• Centos7变动

    Nmtui:网络配置图形界面

    Systemctl:管理systemd的单元

    Service:系统服务

    Socket:进程间的通信

    Busname:

    Target:多个unit构成的组,运行级别

    Snapshot:systemd快照,yunxin运行级别

    Snapshot:systemd快照,可以快速的切换某个快照

    Device:硬件设备

    Mount:文件系统挂载点

    Automount:自动挂载点

    Swap:swap的文件

    Timer:定时器

    Path:文件或者路径

    Slice:进程组

    Scope:不是由system启动的外部进程

    Systemctl 查看所有对象

    Systemctl -d 查看所有对象相关的内容

    Systemctl is-active sshd  查看sshd服务是否开启

    Systemd 好处

    1. 并行化功能。提高启动速度
    2. 按需启动守护进程。而不需要单独的服务
    3. 自动服务依赖关系管理系统。可以防止时间超时 例如:网络不可用的时候,不能启动网络服务

    System 管理的内容叫对象 (也叫做单元)

    Nice用法

    id + 用户名 查看用户id

    nice -n 5 httpd 调整httpd的优先级为5

    取值范围 nice -20~19 越小优先级越高

    普通用户 0-19

    Root -20~19

    systemd提供更优秀的框架以表示系统服务间的依赖关系

    实现系统初始化时服务的并行启动,同时达到降低Shell的系统开销的效果

    systemd的目标是:尽可能启动更少进程;尽可能将更多进程并行启动。

    systemd尽可能减少对shell脚本的依赖。

    systemd单位类型

    (systemctl --type=单位类型,用来过滤单位):

    服务(service):管理着后台服务;

    挂载(mount)自动挂载(automount):用来挂载文件系统;

    目票(target):运行级别;

    套接字(socket):用来创建套接字,并在访问套接字后,立即利用依赖关系间接地启动另一单位;

    开机服务管理

    =================================================

    systemd添加新的unit(daemon)

    也就是采用systemd来管理,/sbin/chkconfig --add foo相当

    把新生成的foo.service 放到/usr/lib/systemd/system/下面,然后采用load命令导入

    systemctl load foo.service

    删除unit(daemon)

    删除一个unit没有相应的命令,通常的做法是停掉daemon,然后删除相应的配置文件。

    开机启动unit

    systemctl enable postfix.service

    增加由/usr/lib/systemd/system/到/etc/systemd/system/multi-user.target.wants/下的软链接

    ln -s '/usr/lib/systemd/system/postfix.service' '/etc/systemd/system/multi-user.target.wants/postfix.service'

    开机不启动unit

    systemctl disable httpd.service

    删除/etc/systemd/system/multi-user.target.wants下的软链接

    查看开机是否启动

    systemctl is-enabled .service #查询服务是否开机启动

    systemd查看开机自启动的程序

    相当于chkconfig --list

    ls /etc/systemd/system/multi-user.target.wants/

    查看systemd单元加载及活动情况

    systemctl

    显示启动失败的单元

    systemctl --failed

    查看systemd管理的所有单元

    systemctl list-unit-files

    服务管理

    =================================================

    启动服务

    systemctl start httpd.service

    关闭服务

    systemctl stop httpd.service

    重启服务

    systemctl restart httpd.service

    重新加载

    systemctl reload httpd.service

    查看状态

    systemctl status httpd.service

    包括启动状态、启动时间、主进程及相关进程、相关日志

    运行级别

    =================================================

    systemd用target替代了runlevel的概念,多个的 'target' 可以同时激活

    systemd不使用/etc/inittab,如何查看系统默认的运行级别

    ll /etc/systemd/system/default.target

    查看这个软链接真正指向的文件

    如何查看系统的当前运行级别

    runlevel依然可用

    systemd的方法是:systemctl list-units --type=target

    改变当前target,重启无效

    systemctl isolate graphical.target

    修改默认运行级别

    1.首先删除已经存在的符号链接

    rm /etc/systemd/system/default.target

    2.默认级别转换为3(文本模式)

    systemctl enable multi-user.target

    相当于ln -s /lib/systemd/system/multi-user.target /etc/systemd/system/default.target

    ln -s /lib/systemd/system/multi-user.target > /lib/systemd/system/default.target

    3.重启

    reboot

    运行级别如下:

    runlevel0.target -> poweroff.target

    runlevel1.target -> rescue.target

    runlevel2.target -> multi-user.target

    runlevel3.target -> multi-user.target

    runlevel4.target -> multi-user.target

    runlevel5.target -> graphical.target

    runlevel6.target -> reboot.target

    pstree   //pstree命令以树状图的方式展现进程之间的派生关系,显示效果比较直观

    systemctl -t help   //列出可管理的单元类型

    systemctl --type=service    //

    systemctl list-unit-files   //列出已安装的单元

    systemctl is-active sshd   //查看sshd目前是否为启动

    使用說明

    # systemctl --help

    列出已安裝「php*」開頭的單元

    # systemctl list-unit-files php*

    將 php-fpm.service 設為開機自動啟動

    # systemctl enable php-fpm.service

    將 php-fpm.service 設為開機不自動啟動

    # systemctl disable php-fpm.service

    查看 php-fpm.service 目前是否設為開機自動啟動

    # systemctl is-enabled php-fpm.service

    啟動 php-fpm.service

    # systemctl active php-fpm.service

    停止 php-fpm.service

    # systemctl stop php-fpm.service

    查看 php-fpm.service 狀態

    # systemctl status php-fpm.service

    防火墙区域Zone 概念

    丢弃drop:任何流入的方向都被丢弃,且不做出任何反馈。只允许流出方向。

    阻塞block:任何流入方向都拒绝,但是返回icmp-host-prohibited错误

    公开public:允许部分服务。和选中的服务流入

                默认只允许DHCP 和SSH

    外部external:用于路由器的伪装网络(俗称:SNAT)

               默认入展只允许SSh

    隔离DMZ:限制被外界网络访问。需要手动开转发

               默认入站只允许SSH

    工作work: 只允许被选中的链接

               默认DHCP,IPP和SSH

    家庭home: 只允许被选中的连接

               默认DHCP DNS IPP samba SSH

    内部internal:和home一样

    信任trusted:完全允许所有。进出都一样的

    一个请求时如何判断在那个区域呢?

    1、如果源IP与zone的source相同,那么匹配该规则

    2、如果客户端进入某个端口属于zone的interface,则属于这个规则

    3、如果两个条件都不满足,进入default zone

    防火墙用法策略及参数

    firewall-config进入防火墙配置

    firewall-cmd --list-all  查看配置

    firewall-cmd --zone=public --list-all  查看某一区域的配置

    firewall-cmd --get-zones查看当前能用的区域

    firewalld-cmd --list-all-zones  查看所有区域

    firewall-cmd -state  防火墙状态

    firewall-cmd --get-active-zones 当前正在激活的区域

    firewall-cmd --get-services 查看当前区域支持的服务

    firewall-cmd --get-zone-of-interface=ens33 查看当前所在的区域

    firewall-cmd --list-ports 查看端口

    firewall-cmd --set-default-zone=internal  切换默认区域

    firewall-cmd --zone=work --add-interface=ens33  将ens33放在那个区域

    firewall-cmd --zone=work --add-service=http   增加服务到某个区域

    firewall-cmd --zone=work --change-interface=enp0s4

    firewall-cmd --zone=internal --list-all

    firewall-cmd --zone=internal --remove-service=http  这个区域内允许通过http这个服务

    firewall-cmd --zone=public --query-service=ssh  查看某个服务是否在这个区域

    firewall-cmd --zone=work --add-port=80/tcp  增加tcp/80端口

    firewall-cmd --zone=work --query-port=20-30/tcp 查看端口

    firewall-cmd --zone=work --add-masquerade  添加启动上网

    firewall-cmd --zone=work --query-masquerade 查看某个区域是否可以上网

    firewall-cmd --zone=work --add-icmp-block=echo-reply 阻塞,区域内无法ping通

    启用work区域客户端传入到80/tcp,就把数据转发给192.168.1.1的端口8080/tcp

    firewall-cmd --zone=work --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.1.1

    firewall-cmd --permanent --zone=public --add-source=192.168.1.0/24   源地址是这个就进入到public

    富策略语法

    Rule family=ipv4/ipv6

    Source address=<ip/mask> invert=true

    Destination address=ip/mask invert=true

    Service name=<server-name>

    Port=<port>protocol=<tcp/udp>

    Drop/reject/accept/log/adit

    firewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=1.1.1.100/8 forward-port port=8888 protocol=tcp to-port=80'

