網絡運維與網絡安全 學習筆記 第三十四天
今日目標
訪問存儲設備、配置yum源、使用yum管理軟件
LAMP部署及測試、systemctl系統控制、SELinux-Firewall防護
訪問存儲設備
掛載/卸載設備
什么是掛載?
掛載,裝載
將光盤/U盤/分區/網絡存儲等設備裝到某個Linux目錄
通過訪問這個目錄來操作設備上的文檔
掛載設備
關于分區/U盤/光盤設備文件
分區,一般是/dev/sda1、/dev/sda2等等;U盤,一般是/dev/sdb1
光盤,一般是/dev/cdrom,指向/dev/sr0等設備
[root@svr203~]# Isblk //查看塊設備列表
NAME
MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda8:0 o 80G 0 disk
-sda18:1 o1G 0 part /boot //第1塊磁盤的第1個分區
—sda28:2 o 79G 0part
-openeuler-root 253:00 51.7G 0 lvm /
-openeuler-swap 253:1 o 2G 0 lvm [sWAP]
-openeuler-home 253:2025.2G 0 lvm /home
sr0 11:01 4.2G 0 rom //光盤
示例:掛載openEuler光盤
1)插入openEuler光盤(虛擬機連ISO文件)
2)準備掛載點
3)掛載光盤
[root@svr203~]# mkdir /mnt/dvd
[root@svr203~]# mount /dev/cdrom /mnt/dvd
mount:/mnt/dvd: WARNING: source write-protected, mounted read-only. //光盤為只讀設備,會出現警告
訪問設備內的文檔
掛載成功以后,通過掛載點即可訪問光盤內文檔
[root@svr203~]# ls /mnt/dvd //列光盤目錄內容
docs images ks repodata TRANS.TBL
EFI isolinux Packages RPM-GPG-KEY-openEuler
卸載設備
卸載已掛載的openEuler光盤
卸載完畢后,掛載點與對應設備無任何關系
[root@svr203~]# umount /mnt/dvd
[root@svr203~]# ls /mnt/dvd //掛載點已為空
[root@svr203~]#
配置開機掛載
認識/etc/fstab配置
開機掛載解析
在/etc/fstab文件中添加設備記錄
文件系統類型:iso9660、xfs、swap.ext4、…
配置開機掛載
建掛載點–>配置fstab -->檢查配置–>重啟驗證
[root@svr203~]# mkdir -p /repos/openEuler
[root@svr203~j# vim /etc/fstab
… …
/dev/cdrom /repos/openEuler iso9660 ro 0 0
[root@svr203~]# mount -a //檢查開機掛載配置(無報錯)
重啟系統,檢查開機掛載效果
[root@svr203 ~]# reboot //重啟
… … //待啟動完畢,重新登入
[root@svr203~]# ls /repos/openEuler/ /確認已自動掛載光盤到指定目錄
docs images ks repodata TRANS.TBL
EFI isolinux Packages RPM-GPG-KEY-openEuler
配置yum源
yum工作機制
YUM,Yellowdog Updater Modified,黃狗升級器
軟件倉庫:集中分發.rpm 軟件包資源,并解決軟件之間的依賴關系
客戶機:使用yum或dnf查詢/安裝/卸載軟件
準備軟件倉庫目錄
openEuler安裝盤已預先配置成軟件倉庫,可以直接使用
比如,掛載或復制到本機目錄/repos/openEuler
[root@svr203~]# mkdir -p /repos/openEuler/ //1.建目錄
[root@svr203~]# mount /dev/cdrom /repos/openEuler //2.掛光盤
[root@svr203~]# ls /repos/openEuler/ //3.確認
addons isolinux repodata(倉庫檔案資料) Packages(軟件包目錄) RPM-GPG-KEY-redhat-release
三步搞定軟件源
第一步:禁用無效源
對于用不到/不能用的源(比如官方源),可以直接刪除
配置位置:/etc/yum.repos.d/*.repo
第二步:設置有效源
通過輔助配置工具快速設置指定的軟件源
用法: yum-config-manager --add 軟件源URL地址
[root@svr203~]# yum-config-manager --add file:///repos/openEuler
添加倉庫自:file:///repos/openEuler //注意有3個斜杠(fiile://加上根目錄/)
[root@svr203~]# cat /etc/yum.repos.d/repos_openEuler.repo
[repos_openEuler]
name=created bydnf config-manager from file:///repos/openEuler
