资源描述
,Click to edit Master title style,Click to edit Master text styles,Click to edit Master title style,Click to edit Master text styles,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,应用与安全,Click to edit Master title style,Click to edit Master text styles,Click to edit Master title style,Click to edit Master text styles,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,应用与安全,Click to edit Master title style,Click to edit Master text styles,Click to edit Master title style,Click to edit Master text styles,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,应用与安全,Click to edit Master title style,Click to edit Master text styles,Click to edit Master title style,Click to edit Master text styles,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,应用与安全,Click to edit Master title style,Click to edit Master text styles,Click to edit Master title style,Click to edit Master text styles,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,应用与安全,Click to edit Master title style,Click to edit Master text styles,Click to edit Master title style,Click to edit Master text styles,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,应用与安全,Click to edit Master title style,Click to edit Master text styles,Click to edit Master title style,Click to edit Master text styles,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,重庆电子工程职业学院,*,应用与安全,Click to edit Master title style,Click to edit Master text styles,Click to edit Master title style,Click to edit Master text styles,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,应用与安全,Click to edit Master title style,Click to edit Master text styles,Click to edit Master title style,Click to edit Master text styles,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,应用与安全,Click to edit Master title style,Click to edit Master text styles,Click to edit Master title style,Click to edit Master text styles,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,应用与安全,Click to edit Master title style,Click to edit Master text styles,Click to edit Master title style,Click to edit Master text styles,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,应用与安全,Linux,操作系统应用与安全,Linux,系统概述,1,Linux,正确读音及音标,“,Linux,”,这个单词根据,Linus Torvalds,本人的发音应该是,“,哩呐克斯,”,,音标是,li:nks,重音在,“,哩,”,上。,学习要求:了解,Linux,的起源与发展;了解,Linux,的结构与特性;了解,Linux,的主流发行版本;了解,Linux,系统与,Windows,系统的不同点。,学习重点:,1,Linux,的结构与特性;,2.Linux,的主流发行版本;,3.Linux,系统与,Windows,系统的不同点。,学习难点:,Linux,的结构与特性,Linux,系统概述,1.1 Linux,系统,的产生与特点,1.1.1 Linux,系统的起源和发展,Linux,属于广义上的,UNIX,操作系统范畴。,UNIX,操作系统是历史最悠久的通用操作系统。最早由,Ken Thompson,(肯汤普逊)、,Dennis Ritchie,(丹尼斯里奇)和,Douglas McIlroy,于,1969,年在,AT&T,的贝尔实验室开发。,Linux,出现于,1990,年,由芬兰赫尔辛基大学学生,Linus Torvalds,创建。,1993,年底,1994,年初,,Linux 1.0,诞生。,Linux,加入,GNU,并遵循公共版权许可证(,GPL,)。此举大大加强了,GNU,和,Linux,,几乎所有应用的,GNU,库,/,软件都移植到,Linux,,完善并提高了,Linux,的实用性,而,GNU,也有了一个根基。,Linux,系统的内核,Linux,系统的外壳,Linux,系统的应用程序,1.1.2 Linux,系统的组成,自由软件,源码公开,多用户,多任务并发,可靠的安全系统,良好的可移植性,丰富的网络功能,设备独立性,良好的用户界面,1.1.3 Linux,系统的特点,发展背景不同,操作界面不同,使用费用不同,1.1.4 Linux,与,Windows,的区别,Fedora Linux,Red Flag Linux,Ubuntu Linux,SUSE Linux,其它的版本,1.2 Linux,的发行版本介绍,1.2.1,常见的发行版本,1.2.2,本书中的约定,欢迎提问!,本章小结与习题,Linux,操作系统应用与安全,系统安装与使用基础,2,学习要求:了解,Linux,操作系统的各种安装方法,至少掌握其中一种;了解,Linux,操作系统的启动过程,掌握开机关机的方法;理解,Linux,的运行级别以及虚拟终端;熟练掌握图形界面下,Linux,操作系统的基本操作;掌握使用,ADSL,设备使,Linux,主机接入,Internet,的方法;掌握在,Linux,操作系统下使用常见的互联网服务。,学习重点:,1.Linux,操作系统安装;,2.Linux,操作系统的使用基础;,3.Linux,操作系统的图形界面下的基本操作;,4.Linux,系统下的互联网接入及常用网络服务。,学习难点:,Linux,的安装,及使用基础,系统安装与使用基础,2.1 Linux,安装前的准备及过程,基本硬件信息,有关显示的信息,有关网络的信息,2.1.1,了解基本硬件和网络信息,2.1.2,选择,Linux,安装的方式,从光盘,从硬盘,从,NFS,、,FTP,服务器,个人桌面,工作站,服务器,定制,升级,2.1.3,选择,Linux,系统安装类型,分区命名设计规则,重新分区的策略,2.1.4,规划,Linux,占用的硬盘分区,2.1.5,安装,Linux,系统的过程,2.2 Linux,系统的使用基础,Linux,系统的启动过程,Linux,系统的登录、注销与关机,Linux,系统的虚拟终端,Linux,系统的运行级别,2.2.1 