centos详解 centos7.6安装教程
今天给各位分享centos详解的知识,其中也会对centos7.6安装教程进行解释,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!
CentOS系统管理_用户和用户组的详解
一:新建用户和用户组:useradd和groupadd
1,useradd的参数:
-u:指定UID标记号
-d:指定宿主目录,缺省为/home/用户名
-e:指定账号失效时间(下面usermod也有此选项)
-g:指定所属的基本组(组名或GID)
-G:指定所属的附加组(组名或GID)
-M:不为用户建立并初始化宿主目录、
-s:指定用户的登录shell(默认为/bin/bash,一般不用改,在建立非登录用户的时候可以指定
为/sbin/nologin)
注:这些参数都能分开用,不冲突的可以在建立用户的时候连着用。
示例1:添加用户stu01,指定UID为520,宿主目录为/public/stu01,指定基本组为users(注:系统中本身就
存在users这个组GID为100),附加组为tech:
[root@localhost~]#useradd-u520-d/public/stu04-gusers-Gtechstu01
[root@localhost~]#idstu01
uid=520(stu01)gid=100(users)groups=100(users),200(tech)
示例2:添加用户stu02,不为用户建立宿主目录:
[root@localhost~]#useradd-M-s/sbin/nologinstu02//创建一个非登录用户stu02
[root@localhost~]#cat/etc/passwd|grepstu02
stu02:x:1001:1001::/home/stu02:/sbin/nologin//-s参数指定bashshell
2,groupadd的参数:
gourpadd[-gGID]组名
-g参数指定了新建用户组的GID
[root@localhost~]#groupadd-g600stu//添加一个组stu,指定其GID为600
[root@localhost~]#cat/etc/group|grepstu//查看stu组的信息
stu:x:600:
二:删除用户和用户组
1,userdel
-格式:userdel[-r]用户名
添加-r选项,宿主目录/用户邮件也一并删除
示例:
[root@localhost~]#useradduser1;useradduser2//添加用户user1和user2
[root@localhost~]#ll-d/home/user1//var/mail/user1/home/user2//var/mail/user2//查看user1、user2的宿主目录和邮件文件是否存在
drwx------3user1user1409602-1809:53/home/user1/
drwx------3user2user2409602-1809:53/home/user2/
-rw-rw----1user1mail002-1809:53/var/mail/user1
-rw-rw----1user2mail002-1809:53/var/mail/user2
[root@localhost~]#userdeluser1;userdel-ruser2//加不加-r的区别
[root@localhost~]#ll-d/home/user1//var/mail/user1/home/user2//var/mail/user2
ls:/home/user2/:没有那个文件或目录//加-r之后删除宿主目录
ls:/var/mail/user2:没有那个文件或目录//加-r之后删除邮件文件
drwx------310021002409602-1809:53/home/user1/
-rw-rw----11002mail002-1809:53/var/mail/user1
[root@localhost~]#
2,groupdel:删除用户组
-格式:groupdel组名
-删除的目标组不能是用户的基本组。
-在删除用户组的时候,如果该组为某个成员的私有组,则无法删除,必须先删除组里面的成员,才能成功删除该组。
[root@localhost~]#iduser1//查看user1的基本组和附加组
uid=1002(user1)gid=1002(user1)groups=1002(user1),600(stu)
[root@localhost~]#grepstu/etc/group
stu:x:600:user1,user2
上面的操作可以看到,user1的基本组为user1,附加组为stu,那么现在只能删除stu,而不能直接删除组user1,因为user1组是一个基本组,要想删除user1,必须先删除user1用户,再删除user1组,而stu组不是一个基本组,只是user1和user2的附加组,所以可以直接删除。
[root@localhost~]#groupdeluser1//尝试删除user1用户组,因为user1组为user1的基本组,所以需要先删除user1用户,才能删除user1组。
groupdel:不能删除用户的主组。
[root@localhost~]#groupdelstu
[root@localhost~]#grepstu/etc/group//删除stu组之后,不能看到/etc/group文件里面的stu组的信息了。
三:为用户和用户组添加密码
1,为用户添加密码:
Passwd命令:
选项有:
-d:清空用户的密码,使之无需密码即可登录
-l:锁定用户账号
-S:查看用户账号的状态(是否被锁定)
-u:解锁用户账号
--stdin:标准输入(比如管道)取密码
注:删除密码用passwdd而不能用echo|passwd--stdin用户名
示例:
[root@localhosthome]#cat/etc/shadow|grepuser3//查看user3是否有密码
user3:$1$4vGPvNrT$xrFPE9XQhl.w1jchu10wo/:16119:0:99999:7:::
[root@localhosthome]#passwd-duser3//使用-d选项删除密码
Removingpasswordforuseruser3.
passwd:Success
[root@localhosthome]#cat/etc/shadow|grepuser3//再次查看,密码取消
user3::16119:0:99999:7:::
[root@localhosthome]#
示例:
如果修改一个用户的密码,可以直接输入passwd用户名,然后进入交互式的密码输入去人,使用--stdin使用非交互式设置密码,直接将密码导入。
[root@localhost/]#echo123|passwd--stdinuser3//设置user3的密码为123,使用--stdin为面交互式导入密码
Changingpasswordforuseruser3.
passwd:allauthenticationtokensupdatedsuccessfully.
[root@localhost/]#passwd-luser3//锁定user3账户
Lockingpasswordforuseruser3.
passwd:Success
[root@localhost/]#grepuser3/etc/shadow//查看锁定账户密码信息,有两个!
user3:!!$1$4vGPvNrT$xrFPE9XQhl.w1jchu10wo/:16119:0:99999:7:::
[root@localhost/]#passwd-Suser3//用-S查看是否被锁定
user3LK2014-02-180999997-1(Passwordlocked.)
[root@localhost/]#passwd-uuser3//-u参数为解锁
Unlockingpasswordforuseruser3.
passwd:Success.
[root@localhost/]#grepuser3/etc/shadow//解锁之后,该账户密码段没有!
user3:$1$4vGPvNrT$xrFPE9XQhl.w1jchu10wo/:16119:0:99999:7:::
[root@localhost/]#
2,用户组的密码gpasswd
gpasswd组名:进入交互式的密码输入确认。
gpasswdr组名:-r选项为移除密码,gpasswdr组名为清空该组密码
组密码的用途:主要是一些用户想要加入组,那么需要用到的这个组账户的密码,而这个用户加入的时候也是临时加入的,用exit即可退出该组。
四:用户组成员的添加和删除
1,gpasswd在用户组中的应用
-A:定义组管理员列表(可以在/etc/gshadow文件里查看组管理员和组成员)
-a:添加组成员,每次只能加一个
-d:删除组成员,每次只能删一个
-M:定义组成员列表,可设置多个(为覆盖操作,在定义之后,之前组内用户将被删除;注意在写多个成员列表的时候,用逗号隔开)
示例:
[root@localhost~]#grepuser/etc/gshadow
user:!::
[root@localhost~]#gpasswd-auser1user//将账户user1加入到user组中
正在将用户user1加入到user组中
[root@localhost~]#gpasswd-auser2user//将user2加入到user组中
正在将用户user2加入到user组中
[root@localhost~]#grepuser/etc/gshadow|tail-1//查看user用户组的成员
user:!::user1,user2
[root@localhost~]#gpasswd-Mstu01,stu02user//-M参数覆盖添加多个用户
[root@localhost~]#cat/etc/gshadow|tail-1//再次查看,user1和user2被覆盖
user:!::stu01,stu02
[root@localhost~]#gpasswd-dstu01user//将stu01从user组中删除
正在将用户stu01从user组中删除
[root@localhost~]#cat/etc/gshadow|tail-1
user:!::stu02//删除后只剩下stu02用户
[root@localhost~]#gpasswd-Astu02user//将stu02设置为管理员
[root@localhost~]#grepuser/etc/gshadow|tail-1
user:!:stu02:stu02//gshadow文件中,第三个字段为该组的管理员账户,为stu02
[root@localhost~]#
2,usermod主要是对用户的属性进行更改,可以增加用户成员的所属附加组
只是用usermod的-a-G选项(-a表示添加,-G指定组,-a-G为新加一个附加组)
命令:usermod-a-G用户组用户名
[root@localhost~]#usermod-a-Gtechstu02//为stu02增加一个附加组tech
[root@localhost~]#idstu02
uid=501(stu02)gid=1201(nsd)groups=1201(nsd),200(tech),1204(user)
五:用户和组属性的查看和修改
1,usermod:主要针对用户与组之间属性的更改
格式:usermod[选项](选项可以有多个)用户名
-l:更改用户账号的登录名称
-L:锁定用户账户(注:用usermodL锁定一个账户的时候可以用passwdu直接解锁,但是用passwdl锁定的账户,用usermodU解锁的时间,需要解锁两次,因为,passwdl锁定的账户密码前面有两个!,而usermodL锁定的账号密码前面有一个!,可以通过查看/etc/gshadow文件里面的密码段来验证。)
-U:解锁用户账户
-u、-d、-e、-g、-G、-s:与useradd相同
-a:和-G搭配使用为添加该用户的附加组(只是用-G的时候,为修改附加组)
示例:
usermod-e20140630(或2014-06-30)user1:为修改user1账户失效时间为20140630
但是在用chage-E2014-06-30user1的时候,不能用20140630
[root@localhost~]#cat/etc/shadow|grepuser1
user1:!!:16119:0:99999:7:::
[root@localhost~]#usermod-e20140630user1//修改user1的账户失效时间
[root@localhost~]#cat/etc/shadow|grepuser1
user1:!!:16119:0:99999:7::16251:
[root@localhost~]#usermod-luser01user1//修改user1的登录名为user01
usermod:警告:/var/spool/mail/user1不属于user1
[root@localhost~]#
2,chage:主要针对用户的密码进行设定
-l:列出密码有效信息
-E:指定账户过期时间,YYYY-MM-DD
-I:指定当密码失效后多少天锁定账号
-m:指定密码的最小天数
-M:指定密码的最大天数
示例:
[root@localhost~]#chage-luser01//查看user01的密码信息
最近一次密码修改时间:2月18,2014
密码过期时间:从不
密码失效时间:从不
帐户过期时间:从不
两次改变密码之间相距的最小天数:0
两次改变密码之间相距的最大天数:99999
在密码过期之前警告的天数:7
