网络运维与网络安全 学习笔记2023.12.4

网络运维与网络安全 学习笔记 第三十四天

今日目标

访问存储设备、配置yum源、使用yum管理软件
LAMP部署及测试、systemctl系统控制、SELinux-Firewall防护

访问存储设备

挂载/卸载设备

什么是挂载?
挂载，装载
将光盘/U盘/分区/网络存储等设备装到某个Linux目录
通过访问这个目录来操作设备上的文档

挂载设备
关于分区/U盘/光盘设备文件
分区，一般是/dev/sda1、/dev/sda2等等;U盘，一般是/dev/sdb1
光盘，一般是/dev/cdrom，指向/dev/sr0等设备

[root@svr203~]# Isblk //查看块设备列表
NAME
MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda8:0 o 80G 0 disk
-sda18:1 o1G 0 part /boot //第1块磁盘的第1个分区
—sda28:2 o 79G 0part
-openeuler-root 253:00 51.7G 0 lvm /
-openeuler-swap 253:1 o 2G 0 lvm [sWAP]
-openeuler-home 253:2025.2G 0 lvm /home
sr0 11:01 4.2G 0 rom //光盘

示例:挂载openEuler光盘
1）插入openEuler光盘(虚拟机连ISO文件)
2）准备挂载点
3）挂载光盘
[root@svr203~]# mkdir /mnt/dvd
[root@svr203~]# mount /dev/cdrom /mnt/dvd
mount:/mnt/dvd: WARNING: source write-protected, mounted read-only. //光盘为只读设备，会出现警告

访问设备内的文档
挂载成功以后，通过挂载点即可访问光盘内文档
[root@svr203~]# ls /mnt/dvd //列光盘目录内容
docs images ks repodata TRANS.TBL
EFI isolinux Packages RPM-GPG-KEY-openEuler

卸载设备
卸载已挂载的openEuler光盘
卸载完毕后，挂载点与对应设备无任何关系
[root@svr203~]# umount /mnt/dvd
[root@svr203~]# ls /mnt/dvd //挂载点已为空
[root@svr203~]#

配置开机挂载

认识/etc/fstab配置
开机挂载解析
在/etc/fstab文件中添加设备记录
文件系统类型:iso9660、xfs、swap.ext4、…

配置开机挂载
建挂载点–>配置fstab -->检查配置–>重启验证
[root@svr203~]# mkdir -p /repos/openEuler
[root@svr203~j# vim /etc/fstab
… …
/dev/cdrom /repos/openEuler iso9660 ro 0 0
[root@svr203~]# mount -a //检查开机挂载配置（无报错)

重启系统，检查开机挂载效果
[root@svr203 ~]# reboot //重启
… … //待启动完毕，重新登入
[root@svr203~]# ls /repos/openEuler/ /确认已自动挂载光盘到指定目录
docs images ks repodata TRANS.TBL
EFI isolinux Packages RPM-GPG-KEY-openEuler

配置yum源

yum工作机制

YUM，Yellowdog Updater Modified，黄狗升级器
软件仓库:集中分发.rpm 软件包资源，并解决软件之间的依赖关系
客户机:使用yum或dnf查询/安装/卸载软件

准备软件仓库目录
openEuler安装盘已预先配置成软件仓库，可以直接使用
比如，挂载或复制到本机目录/repos/openEuler
[root@svr203~]# mkdir -p /repos/openEuler/ //1.建目录
[root@svr203~]# mount /dev/cdrom /repos/openEuler //2.挂光盘
[root@svr203~]# ls /repos/openEuler/ //3.确认
addons isolinux repodata（仓库档案资料） Packages（软件包目录） RPM-GPG-KEY-redhat-release

三步搞定软件源

第一步：禁用无效源
对于用不到/不能用的源(比如官方源)，可以直接删除
配置位置:/etc/yum.repos.d/*.repo
第二步：设置有效源
通过辅助配置工具快速设置指定的软件源
用法: yum-config-manager --add 软件源URL地址