Linux,系统的初次接触,什么是,X-Window,X-Window,的组成,X-Window,的特点,GNOME,图形界面,2.2.2,使用,GNOME,图形界面系统,设置桌面背景,设置鼠标,设置主题,设置字体,设置屏幕保护程序,2.2.3,设置桌面外观,添加对象到面板,设置面板属性,删除与移动面板上的对象,2.2.4,设置系统面板,2.2.5,自定义快捷键,2.2.6,建立桌面启动器,2.2.7,窗口控制,2.2.8,设置和使用虚拟桌面,设置显示效果,设置系统语言,设置键盘和鼠标,设置打印机,2.2.9,系统设置,图,2-59,系统设置窗口,2.2.10,中文输入,按“,Ctrl,空格键”可打开中文输入法,按“,Ctrl+Shift”,键可以在智能拼音、,GBK,拼音、双拼和内码,4,种输入法之间相互切换。按“,Ctri+.,(句号)”键可实现半角状态与全角状态之间的转换。在输入中文时,要用英文小写(对应,Caps Lock,键未激活),否则不能输入中文。,输入条分为两个独立部分:输入编辑区和词条选择区,如图,2-74,所示。当输入重码时,可按“,.”,或“,”键进行翻页。,2.2.11,使用文件管理器,2.2.12,查找文件和目录,2.2.13 GNOME,的帮助浏览器,2.3 Linux,系统的,ADSL,接入,2.3.1 ADSL,及设备安装,图,2-84 ADSL,的系统结构,图,2-85 ADSL,终端设备的安装,安装和配置网卡,安装和配置,ADSL,2.3.2,使用,ADSL,接入,2.4,常见的互联网应用,启动,Mozilla,浏览器,Mozilla,浏览器窗口的组成,设置代理服务器,统一资源定位器,URL,利用搜索引擎查找未知站点,收藏站点,保存网页上的信息,下载软件,2.4.1 Web,浏览,2.4.2,邮件收发,申请电子邮箱,邮箱设置,收、发邮件,使用,gFTP,工具软件,使用,FTP,命令,2.4.3,文件下载,使用,LumaQQ,使用,WebQQ,2.4.4,在线聊天,本章小结与习题,欢迎提问!,Linux,操作系统应用与安全,文件与目录的管理,3,文件与目录的管理,学习要求:理解文件与目录的区别与联系;理解相对路径与绝对路径的区别与联系;知道什么是当前工作目录,什么是主目录;知道,Linux,系统中常见的文件类型及文件命名规则;知道,Linux,系统中重要的系统目录及用途;掌握在,Linux,系统中对文件和目录进行操作的基本命令;理解,Linux,系统中文件权限和类型的表示方法;掌握,VI,编辑器的使用方法。,学习重点:,1,Linux,系统中重要的系统目录及用途;,2.,对文件和目录进行操作的基本命令;,3.,文件权限和类型的表示方法;,4.VI,编辑器的使用。,学习难点:文件操作的基本命令、,VI,编辑器,3.1,文件与目录概述,文件和文件名,目录,目录类型,3.1.1 Linux,的文件与目录,3.1.2 Linux,的树形目录,工作目录与用户主目录,相对路径与绝对路径,目录名称,目录用途,/bin,基础系统所需要的命令位于此目录,也是最小系统所需要的命令。这个目录中的命令是普通用户都可以使用的。,/sbin,存放超级权限用户,root,的可执行命令,大多是涉及系统管理的命令,普通用户无权执行这个目录下的命令。,/etc,存放系统配置文件,一些服务器的配置文件也在这里。,/root,超级用户,root,的主目录。,/lib,库文件存放目录。,/dev,设备文件存储目录。,/tmp,临时文件目录。用户运行程序时,会产生临时文件,该目录就用来存放临时文件。,/boot,启动目录,存放,Linux,内核及引导系统程序所需要的文件。,/mnt,挂载储存设备的挂载目录所在的位置。,/proc,操作系统运行时,进程信息及内核信息都存放在,/proc,目录中。这些信息没有保存在磁盘上,而是系统运行时在内存中创建的。,3.1.3,引用文件的方法,3.1.4,重要系统目录介绍,3.2,文件和目录的基本操作,3.2.1,当前工作目录切换,3.2.2,显示文件内容和权限,3.2.3,建立和删除目录,3.2.4,复制文件和目录,3.2.5,删除文件和目录,3.2.6,文件与目录的移动及改名,3.2.7,创建链接文件,3.2.7,创建链接文件,文字设定法,3.2.8,修改文件和目录的,权限,数字设定法,3.2.8,修改文件和目录的,权限,3.2.9,更改文件所有者,和所属组,3.2.12,查找文件,3.2.13,查找字符串,3.2.14,文件内容排序,3.2.15,显示文件,或目录的属性,3.2.15,显示文件,或目录的属性,3.2.17,显示文件的前,/,后几行,3.2.18,比较文本,文件的内容,3.2.19,统计文本文件的字,/,行数,3.2.20,显示文本文件的内容,3.2.21,文件压缩与解压缩,3.2.21,文件压缩与解压缩,3.2.21,文件压缩与解压缩,3.2.22,查看文件或目录的大小,3.2.22,查看文件或目录的大小,3.3,文本编辑器,VI,的使用,3.3.1 VI,编辑器概述,VI,程序有,3,种基本的工作模式:命令模式、插入模式和末行模式。