[root@localhost~]#cat/etc/shadow|grepuser01
user01:$1$609lnAxS$qk/Yzf4qd727R9Q2dieQ1.:16119:0:99999:7:::
[root@localhost~]#chage-E2014-07-10user01//修改user01的账户过期时间
[root@localhost~]#chage-I3user01//修改user01用户的密码失效3天后锁定
[root@localhost~]#chage-m10user01//密码修改之后10天内不准修改
[root@localhost~]#chage-M40user01//密码修改后40天之后必须再次修改密码
[root@localhost~]#cat/etc/shadow|grepuser01
user01:$1$609lnAxS$qk/Yzf4qd727R9Q2dieQ1.:16119:10:40:7:3:16261:
[root@localhost~]#chage-luser01
最近一次密码修改时间:2月18,2014
密码过期时间:3月30,2014
密码失效时间:4月02,2014
帐户过期时间:7月10,2014
两次改变密码之间相距的最小天数:10
两次改变密码之间相距的最大天数:40
在密码过期之前警告的天数:7
[root@localhost~]#
3,id
-在命令行输入id,为查看该账户的用户名及用户所属组等信息;
[root@localhost~]#su-frank
[frank@localhost~]$id//id命令直接查看当前用户的ID和所属组
uid=507(frank)gid=507(frank)groups=507(frank)
-id用户名:表示查看该用户的相关信息
[root@localhost~]#idfrank//查看frank用户的用户ID和所属组
uid=507(frank)gid=507(frank)groups=507(frank)
[root@localhost~]#iduser01//查看user01的用户ID和所属组
uid=1005(user01)gid=1005(user1)groups=1005(user1)
[root@localhost~]#
-idgn:查看当前用户的所属组
[root@localhost~]#su-frank
[frank@localhost~]$id-gn//查看当前所属组,为frank组,下面修改一下
frank
[frank@localhost~]$exit
logout
[root@localhost~]#usermod-gtechfrank//将frank的基本组修改为tech
[root@localhost~]#su-frank
[frank@localhost~]$id-gn//用id-gn查看当前组
tech
[frank@localhost~]$
4,newgrp
newgrp用户组:为当前用户临时增加一个用户的附加组(可以用exit退出该附加组)
示例:
[root@localhost~]#su-frank
[frank@localhost~]$id
uid=507(frank)gid=200(tech)groups=200(tech)
[frank@localhost~]$newgrpuser
密码://这个密码为用gpasswd来设置的用户组密码,当有新用户加入是,需要输入,如果没有密码,直接确定即可加入
[frank@localhost~]$id-gn
user//用户组为user,未修改之前为tech
[frank@localhost~]$id
uid=507(frank)gid=1204(user)groups=200(tech),1204(user)
[frank@localhost~]$exit//只是临时增加的附加组,可以用exit退出该组
exit
[frank@localhost~]$id
uid=507(frank)gid=200(tech)groups=200(tech)
[frank@localhost~]$id-gn
tech//退出后的用户组还未之前的tech
[frank@localhost~]$
5,groups:查看用户所属组
groups:查看当前用户的所属组(包括基本组和附加组)
groups用户名:查看该用户所属组(包括基本组和附加组,前面的为基本组)
注:也可以查看/etc/group和/etc/gshadow文件的第四段。
[root@localhost~]#groups//查看当前用户的所属组
rootbindaemonsysadmdiskwheel
[root@localhost~]#groupsuser2//查看user2用户的所属组
user2:user2tech//那么user2用户的基本组为user2,有一个附加组,为tech
[root@localhost~]#
六,附:用户和用户组的密码及新建用户宿主目录里面的隐藏文件
1,用户的密码:/etc/passwd和/etc/shadow
/etc/passwd文件:保存了用户账号的基本信息
[root@localhost~]#head-1/etc/passwd
root:x:0:0:root:/root:/bin/bash
1234567
可以看到passwd里面的内容分为7个字段,分别用:隔开,每个字段的含义:
第一段:用户账号的名称
注:可使用user-luser1user01修改
第二段:密码字符或占位符
注:加密后的密码保存在/etc/shadow文件中
第三段:用户账号的UID号
注:在建立的时候用useradd-u来指定UID号
第四段:所属基本组的GID号
注:在新建用户的时候,如果不指定基本组,会默认新建一个和用户同名的组,可以使用useradd-gusers/100来指定新建用户组的GID
第五段:用户全名
第六段:宿主目录
注:在新建用户的时间,用useradd-d来指定
第七段:登录shell程序的路径
注:在新建用户时候使用useradd-s来指定,也可以在后来使用usermod-s来指定
/etc/shadow文件:保存了密码字串,有效期等信息
[root@localhost/]#head-1/etc/shadow
root:$1$SmlKPNho$qNqybQOGBSnK6iWmviI6b1:15908:0:99999:7:::
123456789
第一段:用户账号的名称
第二段:加密后的密码字符串
注:在使用passwd-l锁定之后加两个!,用usermod-L锁定之后该字符串前面加一个!