[root@svr203~]# yum-config-manager --add file:///repos/openEuler
添加仓库自:file:///repos/openEuler //注意有3个斜杠(fiile://加上根目录/)
[root@svr203~]# cat /etc/yum.repos.d/repos_openEuler.repo
[repos_openEuler]
name=created bydnf config-manager from file:///repos/openEuler
baseurl=file:///repos/openEuler //确认结果配置
enabled=1
第三步：关闭软件来源检查
系统对软件来源合法性的检查
默认只建议安装官方来源的应用软件
但是需要提供发布者的密钥
[root@svr203~]# vim /etc/yum.conf
[main]
gpgcheck= 0 //将1改为0可以关闭检查
结果验证
重新获取源数据,确保有可用仓库
[root@svr203~]# yum repolist -v //检查仓库列表
…
Repo-filename :/etc/yum.repos.d/repos_openEuler.repoTotal packages:2,531
//光盘源，提供2千多个包

使用yum管理软件

yum查询软件资源

list列出软件
用来获知xx软件是否已安装/版本/来源
格式: yum list[软件名]…
[root@svr203~]# yum list httpd
…
可安装的软件包
httpd.x86_64 2.4.43-4.oe1 repos_openEuler
info获取软件描述
用来获知xx软件的用途描述/官网地址等更详细信息
格式: yum info[软件名]…
[root@svr203~]# yum info httpd
可安装的软件包
Name: httpd
Version : 2.4.43
Size :1.2 M
Repository : repos_openEuler
Summary :Apache HTTP URL: https://httpd.apacheServer
.org/
协议:ASL 2.0
Description :Apache HTTP Server is a powerfuland flexible
:HTTP/1.1 compliant web server.

provides查询供给信息
用来查询是否有可用的软件能提供xx文件
格式: yum provides“*/文件名” …
[root@svr203~] # yum provides vim
… …
vim-enhanced-2:8.2-1.oe1.x86_64 : This is a package containing
: enhanced vim editor.
仓库 : repos_openEuler
匹配来源:
提供:/usr/ bin/vim

yum安装/卸载软件

install安装软件
用来安装xx软件
格式: yum [-y] install软件名…
[root@svr203~]# yum -y install httpd…
已安装:
apr-1.7.0-2.oe1.x86_64 //依赖包
apr-util-1.6.1-12.oe1.x86_64 //…
httpd-2.4.43-4.oe1.x86_64 //主菜（烤鸭)
httpd-filesystem-2.4.43-4.oe1.noarch
httpd-help-2.4.43-4.oe1.noarch
httpd-tools-2.4.43-4.oe1.x86_64mod_http2-1.15.13-1.oe1.x86_64
完毕!

remove卸载软件
用来卸载xx软件
格式: yum [-y] remove软件名…
[root@svr203 ~]# yum -y remove httpd…
已移除:
apr-1.7.0-2.oe1.x86_64
apr-util-1.6.1-12.oe1.x86_64
httpd-2.4.43-4.oe1.x86_64
httpd-filesystem-2.4.43-4.oe1.noarch
httpd-help-2.4.43-4.oe1.noarch
httpd-tools-2.4.43-4.oe1.x86_64
mod_http2-1.15.13-1.oe1.x86_64
完毕!

reinstall重装软件
用来重装xx软件（找回丢失文件)
格式: yum [-y] reinstall软件名…
[root@svr203~]# rm -rf /usr/bin/vim //模拟误删vim程序
[root@svr203~]# yum -y reinstall vim-enhanced //重装提供vim的软件
…
已重装:
vim-enhanced-2:8.2-1.oe1.x86_64完毕!
[root@svr203~]# Is -lh /usr/bin/vim //确认vim已装回
-rwxr-xr-x. 1 root root 3.2M 12月8 13:18 /usr/ bin/vim

LAMP部署及测试

部署LAMP平台

B/S服务架构
基于Browser/Server架构的网页资源通信
服务端:支持HTTP协议的网页提供程序
浏览器/客户端:下载并按标记规范显示网页的浏览器程序

如何获取网页资源
. URL网址
Uniform Resource Locator，统一资源定位器
资源类别://服务器地址/目录路径/文件名

静态网站与动态网站
静态网站(只读)
访问同一个网址时，看到的网页资源是固定不变的
比如index.html、.txt、.tar.gz、.png、.jpg、.gif、……
动态网站（可交互)
访问同一个网址(网页程序)时，看到的网页资源是变化的
比如.php、.jsp、.wsgi、.asp、……