baseurl=file:///repos/openEuler //確認結果配置
enabled=1
第三步:關閉軟件來源檢查
系統對軟件來源合法性的檢查
默認只建議安裝官方來源的應用軟件
但是需要提供發布者的密鑰
[root@svr203~]# vim /etc/yum.conf
[main]
gpgcheck= 0 //將1改為0可以關閉檢查
結果驗證
重新獲取源數據,確保有可用倉庫
[root@svr203~]# yum repolist -v //檢查倉庫列表
…
Repo-filename :/etc/yum.repos.d/repos_openEuler.repoTotal packages:2,531
//光盤源,提供2千多個包
使用yum管理軟件
yum查詢軟件資源
list列出軟件
用來獲知xx軟件是否已安裝/版本/來源
格式: yum list[軟件名]…
[root@svr203~]# yum list httpd
…
可安裝的軟件包
httpd.x86_64 2.4.43-4.oe1 repos_openEuler
info獲取軟件描述
用來獲知xx軟件的用途描述/官網地址等更詳細信息
格式: yum info[軟件名]…
[root@svr203~]# yum info httpd
可安裝的軟件包
Name: httpd
Version : 2.4.43
Size :1.2 M
Repository : repos_openEuler
Summary :Apache HTTP URL: https://httpd.apacheServer
.org/
協議:ASL 2.0
Description :Apache HTTP Server is a powerfuland flexible
:HTTP/1.1 compliant web server.
provides查詢供給信息
用來查詢是否有可用的軟件能提供xx文件
格式: yum provides“*/文件名” …
[root@svr203~] # yum provides vim
… …
vim-enhanced-2:8.2-1.oe1.x86_64 : This is a package containing
: enhanced vim editor.
倉庫 : repos_openEuler
匹配來源:
提供:/usr/ bin/vim
yum安裝/卸載軟件
install安裝軟件
用來安裝xx軟件
格式: yum [-y] install軟件名…
[root@svr203~]# yum -y install httpd…
已安裝:
apr-1.7.0-2.oe1.x86_64 //依賴包
apr-util-1.6.1-12.oe1.x86_64 //…
httpd-2.4.43-4.oe1.x86_64 //主菜(烤鴨)
httpd-filesystem-2.4.43-4.oe1.noarch
httpd-help-2.4.43-4.oe1.noarch
httpd-tools-2.4.43-4.oe1.x86_64mod_http2-1.15.13-1.oe1.x86_64
完畢!
remove卸載軟件
用來卸載xx軟件
格式: yum [-y] remove軟件名…
[root@svr203 ~]# yum -y remove httpd…
已移除:
apr-1.7.0-2.oe1.x86_64
apr-util-1.6.1-12.oe1.x86_64
httpd-2.4.43-4.oe1.x86_64
httpd-filesystem-2.4.43-4.oe1.noarch
httpd-help-2.4.43-4.oe1.noarch
httpd-tools-2.4.43-4.oe1.x86_64
mod_http2-1.15.13-1.oe1.x86_64
完畢!
reinstall重裝軟件
用來重裝xx軟件(找回丟失文件)
格式: yum [-y] reinstall軟件名…
[root@svr203~]# rm -rf /usr/bin/vim //模擬誤刪vim程序
[root@svr203~]# yum -y reinstall vim-enhanced //重裝提供vim的軟件
…
已重裝:
vim-enhanced-2:8.2-1.oe1.x86_64完畢!
[root@svr203~]# Is -lh /usr/bin/vim //確認vim已裝回
-rwxr-xr-x. 1 root root 3.2M 12月8 13:18 /usr/ bin/vim
LAMP部署及測試
部署LAMP平臺
B/S服務架構
基于Browser/Server架構的網頁資源通信
服務端:支持HTTP協議的網頁提供程序
瀏覽器/客戶端:下載并按標記規范顯示網頁的瀏覽器程序
如何獲取網頁資源
. URL網址
Uniform Resource Locator,統一資源定位器
資源類別://服務器地址/目錄路徑/文件名
靜態網站與動態網站
靜態網站(只讀)
訪問同一個網址時,看到的網頁資源是固定不變的
比如index.html、.txt、.tar.gz、.png、.jpg、.gif、……
動態網站(可交互)
訪問同一個網址(網頁程序)時,看到的網頁資源是變化的
比如.php、.jsp、.wsgi、.asp、……
什么是LAMP?