第三段:上次修改密码的时间
第四段:密码的最短有效天数,默认为0
注:也就是在上次修改密码后多少天之内不准修改密码,可以使用chage-m来修改
第五段:密码的最长有效天数
注:也就是说,密码在到达有效天数之后,必须进行修改,可以使用chage-M修改
第六段:密码过期后的警告天数,默认为7
注:在密码最长有效天数的前7天进行提醒
第七段:密码过期后多少天禁用此账户,默认值为空
注:如果密码过期之后,也就是密码最长有效时间到了之后,用户还可以继续使用该账号,如果还不修改密码,那么,这个时间将起作用,该用户将被禁用。可以使用chage-I来修改
第八段:账号失效时间,默认值为空
可以使用chage-E或者usermod-e来修改账号的失效时间
例如:
[root@localhosthome]#chage-luser01
最近一次密码修改时间:2月18,2014
密码过期时间:3月30,2014
密码失效时间:4月02,2014
帐户过期时间:7月10,2014
两次改变密码之间相距的最小天数:10
两次改变密码之间相距的最大天数:40
在密码过期之前警告的天数:7
[root@localhost~]#cat/etc/shadow|grepuser01
user01:$1$609lnAxS$qk/Yzf4qd727R9Q2dieQ1.:16119:10:40:7:3:16261:
[root@localhost~]#usermod-e20140810user01//或chage-E20140810user01
[root@localhost~]#cat/etc/shadow|grepuser01
user01:$1$609lnAxS$qk/Yzf4qd727R9Q2dieQ1.:16119:10:40:7:3:16292:
[root@localhost~]#chage-luser01
最近一次密码修改时间:2月18,2014
密码过期时间:3月30,2014
密码失效时间:4月02,2014
帐户过期时间:8月10,2014
两次改变密码之间相距的最小天数:10
两次改变密码之间相距的最大天数:40
在密码过期之前警告的天数:7
第九段:该字段保留
2,新建一个用户时候的默认配置/etc/login.defs、/etc/useradd和/etc/skel
[root@localhost~]#grep-vE^#|^$/etc/login.defs
MAIL_DIR/var/spool/mail//定义邮件文件路径
PASS_MAX_DAYS99999//定义密码最长有效天数,/etc/shadow第五段
PASS_MIN_DAYS0//密码最短有效天数为0,/etc/shadow的第四段
PASS_MIN_LEN5//密码最小长度为5,这里不起作用,有其他文件来规定
PASS_WARN_AGE7//密码过期后的警告天数
UID_MIN500//UID的起始值,/etc/passwd中的第三段
UID_MAX60000//UID的最大值,/etc/passwd中的第三段
GID_MIN500//GID的起始值,/etc/passwd中的第四段
GID_MAX60000//GID的最大值,/etc/passwd中的第四段
CREATE_HOMEyes//是否创建宿主目录
UMASK077//umask值为077
USERGROUPS_ENAByes//
MD5_CRYPT_ENAByes//密码使用MD5加密
ENCRYPT_METHODMD5//
[root@localhost~]#cat/etc/default/useradd
#useradddefaultsfile
GROUP=100//
HOME=/home//定义创建用户的宿主目录在/home下
INACTIVE=-1//是否启用该账户,-1代表是
EXPIRE=//
SHELL=/bin/bash//指定新建用户的shell为/bin/bash
SKEL=/etc/skel//新建用户的宿主目录模板为/etc/skel
CREATE_MAIL_SPOOL=yes//是否创建用户的邮件文件
[root@localhost~]#ll-a/etc/skel///在新建一个用户的时候,宿主目录里面的内容就是将skel拷贝过去,然后放到/home目录下并改名为新建的用户名
总计64
drwxr-xr-x3rootroot40962013-07-10.
drwxr-xr-x97rootroot1228802-1816:24..