默认情况下,,VI,启动时为命令模式。命令模式用来执行编排文件的操作命令,比如“,dd”,命令用于删除一整行,“,wq”,用于保存文件并退出,vi,系统。插入模式用来输入文本;末行模式用于存档、退出以及设置,VI,。,用户可以根据需要改变,VI,的工作模式:进入命令模式,按,Esc,键;进入插入模式,可以按“,i”,、“,insert”,、“,a”,或“,o”,中的任何一个;进入末行模式,要先进入命令模式,再输入字符“,:”。如果不能断定目前处于什么模式,则可以多按几次,Esc,键,这时系统会发出蜂鸣声,证明己经进入命令模式。,新建或修改的文本文件,3.3.2,在,VI,下建立和修改文件,2,保存编辑的文件并退出,VI,编辑器,3.3.2,在,VI,下建立和修改文件,3.3.3,行号设置与光标位置,3.3.4 VI,中的编辑命令,本章小结与习题,欢迎提问!,谢谢。,Linux,操作系统应用与安全,用户与组的管理,4,用户与组的管理,学习要求:了解用户与组的类别及作用;熟悉有关用户与组的主要配置文件;掌握有关用户和组的常见操作;掌握系统中当前登录用户的查询与通信。,学习重点:,1,用户和组的类别及作用;,2.,有关用户与组的主要配置文件;,3.,用户账号与组账号的建立与维护;,4.,当前登录用户的查询与通信。,学习难点:用户账号与组账号的建立与维护,4.1,用户与组概述,超级用户,服务用户,普通用户,4.1.1 Linux,系统中的用户,Linux,是多用户系统,每个用户都有一个账号,包括用户名、口令以及主目录等信息。这些账号在文件,/etc/passwd,中可以看到。每一个登录的用户都可使用机器上的文件和资源,因而如何对这些用户进行管理,保证系统的效率和安全显得非常重要。,4.1.2 Linux,系统中的组,在,Linux,系统中,存在很多的用户组,每个用户组都有一个组账号,包括组名称、口令以及主目录成员等信息。这些组账号可以在文件,/etc/group,中看到。,和用户的类型相似,相应的也可以把这些组分为,3,种类型:超级用户组、服务用户组和普通用户组。其中,超级用户组、服务用户组是由系统自动生成的,普通用户组是超级用户根据需要创建的。,4.2,用户,/,组账号的配置文件,4.2.1,用户账号文件(,passwd,),4.2.3,组账号文件(,group,),4.2.4,组口令文件(,gshadow,),4.3,用户与组账号的管理,添加用户账号,4.3.1,用户帐号的创建和维护,4.3,用户与组账号的管理,设置用户口令,4.3.1,用户帐号的创建和维护,4.3,用户与组账号的管理,用户账号管理,4.3.1,用户帐号的创建和维护,4.3.1,用户帐号的创建,和维护,用户账号管理,4.3,用户与组账号的管理,删除账号,4.3.1,用户帐号的创建和维护,4.3,用户与组账号的管理,添加组账号,4.3.2,组帐号的建立与维护,添加组账号,4.3.2,组帐号的建立与维护,组账号管理,4.3,用户与组账号的管理,发送给某个登录用户,4.3.3,用户间的通信,4.3,用户与组账号的管理,发送给所有登录用户,4.3.3,用户间的通信,本章小结与习题,欢迎提问!,谢谢。,Linux,操作系统应用与安全,存储设备的使用与管理,5,存储设备的使用与管理,学习要求:理解,Linux,系统下常用的设备文件以及用途;掌握,Linux,系统下磁盘以及磁盘分区的命名规则;了解,Linux,系统中常用的文件系统类型以及它们的特点;掌握,Linux,系统下查看磁盘以及磁盘分区信息的方法;掌握,Linux,系统中使用光盘、,U,盘、磁盘的方法;掌握,Linux,系统下磁盘分区及维护的操作。,学习重点:,1,Linux,系统下常用的设备文件以及用途;,2.Linux,系统中常见的文件系统类型及特点;,3.Linux,操作下查询磁盘及磁盘分区的信息;,4.Linux,系统中使用光盘、,U,盘、磁盘;,5.Linux,系统下磁盘分区及维护。