一、前言
悟已往之不谏,知来者之可追。实迷途其未远,觉今是而昨非。舟遥遥以轻飏,风飘飘而吹衣。问征夫以前路,恨晨光之熹微。
第一版我已经全部放到我的精选里了,大家可以点开我的头像主页,选择精选观看,本系列依照《Linux就该这么学》第二版随书学习练习操作,将一些课本上不顺畅的地方,全部以最简方式免费开源展示给大家,资源大家可以自行百度,学习起来我们既要多巴胺也要内啡肽。
毕竟西湖六月中,风光不与四时同,接天莲叶无穷碧,映日荷花别样红,这是杨万里给林子方的送别诗,虽然四句都在写景,实际是写林子方离开京都后再难发展,好的平台是一方面,另外一方面是选择。防火墙是企业的安全线,学好了你就是嫡系,学不好就是杂牌军,干嫡系钱多事少,干杂牌军看着高大上身先士卒,实际明升暗降,待遇差事情多还要背黑锅,希望塌下心学习,送上天王的一首《周杰伦-晴天》,希望你的人生雨过天晴,同时也要注意身体,身体是革命的本钱,多锻炼多喝水。
8.1 防火墙管理工具
从RHEL 7系统开始,firewalld防火墙正式取代了iptables防火墙。iptables与firewalld都不是真正的防火墙,它们都只是用来定义防火墙策略的防火墙管理工具,iptables服务会把配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理,而firewalld服务则是把配置好的防火墙策略交由内核层面的nftables包过滤框架来处理。
8.2 Iptables
尽管新型的firewalld防火墙管理服务已经被投入使用多年,但是大量的企业在生产环境中依然出于各种原因而继续使用iptables
8.2.1 策略与规则链
防火墙会按照从上到下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻止)。iptables服务把用于处理或过滤流量的策略条目称之为规则,多条规则可以组成一个规则链
在进行路由选择前处理数据包(PREROUTING);
处理流入的数据包(INPUT);
处理流出的数据包(OUTPUT);
处理转发的数据包(FORWARD);
在进行路由选择后处理数据包(POSTROUTING)。
iptables服务的术语中分别是ACCEPT(允许流量通过)、REJECT(拒绝流量通过)、LOG(记录日志信息)、DROP(拒绝流量通过)。DROP是直接将流量丢弃而且不响应,REJECT则会在拒绝流量后再回复一条。
这里有一个小插曲,不知道是哪的问题,我的网络配置坏了,无法联网,这时候我们掏出第四章学的内容:4.1.3 配置网卡信息 kucha一声,把相关文件调配一遍,您猜怎么着,哎呦喂,好了。
接下来我们继续防火墙
8.2.2 基本的命令参数
根据OSI七层模型的定义,iptables属于工作在第二三四层的服务,所以可以根据流量的源地址、目的地址、传输协议、服务类型等信息进行匹配;一旦匹配成功,iptables就会根据策略规则所预设的动作来处理这些流量。
常用的iptables命令参数
| 参数 | 作用 |
| -P | 设置默认策略 |
| -F | 清空规则链 |
| -L | 查看规则链 |
| -A | 在规则链的末尾加入新规则 |
| -I num | 在规则链的头部加入新规则 |
| -D num | 删除某一条规则 |
| -s | 匹配来源地址IP/MASK,加叹号“!”表示除这个IP外 |
| -d | 匹配目标地址 |
| -i 网卡名称 | 匹配从这块网卡流入的数据 |
| -o 网卡名称 | 匹配从这块网卡流出的数据 |
| -p | 匹配协议,如TCP、UDP、ICMP |
| --dport num | 匹配目标端口号 |
| --sport num | 匹配来源端口号 |
1.在iptables命令后添加-L参数查看已有的防火墙规则链。
[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
LIBVIRT_INP all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
LIBVIRT_FWX all -- anywhere anywhere
LIBVIRT_FWI all -- anywhere anywhere
LIBVIRT_FWO all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
LIBVIRT_OUT all -- anywhere anywhere
Chain LIBVIRT_INP (1 references)
target prot opt source destination
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:bootps
ACCEPT tcp -- anywhere anywhere tcp dpt:bootps
Chain LIBVIRT_OUT (1 references)
target prot opt source destination
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:bootpc
ACCEPT tcp -- anywhere anywhere tcp dpt:bootpc
Chain LIBVIRT_FWO (1 references)
target prot opt source destination
ACCEPT all -- 192.168.122.0/24 anywhere