    1. 开放端口或者权限,需要先看默认的zone是哪个然后在对应的zone里面添加port和source,这样才会有作用。

    firewall-cmd --permanent --zone=public --add-port=80/tcp

    firewall-cmd –reload 更新规则不重启服务

    比如:默认端口是public,我们需要开放80对外访问

    1. 永久生效尽量使用

    firewall-cmd --set-default-zone=internal 修改默认区域

    firewall-cmd --get-default-zone 查看默认区域

    每隔两分钟阻止某个ip访问某个区域

    firewall-cmd --permanent --zone=dmz --add-rich-rule='rule family=ipv4 source address=192.168.1.100 service name=http log limit value=2/m'

    阻止10网段的人访问我

    firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.0/24 drop'

    允许在DMZ区域的人可以上网

    firewall-cmd --permanent --zone=dmz --add-rich-rule='rule family=ipv4 source address=192.168.0.0/24 masquerade'

    数据包转发语法:

    firewall-cmd [--zone=<zone>] --add-forward-port=<port>[-<port>]:proto=<protocol>{:toport=<port>[-<port>] | toaddr=<address>}

    例子:

    启动work区域客户端传入到80/tcp数据包,转发到192.168.1.1的8080/tcp

    [root@localhost ~]# firewall-cmd --zone=work --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.1.1

    [root@localhost ~]# firewall-cmd --set-default-zone=public       //设置默认区域为public

    success

    [root@localhost ~]# firewall-cmd --zone=public --change-interface=enp0s3  //修改public区域接口为enp03

    success

    [root@localhost ~]# firewall-cmd --zone=public --list-all  //查看public区域所有

    [root@localhost ~]# firewall-cmd --zone=dmz --change-interface=enp0s3

    success

    [root@localhost ~]# firewall-cmd --permanent --zone=dmz --add-service=http

    //给dmz区域添加http服务永久生效

    [root@localhost ~]# firewall-cmd --permanent --zone=dmz --add-rich-rule 'rule family=ipv4 source address=192.168.1.1 service name=http reject'

    永久生效

    [root@localhost ~]# firewall-cmd --permanent --zone=dmz --add-rich-rule 'rule family=ipv4 source address=192.168.1.100 service name=http log limit value=2/m'

    success

    [root@localhost ~]# firewall-cmd --reload

    Success

    对所有区域生效

    [root@localhost ~]# firewall-cmd --permanent --zone=dmz --add-rich-rule 'rule family=ipv4 source address=10.0.0.0/24 drop'

    success

    [root@localhost ~]# firewall-cmd --permanent --zone=dmz --add-rich-rule 'rule service name=ssh accept limit value=3/m'

    Success

    Dmz区域都可以上网

    [root@localhost ~]# firewall-cmd --permanent --zone=dmz --add-masquerade

    Success

    Dmz区域192.168.1.0网段可以上网

    [root@localhost ~]# firewall-cmd --permanent --zone=dmz --add-rich-rule 'rule family=ipv4 source address=192.168.1.0/24 masquerade'

    Success

    恐慌模式:应急  断开一切链接

    firewall-cmd --query-panic

    firewall-cmd --panic-on  关闭 off

    firewall-cmd --zone=work --add-masquerade  某个区域可以上网  remove 禁止上网

    安装docker

    先确认虚拟机能上网

    Yum源文件:

    [dockerrepo]

    name=Docker Repository

    baseurl=https://yum.dockerproject.org/repo/main/centos/7/

    enabled=1

    gpgcheck=1

    gpgkey=https://yum.dockerproject.org/gpg

    Nmtui  修改成动态获取ip地址

    Yum -y install docker-engine

    Docker --version  查看版本是17以上的就成功

    Systemctl restart docker.service  启动docker

    Curl -sSl 加网址 //去https://www.daocloud.io/登陆点小火箭 选linux下的复制粘贴到虚拟机执行

    System restart docker.Service

    Docker pull centos

    Docker images
  • 相关阅读:
    Mybatis的缓存
    Mybatis使用assocation和Collection实现延迟加载
    Mybatis:一对多的查询
    Mysql:事务
    Mysql:多表查询
    Mysql:数据库的设计
    Mysql:约束
    MYSQL:DQL-查询表中的记录
    panic: cannot create context from nil parent
    $request input 获取参数null
  • 原文地址:https://www.cnblogs.com/guarderming/p/9455633.html
Copyright © 2020-2023  润新知