RHCE学习<4>SSH、TCP_Wrappers、VNC和磁盘管理-阿里云开发者社区

一、SSH（Secure Shell，安全的命令解释器)

SSH服务为客户机提供安全的Shell环境，用于远程管理，默认端口：TCP 22;SSH是目前应用最为广泛的服务器远程管理方式.

1、SSH用户登陆验证方式分为两种：

密码验证：输入用户名和密码

密钥对验证：在客户机中生成的公钥、私钥

2、服务器端主配置文件：/etc/ssh/sshd_config

Port 22 #监听的端口（默认22）

ListenAddress 192.168.1.10 #监听 的IP地址（默认监听所有IP）

PermitRootLogin no #禁止ROOT用户远程登录

LoginGraceTime 2m #限制用户登录验证过程的时间（默认为2分钟）

MaxAuthTries 6 #限制用户登录验证过程的最大重试次数

RSAAuthentication yes #开启rsa认证

PubkeyAuthentication yes #开启密钥对验证

AuthorizedKeysFile .ssh/authorized_keys #指定公钥位置，默认在用户宿主目录下

PermitEmptyPasswords no #禁止密码为空的用户远程登录

PasswordAuthentication yes #启用密码验证

DenyUsers test #拒绝test用户远程登录系统，其他均允许

AllowUsers test admin@10.0.0.10 #允许test在任何IP的主机上远程登录，允许admin只能在主机10.0.0.10登录，其他均拒绝（不要同时使用AllowUsers和DenyUsers配置）

UseDNS no #DNS查找，客户端连接服务器时，服务器会根据客户端的IP地址进行PTR反向查询，查询到客户端主机名，再进行DNS正向A记录查询，这样连接时就会等待一下，要关闭此选项会提高SSH连接速度。

3、ssh命令远程登陆

方式1：ssh 用户名@IP

方式2：ssh -l 用户名 IP

方式3：ssh -p 端口 用户名@IP #不加-p，默认使用22端口

4、使用scp命令远程复制文件或目录（需要安装openssh-clients）

方式1：scp 用户名@IP：源文件 目标路径

方式2：scp 本地文件 用户名@IP：目标路径

方式3：scp -r 本地目录 用户名@IP：目标路径 #-r复制目录下所有文件

5、使用客户端工具远程登陆

方式1：putty #字符页面

方式2：winscp #图形页面工具，一般用于下载

6、配置SSH密钥对认证登陆

1>.在客户机上创建密钥对

ssh-keygen -t rsa #一路回车

2>.登陆ssh服务器，创建.ssh目录及设置权限

mkdir /root/.ssh

chmod 700 /root/.ssh

3>.将公钥上传到服务器并重命名为authorized.keys

scp /root/.ssh/id_rsa.pub root@192.168.0.203:/root/.ssh/authorized_keys #id_rsa.pub可以追加多个客户端的公钥

4>.设置ssh服务器，开启密钥对验证，关闭密码验证

RSAAuthentication yes

PubkeyAuthentication yes

AuthorizedKeysFile .ssh/authorized_keys
PasswordAuthentication no
service sshd restart

5>.验证登陆

ssh root@192.168.0.203 #不用输入密码直接登陆到ssh服务器

二、tcp_wrappers机制

1、tcp_wrappers原理图

2、安装tcp_wrappers

yum install tcp_wrappers.x86_64

主配置文件：/etc/hosts.allow，/etc/hosts.deny

3、安全机制实现方式

方式1：通过tcpd主程序对其他服务进行包装，需要运行tcpd

方式2：由网络服务程序调用libwrap.so.*链接库，不需要运行tcpd #更为常用

ldd命令查看程序的共享库：

ldd /usr/sbin/sshd |grep "libwrap"

 libwrap.so.0 => /lib64/libwrap.so.0 (0x00007fd9ee03e000)

4、配置访问控制策略

配置格式：服务器程序列表：客户机地址列表

服务器程序名有vsftpd，sshd，telnetd等以逗号分隔，ALL表示所有程序

客户机地址：单个IP，一个网段（192.168.1.0/255.255.255.0）以逗号分隔，ALL表示所有地址

5、tcp_wrappers访问控制原则

首先检查 hosts.allow 文件，若找到相匹配的策略，则允许访问

否则继续检查 hosts.deny 文件，若找到相匹配的策略，则拒绝访问

如果两个文件中都没有相匹配的策略，则允许访问

三、使用VNC Server远程桌面

VNC软件主要由两个部分组成：VNC Server及VNC Viewer。将VNC SERVER安装在被控制的主机上，才能在主控端执行VNC Viewer控制被控端。

VNC服务使用的TCP端口号从5900开始，例如:桌面号是1，则使用的端口号是5901，桌面号是2，则端口号为5902，VNC Server相关文件都保存在/home/user目录下