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
Chain LIBVIRT_FWI (1 references)
target prot opt source destination
ACCEPT all -- anywhere 192.168.122.0/24 ctstate RELATED,ESTABLISHED
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
Chain LIBVIRT_FWX (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
2.在iptables命令后添加-F参数清空已有的防火墙规则链。
[root@localhost ~]# iptables -F
[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain LIBVIRT_INP (0 references)
target prot opt source destination
Chain LIBVIRT_OUT (0 references)
target prot opt source destination
Chain LIBVIRT_FWO (0 references)
target prot opt source destination
Chain LIBVIRT_FWI (0 references)
target prot opt source destination
Chain LIBVIRT_FWX (0 references)
target prot opt source destination
3.把INPUT规则链的默认策略设置为拒绝。
[root@localhost ~]# iptables -P INPUT DROP
用完22也不行了,需要回虚拟机上查看
[root@localhost Desktop]# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain LIBVIRT_INP (0 references)
target prot opt source destination
Chain LIBVIRT_OUT (0 references)
target prot opt source destination
Chain LIBVIRT_FWO (0 references)
target prot opt source destination
Chain LIBVIRT_FWI (0 references)
target prot opt source destination
Chain LIBVIRT_FWX (0 references)
target prot opt source destination
我们先做完实验,再清除规则重新连接
4.向INPUT链中添加允许ICMP流量进入的策略规则。
向防火墙的INPUT规则链中添加一条允许ICMP流量进入的策略规则就默认允许了这种ping命令检测行为。
[root@localhost Desktop]# iptables -I INPUT -p icmp -j ACCEPT
以管理员身份运行本机cmd,输入ping命令,发现可以访问
C:\Windows\System32>ping 192.168.227.10
正在 Ping 192.168.227.10 具有 32 字节的数据:
来自 192.168.227.10 的回复: 字节=32 时间<1ms TTL=64
来自 192.168.227.10 的回复: 字节=32 时间<1ms TTL=64
来自 192.168.227.10 的回复: 字节=32 时间<1ms TTL=64
5.删除INPUT规则链中刚刚加入的那条策略(允许ICMP流量),并把默认策略设置为允许。
使用-F参数会清空已有的所有防火墙策略;使用-D参数可以删除某一条指定的策略
[root@localhost Desktop]# iptables -D INPUT 1
[root@localhost Desktop]# iptables -P INPUT ACCEPT
[root@localhost Desktop]# iptables -L
Chain INPUT (policy ACCEPT)
6.将INPUT规则链设置为只允许指定网段的主机访问本机的22端口,拒绝来自其他所有主机的流量。
要对某台主机进行匹配,可直接写出它的IP地址
[root@localhost Desktop]# iptables -I INPUT -s 192.168.227.10/24 -p tcp --dport 22 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 22 -j REJECT
[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 192.168.227.0/24 anywhere tcp dpt:ssh
REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with
防火墙策略规则是按照从上到下的顺序匹配的,因此一定要把允许动作放到拒绝动作前面,否则所有的流量就将被拒绝掉
7.向INPUT规则链中添加拒绝所有人访问本机12345端口的策略规则。