,学习难点:,Linux,系统下磁盘分区及维护。,5.1,存储设备与文件系统,设备文件,存储设备及命名,5.1.1,存储设备的命名,5.1.2,文件系统类型简介,ext2,与,ext3,reiserfs,vfat,iso9660,swap,使用系统监视器,5.1.3,查询磁盘及分区信息,使用,df,命令,5.1.3,查询磁盘及分区,信息,5.2,在,Linux,系统中使用光盘,5.2.1,光盘的,挂载与卸载,从光盘中制作,ISO,文件,5.2.2,制作与使用,ISO,文件,使用目录制作,ISO,文件,5.2.2,制作与使用,ISO,文件,挂载与使用,ISO,文件,5.2.2,制作与使用,ISO,文件,刻录光盘,在,Linux,中可以使用,cdrecord,命令把已制作好的,ISO,文件刻录成光盘。光盘刻录机在,Linux,系统中被识别为,SCSI,设备,即使该设备实际上是,IDE,设备。在进行刻录之前需要先使用“,cdrecord scanbus”,命令检测系统中光盘刻录机的相关参数,从检测结果中收集光盘刻录机的,SCSI,设备识别号,以便在刻录光盘的命令中使用。刻录光盘使用的命令格式是:“,cdrecord -v speed=,刻录速度,dev=,刻录机设备号,ISO,文件名”。,5.3,在,Linux,系统中使用,U,盘,5.3.1,确定,U,盘设备号,5.3.2 U,盘的挂载和使用,5.4,磁盘的分区及维护,进入,fdisk,分区主界面,查看,fdisk,的帮助信息,新建磁盘分区,删除磁盘分区,修改磁盘分区类型,5.4.1,磁盘分区的创建,/,删除,5.4.2,磁盘分区的格式化,卷标设置与查询,5.2.3,其它管理操作,文件系统的修复,5.2.3,其它管理操作,本章小结与习题,欢迎提问!,谢谢。,Linux,操作系统应用与安全,软件管理与内核编译,6,软件管理与内核编译,学习要求:掌握,Linux,系统下的软件安装与卸载方法;掌握,Linux,系统下内核编译的方法。,学习重点:,1,掌握,Linux,系统下的软件安装卸载方法;,2.,掌握,Linux,系统下内核编译的方法。,学习难点:,Linux,系统下内核编译的方法,6.1,图形化的,RPM,软件包管理工具,6.1.1 RPM,软件包概述,6.1.2,软件包的安装,/,删除,6.2,命令行界面下的,RPM,软件包管理,6.2.1,查询,RPM,软件包,6.2,命令行界面下的,RPM,软件包管理,6.2.1,查询,RPM,软件包,6.2,命令行界面下的,RPM,软件包管理,6.2.1,查询,RPM,软件包,6.2,命令行界面下的,RPM,软件包管理,6.2.1,查询,RPM,软件包,6.2,命令行界面下的,RPM,软件包管理,6.2.1,查询,RPM,软件包,6.2.2,安装,/,删除,RPM,软件包,6.2.3,校验,RPM,软件包,6.3 Linux,的,TAR,源码包管理,6.3.1 TAR,源码包概述,6.3.2 TAR,源码,包的安装,6.4 Linux,内核编译与升级,6.4.1,熟悉,Linux,的内核,6.4.2,编译内核的整体流程,本章小结与习题,欢迎提问?,谢谢,!,Linux,操作系统应用与安全,重庆电子工程职业学院,Shell,、多任务与进程,7,Shell,、多任务与进程,学习要求:理解,Shell,在,Linux,主机系统中的作用;掌握在,Shell,提示符下执行命令的常用技巧;掌握定义、查看和修改,Shell,变量的方法;理解简单的,Shell,脚本的语法和功能;掌握进程查看以及控制的方法。,学习重点:,1,Shell,功能和特点;,2.Shell,环境变量的定义与赋值;,3.Shell,脚本的语法和作用;,4.Linux,进程的管理与控制。,学习难点:,Shell,脚本的语法和作用。,重庆电子工程职业学院,7.1 Shell,与,Shell,环境变量,重庆电子工程职业学院,7.1.1 Shell,概述,图,7.1 Shell,、用户及,Linux,内核之间的关系,命令历史,Tab,自动补齐,内建命令的,help,帮助,命令别名,输入,/,输出重定向,管道,清除和重设,Shell,窗口,重庆电子工程职业学院,7.1.2 Bash Shell,的特色,Shell,定义的环境变量,用户定义的环境变量,显示环境变量的值,临时修改环境变量,永久修改环境变量,重庆电子工程职业学院,7.1.3 Bash Shell,的环境变量,重庆电子工程职业学院,7.1.4 