-rw-r--r--1rootroot332011-05-13.bash_logout
-rw-r--r--1rootroot1762011-05-13.bash_profile
-rw-r--r--1rootroot1242011-05-13.bashrc
-rw-r--r--1rootroot5152011-04-07.emacs
drwxr-xr-x4rootroot40962012-11-16.mozilla
3,全局配置文件~/.bash_profile、~/.bashrc和~/.bash_logout
注:可以在用户的宿主目录下使用ls-a查看。
~/.bash_profile:每次登录时执行
~/.bashrc:每次进入新的Bash环境时执行
~/.bash_logout:每次推出登录时执行
4,查看用户组信息:/etc/group和/etc/gpasswd
/etc/group查看用户组的信息
[root@localhost~]#cat/etc/group|tail-1
user:x:1204:user01,user2
第一段:组名
第二段:密码占位符
第三段:GID
第四段:组内成员(使用gpasswd-a添加,gpasswd-d删除,gpasswd-M覆盖添加多个)
[root@localhost~]#cat/etc/gshadow|tail-1
user:$1$u/W2qj.L$W8GJY5HxyLzphdtgLKpxW0:stu02:user01,user2
第一段:组名
第二段:密码(使用gpasswd来设置)
第三段:组管理员(使用gpasswd-A指定)
第四段:组内成员
总结:
学的时间也不短了,总是想找个时间将用户组这一章好好的做下笔记,这下好了,终于弄完了,哈哈
用户和用户组的管理这一章很绕口,理解也还算容易,命令不多,但是选项很多,一个题可能有好几种做法,比如说usermod-a-gtechuser01和gpasswd-auser01tech,虽然都是讲user01用户加入到tech组中,但是还有那么的不同,唉,慢慢搞吧!
CentOS的网络配置的命令详解
我们在进行对CentOS的网络配置时,一般会从IP地址(IPADDR)、子网掩码(NETMASK)、网关(Gateway)、主机名(HOSTNAME)、DNS服务器等方面入手。而在CentOS中,又有着不同的命令或配置文件可以完成这些配置操作,接下来,我们将从ifcfg系命令,iproute2系命令以及配置文件3个方面来简析网络配置的方法。
一、ifcfg系命令
ifcfg系命令包括ifconfig,route,netstat和hostname。
1、ifconfig命令
用来配置一个网络接口。它的使用格式如下:
a):ifconfig [-a] [interface]
-a:表示显示所有的网络接口信息,包括inactive状态的接口
~]#ifconfig-a
b):ifconfig IFACE(网络接口名,下同) IPADDR netmask NETMASK [up|down]
表示通过ifconfig命令直接修改接口的ip地址和netmask,并可启停该接口。
该命令会将配置参数立即送往内核中的TCP/IP协议栈,所以会立即生效,但是重启服务后会无效。
~]#ifconfigeth1172.16.7.14netmask255.255.0.0~]#ifconfigeth1172.16.7.14/16down
2、route命令
显示和配置ip路由表。它的使用格式如下:
a):route [-n]
表示查看全部的路由表,并以数字显示ip地址
~]#route-n
b):route add [-net|-host] target [netmask Nm] [gw Gw][[dev] If]
添加相应接口的路由
~]#routeadd-host172.16.7.14gw172.16.0.1deveth1#主机路由~]#routeadd-net172.16.7.0/24gw172.16.0.1deveth1#网段路由~]#routeadddefaultgw172.16.0.1deveth1#默认路由
c):route del [-net|-host] target [netmask Nm][[dev] If]
删除路由
~]#routedel-host172.16.7.14deveth1~]#routedel-net172.16.7.0/24deveth1~]#routedeldefaultdeveth1
3、netstat命令
显示网络连接,路由表,接口状态等。它的使用格式如下:
netstat [-n] [-r] [-p] [-e] [-a] [--tcp|-t] [--udp|-u] [--raw|-w] [--listening|-l] [-i] [-I]
-n:以数字格式显示ip和端口号,不做地址转换;
-r:显示内核路由表
-p:显示相关的进程和PID
-e:显示扩展格式
-a:显示所有的连接状态
-t:显示tcp协议的相关连接的状态
-u:显示udp协议的相关连接的状态
-w:显示raw socket相关连接的状态
-l:显示处于监听状态的连接
-i:显示所有接口状态
-I:显示特定的接口状态
以上个选项可组合使用,常用组合有-tan,-uan,-tln,-uln,-tunlp等
~]#netstat-tan~]#netstat-Ieth1
4、hostname命令
显示配置主机名。它的使用格式如下:
hostname:显示当前主机名
hostname HOSTNAME:修改当前主机名为HOSTNAME,仅当前有效,重启无效。
~]#hostname~]#hostnameTEST
5、hostnamectl命令(CentOS7新增)
显示配置主机名。它的使用格式如下:
hostnamectl [status]:显示当前主机名信息
hostnamectl set-hostname:设定主机名,永久有效
~]#hostnamectlset-hostnameCentOS7
二、iproute2系命令
iproute2系命令有ip link,ip addr,ip route,ip netns和ss等。
1、ip link命令
配置网络接口属性。它的使用格式如下:
a):ip link set [dev] IFACE [up|down] [multicast on|off] [name IFACE] [mtu NUMBER]
up and down:启动或禁止选定的网络接口
multicast on or multicast off:启动或禁止组播功能
name NAME:重命名接口(命名前需先down掉接口)
mtu NUMBER:设置接口的mtu大小,默认为1500
~]#iplinkseteth1nameeth2up~]#iplinkseteth2multicastoffmtu1000
b):ip link [show|list]
显示全部网络接口的属性。
~]#iplinkshow
2、ip addr命令
配置网络接口的ip地址。它的使用格式如下:
a):ip addr add IPADDR dev IFACE[label NAME][broadcast ADDRESS][scope SCOPE_VALUE]
增加一个ip地址。
[label NAME]:为额外添加的地址指明接口别名
[broadcast ADDRESS]:会根据ip和netmask自动计算,不用填
[scope SCOPE_VALUE]:gloal全局可用;link接口可用;host:本机可用
~]#ipaddradd172.16.7.14/24deveth1labeleth1:0
b):ip addr delete IPADDR dev IFACE
删除一个ip地址。
~]#ipaddrdel172.16.7.14/24deveth1:0
c):ip addr show [dev IFACE|label IFACE:#]
仅显示指定的接口地址。
~]#ipaddrshowlabeleth1:0~]#ipaddrshoweth1
d):ip addr flush [dev]{IFACE|label IFACE:#}
清空指定的所有地址或别名的地址。
~]#ipaddrflushlabeleth1:0~]#ipaddrflusheth1
3、ip route命令
配置接口的路由表信息。它的使用格式如下:
a):ip route addTYPE PREFIX(目标网络)via GateWay [dev IFACE] [src SOURCE_IP]
添加路由表。
~]#iprouteadd172.16.7.14via172.16.0.1deveth1~]#iprouteadd172.16.7.0/24via172.16.0.1deveth1~]#iprouteadddefaultvia172.16.0.1deveth1
b):ip route del TYPE PREFIX
删除路由表。
~]#iproutedel172.16.7.14~]#iproutedel172.16.7.0/24
c):ip route show
显示路由表。
~]#iprouteshow
d):ip route flush dev IFACE
清空指定接口的所有路由表。
~]#iprouteflushdeveth1
4、ss命令
和netstat命令一样用来查看网络状态,其选项参数和netstat命令基本相同,但是其查询速度比netstat命令要快。它的使用格式如下:
ss [options][filter]
filter:过滤器 FILTER:= [ state TCP-STATE ] [ EXPRESSION ]
选项:
-t:TCP协议的相关连接
-u:UDPF相关的连接
-w:raw socket相关的连接
-l:处于监听状态的连接
-a:所有状态
-n:以数字格式显示IP和Port
-e:扩展格式
-p:显示相关的进程及PID
-m:内存用量
-o:计时器信息
EXPRESSION:
dport:目标端口
sport:源端口
‘( dport=:22 or sport=:22)’
~]#ss-tan#查看当前网络所以tcp的连接状态
三、网络配置文件
在CentOS系统上我们可以通过对修改不同的网络配置文件来使得配置网络接口的各种属性,不过要使其永久有效,还需使内核重读修改后的配置文件。
1、IP/NETMASK/GW/DNS等属性的配置文件:
其路径为:/etc/sysconfig/network-scripts/ifcfg-IFACE
其格式为:
DEVICE:此配置文件对应的设备的名称;
ONBOOT:在系统引导过程中,是否激活此接口;
NETBOOT:是否支持网络引导;
UUID:设备的唯一标识;
IPv6INT:是否初始化IPv6;
BOOTPROTO:激活此接口时使用什么协议来配置属性,常用dhcp、bootp、static、none
TYPE:接口类型,常见的有ethernet、bridge;
DNS1:第一DNS服务器指向;
DNS2:备用DNS服务器指向;
DOMAIN:DNS搜索域;
GATEWAY:默认网关;
IPADDR:本机ip地址;
NETMASK:子网掩码;CentOS7支持使用PREFIX以长度指明子网掩码;
USERCTL:是否允许普通用户控制此设备;
PEERDNS:如果BOOTPROTO的值为“dhcp”,是否运行dhcp server分配的dns服务器指向覆盖本地手动指定的DNS服务器指向;默认为允许
HWADDR:设备的MAC地址;
