网络运维与网络安全 学习笔记 第三十四天
今日目标
访问存储设备、配置yum源、使用yum管理软件
LAMP部署及测试、systemctl系统控制、SELinux-Firewall防护
访问存储设备
挂载/卸载设备
什么是挂载?
挂载,装载
将光盘/U盘/分区/网络存储等设备装到某个Linux目录
通过访问这个目录来操作设备上的文档
挂载设备
关于分区/U盘/光盘设备文件
分区,一般是/dev/sda1、/dev/sda2等等;U盘,一般是/dev/sdb1
光盘,一般是/dev/cdrom,指向/dev/sr0等设备
[root@svr203~]# Isblk //查看块设备列表
NAME
MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda8:0 o 80G 0 disk
-sda18:1 o1G 0 part /boot //第1块磁盘的第1个分区
—sda28:2 o 79G 0part
-openeuler-root 253:00 51.7G 0 lvm /
-openeuler-swap 253:1 o 2G 0 lvm [sWAP]
-openeuler-home 253:2025.2G 0 lvm /home
sr0 11:01 4.2G 0 rom //光盘
示例:挂载openEuler光盘
1)插入openEuler光盘(虚拟机连ISO文件)
2)准备挂载点
3)挂载光盘
[root@svr203~]# mkdir /mnt/dvd
[root@svr203~]# mount /dev/cdrom /mnt/dvd
mount:/mnt/dvd: WARNING: source write-protected, mounted read-only. //光盘为只读设备,会出现警告
访问设备内的文档
挂载成功以后,通过挂载点即可访问光盘内文档
[root@svr203~]# ls /mnt/dvd //列光盘目录内容
docs images ks repodata TRANS.TBL
EFI isolinux Packages RPM-GPG-KEY-openEuler
卸载设备
卸载已挂载的openEuler光盘
卸载完毕后,挂载点与对应设备无任何关系
[root@svr203~]# umount /mnt/dvd
[root@svr203~]# ls /mnt/dvd //挂载点已为空
[root@svr203~]#
配置开机挂载
认识/etc/fstab配置
开机挂载解析
在/etc/fstab文件中添加设备记录
文件系统类型:iso9660、xfs、swap.ext4、…
配置开机挂载
建挂载点–>配置fstab -->检查配置–>重启验证
[root@svr203~]# mkdir -p /repos/openEuler
[root@svr203~j# vim /etc/fstab
… …
/dev/cdrom /repos/openEuler iso9660 ro 0 0
[root@svr203~]# mount -a //检查开机挂载配置(无报错)
重启系统,检查开机挂载效果
[root@svr203 ~]# reboot //重启
… … //待启动完毕,重新登入
[root@svr203~]# ls /repos/openEuler/ /确认已自动挂载光盘到指定目录
docs images ks repodata TRANS.TBL
EFI isolinux Packages RPM-GPG-KEY-openEuler
配置yum源
yum工作机制
YUM,Yellowdog Updater Modified,黄狗升级器
软件仓库:集中分发.rpm 软件包资源,并解决软件之间的依赖关系
客户机:使用yum或dnf查询/安装/卸载软件
准备软件仓库目录
openEuler安装盘已预先配置成软件仓库,可以直接使用
比如,挂载或复制到本机目录/repos/openEuler
[root@svr203~]# mkdir -p /repos/openEuler/ //1.建目录
[root@svr203~]# mount /dev/cdrom /repos/openEuler //2.挂光盘
[root@svr203~]# ls /repos/openEuler/ //3.确认
addons isolinux repodata(仓库档案资料) Packages(软件包目录) RPM-GPG-KEY-redhat-release
三步搞定软件源
第一步:禁用无效源
对于用不到/不能用的源(比如官方源),可以直接删除
配置位置:/etc/yum.repos.d/*.repo
第二步:设置有效源
通过辅助配置工具快速设置指定的软件源
用法: yum-config-manager --add 软件源URL地址
[root@svr203~]# yum-config-manager --add file:///repos/openEuler
添加仓库自:file:///repos/openEuler //注意有3个斜杠(fiile://加上根目录/)
[root@svr203~]# cat /etc/yum.repos.d/repos_openEuler.repo
[repos_openEuler]
name=created bydnf config-manager from file:///repos/openEuler