[root@localhost ~]# iptables -I INPUT -p tcp --dport 12345 -j REJECT
[root@localhost ~]# iptables -I INPUT -p udp --dport 12345 -j REJECT
[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
REJECT udp -- anywhere anywhere udp dpt:italk reject-with icmp-port-unreachable
REJECT tcp -- anywhere anywhere tcp dpt:italk reject-with icmp-port-unreachable
ACCEPT tcp -- 192.168.227.0/24 anywhere tcp dpt:ssh
REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable
8.向INPUT规则链中添加拒绝192.168.227.5主机访问本机80端口(Web服务)的策略规则。
[root@localhost ~]# iptables -I INPUT -p tcp -s 192.168.227.5 --dport 80 -j REJECT
[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
REJECT tcp -- 192.168.227.5 anywhere tcp dpt:http reject-with icmp-port-unreachable
REJECT udp -- anywhere anywhere udp dpt:italk reject-with icmp-port-unreachable
REJECT tcp -- anywhere anywhere tcp dpt:italk reject-with icmp-port-unreachable
ACCEPT tcp -- 192.168.227.0/24 anywhere tcp dpt:ssh
REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable
9.向INPUT规则链中添加拒绝所有主机访问本机1000~1024端口的策略规则。
前面在添加防火墙策略时,使用的是-I参数,它默认会把规则添加到最上面的位置,因此优先级是最高的。如果工作中需要添加一条最后“兜底”的规则,用-A参数。这两个参数的效果差别还是很大的:
[root@localhost ~]# iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT
[root@localhost ~]# iptables -A INPUT -p udp --dport 1000:1024 -j REJECT
[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
REJECT tcp -- 192.168.227.5 anywhere tcp dpt:http reject-with icmp-port-unreachable
REJECT udp -- anywhere anywhere udp dpt:italk reject-with icmp-port-unreachable
REJECT tcp -- anywhere anywhere tcp dpt:italk reject-with icmp-port-unreachable
ACCEPT tcp -- 192.168.227.0/24 anywhere tcp dpt:ssh
REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable
REJECT tcp -- anywhere anywhere tcp dpts:cadlock2:1024 reject-with icmp-port-unreachable
REJECT udp -- anywhere anywhere udp dpts:cadlock2:1024 reject-with icmp-port-unreachable
如果想让配置的防火墙策略永久生效,还要执行保存命令:
[root@localhost ~]# iptables-save
# Generated by iptables-save v1.8.4 on Wed Dec 6 00:10:50 2023
公司服务器是5/6/7版本的话,保存命令是:
service iptables save
8.3 Firewalld
RHEL 8系统中集成了多款防火墙管理工具,其中firewalld(Dynamic Firewall Manager of Linux systems,Linux系统的动态防火墙管理器)服务是默认的防火墙配置管理工具,它拥有基于CLI(命令行界面)和基于GUI(图形用户界面)的两种管理方式。
firewalld中常用区域名称及策略规则
| 区域 | 默认规则策略 |
| trusted | 允许所有的数据包 |
| home | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关,则允许流量 |
| internal | 等同于home区域 |
| work | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、ipp-client与dhcpv6-client服务相关,则允许流量 |