NM_CONTROLLED:是否使用NetworkManager服务来控制接口;
network-scripts]#catifcfg-eth1 DEVICE="eth1" ONBOOT=yes NETBOOT=yes IPADDR=172.16.7.14 DNS=172.16.0.1 GATEWAY=172.16.0.1 NETMASK=255.255.0.0 IPV6INIT=no BOOTPROTO=none TYPE=Ethernet
2、路由的相关配置文件:
其路径为:/etc/sysconfig/network-scripts/route-IFACE
其格式为:(不可混用)
a):每行一个路由条目:
TARGET via GW
b):每三行一个路由条目:
ADDRESS#=TARGET
NETMASK#=MASK
GATEWAY#=NEXTHOP
network-scripts]#catroute-eth1 172.16.7.0/24via172.16.0.1
3、主机名的相关配置文件:
其路径为:/etc/sysconfig/network
其格式为:
HOSTNAME=
sysconfig]#catnetwork#Createdbyanaconda HOSTNAME=centos7.1
4、DNS服务器指向配置文件:
其路径为:/etc/resolv.conf
其格式为:
nameserver DNS_SERVER_IP
etc]#catresolv.conf
#GeneratedbyNetworkManager
searchmagelinux.com
nameserver172.16.0.1
四、结语
在学习Linux的路上,网络是非常重要的一环,其命令也在不断改进着,很多命令有着相同的作用,可以选择先记忆比较简单和高效的命令和参数。除上述命令之外,在CentOS7中也有着如nmtui这样直接显示图形界面的还用命令。
CentOS系统常规初始化操作详解
环境准备:
1)设置本地国际化语言为en_US.UTF-8
[root@c58~]#sed-i's/^\(LANG=\).*$/\1en_US.UTF-8/'/etc/sysconfig/i18n
[root@c58~]#cat/etc/sysconfig/i18n
LANG=en_US.UTF-8
[root@c58~]#LANG=en_US.UTF-8
2)更新系统软件包
备份默认yum源:
find/etc/yum.repos.d-name'*.repo'-execmv{}{}.bak\;
添加163yum源:
redhat5或centos5:
wget
redhat6或centos6
wget
添加epel yum源:
redhat5.x 32bit:
rpm-ivh
redhat5.x 64bit:
rpm-ivh
redhat6.x 32bit:
rpm-ivh
redhat6.x 64bit:
rpm-ivh
更新证书:
yum-yupgradeca-certificates--disablerepo=epel
更新系统所有软件包:
yumcleanallyummakecacheyum-yupgrade
下文以redhat5/centos5为例
一、服务最小化原则
关闭所有开机自启动服务,仅开启sshd、crond、network、iptables、syslog(redhat5)、rsyslog(redhat6),然后在此基础上按需添加需要开机启动的服务。
1)关闭所有开机自启动服务
[root@c58~]#foriin`chkconfig--list|awk'{if($1~/^$/){exit0;}else{print$1}}'`;dochkconfig$ioff;done
2)开启基础服务
[root@c58~]#foriinsshdnetworksyslogcrondiptables;dochkconfig$ion;done
3)查看开启的服务
[root@c58~]#chkconfig--list|grep'3:on'
crond0:off1:off2:on3:on4:on5:on6:off
iptables0:off1:off2:on3:on4:on5:on6:off
network0:off1:off2:on3:on4:on5:on6:off
sshd0:off1:off2:on3:on4:on5:on6:off
syslog0:off1:off2:on3:on4:on5:on6:off
二、用户登录限制
1)禁止使用root用户使用远程ssh
[root@c58~]#cd/etc/ssh
[root@c58ssh]#cpsshd_configsshd_config~
[root@c58ssh]#sed-i's/#\(PermitRootLogin\)yes/\1no/'sshd_config
[root@c58ssh]#grep'PermitRoot'/etc/ssh/sshd_config
PermitRootLoginno
2)禁用登录提示信息
[root@c58ssh]#/etc/motd
3)修改ssh的默认监听端口(tcp:22)
#这里修改为tcp的11983端口
[root@c58ssh]#sed-i's/#\(Port\)22/\11983/'sshd_config
[root@c58ssh]#grep'Port'sshd_config
Port11983
4)只允许指定的ip可以ssh(可选)
方法1(使用tcpwrapper):
#只允许192.168.124.0网段的ip使用ssh
echosshd:192.168.124.0/255.255.255.0/etc/hosts.allow
echosshd:ALL/etc/hosts.deny
方法2(使用iptables):
