郭進電腦使用筆記: ch9 系統管理工具

FirewallD

//FirewallD動態設定防火牆，不須重啟即可套用，亦提供多個zone供選擇設定，對於經常更換使用地點的筆記型電腦更加方便。
zone可針對主機位於什麼環境而建立防火牆的處理原則。

# firewall-cmd --state //目前是否執行中

running

# firewall-cmd --get-active-zone //列出目前已設定的 zone

public zone

interfaces: eno16777736

# firewall-cmd --zone=public --list-all //列出zone的某一個網路介面，詳細設定

public (default, active)

interfaces: eno16777736

sources:

services: dhcpv6-client ssh //允許的服務、埠號

ports:

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

# firewall-cmd --get-zones //列出所有可選擇的zone，分別代表

block dmz drop external home internal public trusted work //不同地點的防火牆設定原則。

public：公開的場所，不信任網域內所有連線，只有被允許的連線才能進入，一般只要設定這裡就可以了

external：公開的場所，應用在IP是NAT的網路

dmz：(DemilitarizedZone)非軍事區，允許對外連線，內部網路只有允許的才可以連線進來

work：公司、工作的環境，只有被允許的連線才能進入

home：家庭環境，只有被允許的連線才能進入

internal：內部網路，應用在NAT設定時的對內網路，只有被允許的連線才能進入

trusted：接受所有的連線

drop：任何進入incoming的封包全部丟棄，只有往外outgoing的連線是允許的

block：任何進入的封包全部拒絕，並以icmp回覆對方，只有往外的連線是允許的

# firewall-cmd --permanent --zone=home --change-interface=eno1677736 //--permanent所作變更

success //寫入設定檔，否則重啟FirewallD後即無效。

# firewall-cmd --reload

success

# firewall-cmd --get-active-zone

home

interfaces: eno1677736

public

interfaces: eno16777736

----------------------------------------service and port

//service在FirewallD中代表一個或多個port所組成的一個服務名稱

# firewall-cmd --get-services //列出所有可使用的service

RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imaps ipp ipp-client ipsec iscsi-target kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind rsyncd samba samba-client smtp ssh telnet tftp tftp-client transmission-client vdsm vnc-server wbem-https

# ls /usr/lib/firewalld/services //這些service定義檔所在目錄

amanda-client.xml iscsi-target.xml pop3s.xml dns.xml ....

# cat /usr/lib/firewalld/services/dns.xml

<?xml version="1.0" encoding="utf-8"?>

<description>The Domain Name System (DNS) is used to provide and request host and domain names. Enable this option, if you plan to provide a domain name service (e.g. with bind).</description>

<port protocol="tcp" port="53"/> //dns service包含2個協定或port

</service>

# firewall-cmd --zone=public --add-service=dns //加入service
success

# firewall-cmd --zone=public --add-port=9958/tcp //加入port
success

[root@F303 ~]# firewall-cmd --zone=public --list-all

public (default, active)

interfaces: eno16777736

sources:

services: dhcpv6-client dns ssh

ports: 9958/tcp

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

---------------------------------壓縮檔案-備份

# ls

anaconda-ks.cfg testfile

# gzip testfile //壓縮

# ls

anaconda-ks.cfg testfile.gz //原檔會被壓縮檔取代

# gunzip testfile.gz //解壓縮

# ls
anaconda-ks.cfg testfile

# ls

anaconda-ks.cfg f1 f2 f3

# tar -czvf f.tar.gz f* //c:產生包裹檔 z:壓縮功能zip v:觀看指令進度 f:指定目的檔名

# ls

anaconda-ks.cfg f1 f2 f3 f.tar.gz

# tar -xzvf f.tar.gz //x:解開包裹檔

---------------------------------設定系統時間

Linux時間分為

1.硬體時間：CMOS負責

2.系統時間：作業系統負責。開機時，系統時間讀取硬體時間後，便由作業系統管理。

# yum install ntp

# ntpdate watch.stdtime.gov.tw //連接至NTP伺服器校時

14 Apr 10:57:54 ntpdate[18262]: no server suitable for synchronization found

# hwclock -w //系統時間寫入硬體時間

# hwclock -r

西元2017年04月14日 (週五) 11時00分53秒 -0.401824 秒

---------------------------------系統排程工作

Linux預設會啟動crond服務，持續檢視系統的排程工作與時間。

# cat /etc/crontab

SHELL=/bin/bash

PATH=/sbin:/bin:/usr/sbin:/usr/bin

MAILTO=root

# For details see man 4 crontabs

# Example of job definition:

# .---------------- minute (0 - 59)

# | .------------- hour (0 - 23)

# | | .---------- day of month (1 - 31)

# | | | .------- month (1 - 12) OR jan,feb,mar,apr ...

# | | | | .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat

# | | | | |

# * * * * * user-name command to be executed

29 9 15 8 * //8月15日早上9點29分

0 17 10 * * //每月10日下午5時

0 4 * * 6 //每周六早上4時

郭進電腦使用筆記

內容選單標籤

2017年4月13日星期四

ch9 系統管理工具

沒有留言:

張貼留言

內容選單標籤

2017年4月13日 星期四

ch9 系統管理工具

沒有留言:

張貼留言

2017年4月13日星期四