一種成熟的動態企業網站服務器模式
Apache在最前端,負責處理來自瀏覽器的Web訪問請求
快速安裝LAMP平臺
如果有外網源
[root@svr203~]# yum -y install httpd mariadb-server php-fpm php-mysqInd
…
如果沒有外網源
先上傳離線包到/root/目錄下,比如lamp_oe1_pkgs/子目錄
[root@svr203~]# yum -y install /root/lamp_oe1_pkgs/*.rpm
確認安裝結果,不要有遺漏
[root@svr203~]# yum list httpd mariadb-server php-fpm php-mysqlnd… …
已安裝的軟件包
httpd.x86_64 2.4.43-4.oe1 @@commandline
mariadb-server.x86_64 3:10.3.9-9.oe1 @@commandline
php-fpm.x86_64 7.2.10-9.oe1 @@commandline
php-mysqlnd.x86_64 7.2.10-9.oe1 @@commandline
啟動LAMP平臺
openEuler中默認提供三個服務
httpd 網站
mariadb數據庫
php-fpm編程語言
[root@svr203~]# systemctl restart httpd mariadb php-fpm //啟動服務
關閉防火墻(firewalld 服務)
[root@svr203~]# systemctl stop firewalld //立即停用防火墻
從瀏覽器訪問
http://虛擬機的IP地址/
測試LAMP平臺
檢查PHP環境
在網頁目錄下建立PHP環境測試文件
/網頁根目錄/test1.php
==》http://服務器地址/test1.php
[root@svr203~]# vim /var/ www/html/test1.php?php
phpinfo(); //顯示PHP版本等信息
?>
檢查PHP網頁訪問數據庫
在網頁目錄下建立數據庫測試文件
/網頁根目錄/test2.php
==》 http://服務器地址/test2.php
[root@svr203~]# vim /var/www/html/test2.php
systemctl系統控制
控制服務狀態
systemctl工具
.systemd是一種高效的系統和服務管理器
并行啟動/接管各種服務
精確處理各服務之間的依賴關系
用戶主要通過systemctl 來控制系統和服務狀態
啟動、停止、重啟服務
基本用法
systemctl --type service //列出所有服務
systemctl start服務名… //啟動某個或某些服務
systemctl stop服務名… //停止某個或某些服務
systemctl restart服務名… //重啟某個或某些服務
[root@svr203~]# systemctl --type service
檢查服務狀態
基本用法
systemctl status 服務名… //檢查服務狀態
主要看Active:信息
active (running)表示運行中,inactive (dead)表示已停止
[root@svr203 ~]# systemctl status httpd
控制服務自啟
允許服務開機自啟動
基本用法
systemctl enable 服務名… //允許開機自啟
systemctl enable --now服務名… //允許開機自啟,并立即啟動
[root@svr203~]# systemctl enable httpd
[root@svr203~]# systemctl is-enabled httpd
enabled //確認自啟狀態
禁止服務開機自啟動
基本用法
systemctl disable 服務名… //禁止開機自啟
systemctl disable --now 服務名… //禁止開機自啟,并立即停止
[root@svr203~]# systemctl disable httpd
Removed /etc/systemd/system/multi-user.target.wants/httpd.service. //如果重復設置,不會再次提示
[root@svr203~]# systemctl is-enabled httpd
disabled //確認自啟狀態
SELinux防護
SELinux狀態控制
SELinux介紹
Security Enhanced Linux,安全增強型Linux系
源于美國國家安全局(NSA)強制保護安全策略
主要針對Linux系統中的文件、進程等提供策略保護
用戶只分配“需要”的最小權限
進程只訪問“需要”的資源
網絡服務只能開啟“需要”的端口
…….
查看SELinux運行狀態
三種運行狀態
Enforcing,強制(嚴格按策略執行保護)
Permissive,寬松(若有違規會記錄,但不做真正限制)
Disabled,禁用(內核不加載SELinux)
檢查當前的SELinux運行狀態
[root@svr203~]# getenforce
Enforcing
切換SELinux運行狀態
立即切換(在“強制”與“寬松”之間)
使用setenforce 1|0,執行后立即生效
[root@svr203~]# setenforce 0 //切換為寬松模式
[root@svr203~]# setenforce 1 //切換為強制模式
開機時自動切換
需要修改/etc/selinux/config配置,重啟后生效
[root@svr203~]# vim /etc/selinux/config
SELINUX=disabled //無需SELinux時,可以設置為禁用
SELINUXTYPE=targeted //默認使用“靶標”保護方式
)
)
)