baseurl=file:///repos/openEuler //确认结果配置
enabled=1
第三步:关闭软件来源检查
系统对软件来源合法性的检查
默认只建议安装官方来源的应用软件
但是需要提供发布者的密钥
[root@svr203~]# vim /etc/yum.conf
[main]
gpgcheck= 0 //将1改为0可以关闭检查
结果验证
重新获取源数据,确保有可用仓库
[root@svr203~]# yum repolist -v //检查仓库列表
…
Repo-filename :/etc/yum.repos.d/repos_openEuler.repoTotal packages:2,531
//光盘源,提供2千多个包
使用yum管理软件
yum查询软件资源
list列出软件
用来获知xx软件是否已安装/版本/来源
格式: yum list[软件名]…
[root@svr203~]# yum list httpd
…
可安装的软件包
httpd.x86_64 2.4.43-4.oe1 repos_openEuler
info获取软件描述
用来获知xx软件的用途描述/官网地址等更详细信息
格式: yum info[软件名]…
[root@svr203~]# yum info httpd
可安装的软件包
Name: httpd
Version : 2.4.43
Size :1.2 M
Repository : repos_openEuler
Summary :Apache HTTP URL: https://httpd.apacheServer
.org/
协议:ASL 2.0
Description :Apache HTTP Server is a powerfuland flexible
:HTTP/1.1 compliant web server.
provides查询供给信息
用来查询是否有可用的软件能提供xx文件
格式: yum provides“*/文件名” …
[root@svr203~] # yum provides vim
… …
vim-enhanced-2:8.2-1.oe1.x86_64 : This is a package containing
: enhanced vim editor.
仓库 : repos_openEuler
匹配来源:
提供:/usr/ bin/vim
yum安装/卸载软件
install安装软件
用来安装xx软件
格式: yum [-y] install软件名…
[root@svr203~]# yum -y install httpd…
已安装:
apr-1.7.0-2.oe1.x86_64 //依赖包
apr-util-1.6.1-12.oe1.x86_64 //…
httpd-2.4.43-4.oe1.x86_64 //主菜(烤鸭)
httpd-filesystem-2.4.43-4.oe1.noarch
httpd-help-2.4.43-4.oe1.noarch
httpd-tools-2.4.43-4.oe1.x86_64mod_http2-1.15.13-1.oe1.x86_64
完毕!
remove卸载软件
用来卸载xx软件
格式: yum [-y] remove软件名…
[root@svr203 ~]# yum -y remove httpd…
已移除:
apr-1.7.0-2.oe1.x86_64
apr-util-1.6.1-12.oe1.x86_64
httpd-2.4.43-4.oe1.x86_64
httpd-filesystem-2.4.43-4.oe1.noarch
httpd-help-2.4.43-4.oe1.noarch
httpd-tools-2.4.43-4.oe1.x86_64
mod_http2-1.15.13-1.oe1.x86_64
完毕!
reinstall重装软件
用来重装xx软件(找回丢失文件)
格式: yum [-y] reinstall软件名…
[root@svr203~]# rm -rf /usr/bin/vim //模拟误删vim程序
[root@svr203~]# yum -y reinstall vim-enhanced //重装提供vim的软件
…
已重装:
vim-enhanced-2:8.2-1.oe1.x86_64完毕!
[root@svr203~]# Is -lh /usr/bin/vim //确认vim已装回
-rwxr-xr-x. 1 root root 3.2M 12月8 13:18 /usr/ bin/vim
LAMP部署及测试
部署LAMP平台
B/S服务架构
基于Browser/Server架构的网页资源通信
服务端:支持HTTP协议的网页提供程序
浏览器/客户端:下载并按标记规范显示网页的浏览器程序
如何获取网页资源
. URL网址
Uniform Resource Locator,统一资源定位器
资源类别://服务器地址/目录路径/文件名
静态网站与动态网站
静态网站(只读)
访问同一个网址时,看到的网页资源是固定不变的
比如index.html、.txt、.tar.gz、.png、.jpg、.gif、……
动态网站(可交互)
访问同一个网址(网页程序)时,看到的网页资源是变化的
比如.php、.jsp、.wsgi、.asp、……
什么是LAMP?