什么是LAMP?
一种成熟的动态企业网站服务器模式
Apache在最前端，负责处理来自浏览器的Web访问请求

快速安装LAMP平台
如果有外网源
[root@svr203~]# yum -y install httpd mariadb-server php-fpm php-mysqInd
…
如果没有外网源
先上传离线包到/root/目录下，比如lamp_oe1_pkgs/子目录
[root@svr203~]# yum -y install /root/lamp_oe1_pkgs/*.rpm

确认安装结果,不要有遗漏
[root@svr203~]# yum list httpd mariadb-server php-fpm php-mysqlnd… …
已安装的软件包
httpd.x86_64 2.4.43-4.oe1 @@commandline
mariadb-server.x86_64 3:10.3.9-9.oe1 @@commandline
php-fpm.x86_64 7.2.10-9.oe1 @@commandline
php-mysqlnd.x86_64 7.2.10-9.oe1 @@commandline

启动LAMP平台
openEuler中默认提供三个服务
httpd 网站
mariadb数据库
php-fpm编程语言
[root@svr203~]# systemctl restart httpd mariadb php-fpm //启动服务

关闭防火墙(firewalld 服务)
[root@svr203~]# systemctl stop firewalld //立即停用防火墙

从浏览器访问
http://虚拟机的IP地址/

测试LAMP平台

检查PHP环境
在网页目录下建立PHP环境测试文件
/网页根目录/test1.php
==》http://服务器地址/test1.php
[root@svr203~]# vim /var/ www/html/test1.php?php
phpinfo(); //显示PHP版本等信息
?>

检查PHP网页访问数据库
在网页目录下建立数据库测试文件
/网页根目录/test2.php
==》 http://服务器地址/test2.php
[root@svr203~]# vim /var/www/html/test2.php

systemctl系统控制

控制服务状态

systemctl工具
.systemd是一种高效的系统和服务管理器
并行启动/接管各种服务
精确处理各服务之间的依赖关系
用户主要通过systemctl 来控制系统和服务状态

启动、停止、重启服务
基本用法
systemctl --type service //列出所有服务
systemctl start服务名… //启动某个或某些服务
systemctl stop服务名… //停止某个或某些服务
systemctl restart服务名… //重启某个或某些服务

[root@svr203~]# systemctl --type service

检查服务状态
基本用法
systemctl status 服务名… //检查服务状态
主要看Active:信息
active (running)表示运行中，inactive (dead)表示已停止

[root@svr203 ~]# systemctl status httpd

控制服务自启

允许服务开机自启动
基本用法
systemctl enable 服务名… //允许开机自启
systemctl enable --now服务名… //允许开机自启，并立即启动
[root@svr203~]# systemctl enable httpd
[root@svr203~]# systemctl is-enabled httpd
enabled //确认自启状态

禁止服务开机自启动
基本用法
systemctl disable 服务名… //禁止开机自启
systemctl disable --now 服务名… //禁止开机自启，并立即停止
[root@svr203~]# systemctl disable httpd
Removed /etc/systemd/system/multi-user.target.wants/httpd.service. //如果重复设置,不会再次提示
[root@svr203~]# systemctl is-enabled httpd
disabled //确认自启状态

SELinux防护

SELinux状态控制

SELinux介绍
Security Enhanced Linux，安全增强型Linux系
源于美国国家安全局(NSA)强制保护安全策略
主要针对Linux系统中的文件、进程等提供策略保护
用户只分配“需要”的最小权限
进程只访问“需要”的资源
网络服务只能开启“需要”的端口
…….

查看SELinux运行状态
三种运行状态
Enforcing，强制（严格按策略执行保护)
Permissive，宽松(若有违规会记录，但不做真正限制)
Disabled，禁用(内核不加载SELinux)
检查当前的SELinux运行状态
[root@svr203~]# getenforce
Enforcing

切换SELinux运行状态
立即切换(在“强制”与“宽松”之间)
使用setenforce 1|0，执行后立即生效
[root@svr203~]# setenforce 0 //切换为宽松模式
[root@svr203~]# setenforce 1 //切换为强制模式
开机时自动切换
需要修改/etc/selinux/config配置，重启后生效
[root@svr203~]# vim /etc/selinux/config
SELINUX=disabled //无需SELinux时，可以设置为禁用
SELINUXTYPE=targeted //默认使用“靶标”保护方式