| public | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、dhcpv6-client服务相关,则允许流量 |
| external | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量 |
| dmz | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量 |
| block | 拒绝流入的流量,除非与流出的流量相关 |
| drop | 拒绝流入的流量,除非与流出的流量相关 |
8.3.1 终端管理工具
命令行终端是一种极富效率的工作方式,firewall-cmd是firewalld防火墙配置管理工具的CLI(命令行界面)版本。
firewall-cmd命令中使用参数及作用
| 参数 | 作用 |
| --get-default-zone | 查询默认的区域名称 |
| --set-default-zone=<区域名称> | 设置默认的区域,使其永久生效 |
| --get-zones | 显示可用的区域 |
| --get-services | 显示预先定义的服务 |
| --get-active-zones | 显示当前正在使用的区域与网卡名称 |
| --add-source= | 将源自此IP或子网的流量导向指定的区域 |
| --remove-source= | 不再将源自此IP或子网的流量导向某个指定区域 |
| --add-interface=<网卡名称> | 将源自该网卡的所有流量都导向某个指定区域 |
| --change-interface=<网卡名称> | 将某个网卡与区域进行关联 |
| --list-all | 显示当前区域的网卡配置参数、资源、端口以及服务等信息 |
| --list-all-zones | 显示所有区域的网卡配置参数、资源、端口以及服务等信息 |
| --add-service=<服务名> | 设置默认区域允许该服务的流量 |
| --add-port=<端口号/协议> | 设置默认区域允许该端口的流量 |
| --remove-service=<服务名> | 设置默认区域不再允许该服务的流量 |
| --remove-port=<端口号/协议> | 设置默认区域不再允许该端口的流量 |
| --reload | 让“永久生效”的配置规则立即生效,并覆盖当前的配置规则 |
| --panic-on | 开启应急状况模式 |
| --panic-off | 关闭应急状况模式 |
使用firewalld配置的防火墙策略默认为运行时(Runtime)模式,又称为当前生效模式,而且会随着系统的重启而失效。让配置策略一直存在,就需要使用永久(Permanent)模式,方法就是在用firewall-cmd命令正常设置防火墙策略时添加--permanent参数,这样配置的防火墙策略就可以永久生效,使用它设置的策略只有在系统重启之后才能自动生效。
Runtime:当前立即生效,重启后失效。
Permanent:当前不生效,重启后生效。
1.查看firewalld服务当前所使用的区域。
在配置防火墙策略前,必须查看当前生效的是哪个区域,否则配置的防火墙策略将不会立即生效。
[root@localhost ~]# firewall-cmd --get-default-zone
public
2.查询指定网卡在firewalld服务中绑定的区域。
根据网卡针对的流量来源,为网卡绑定不同的区域,实现对防火墙策略的灵活管控。
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens160
public
3.把网卡默认区域修改为external,并在系统重启后生效。
[root@localhost ~]# firewall-cmd --permanent --zone=external --change-interface=ens160
The interface is under control of NetworkManager, setting zone to 'external'.
success
[root@localhost ~]# firewall-cmd --permanent --get-zone-of-interface=ens160
external
4.把firewalld服务的默认区域设置为public。
默认区域也叫全局配置,指的是对所有网卡都生效的配置,优先级较低。在下面的代码中可以看到,当前默认区域为public,而ens160网卡的区域为external。此时便是以网卡的区域名称为准。
[root@localhost ~]# firewall-cmd --set-default-zone=public
Warning: ZONE_ALREADY_SET: public
success
[root@localhost ~]# firewall-cmd --get-default-zone
public
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens160
external
5.启动和关闭firewalld防火墙服务的应急状况模式。
panic紧急模式在这个时候就派上用场了。使用--panic-on参数会立即切断一切网络连接,而使用--panic-off则会恢复网络连接。(在虚拟机上操作,不要再shell上边)