一种成熟的动态企业网站服务器模式
Apache在最前端,负责处理来自浏览器的Web访问请求
快速安装LAMP平台
如果有外网源
[root@svr203~]# yum -y install httpd mariadb-server php-fpm php-mysqInd
…
如果没有外网源
先上传离线包到/root/目录下,比如lamp_oe1_pkgs/子目录
[root@svr203~]# yum -y install /root/lamp_oe1_pkgs/*.rpm
确认安装结果,不要有遗漏
[root@svr203~]# yum list httpd mariadb-server php-fpm php-mysqlnd… …
已安装的软件包
httpd.x86_64 2.4.43-4.oe1 @@commandline
mariadb-server.x86_64 3:10.3.9-9.oe1 @@commandline
php-fpm.x86_64 7.2.10-9.oe1 @@commandline
php-mysqlnd.x86_64 7.2.10-9.oe1 @@commandline
启动LAMP平台
openEuler中默认提供三个服务
httpd 网站
mariadb数据库
php-fpm编程语言
[root@svr203~]# systemctl restart httpd mariadb php-fpm //启动服务
关闭防火墙(firewalld 服务)
[root@svr203~]# systemctl stop firewalld //立即停用防火墙
从浏览器访问
http://虚拟机的IP地址/
测试LAMP平台
检查PHP环境
在网页目录下建立PHP环境测试文件
/网页根目录/test1.php
==》http://服务器地址/test1.php
[root@svr203~]# vim /var/ www/html/test1.php?php
phpinfo(); //显示PHP版本等信息
?>
检查PHP网页访问数据库
在网页目录下建立数据库测试文件
/网页根目录/test2.php
==》 http://服务器地址/test2.php
[root@svr203~]# vim /var/www/html/test2.php
systemctl系统控制
控制服务状态
systemctl工具
.systemd是一种高效的系统和服务管理器
并行启动/接管各种服务
精确处理各服务之间的依赖关系
用户主要通过systemctl 来控制系统和服务状态
启动、停止、重启服务
基本用法
systemctl --type service //列出所有服务
systemctl start服务名… //启动某个或某些服务
systemctl stop服务名… //停止某个或某些服务
systemctl restart服务名… //重启某个或某些服务
[root@svr203~]# systemctl --type service
检查服务状态
基本用法
systemctl status 服务名… //检查服务状态
主要看Active:信息
active (running)表示运行中,inactive (dead)表示已停止
[root@svr203 ~]# systemctl status httpd
控制服务自启
允许服务开机自启动
基本用法
systemctl enable 服务名… //允许开机自启
systemctl enable --now服务名… //允许开机自启,并立即启动
[root@svr203~]# systemctl enable httpd
[root@svr203~]# systemctl is-enabled httpd
enabled //确认自启状态
禁止服务开机自启动
基本用法
systemctl disable 服务名… //禁止开机自启
systemctl disable --now 服务名… //禁止开机自启,并立即停止
[root@svr203~]# systemctl disable httpd
Removed /etc/systemd/system/multi-user.target.wants/httpd.service. //如果重复设置,不会再次提示
[root@svr203~]# systemctl is-enabled httpd
disabled //确认自启状态
SELinux防护
SELinux状态控制
SELinux介绍
Security Enhanced Linux,安全增强型Linux系
源于美国国家安全局(NSA)强制保护安全策略
主要针对Linux系统中的文件、进程等提供策略保护
用户只分配“需要”的最小权限
进程只访问“需要”的资源
网络服务只能开启“需要”的端口
…….
查看SELinux运行状态
三种运行状态
Enforcing,强制(严格按策略执行保护)
Permissive,宽松(若有违规会记录,但不做真正限制)
Disabled,禁用(内核不加载SELinux)
检查当前的SELinux运行状态
[root@svr203~]# getenforce
Enforcing
切换SELinux运行状态
立即切换(在“强制”与“宽松”之间)
使用setenforce 1|0,执行后立即生效
[root@svr203~]# setenforce 0 //切换为宽松模式
[root@svr203~]# setenforce 1 //切换为强制模式
开机时自动切换
需要修改/etc/selinux/config配置,重启后生效
[root@svr203~]# vim /etc/selinux/config
SELINUX=disabled //无需SELinux时,可以设置为禁用
SELINUXTYPE=targeted //默认使用“靶标”保护方式