1、安装VNC Server

yum install -y tigervnc-server

2、修改配置VNC

vi /etc/sysconfig/vncservers

VNCSERVERS="1:root，2:user" #1为桌面号，客户端远程使用需要添加上

VNCSERVERARGS[1]="-geometry 800x600 -alwaysshared" #-alwaysshared代表允许多用户同时登陆

VNCSERVERARGS[2]="-geometry 800x600"

3、设置VNC登陆密码

vncserver :1  #root用户密码设置

su - user，vncserver :2 #普通用户设置

4、使用vnc viewer登陆

service vncserver start
chkconfig vncserver on

停止vnc server：

vncserver -kill :1

vncserver -kill :2

四、磁盘管理

1、查看系统中的磁盘设备：fdisk -l [磁盘设备]

Device Boot Start End Blocks Id System

Device：磁盘设备分区名

Boot：是不是引导分区，*则是

Start：该分区在磁盘中的起始位置（柱面数）

End：该分区在磁盘中的结束位置（柱面数）

Blocks：该分区大小，以blocks（块）为单位，默认块大小是1024字节

Id：分区类型的ID标记号，对于EXT3分区为83，LVM分区为8e。

System：分区类型

2、分区格式化新磁盘设备

fdisk -cu 磁盘设备（例如：/dev/sdb）#考试时候要用-cu参数

-u：搭配"-l"参数列表，会用分区数目取代柱面数目，来表示每个分区的起始地址，即改变分区大小的显示方式

-c：标识一个分为DOS兼容的分区

3、交互模式中常用命令

m：查看操作指令的帮助信息

p：列表查看分区信息

n：新建分区

d：删除分区

t：变更分区类型

w：保存分区设置并退出

q：放弃分区设置并退出

变更磁盘（特别是正在使用的硬盘）的分区设置以后，新的分区在/dev下查看不到，partprobe命令也不能把新分区调出来。只有两种方法，一个是重启，另一个就是partx -a /dev/硬盘设备。

4、格式化并创建文件系统

mkfs.ext4 /dev/sdb1

mkdir /data

mount /dev/sdb1 /data  #将分区挂载到/data
-----------------------------------------------------
也可以使用tune2fs将ext3转换ext4

tune2fs -O extent,uninit_bg,dir_index /dev/sdb1

e2fsck /dev/sdb1

fsck -pf /dev/sdb1

df -h #查看是否成功
使用tune2fs将ext2转换ext3

tune2fs –j /dev/sdb1

5、增加交换分区

1>.添加交换分区文件为2G

dd if=/dev/zero of=/opt/swap bs=2048M count=1

2>.格式化为交换分区空间

mkswap /opt/swap

3>.启动交换区空间

swapon /opt/swap

4>.查看是否生效（确定已经添加成功）

free -m

-/+ buffers/cache: 38 452
Swap: 3039 5 3034

5>.设置开机自动加载新增加的swap分区（也可以使用UUID挂载）

vi /etc/fstab

/opt/swap   swap   swap   defults   0 0

五、磁盘配额

1、设置磁盘配额条件：需要linux内核支持，安装quota软件包

2、磁盘配额特点

作用范围：文件系统（分区）

限制对象：用户，组

限制类型：磁盘容量，文件数量

限制方法：软限制，硬限制

基本步骤：

1>.启用文件系统的配额支持：添加usrquota、grpquota挂载参数，修改/etc/fstab文件,重启系统

vi /etc/fstab

/dev/sdb1 /data ext4 defaults,usrquota,grpquota 1 2 #1是开机启动被fsck扫描，0为不检查

mount -o remount /data  #重新挂载

2>.quotacheck命令检测磁盘配额并创建配额文件

quotacheck -augcv #执行完后/data目录会生成aquota.group，aquota.user

-u、-g：检测用户、组配额

-c：创建配额数据文件

-v：显示执行过程信息

-a：检测所有可用的分区

3>.设置用户或组的限制

edquota -u 用户
edquota -g 组

在实际应用中，一般只对用户最磁盘使用的大小，不用设置用户对文件的多少，硬限制应大于软限制。

设置组限制，需要把用户的基本组加入需要设置的组里，组配额对附属组是没有效果的。

4>.启动或关闭磁盘配额功能

quotaon -ugv /data

quotaoff -ugv /data

quotaon -augv #启动所有可用分区磁盘配额功能
quotaoff -augv

5>.查看磁盘配额使用情况

quota -u 用户

quota -g 组

repquota /data
repquota -a

六、制作ISO文件

1、从光盘中制作ISO文件：

把光盘放入光驱中（不需要挂载光盘）

cp /dev/cdrom mycd.iso

2、使用目录文件制作ISO文件：

mkisofs -r -o my.iso /data

挂载ISO文件：

命令挂载：

mount -o loop -t iso9660 my.iso /mnt

自动挂载：

mount -o loop my.iso /mnt

本文转自 李振良OK 51CTO博客，原文链接：http://blog.51cto.com/lizhenliang/1304551，如需转载请自行联系原作者