth1 172.16.7.0/24via172.16.0.1

3、主机名的相关配置文件：

其路径为：/etc/sysconfig/network

其格式为：

HOSTNAME=

sysconfig]#catnetwork#Createdbyanaconda HOSTNAME=centos7.1

4、DNS服务器指向配置文件：

其路径为：/etc/resolv.conf

其格式为：

nameserver DNS_SERVER_IP

etc]#catresolv.conf

#GeneratedbyNetworkManager

searchmagelinux.com

nameserver172.16.0.1

四、结语

在学习Linux的路上，网络是非常重要的一环，其命令也在不断改进着，很多命令有着相同的作用，可以选择先记忆比较简单和高效的命令和参数。除上述命令之外，在CentOS7中也有着如nmtui这样直接显示图形界面的还用命令。