[root@localhost ~]# firewall-cmd --panic-on
success
[root@localhost ~]# firewall-cmd --panic-off
success
6.查询SSH和HTTPS协议的流量是否允许放行。
在工作中可以不使用--zone参数指定区域名称,firewall-cmd命令会自动依据默认区域进行查询,从而减少用户输入量。
[root@localhost ~]# firewall-cmd --zone=public --query-service=ssh
yes
[root@localhost ~]# firewall-cmd --zone=public --query-service=https
no
7.把HTTPS协议的流量设置为永久允许放行,并立即生效。
默认情况下进行的修改都属于Runtime模式,即当前生效而重启后失效,因此在工作和考试中尽量避免使用。而在使用--permanent参数时,则是当前不会立即看到效果,而在重启或重新加载后方可生效。
[root@localhost ~]# firewall-cmd --permanent --zone=public --add-service=https
success
[root@localhost ~]# firewall-cmd --zone=public --query-service=https
no
不想重启服务器的话,就用--reload参数
[root@localhost ~]# firewall-cmd --reload
success
[root@localhost ~]# firewall-cmd --zone=public --query-service=https
yes
8.把HTTP协议的流量设置为永久拒绝,并立即生效。
由于在默认情况下HTTP协议的流量就没有被允许,所以会有“Warning: NOT_ENABLED: http”
[root@localhost ~]# firewall-cmd --permanent --zone=public --remove-service=http
Warning: NOT_ENABLED: http
success
[root@localhost ~]# firewall-cmd --reload
success
9.把访问8080和8081端口的流量策略设置为允许,但仅限当前生效。
[root@localhost ~]# firewall-cmd --zone=public --add-port=8080-8081/tcp
success
[root@localhost ~]# firewall-cmd --zone=public --list-ports
8080-8081/tcp
10.把原本访问本机888端口的流量转发到22端口,要且求当前和长期均有效。
通过这项技术,新的端口号在收到用户请求后会自动转发到原本服务的端口上,使得用户能够通过新的端口访问到原本的服务。
firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>
[root@localhost ~]# firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.227.10
success
[root@localhost ~]# firewall-cmd --reload
success
在客户端使用ssh命令尝试访问192.168.227.10主机的888端口,访问失败:
[root@localhost ~]# ssh -p 888 192.168.227.10
ssh: connect to host 192.168.227.10 port 888: Connection refused
原因暂时不明
11.富规则的设置。
富规则也叫复规则,表示更细致、更详细的防火墙策略配置,它可以针对系统服务、端口号、源地址和目标地址等诸多信息进行更有针对性的策略配置。优先级在所有的防火墙策略中也是最高,可以在firewalld服务中配置一条富规则,使其拒绝192.168.227.0/24网段的所有用户访问本机的ssh服务(22端口):
[root@localhost ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.227.0/24" service name="ssh" reject"
success
[root@localhost ~]# firewall-cmd --reload
success
这个也失效了,原因不明,可能跟我同一台服务器的原因,防火墙并未起效,我只用一台进行了测试
8.3.2 图形管理工具
调整一下yum源
将镜像更改为vault.centos.org
第一步:进入/etc/yum.repos.d/目录。
cd /etc/yum.repos.d/
第 2 步:运行以下命令
sed -i 's/mirrorlist/#mirrorlist/g' /etc/yum.repos.d/CentOS-*
sed -i 's|#baseurl=http://mirror.centos.org|baseurl=http://vault.centos.org|g' /etc/yum.repos.d/CentOS-*
第 3 步:现在运行 yum 更新
yum update -y
Complete!
[root@localhost yum.repos.d]# dnf install firewall-config