Bash Shell,的特殊控制字符,重庆电子工程职业学院,7.2 Shell,脚本的建立和执行,分支语句,重庆电子工程职业学院,7.2.1 Shell,脚本的语法,循环语句,重庆电子工程职业学院,循环控制语句,重庆电子工程职业学院,函数,重庆电子工程职业学院,信号,trap,重庆电子工程职业学院,脚本的建立,重庆电子工程职业学院,7.2.2 Shell,脚本的执行,脚本的执行,重庆电子工程职业学院,7.3,进程的基本管理,手工启动,调度启动,重庆电子工程职业学院,7.3.1,进程概述,7.3.2,进程的启动,l,)前台启动,2,)后台启动,l,),at,命令,2,),crontab,命令,重庆电子工程职业学院,重庆电子工程职业学院,重庆电子工程职业学院,重庆电子工程职业学院,重庆电子工程职业学院,使用,GNOME,下系统监视器,使用,ps,命令,使用,top,命令,重庆电子工程职业学院,7.3.3,进程的监控,重庆电子工程职业学院,7.3.4,进程的关闭,本章小结与习题,欢迎提问?,谢谢!,重庆电子工程职业学院,Linux,操作系统应用与安全,常用服务器配置与管理,8,常用服务器配置与管理,学习要求:掌握,Linux,系统下的常用服务器的功能与配置;掌握,Linux,系统下的常用服务器的管理方法。,学习重点:,1,SAMBA,服务器的安装、配置和管理;,2.NFS,服务器的安装、配置和管理;,3.APACHE,服务器的安装、配置和管理;,4.VSFTP,服务器的安装、配置和管理;,5.DNS,服务器的安装、配置和管理;,6.DHCP,服务器的安装、配置和管理。,学习难点:常用服务器配置,8.1 SAMBA,服务器,8.1.1 Samba,概述,2,Samba,的组成,8.1.2 Samba,服务器的安装,8.1.4 Samba,服务器的启停,8.1.3 Samba,服务器的配置文件,8.1.4 Samba,服务器的安全等级,在,Samba 2.2,中默认的安全性等级是“,user”,,它表示用户在访问服务器的资源前,必须先用有效的,Samba,账号和密码进行登录,如图,8-4,所示。在服务器尚未成功验证客户端的身份前,可用的资源名称列表并不会发送到客户端上。在此模式中,通常使用加密的密码,来提高验证数据传送的安全性。,应该特别注意的时,,Samba,服务器与,Linux,操作系统使用不同的密码文件,所以无法以,Linux,操作系统上的账号密码数据登录,Samba,服务器。所以,应该自己建立原来在“,smb passwd file”,选项中,指定的,/etc/samba/smbpasswd,文件。,8.1.5 Samba,服务器,的配置,8.2 NFS,服务器,8.2.1 NFS,概述,8.2.2 NFS,服务器安装,使用,chkconfig,命令,使用,service,命令,8.2.4 NFS,服务器的启停,NFS,服务器需要,portmap,服务的配合,所以需要先启动,portmap,服务,再启动,nfs,服务。,8.2.3 NFS,服务器的配置,8.2.5,维护共享目录列表,8.2.7 NFS,客户机链接,8.6 DHCP,服务器,8.6.1 DHCP,简介,8.6.2 DHCP,服务器的安装,8.6.3 DHCP,服务器的配置文件,8.6.4 DHCP,服务器的启停,Linux,客户端的设置,Windows,客户端的设置,8.6.5 DHCP,的客户端设置,8.6.6 DHCP,中继代理,本章小结与习题,欢迎提问?,谢谢!,Linux,操作系统应用与安全,Linux,系统的安全管理,11,Linux,系统的安全管理,学习要求:了解计算机系统不安全的主要因素;掌握,Linux,操作系统主要的安全措施;了解,Linux,系统下的杀毒软件;掌握至少一个软件的安装与使用;掌握,Iptables,在不同环境和需求下的配置。,学习重点:,1,计算机系统不安全的主要因素;,2.Linux,操作系统的主要安全措施;,3.Linux,操作系统下的病毒防治;,4.Iptables,在不同环境和需求下的配置。