centos6.5 相关命令
挂载U盘
1、进入mnt目录:
#cd /mnt
2、新建一个USB目录:
#mkdir usb
3、查看U盘的目录:
#fdisk –l
4、挂载:
#mount –t vfat /dev/sdb1 /mnt/usb
-t vfat是指fat的格式,/dev/sdb1 指的是U盘,/mnt/usb是指挂载的地方
5、进入U盘
#cd /mnt/usb
6、卸载U盘
#umount /mnt/usb 或者 umnout /dev/sdb1
注意不要在usb目录下卸载,否则会提示驱动器在忙,一定要在别的目录下执行。
修改网卡
1、 查看网卡信息:
#ifconfig
命令语法:ifconfig [参数]
参数说明:
无参数:显示当前活动的网卡
- a:显示系统中所有网卡的配置信息
网卡设备名称:显示指定网卡的配置信息
eg:查看eth0网卡信息:#ifconfig eth0
b.设置IP地址
命令语法:ifconfig 网卡设备名 IP地址 netmask 子网掩码
(注:ifconfig命令设置的IP地址即时生效,但是重启机器后,IP地址又回复到原IP地址,所以ifconfig命令只能用于设置临时的IP地址)
eg:ifconfig eth0 192.168.168.156 netmask 255.255.255.0
2、 启动、关闭网卡命令
禁用网卡
语法:ifdown 网卡设备名
#ifdown eth0
启用网卡
语法:ifup 网卡设备名
#ifup eth0
3、 网卡配置文件
对于网卡信息的配置通常包括:配置IP地址、子网掩码和网关。网卡信息保存在网卡配置文件中。网卡配置文件位于/etc/sysconfig/network-scripts目录下。一块网卡对应一个网卡配置文件,配置文件命名规则:
ifcfg-网卡类型以及网卡的序列号
由于以太网卡类型是eth,网卡的序列号从0开始,所以第一块网卡的配置文件名称为ifcfg-eth0,第二块网卡为ifcfg-eth1,以此类推。
网卡配置文件中常用配置文件名的还以如下:
DEVICE=eth0,定义该网卡的识别名称。
BOOTPROTO=dhcp,启动该网卡的识别名称。
static/none:代表固定的IP地址;
bootp/dhcp:通过BOOTP或DHCP协议取得IP地址。
HWADDR=00:02:B3:0B:64:22,该网卡的MAC地址。
ONBOOT=yes,启动network服务时,是否启用该网卡。当RedHat系统启动network服务时,network服务一次读取保存于/etc/sysconfig/network-scripts/目录下所有网卡的配置文件。如果网卡配置文件的ONBOOT设置为yes,则network服务就会调用ifup命令启动该网卡;如果网卡的配置文件的ONBOOT参数为no,network会跳过启动这个网卡的工作。
TYPE=Ethernet,网卡的类型。
USERCTL=no,是否允许普通用户启动或者停止该网卡。
IPV6INIT=no,是否在该网卡上启动IPV6的功能。
PEERDNS=yes,是否允许网卡在启动时向DHCP服务器查询DNS信息,并自动覆盖/etc/resolv.conf配置文件。
以下配置项用于指定该网卡的静态IP地址,此时BOOTPROTO必须为static或者none。
IPADDR=192.168.1.55,静态方式指定网卡的IP地址。
NETMASK=255.255.255.0,定义该网卡的子网掩码。
MTU=1500,设置网卡的MAC帧最大传输单位大小。
GATEWAY=192.168.1.1,设置网络的默认网关。
DNS1=192.168.128.5,指定主要的DNS服务器地址。
DNS2=192.168.128.6,指定备用的DNS服务器地址。
修改SELINUX属性
1、 查看SELinux是否启用
#sestatus
2、 关闭selinux
临时关闭selinux的办法:
#setenforce 0
修改文件
#vi /etc/sysconfig/selinux
把 SELINUX设定为disable, 下次启动系统后将会停止SElinux。
IPTABLES
1、 查看iptables
#service iptables status
2、 启动iptables
#service iptables start
3、 关闭iptables
#service iptalbes stop
4、 重启后永久生效iptables
#chkconfig iptables on
5、 重启后永久关闭iptables
#chkconfig iptables off
6、 70和115的所用的iptables的脚本
#!/bin/sh
iptables -F
iptables -F -t nat
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 119.130.112.228 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 121.9.227.43 -p tcp --dport 3306 -j ACCEPT
iptables -A INPUT -s 119.130.112.228 -p tcp --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
/etc/rc.d/init.d/iptables save
7、 IPTABLES规则说明
# iptables –L –n 查看本机的设置情况
# iptables -F 清除预设表filter中的所有的链的规则
# iptables –X 清除预设表filter中使用者自定链的规则
# /etc/rc.d/init.d/iptables save 写到/etc/sysconfig/iptables文件里
# iptables -P INPUT DROP 链规则INPU处理数据包的规则是DROP(放弃)
# iptables -P OUTPUT ACCEPT 链规则OUTPUT处理数据包的规则是ACCEPT(通过)
# iptables -P FORWARD ACCEPT 链规则INPU处理数据包的规则是DROP(放弃)
注:如果你是远程SSH登陆的话,当你输入第一个命令回车的时候就应该掉了.因为你没有设置任何规则.
远程SSH登录,开启22端口
# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
这个规则,如果把OUTPUT 设置成DROP的就要写上这一步,始终无法SSH。
WEB服务器,开启80端口
# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
允许icmp包通过,也就是允许ping,
# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT设置成DROP的话)
# iptables -A INPUT -p icmp -j ACCEPT (INPUT设置成DROP的话)
允许loopback!(不然会导致DNS无法正常关闭等问题)
#IPTABLES -A INPUT -i lo -p all -j ACCEPT (如果是INPUT
DROP)
#IPTABLES -A OUTPUT -o lo -p all -j ACCEPT(如果是OUTPUT DROP)
减少不安全的端口连接
# iptables -A OUTPUT -p tcp --sport 31337 -j DROP
# iptables -A OUTPUT -p tcp --dport 31337 -j DROP
注:有些些特洛伊木马会扫描端口31337到31340(即黑客语言中的 elite 端口)上的服务。既然合法服务都不使用这些非标准端口来通信,阻塞这些端口能够有效地减少你的网络上可能被感染的机器和它们的远程主服务器进行独立通信的机会还有其他端口也一样,像:31335、27444、27665、20034 NetBus、9704、137-139(smb),2049(NFS)端口也应被禁止,
只允许192.168.0.3的机器进行SSH连接
# iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT