System Network & System Security & System Log (系统网络 & 系统安全 & 系统日志) – Page 45

July 20, 2020June 19, 2022

[内容] Linux 网卡的设置（临时管理）

内容一：使用 ifconfig 命令

1.1 使用 ifcofnig 命令临时启动网卡

1.1.1 使用 ifconfig 命令临时启动网卡的格式

# ifup <network card name>

1.1.2 使用 ifconfig 命令临时启动网卡的案例

# ifup eth0

（补充：这里以启动 eth0 网卡为例）

1.2 使用 ifconfig 命令临时关闭网卡

1.2.1 使用 ifconfig 命令临时关闭网卡的格式

# ifdown <network card name>

1.2.2 使用 ifconfig 命令临时关闭网卡的案例

# ifdown eth0

（补充：这里以关闭 eth0 网卡为例）

内容二：使用 ip link 命令

2.1 使用 ip link 命令临时启动网卡

2.1.1 使用 ip link 命令临时启动网卡的格式

# ip link set <network card name> up

2.1.2 使用 ip link 命令临时启动网卡的案例

# ip link set eth0 up

（补充：这里以启动 eth0 网卡为例）

2.2 使用 ip link 命令临时关闭网卡

2.2.1 使用 ip link 命令临时关闭网卡的格式

# ip link set <network card name> down

2.2.2 使用 ip link 命令临时关闭网卡的案例

# ip link set eth0 down

（补充：这里以关闭 eth0 网卡为例）

July 20, 2020August 16, 2023

[模板] Linux 日志保存时间策略的配置模板（以 messages 日志的 logrotate 配置模板为例）

步骤一：将 messages 日志的 logrotate 配置文件分离出来

# vim /etc/logrotate.d/syslog

删除以下内容：

......
/var/log/messages
......

步骤二：创建 messages 日志的 logrotate 配置文件

# vim /etc/logrotate.d/messages

创建以下内容：

/var/log/messages
/var/log/secure
/var/log/maillog
{
    delaycompress
    dateext
    rotate 5
    missingok
    notifempty
    weekly
    create 755 root root
    sharedscripts
    postrotate
        /bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
    endscript
}

（
补充：这里以：
1) 影响的日志文件有 /var/log/messages、/var/log/secure 和 /var/log/maillog （/var/log/messages /var/log/secure /var/log/maillog）
2) 备份的日志文件以日期的形式结尾 (dateext)
3) 对备份的日志文件进行压缩（delaycompress，默认使用 gz 格式进行压缩）
4) 备份的日志文件保留 5 份（rotate 5）
5) 如果现有日志文件丢失，则不报错直接生成新的日志文件（missingok）
6) 如果现有日志文件是空文件，则不再对日志文件进行备份（notifempty）
7) 每周将现在的日志文件进行备份并生成新的日志文件（weekly）
8) 日志文件权限是 0755 所属主是 root 所属组是 root （create 755 root root）
9) 在所有的现在的日志文件都备份并生成新的日志文件以后再统一执行脚本（sharedscripts，如果没有这个参数则每个日志文件在完成了这一动作后会各自单独执行脚本）
为例
）

步骤二：让创建的 messages 日志的 logrotate 配置文件生效

# systemctl restart rsyslog

July 20, 2020June 19, 2022

[内容] 日志记录的清除（last 版）（CentOS Linux & RHEL 版）

步骤一：显示原来的 last 记录

# last

步骤二：清除原来的 last 记录

2.1 确认原有 last 记录的日志文件

# ls -arlt /var/log/wtmp
-rw-rw-r--. 1 root utmp 294920 Jul 20 09:57 lastlog

2.2 将原有 last 记录的日志文件移走

# mv /var/log/wtmp /var/log/wtmp.backup

2.3 创建新的 last 记录的日志文件

# touch /var/log/wtmp

2.4 给新创建的 last 记录的日志文件对应的权限

# chown root:utmp /var/log/wtmp

步骤三：显示 last 记录有没有被成功清除

# last

wtmp begins Mon Jul 20 10:07:11 2020

July 16, 2020June 19, 2022

[内容] DNS 客户端的设置（Linux 版）

内容一：设置 DNS 客户端

1.1 直接在本地指定域名

1.1.1 直接在本地指定域名的方法

# vim /etc/hosts

添加以下内容：

......
<IP address> <domain name>

（注意：/etc/hosts 里记录的 DNS 优先级要比 /etc/resolv.conf 里的高）

1.1.2 直接在本地指定域名的案例

# vim /etc/hosts

添加以下内容：

......
192.154.240.64 eternalcenter.com

（补充：这里以将 192.154.240.64 解析为 eternalcenter.com 为例）

（注意：/etc/hosts 里记录的 DNS 优先级要比 /etc/resolv.conf 里的高）

1.2 使用远程的 DNS 服务器解析域名

1.2.1 使用远程的 DNS 服务器解析域名

1.2.1.1 使用远程的 DNS 服务器解析域名的方法

1.2.1.1.1 直接修改 /etc/resolv.conf 文件

# vim /etc/resolv.conf

添加以下内容：

......
nameserver <IP address of DNS server>

（注意：/etc/hosts 里记录的 DNS 优先级要比 /etc/resolv.conf 里的高）

1.2.1.1.2 使用 nmcli 命令

1.2.1.1.2.1 使用 nmcli 命令配置一个 DNS 服务器的 IP 地址

# nmcli connection modify <network card name> ipv4.dns <IP address of DNS server>

（补充：不将 /etc/NetworkManager/NetworkManager.conf 里的 [main] dns=none 参数修改为 none 的话，此参数会覆盖 /etc/resolv.conf 里的设置）

（
注意：
1) 此方法只对 CentOS8&RHEL8 适用
2) /etc/hosts 里记录的 DNS 优先级要比使用 nmcli 命令的高
）

1.2.1.1.2.2 使用 nmcli 命令配置多个 DNS 服务器的 IP 地址

# nmcli connection modify <network card name> ipv4.dns "<first IP address of DNS server>,<second IP address of DNS server>,<third IP address of DNS server>......"

（补充：不将 /etc/NetworkManager/NetworkManager.conf 里的 [main] dns=none 参数修改为 none 的话，此参数会覆盖 /etc/resolv.conf 里的设置）

（
注意：
1) 此方法只对 CentOS8&RHEL8 适用
2) /etc/hosts 里记录的 DNS 优先级要比使用 nmcli 命令的高
）

1.2.1.2 使用远程的 DNS 服务器解析域名的案例

1.2.1.2.1 直接修改 /etc/resolv.conf 文件

# vim /etc/resolv.conf

添加以下内容：

......
nameserver 8.8.8.8

（补充：这里以使用 8.8.8.8 DNS 服务器为例）

（注意：/etc/hosts 里记录的 DNS 优先级要比 /etc/resolv.conf 里的高）

1.2.1.2.2 使用 nmcli 命令

# nmcli connection modify eth0 ipv4.dns 8.8.8.8

（
补充：
1) 这里以给 eth0 网卡添加 8.8.8.8 DNS 服务器为例
2) 不将 /etc/NetworkManager/NetworkManager.conf 里的 [main] dns=none 参数修改为 none 的话，此参数会覆盖 /etc/resolv.conf 里的设置
）

（注意：/etc/hosts 里记录的 DNS 优先级要比使用 nmcli 命令的高）

1.2.2 显示正在使用远程的 DNS 服务器解析的域名

# nmcli connection show | grep -i ipv4.dns

内容二：检查 DNS 域名解析

2.1 使用 ping 命令解析域名

2.1.1 使用 ping 命令解析域名的格式

# ping <domain name>

2.1.2 使用 ping 命令解析域名的案例

# ping eternalcenter.com
PING eternalcenter.com (192.154.240.64) 56(84) bytes of data.
64 bytes from v144-48-142.ap-east.sugarhosts.net (192.154.240.64): icmp_seq=1 ttl=50 time=144 ms
64 bytes from v144-48-142.ap-east.sugarhosts.net (192.154.240.64): icmp_seq=3 ttl=50 time=70.8 ms
64 bytes from v144-48-142.ap-east.sugarhosts.net (192.154.240.64): icmp_seq=4 ttl=50 time=81.3 ms
64 bytes from v144-48-142.ap-east.sugarhosts.net (192.154.240.64): icmp_seq=5 ttl=50 time=103 ms
......

2.2 使用 host 命令解析域名

2.2.1 使用 host 命令解析域名的格式

# host <domain name>

2.2.2 使用 host 命令解析域名的案例

# host eternalcenter.com
eternalcenter.com has address 192.154.240.64

（补充：这里以解析 etenalcenter.com 域名为例）

2.3 使用 nslookup 命令解析域名

2.3.1 使用 nslookup 命令解析域名的格式

# nslookup <domain name>

2.3.2 使用 nslookup 命令解析域名的案例

# nslookup eternalcenter.com
Server:		8.8.8.8
Address:	8.8.8.8#53

Non-authoritative answer:
Name:	eternalcenter.com
Address: 192.154.240.64

（补充：这里以解析 etenalcenter.com 域名为例）

July 16, 2020June 19, 2022

[内容] Linux SELinux 布尔（boolean）值的设置

内容一：开启 SELinux 布尔（boolean）值

1.1 显示当前 SELinux 状态

# getenforce

1.2 将 SELinux 的状态设置为 Enforcing 以开启布尔（boolean）值

1.2.1 当当前 SELinux 的状态为 Disabled 时开启布尔（boolean）值的方法

1.2.1.1 修改 SELinux 配置文件

# vim /etc/selinux/config

将以下内容：

......
SELINUX=disabled
......

修改为：

......
SELINUX=enforcing
......

1.2.1.2 重启系统

# reboot

1.2.2 当当前 SELinux 的状态为 Perssive 时开启布尔（boolean）值的方法

# setenfoce 1

（补充：系统重启后失效）

内容二：显示所有 SELinux 布尔（boolean）值

# semanage boolean -l

内容三：布尔（boolean）值的管理

3.1 允许某一个 SELinux 布尔（boolean）值开启

3.1.1 临时允许某一个 SELinux 布尔（boolean）值开启

3.1.1.1 临时允许某一个 SELinux 布尔（boolean）值开启的格式

# setsebool <boolean value> 1

或者：

# setsebool <boolean value> on

3.1.1.2 临时允许某一个 SELinux 布尔（boolean）值开启的案例

# setsebool httpd_can_network_connect 1

或者：

# setsebool httpd_can_network_connect on

3.1.2 永久允许某一个 SELinux 布尔（boolean）值开启

3.1.2.1 永久允许某一个 SELinux 布尔（boolean）值开启的格式

# setsebool -P <boolean value> 1

或者：

# setsebool -P <boolean value> on

3.1.2.2 永久允许某一个 SELinux 布尔（boolean）值开启的案例

# setsebool -P httpd_can_network_connect 1

或者：

# setsebool -P httpd_can_network_connect on

3.2 取消某一个 SELinux 布尔（boolean）值开启

3.2.1 临时取消某一个 SELinux 布尔（boolean）值开启

3.2.1.1 临时取消某一个 SELinux 布尔（boolean）值开启的格式

# setsebool <boolean value> 0

或者：

# setsebool <boolean value> off

3.2.1.2 临时取消某一个 SELinux 布尔（boolean）值开启的案例

# setsebool httpd_can_network_connect 0

或者：

# setsebool httpd_can_network_connect off

3.2.2 永久取消某一个 SELinux 布尔（boolean）值关闭

3.2.2.1 永久取消某一个 SELinux 布尔（boolean）值开启的格式

# setsebool -P <boolean value> 0

或者：

# setsebool -P <boolean value> off

3.2.2.2 永久取消某一个 SELinux 布尔（boolean）值开启的案例

# setsebool -P httpd_can_network_connect 0

或者：

# setsebool -P httpd_can_network_connect off