,学习难点:,4.Iptables,在不同环境和需求下的配置,9.1 Linux,的主要安全问题,软件系统,硬件系统,数据输入输出部分,周围环境,管理因素,病毒破坏,黑客攻击,9.1.1,计算机不安全的因素,设置,BIOS,密码,设置用户登录口令,加强,root,用户的安全,删除多余的默认账号,加强配置文件的安全,加强启动脚本安全,禁止响应,ping,禁止使用,Ctrl+Alt+delete,重启主机,合理划分,Linux,系统分区,合理利用日志文件,9.1.2 Linux,系统的安全措施,9.2 Linux,系统下的病毒防治,Avira AntiVir Personal,Free avast!Linux Home Edition,ClamTk Virus Scanner,9.2.1 Linux,下的杀毒软件概述,杀毒软件的下载与注册,杀毒软件的安装与更新,使用,avast,查杀病毒,9.2.2 Linux,下的杀毒软件使用,9.3 Linux,系统下的防火墙使用,9.3.1 Netfilter/Iptables,概述,Red hat Linux,提供的防火墙软件包内置于,Linux,内核中,是一种基于包过滤防火墙的技术。其中心思想是根据网络层,IP,包头中的源地址、目的地址及包的类型等信息来控制包的流向。更彻底地过滤则是检查包中的源端口、目的端口以及连接状态等信息。,Iptables,是建立在,netfilter,架构基础上的一个包过滤管理工具,可以用它来加入或删除包过滤的规则。实际上真正来执行这些过滤规则的是,Netfiter,。因此,要在,Linux,中实现防火墙功能,需要有,Netfilter,与,Iptables,的支持。,Netfilter,提供一系列的表(,table,),每个表由若干链(,chain,)组成,而每条链中可以由一条或数条规则(,rule,)组成。它可以和其它模块(如,Iptables,模块和,nat,模块)结合起来实现包过滤的功能。用户可以使用,Iptables,命令实现网络访问控制,从而完成防火墙和地址转换的配置。,9.3.2,图形化的防火墙配置工具,管理员在这里所做的安全按设定都将被保存在,/etc/sysconfig/redhat-config-securitylevel,和,/etc/sysconfig/iptables,文件中,用户不需要手工编辑这两个文件。另外,当安全级别选择无防火墙时,,/etc/sysconfig/iptables,文件将被系统自动删除。,使用,service,命令,9.3.3 Iptables,的启,/,停,使用,chkconfig,命令,规则,链,表,9.3.4 Iptables,的语法规则,表是用来存储链的一个具体文件,在,iptables,中包含了,3,个表(,table,),它们分别是,filter,、,nat,和,mangle,。,表,filter,用来记录包过滤的具体操作,其中包括,INPUT,(处理进入的数据)、,FORWARD,(转发数据)和,OUTPUT,(处理本地数据),3,个内置链,另外还可以包含用户自定义的链。,表,nat,用来记录地址转换规则,其中包括,PREROUTING,(修改即将到来的数据)、,OUTPUT,(修改在路由之前的本地数据)以及,POSTROUTING,(修改即将输出的数据),3,个链。,表,mangle,用来记录包的修改方式,其中包括,INPUT,(处理进入的数据)、,OUTPUT,(处理本地数据)、,FORWARD,(转发数据)、,PREROUTING,(修改即将到来的数据)以及,POSTROUTING,(修改即将输出的数据),5,个链。,iptables,本身即是软件的名字,又是运行该软件的命令,使用格式是:“,iptables -t,表,命令选项,链,匹配选项,动作选项,”,,下面是各个部分的说明。,1,),-t,表,:该选项表示将该命令的纪录保存在,filter,、,nat,和,mangle3,个表中的哪一个表中。,2,),命令选项,:表示使用的具体命令参数,如表,9.2,所示。,表,9.2,命令选项,选项,作用,-A,或,append,在所选链尾部加入一条或多条规则。,-D,或,-delete,在所选链尾部删除一条或多条规则。,-R,或,-replace,在所选链中替换一条匹配规则。,-I,或,-insert,以给出的规则号在所选链中插入一条或多条规则。如果规则号为,1,,即在链的头部。,-L,或,-list,列出指定链中的所有规则,如果没有指定链,将列出所有链中的规则。,-F,或,-flush,清除指定链和表中的所有规则,假如不指定链,那么所有链都将被清空。,-N,或,-new-chain,以指定名创建一条新的链,不能与已有链同名。,-X,或,-delete-chain,删除指定的链,必须保证链中的规则都不再使用时才能删除,若没有指定链,则删除所有链。