RHCE视频笔记2531Word文档格式.docx
- 文档编号:18392228
- 上传时间:2022-12-16
- 格式:DOCX
- 页数:26
- 大小:213.70KB
RHCE视频笔记2531Word文档格式.docx
《RHCE视频笔记2531Word文档格式.docx》由会员分享,可在线阅读,更多相关《RHCE视频笔记2531Word文档格式.docx(26页珍藏版)》请在冰豆网上搜索。
doesnomodifycurrentrunstateofsystemvservices
其实各个runlevel预设的启动设置是在/etc/rc*.d/里
ls-l/etc/rc*.d/*httpd
chkconfighttpd–del
删除每个runlevels里httpd的每个link文件
chkconfighttpd–add
添加每个runleves里httpd的每个link文件
cp/etc/init.d/httpd/etc/init.d/myprog
chkconfigmyprog-add
xinetdmanagedservices
superdeamon
客户端请求telnet到服务器,telnetd不启动,先把请求提交到xinetd,xinetd再把请求转交到telnetd
chkconfigtelneton
thexinetddaemon
xinetd可以用来管理特殊网络的资源和验证的工作
管理很少会用到的服务,避免很少会用到的服务浪费系统资源
可以用来管理需要验证身份的服务
可以用来对服务做统计以及记录服务的事件记录
可以用来对服务做IP位置的导向
xinetd使用/etc/services设定哪个服务使用哪个端口
连接libwrap.so这个文件来判断允许哪个电脑提出请求或是不允许哪个电脑提出请求,增加安全性
取代了RHEL3时的inetd,增加了服务的安全性,原来使用单一的inetd.conf配置文件
到了xinetd使用配置文件:
/etc/xinetd.conf
/etc/xinetd.d/<
service>
单独每个服务的配置文件,安全性比较高
xinetddefaultcontrols
统一预设的控制值
defaults
{
instances=60可以管理同时执行60个服务
log_type=SYSLOGsuthpriv日志记录类型
log_on_success=HOSTPID登录成功就记录IP和PID
log_on_failure=HOST登录失败就记录客户端IP
cps=2530如果每秒建立超过25个连接,中断服务30秒
}
xinetdservicecontrols
/etc/xinetd.d/telnet
servicetelnet
flags=REUSE回收内存,将断开的用户资源回收
socket_type=stream代表telnet服务使用stream流的方式处理资料
wait=no允许多人同时连接到telnet服务
user=root由root用户来管理telnet服务
server=/usr/kerberos/sbin/telnetd这个目录才是telnet真正的程序
log_on_failure+=USERID登录失败记录IP和使用者的账户
disable=yes不启用telnet服务
the/etc/sysconfig/files
/etc/sysconfig目录下的文件跟服务有什么关系
常见由以下几个服务会根据这个目录里的配置文件来决定服务是如何执行的
named
sendmail
dhcpd
samba
init
syslog
[root@host~]#cat/etc/sysconfig/syslog
#Optionstosyslogd
#-m0disables'
MARK'
messages.
#-renablesloggingfromremotemachines
#-xdisablesDNSlookupsonmessagesrecievedwith-r
#Seesyslogd(8)formoredetails
SYSLOGD_OPTIONS="
-r-m0"
允许本机记录远程服务器的log
#Optionstoklogd
#-2printsallkerneloopsmessagestwice;
onceforklogdtodecode,and
#onceforprocessingwith'
ksymoops'
#-xdisablesallklogdprocessingofoopsmessagesentirely
#Seeklogd(8)formoredetails
KLOGD_OPTIONS="
-x"
#
SYSLOG_UMASK=077
#setthistoaumaskvaluetouseforalllogfilesasinumask
(1).
#Bydefault,allpermissionsareremovedfor"
group"
and"
other"
.