Complete!
安装成功后,firewall-config工具的界面如图所示,其功能具体如下。
1:选择运行时(Runtime)或永久(Permanent)模式的配置。
2:可选的策略集合区域列表。
3:常用的系统服务列表。
4:主机地址的黑白名单。
5:当前正在使用的区域。
6:管理当前被选中区域中的服务。
7:管理当前被选中区域中的端口。
8:设置允许被访问的协议。
9:设置允许被访问的端口。
10:开启或关闭SNAT(源网络地址转换)技术。
11:设置端口转发策略。
12:控制请求icmp服务的流量。
13:管理防火墙的富规则。
14:被选中区域的服务,若勾选了相应服务前面的复选框,则表示允许与之相关的流量。
15:firewall-config工具的运行状态。
先将当前区域中请求http服务的流量设置为允许放行,但仅限当前生效。
尝试添加一条防火墙策略规则,使其放行访问8080~8088端口(TCP协议)的流量,并将其设置为永久生效,以达到系统重启后防火墙策略依然生效
SNAT是一种为了解决IP地址匮乏而设计的技术,它可以使得多个内网中的用户通过同一个外网IP接入Internet,由于网关服务器应用了SNAT技术,所以互联网中的网站服务器会将响应数据包发给网关服务器,再由后者转发给局域网中的PC。选中Masquerade zone复选框,就自动开启了SNAT技术
为了让大家直观查看不同工具在实现相同功能时的区别,针对前面使用firewall-cmd配置的防火墙策略规则,这里使用firewall-config工具进行了重新演示:将本机888端口的流量转发到22端口,且要求当前和长期均有效
从源端口号通过本地转发目标端口号,完成添加之后重启
让192.168.227.1主机访问本机的1234端口号,其中Element选项能够根据服务名称、端口号、协议等信息进行匹配;Source与Destination选项后的inverted复选框代表反选功能,将其选中则代表对已填写信息进行反选,即选中填写信息以外的主机地址;Log复选框在选中后,日志不仅会被记录到日志文件中,而且还可以在设置日志的级别(Level)后,再将日志记录到日志文件中,以方便后续的筛查。
重启生效
把网卡与防火墙策略区域进行绑定
想要删除策略也很简单,只要看哪一块有新增直接删就行
8.4 服务的访问控制列表
TCP Wrapper是RHEL 6/7系统中默认启用的一款流量监控程序,它能够根据来访主机的地址与本机的目标服务程序做出允许或拒绝的操作。在RHEL 8版本中,它已经被firewalld正式替代。
TCP Wrapper服务的防火墙策略由两个控制列表文件所控制,用户可以编辑允许控制列表文件来放行对服务的请求流量,也可以编辑拒绝控制列表文件来阻止对服务的请求流量。控制列表文件修改后会立即生效,系统将会先检查允许控制列表文件(/etc/hosts.allow),如果匹配到相应的允许策略则放行流量;如果没有匹配,则会进一步匹配拒绝控制列表文件(/etc/hosts.deny),若找到匹配项则拒绝该流量。如果这两个文件都没有匹配到,则默认放行流量。
TCP Wrappers服务的控制列表文件中常用的参数(红帽8已经不支持了)
| 客户端类型 | 示例 | 满足示例的客户端列表 |
| 单一主机 | 192.168.227.10 | IP地址为192.168.227.10的主机 |
| 指定网段 | 192.168.227. | IP段为192.168.227.0/24的主机 |
| 指定网段 | 192.168.227.0/255.255.255.0 | IP段为192.168.227.0/24的主机 |
| 指定DNS后缀 | .weihongbin.com | 所有DNS后缀为weihongbin.com的主机 |
| 指定主机名称 | www.weihongbin.com | 主机名称为www.weihongbin.com的主机 |
| 指定所有客户端 | ALL | 所有主机全部包括在内 |
编写拒绝策略规则时,填写的是服务名称,而非协议名称;
建议先编写拒绝策略规则,再编写允许策略规则,以便直观地看到相应的效果。
8.5 Cockpit驾驶舱管理工具
Cockpit是一个基于Web的图形化服务管理工具,对用户相当友好,天然具备很好的跨平台性,因此被广泛应用于服务器、容器、虚拟机等多种管理场景,默认安装到了RHEL 8系统中,检验一下
[root@localhost yum.repos.d]# dnf install cockpit
Last metadata expiration check: 1:23:47 ago on Wed 06 Dec 2023 10:11:24 PM PST.
Package cockpit-251.1-1.el8.x86_64 is already installed.
Dependencies resolved.
Nothing to do.
Complete!
Cockpit服务程序在RHEL 8版本中没有自动运行,下面将它开启并加入到开机启动项中:
[root@localhost yum.repos.d]# systemctl start cockpit
[root@localhost yum.repos.d]# systemctl enable cockpit.socket
Created symlink /etc/systemd/system/sockets.target.wants/cockpit.socket → /usr/lib/systemd/system/cockpit.socket.