,-P,或,-policy,为永久链指定默认规则(内置链策略),用户定义链没有缺省规则,缺省规则也是规则链中的最后一条规则,用“,-L”,显示时它在第一行。,-C,或,-zero,将指定链中所有的规则包字节计数器清零。,-h,显示帮助信息。,选项,作用,-p!protocol,指定数据包匹配的协议,可以使,tcp,、,udp,、,icmp,和,all,,前缀“,!”,表示除该协议外的所有协议。,-s!address/mask,指定数据包匹配的源地址或者地址范围。,-sport!port:port,指定数据包匹配的源端口号或者端口号范围,可以用端口号也可以用“,/etc/services”,文件中名字。,-d!address/mask,指定数据包匹配的目的地址或者地址范围。,-dport!port:port,指定数据包匹配的目的端口号或者端口号范围,可以用端口号也可以用“,/etc/services”,文件中名字。,-icmp-type!typename,指定匹配规则的,ICMP,信息类型(可以使用“,iptables,p icmp-h”,查看有效的,ICMP,类型名)。,-i!interface name+,匹配单独或某种类型的接口,此选项忽略时默认为所有接口。指定一个目前不存在的接口也是合法的,规则直到接口工作时才起作用。“,+”,表示匹配所有此类型接口。该选项只针对,INPUT,、,FORWARD,和,POSTROUTING,链是合法的。,-o!interface name+,匹配规则的对外网络接口,该选项只针对,OUPUT,、,FORWARD,和,POSTROUTING,链是合法的。,!-syn,仅匹配设置,SYN,位,清除,ACK,和,FIN,位的,TCP,包。这些包表示请求初始化的,TCP,连接,阻止从接口来的这样的包将会阻止外来的,TCP,连接请求,但输出的,TCP,连接请求不受影响。这个选项仅当协议类型设置为,TCP,时才能使用。“,!”,表示只允许已有的、向外发送的连接所返回的包,一般用于限制网络流量。,3,),链,:表示要进行操作的链的名字。,4,),匹配选项,:该参数为命令选项的补充参数,可以用来定义网络协议和,IP,地址等。该参数的具体内容如表,9.3,所示。,选项,作用,ACCEPT,允许数据包通过或接收该数据包。,SNAT,源地址转换,即改变数据包的源地址。,DNAT,目标地址转换,即改变数据包的目标地址。,MASQUERADE,用于实现,IP,伪装,只用于,nat,表的,PREROUTING,链,实际上是,SNAT,的一种特殊形式。只能用于拨号上网等动态分配,IP,地址的连接,如果,IP,地址是静态的,就要用,SNAT,。,REDIRECT,将数据包重新定义到另一个接口。只适用于,nat,表的,PREROUTING,和,OUTPUT,链。,DROP,直接丢弃数据包。,REJECT,拦截该数据包,并回传一个数据包告诉对方。,LOG,日志功能,将符合规则的数据包相关信息记录在日志中,方便管理员分析和排错。,TOS,改写数据中的,TOS,5,),动作选项,:该参数用来决定数据最终被如何执行。如表,9.4,所示。,查看,iptables,命令的帮助,9.3.5 Iptables,命令的使用,查看,iptables,帮助,使用“,iptables -h”,命令,选项“,-h”,表示参看帮助。,查看、新建、删除链,9.3.5 Iptables,命令的使用,新建、删除和查看链中的规则使用的命令格式为,:“,iptables -t,表名,-N|X|L|F ,链名,”,。其中:“,-t,表名”指定表的名字,表名可以使用,filter,、,nat,和,managle,,默认查看,filter,表;“,-L”,列出链中的规则;“,-N”,新建一个链;“,-X”,删除一个链,但是不能删除内置链,并且只能删除空链;“链名”指定链的名字,如果不指定则默认查看指定表中的所有。,定义默认策略,9.3.5 Iptables,命令的使用,当数据包不符合链中的任何一条规则时,,iptables,将根据该链预先定义的默认策略处理。默认策略的定义采用如下的命令格式:“,iptables -t,表名,-P ,链名,-j,动作”。其中:“,-t,表名”表示定义的是哪个表的规则,表名可以是,filter,、,nat,
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