faultanalysis
精确的找出问题的故障点
1.是不是资料本身的问题
2.如果资料没有问题,再检查程序是否有问题
3.是否是操作系统设置问题
4.是否硬件问题
检查日志
也可以使用命令来显示更详细的信息
查看相关和新发布的文档,增加相关知识
securityenhancedlinux:
SELinux
当操作系统判断谁对哪个文件有什么事情
在传统的linux(DACDiscretionaryaccesscontrol)
下访问权限根据:
user,group,other
在SELinux(MACMandatoryaccesscontrol)环境下,
由root来控制权限
每个process或object(file,directory,networksocket)都有一组securitycontext,一些额外的安全性资料:
identity:
role:
domain/type
securitypolicy(targeted)定义哪一种操作需要哪些securitycontext权限
例如:
/etc/passwd档案,在传统情况下,任何人都可以读取,在SELinux后,限制apache用户不可以读取
Sestatus
检查selinux状态
installationoptions(安装选项)
enforcing强制启用保护
permissive启用,但是只提出警告,没有提供保护
disable不启动selinux
controloptionswhenSELinuxisenforced(控制选项)
targeted(default)只保护网络相关的服务
strict保护所有linux的服务
RHEL4目前只支持targetedpolicy
修改完selinux的配置后需要reboot才生效
controllingSELinux
控制SELinux只对某些特定的服务做安全性的控制
setenforce=0将模式转为permissive
setenforce=1将模式转为enforcing
Boolean:
0=inactive1=active
getsebool
getseboolhttpd_disable_trans
setsebool
setsebool-Phttpd_disable_trans=1-P会影响到下次启动
这些boolean值存储在/etc/selinux/targeted/booleans
/etc/sysconfig/selinux是selinux的设置档
SELinuxcontexts
listprocesscontexts:
ps-Z
listfilecontexts:
ls-Z
changefilecontexts:
chcon
eg:
runcon-thttpd_tcat/etc/passwd
id-Z
troubleshootingSELinux
检查哪里发生错误
/var/log/messageforavcdenials
有关avc的信息产生
检查档案或process里是否有正确的securitycontext
检查securitylinux里是否需要调整boolean的设置值
organizingnetworkedsystems(DNS,DHCP)
DomainNameSystem
nameipforwardlookup正向解析
ipnamereverselookup反向解析
allowsmachinestobelogicallygroupedbynamedomains
根据domainname把电脑划分成许多逻辑化的群组
Providesemailroutinginformation
DNS还负责email发收时的路由信息
Zones,Domains,&
Delegation
Domain就是DNS服务器管辖的范围,负责电脑名称和IP的对应关系
DNSZone是负责存储这些资料的资料库
我们可以把subdomain里维护名称和IP对应关系的工作委派给另一台DNS来做
也可以全部存储在一台DNS上有一台服务器来维护
NameServerHierarchy
Masternameserver
用来存储并维护DNS记录的服务器,可以修改记录。
Slavenameserver
用来备份DNSZone记录的DNS服务器,不可修改,只读。
所有salvenameservers负责自己所备份的DNSZone与masternameserver里的记录一致
复制的过程叫DNSzonetransfer
TheDNSServer
客户端和服务器之间一般是递归查询,直接返回正确或没有的结果
服务器之间发生反复查询,这样的返回的结果有可能是最佳答案而不是正确答案
当收到客户端解析请求的DNS没有这个记录,如果这个DNS去问rootzone,那么root返回一个最佳答案,也就是说返回其他DNS;
如果去问其他DNS的话,那么其他DNS会返回一个正确的最终答案。
Serverreceivesrequest
当dns服务器收到请求时,先查看DNSzone,然后看chache,如果没有记录,可能会直接问root,或者转送到其他dns服务器,如果转送到其他dns服务器,回来的是正确结果,如果到root,回答的是最佳答案。
BerkeleyInternetNameDomain
在互联网中,BIND是使用最多的DNS服务器
RHEL使用BIND9
提供稳定可靠的DNS结构
在BIND的DNS服务器中会启用chrooted机制来保护DNS的资料库被入侵的可能性
/var/named/chroot
/var/named/chroot/var/named/db*
ServiceProfile:
DNS
typesystemV-namagedservice
packagesbind,bind-utils,bind-chroot
daemonsnamed,rndc(检查安全性)
scriptnamed
ports53(named),953(rndc)
configsunder/var/named/chroot
/etc/named.conf配置文件
/var/named/*资料库档案
/etc/rndc.*检查DNS安全性的档案
relatedcaching-nameserver(快速建立cachingonlyDNSserver的设定档)openssl(一个资料保护的套件,在复制DNS资料的时候使用openssl的加密机制)
bind-chroot
Configfile:
/etc/sysconfig/named
definechrootdirectoryROOTDIR=/var/named/chroot
ConfiguringBIND
defaultconfigurationfileis/var/named/chroot/etc/named.conf
当named启动或reload的时候会自动读取设置档里的内容