在Cockpit服务启动后,打开系统自带的浏览器,在地址栏中输入“本机地址:9090”即可访问。访问Cockpit的流量会使用HTTPS进行加密,而证书又是在本地签发的,因此还需要进行添加并信任本地证书的操作。
输入用户名密码,并且确认
进入到Cockpit网页界面后,总共分为十二个功能模块,即:系统状态、日志信息、硬盘存储、网卡网络、账户安全、服务程序、软件仓库、报告分析、内核排错、SElinux、更新软件、终端界面,看不懂英文的可以切换成汉语。
1.Overview
进入Cockpit界面后默认显示概述界面,主要评测系统健康、使用情况、系统信息和配置
2.Logs
这个模块能够提供系统的全部日志,我切成中文了,希望大家好看一些,目前的筛选条件变多了,也可以更好的筛选出想要的日志。
3.Storage
我们可以在这进行存储的查询,同时RAID和LVM都可以用鼠标进行创建,NFS一键进行挂在,当然比写命令也没方便太多。
4.Networking
在这里进行网卡的绑定(Bonding)和聚合(Team),还可以创建桥接网卡及添加VLAN,同时对防火墙也可以进行配置和编辑
5.Accounts
这里可以对用户进行重命名,设置用户的权限,还可以锁定、修改密码以及创建SSH密钥信息
6.Services
查看系统中已有的服务列表和运行状态。可以对具体的服务进行开启、关闭操作。在Services功能模块中设置了服务并将其加入到开机启动项后,在系统重启后也依然会为用户提供服务。
7.SElinux
SELinux服务的控制按钮和警告信息界面
8.Kernel Dump
内核转储Kernel Dump(Kdump)是一个在系统崩溃、死锁或死机时用来收集内核参数的一个服务。系统崩溃了,这时Kdump服务就会开始工作,将系统的运行状态和内核数据收集到一个名为dump core的文件中,以便后续让运维人员分析并找出问题所在。
9.Applications
后期采用Cockpit或红帽订阅服务安装的软件都会显示在这个功能模块中
10.Terminal
Terminal功能模块的界面,Cockpit服务提供了Shell终端的在线控制平台,可方便用户通过网页上的终端功能管理服务器。
11.Diagnostic Report
Diagnostic Report模块的功能是帮助用户收集及分析系统的信息,找到系统出现问题的原因,单击Create Report按钮后大约两分钟左右
12.Software Updates
Software Updates功能模块的界面,可以设置软件自动更新,以及内核补丁,同时也会在线检测相关更新状态。
驾驶舱管理工具全部展示完毕
二、巩固练习
1.在RHEL 8系统中,iptables是否已经被firewalld服务彻底取代?
答:没有,iptables和firewalld服务均可用于RHEL 8系统。
2.请简述防火墙策略规则中DROP和REJECT的不同之处。
答:DROP的动作是丢包,不响应;REJECT是拒绝请求,同时向发送方回送拒绝信息。
3.如何把iptables服务的INPUT规则链默认策略设置为DROP?
答:执行命令iptables -P INPUT DROP即可。
4.怎样编写一条防火墙策略规则,使得iptables服务可以禁止源自192.168.227.0/24网段的流量访问本机的sshd服务(22端口)?
答:执行命令iptables -I INPUT -s 192.168.227.0/24 -p tcp --dport 22 -j REJECT即可。
5.请简述firewalld中区域的作用。
答:可以依据不同的工作场景来调用不同的firewalld区域,实现大量防火墙策略规则的快速切换。
6.如何在firewalld中把默认的区域设置为dmz?
答:执行命令firewall-cmd --set-default-zone=dmz即可。
7.如何让firewalld中以永久(Permanent)模式配置的防火墙策略规则立即生效?
答:执行命令firewall-cmd --reload。
8.使用SNAT技术的目的是什么?
答:SNAT是一种为了解决IP地址匮乏而设计的技术,它可以使得多个内网中的用户通过同一个外网IP接入Internet。
9. TCP Wrapper服务分别有允许策略配置文件和拒绝策略配置文件,请问匹配顺序是怎么样的?
答:TCP Wrapper会先依次匹配允许策略配置文件,然后再依次匹配拒绝策略配置文件;如果都没有匹配到,则默认放行流量。
10.默认情况下如何使用Cockpit服务?
答:Cockpit服务默认占用9090端口号,可直接用浏览器访问Cockpit的Web界面。
三、跋文
如果想上手操作的同学们可以通过阿里云ecs服务器免费试用参与或低价购买专属于自己的服务器入口如下↓↓↓↓↓
入口一:新老同学免费试用
入口二:上云第一站
入口三:学生版超低价云服务器
入口四:云服务器专享特惠版
入口五:云服务器特惠1.5折起
入口七:阿里云最新活动中心
入口八:中小企业权益满减礼包
说明:我不是卖服务器的,卖服务的也不会花一周时间写一篇博文。
最后的链接只是想方便大家免费试用产品和找到最佳优惠政策。
学习是一件需要投入的事情,无论是精力、金钱、时间,每天花费1小时,坚持一年,你也能成为行业里的大牛。