#注意,远程操作时需留心,以免把自己也拒绝而导致无法远程连接。如只允许192.168.1.0网段的所有ip进行ssh,其他所有ip都拒绝#先允许自己的ip,以防被后面的操作误伤
iptables-IINPUT-s10.0.0.1-ptcp--dport22-jACCEPT
#允许192.168.1.0网段
iptables-I2INPUT-s192.168.1.0/24-ptcp--dport22-jACCEPT
#拒绝所有
iptables-I3INPUT-ptcp--dport22-jDROP
#保存iptables的设置:
cp/etc/sysconfig/iptables/etc/sysconfig/iptables~
iptables-save/etc/sysconfig/iptables
最后,重启sshd服务使上面配置生效(不用担心重启时已打开的远程终端连接会断开,重启只会对新开的终端生效)
[root@c58ssh]#/etc/init.d/sshdrestart
Stoppingsshd:[OK]
Startingsshd:[OK]
三、用户及命令权限最小化
创建一个普通用户tom,将其加入sudo组,该用户作为系统管理员
groupaddsudo#创建sudo组
useradd-Gsudotom#创建tom用户,加入sudo组
passwdtom#设置tom用户的登陆密码
修改sudo配置文件,授权sudo组的用户可以以root身份执行所有命令(可以针对不同用户授予不同的命令执行权限,这里允许执行所有命令,生产环境中系统管理员应该按需为用户分配尽可能少的可执行命令,以实现权限最少化),用户执行的所有sudo操作都将记录在/var/log/sudo.log中,以便日后的安全事件排查。执行命令如下:
[root@cloud~]#cat/etc/sudoersEOF
%sudoALL=(root)ALL
Defaultslogfile=/var/log/sudo.log
EOF
[root@cloud~]#visudo-c
[root@cloud~]#echolocal2.debug/var/log/sudo.log/etc/syslog.conf
[root@cloud~]#/etc/init.d/syslogrestart
注:visudo-c命令用于检查/etc/sudoers文件的语法正确性
四、内核安全参数设置
vim/etc/sysctl.conf#添加如下内容:
#关闭对ping包的响应(可选,一般不建议,因为不方便网络故障时的排查)
net.ipv4.icmp_echo_ignore_all=1
#关闭对广播ping的响应
net.ipv4.icmp_echo_ignore_broadcasts=1
#开启syncookie用于防范synflood攻击,当出现syn等待队列溢出时(syn数量超过tcp_max_syn_backlog的设置值),启用cookie来处理,server在回复syn_ack前会先请求client回复一个序列号,该序列号中要求包含原先syn包中的信息,如果序列号不正确,则server端会忽略此syn连接。
net.ipv4.tcp_syncookies=1
#设置sync_ack的最大重传次数,默认值为5,范围0-255,重传5次的时间大约为180s
net.ipv4.tcp_synack_retries=3
#设置当keepalive打开的情况下,keepalive消息的发送间隔,默认为2小时(由于目前网络攻击等因素,造成了利用这个进行的攻击很频繁,如果两边建立了连接,然后不发送任何数据或者rst/fin消息,那么持续的时间就是2小时,成就了空连接攻击,tcp_keepalive_time就是预防此情形的.)
net.ipv4.tcp_keepalive_time=1200
保存退出后,执行sysctl-p命令将以上设置加载到内核使其立刻生效
五、内核性能相关参数设置(可选)
vim/etc/sysctl.conf#添加如下内容:
#设置syn等待队列的长度,对于内存大于128M的机器,默认值是1024,在并发请求较大时,可以调大该值
net.ipv4.tcp_max_syn_backlog
#开启timewait重用。允许将time_waitsocket重新用于新的tcp连接
net.ipv4.tcp_tw_reuse=1
#开启tcp连接中time_waitsocket的快速回收
net.ipv4.tcp_tw_recycle=1
#TCP发送keepalive探测以确定该连接已经断开的次数,默认值为9
net.ipv4.tcp_keepalive_probes=5
#指定探测消息发送的频率,该值乘以tcp_keepalive_probes就可以得到从开始探测到连接被删除所需的时间。默认值为75,也就是没有活动的连接将在大约11分钟以后将被丢弃。(对于普通应用来说,这个值有一些偏大,可以根据需要改小.特别是web类服务器需要改小该值,15是个比较合适的值)
net.ipv4.tcp_keepalive_intvl=15
#表示系统同时保持TIME_WAITsocket的最大数量,如果超过这个数字,TIME_WAIT套接字将立刻被清除并输出警告信息。默认为180000,改为5000.对于squid服务器来说,此参数可以控制TIME_WAIT套接字的最大数量,避免squid服务器被大量的TIME_WAITsocket拖死。
net.ipv4.tcp_max_tw_buckets=5000
#表示向外连接的端口范围。默认值很小:32768~61000,改为1024~65000
net.ipv4.ip_local_port_range=102465000
保存退出后,执行sysctl-p命令将以上设置加载到内核使其立刻生效