text-filespecifyingdirective:
zones,options,accesscontrollists,etc
commentscanbeinC,C++orshellstyle
GlobalOptions
我们可以在DNS的设定档/etc/named.conf中加上options的参数
options{
directory“var/named”;
#设置zonefile存储的路径
forwarders{10.0.1.254};
#自己无法解析时,就转发到此处,如果还无法解析时,会转发到rootnameserver,但是如果设置了forwarderonly的话,就只会向此DNS查询而不再向rootnameserver查询
allow-query{192.168.2/24;
};
#“192.168.2/24”;
allow-transfer{192.168.2/24;
};
AccessControlLists(acl)
acl是一份清单,列出了哪些IP的使用者具有使用的权限
使用acl为清单命名
acl“mylist”{192.168.0/24;
192.168.1/24;
让整个设定档比较容易阅读,容易维护
NameDaemonControlUtility(rndc)
提供比较安全的DNS管理机制,可以管理远端的DNS,默认情况下只会监听loopback地址及localhost,rndc并不是一个服务,但是可以被named用来检查rndc所提供的keys有没有问题
MasterandSlaveZones
slavezones里的记录只能由masterzones复制过来,而且不能修改记录
masterzone:
zone“”{
typemaster;
file“.zone”;
};
Slavezone:
zone“kernel.org”{
typeslave;
masters{192.168.0.254;
file“slave/kernel.org.zone”;
zonefile的名称必须包含zone名称,通常我们会用zone的名称加上zone
ReverseLookupZones
反向解析zone,过程类似于正向解析
主要作用让管理者了解网络情况,例如在log文件中显示FQDN会比显示IP更容易让人理解
安全考虑,有一些服务器会使用IP地址去查询向对应的FQDN,然后再用FQDN去查询IP地址,与要求连线的IP地址是否一致
zonenameendswithspecialdomain:
in-adde.arpa
zone“1.0.10.in-adde.arpa”{
typeslave
master{10.0.1.254;
file“slave/10.0.1.zone”;
RootZoneandLookbackZone
rootzone:
“.”
zone“”
typehint;
file“named.ca”;
loopbackzone:
”0.0.127.in-adde.arpa”
zone“0.0.127.in-addr.arpa”{
file“named.local”;
ZoneFiles
通常zonefile存放在/var/named/chroot/var/named
所有zonefiles会以$TTL为开头,限制其他DNS可以cache这台DNS上记录多久
第一笔record一定是SOA记录
然后才是资料内容
ResourceRecords
[domain][ttl][class]<
type>
<
rdata>
domain定义所在domain或定义名称
ttl当其他DNScache这个记录时的时间
classsIN,代表internet
typerecordtypeSOA,MX,A,etc
rdata这笔记录所要记录的内容
SOA(StartofAuthority)
每个zonefile都会有一个SOA,起始的授权机构
并且会放在file最开始的地方,记录了是由哪台DNS负责维护的及这个zonefile由谁来管理
2001101100serialnumber版本信息
10800refresh以秒为单位的时间,3个小时slave会检查master记录是否更新
3600retryquery以秒为单位,如果refresh时间到了,但slave却联系不到masterserver时,每隔retryquery时间会在此尝试连接
604800expire以秒为单位,如果超过expire后,slave还没有联系到masterserver的话,那么slaveserver就会删除掉自己备份的zonefile
1negativeTTLcache查询不到的记录多久
)
NS(NameServer)
定义某个domain的由哪台DNSserver负责解析的,在每一个zone里都至少有一个指向domainserver的NS记录
在zone里指定一个指向slaveserver的NS记录是当master宕机或是没办法提供服务的时候可以有一个DNSserver提供服务
.INNS.
如果有两个NS记录,那么第一个会指向master,第二个指向slaver
MainRecordTypes
ArecordsmaphostnametoIPaddress
mailINA192.168.0.2如果mail没有以点结束,那么系统自动会加上后缀,成为
INA192.168.0.3如果输入完成的主机名称的话必须以点结束
CNAMErecords
wwwINCNAMEns1
dnsINCNAME
通常会以这台主机提供的服务来为它起别名
PTRrecords
3.0INPTR.
MXrecords
.INMX5.
.INMX10.
定义有哪台服务器提供mailserver,优先权,数字小优先权高
ExampleZoneFile
forwardlookupzone
SOArecord
NSrecord
Arecord
cd/var/named/chroot/var/named/
vi.zone
[root@hostnamed]#vi.zone
$TTL86400
@INSOA..{
20080573100;
serialnumber
10800;
refreshslave
3600;
retryquery
604800;
expire
0;
negativeTTL
}
@INNS.
nsINA192.168.8.3
ls-l.zone
-rw-r--r--1rootroot32003-3112:
49.zone
我们要把这个档案的权限修改一下
chownnamed:
named.zone
reverselookupzone
PTRrecord
vi192.168.1.zone
$TTL86400
@INSOA.root.e
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- RHCE 视频 笔记 2531