【CyberSecurityLearning 31】Linux网络信息查看与配置、日志文件的管理、备份及日志服务器的搭建
目錄
網絡地址配置
1、確認系統的網卡信息和ip地址
2、關閉networkmanager服務
3、配置網絡地址
通過配置文件配置網絡地址(讓配置的IP地址永久生效)
實驗:
日志文件的管理與應急分析
日志的分類
日志的管理服務
?日志的異地備份(日志服務器建立)
實驗:日志服務器的搭建
實驗環境:
實驗目的:
配置被登錄服務器端:
配置日志記錄服務器:
測試日志服務器是否正常工作?
模擬惡意攻擊者刪除日志情形
網絡地址配置
IP地址 ? 子網掩碼 ? 網關 ? DNS
1、確認系統的網卡信息和ip地址
ip addr
eth0? 00:0c:29:fc:30:79
eth1? 00:0c:29:fc:30:83
2、關閉networkmanager服務
service NetworkManager stop
chkconfig --level 345 NetworkManager off
在開始配置IP地址之前,要先關閉當前這個操作系統已經開啟的一個服務(NetworkManager)
這個服務在6版本里會幫你管理你網卡的網絡地址(對于本次用命令配置IP沒有什么太多幫助,反而會有反作用,建議關掉)
service NetworkManager stop
為了不影響以后實驗,永遠不要開啟它,永久關閉:chkconfig --level 345 NetworkManager off
?
讓我的其中一塊網卡(比如eth0)在虛擬機里和我真實機的網卡做一個橋接,橋接的目的就是讓我真實機和虛擬機處于同一個網絡環境內(局域網)
下面就把我的第一塊網卡進行橋接設定:
任選中一個,點擊高級
把網絡模式設置為橋接模式(原來默認是NAT模式),確定
橋接模式就是直接連接物理網絡
確定后當前狀態:ip addr
3、配置網絡地址
ip link set eth0 up
ip addr add 192.168.0.100/24 dev eth0(配ip)
ip route add default via 192.168.0.1 dev eth0(配路由)
手工配置DNS:
[root@Waffle Desktop]# vim /etc/resolv.conf (它就是dns的解析文件,要記錄dns就往里面寫)
這個文件打開以后只需要隨便找一行寫上:
nameserver 你知道的dns服務器地址
比如:nameserver 202.106.0.20
ip addr add (只需要把對應的ip地址和對應的網絡設備名稱寫上就行,寫的網絡地址要和真實機網絡地址一樣(網絡地址一樣就是網段要一樣),剛剛選的是橋接)
ip addr add 192.168.0.100/24 dev eth0(dev后加設備名稱)
如果不想要這個ip地址把add換成del就行了:ip addr del 192.168.0.100/24 dev eth0
試一下這個地址能不能ping通我的windows(內網)
ip link set eth0 up
現在就能ping通真實機了
能不能ping通真實機實際上取決于真實機是否開啟了防火墻
ping一下外網看看
添加路由表:
[root@Waffle Desktop]# ip route add default via 192.168.0.1 dev eth0(設定默認網關) [root@Waffle Desktop]# ip route 查看路由表 192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.100 default via 192.168.0.1 dev eth0ping一下外網看看:
訪問一個網站看看:
nslookup www.baidu.com(手工解析)驗證我能不能通過dns解析百度——》不行(因為當前操作系統沒有配置DNS)
nslookup的意思是利用本地所記錄的dns服務器地址將我當前的域名發送給那個地址,那個地址會給我返會www.baidu.com這臺主機它自己的ip地址,我通過這個ip才能訪問這個域名
如果我直接拿一個域名去訪問沒有對應IP地址關系,實際上是訪問不了的
手工配置DNS
[root@Waffle Desktop]# vim /etc/resolv.conf (它就是dns的解析文件,要記錄dns就往里面寫) 這個文件打開以后只需要隨便找一行寫上: nameserver 你知道的dns服務器地址 比如:nameserver 202.106.0.20打開火狐瀏覽器,輸入百度看能不能出主頁,能出主頁就說明配置ip地址的實驗就成功了
?
以上就是配置IP地址的全過程(這個配置IP地址只是臨時配置,下面講解如何讓這個配置的IP地址永久生效)
通過配置文件配置網絡地址(讓配置的IP地址永久生效)
以上配置的IP地址當服務器或者虛擬機重啟之后就會失效,下面講解如何讓IP地址永久生效
eth0? IP設定為192.168.1.254/24? 無網關
eth1? IP設置為172.16.1.254/24??? 無網關
linux操作系統中管理網卡的配置文件:/etc/sysconfig/network-scripts/(配置文件都在etc下)
[root@Waffle network-scripts]# vim ifcfg-eth0 打開第一個網卡的配置文件
同理:[root@Waffle network-scripts]# vim ifcfg-eth1 操作如上
設定完后怎么生效?重啟一下network服務
/etc/init.d/network restart
總結: ?
vim /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0??? 網卡設備
TYPE=Ethernet? 類型
ONBOOT=yes shi 是否允許network服務管理該文件
BOOTPROTO=static 靜態獲取
IPADDR=192.168.1.2
NETMASK=255.255.255.0
GATEWAY=192.168.1..254
DNS1=
DNS2=
讓當前配置生效命令:
service network restart
?
實驗:
1、將中間那臺路由器連到虛擬交換機上(centos6-1)
2、打開一臺XP,橋接到vmnet2,配置IP、網關(winxp-1)
看一下能不能互相PING通
3、配置服務器(centos6-2)
連接到vmnet3:
另外一個網卡用不到
通過配置文件配置網絡地址:
vim /etc/sysconfig/network-scripts/ifcfg-eth0
記得重啟network服務:service network restart
嘗試用172.16.1.1去ping 對方1
4、配置路由 開啟路由功能(centos6-1)
要想開啟路由功能,路由功能其實是內核中的一個功能,要想用要開啟它的配置文件
vim /etc/sysctl.conf(內核的配置文件)
執行sysctl -p后生效
回到centos6-2去ping 192.168.1.1
到winxp上去ping172.16.1.1發現目標主機不可達
原因是因為centos6-1開了防火墻(這個防火墻其實是會對路由轉發進行限制)
iptables -nL(查看防火墻)
關閉防火墻:
輸入setup
關閉防火墻后嘗試用winxp去ping 對方主機172.16.1.1 通
用centos2去ping 192.168.1.1 通
?
日志文件的管理與應急分析
日志文件
/var(這個目錄是常變文件存放目錄,里面保存了操作系統經常變換的文件,像日志、郵件)
日志的分類
系統日志(記錄了系統在運行過程中產生的的一些事件,有寫可能是一些故障性的事件,有些可能就是一些正常事件)
massages里面存放系統日志
登錄日志(就是操作系統 誰 什么時間 登錄我? 登錄的時候輸入的密碼正確不正確 不正確在什么時間輸入的...)
secure里面存放登錄日志
程序日志(不同的程序有不同的程序日志,比如Apache,自己有自己的日志,運行的時候有沒有錯誤?誰訪問它?...)
?
日志的管理服務
日志訪問的配置文件:/etc/rsyslog.conf
日志記錄的日志級別:
debug,? info,? notice, warning, warn (same as warning), err, error (same as err), crit, alert, emerg, panic (same as emerg)
最不嚴重? -> 最嚴重
?
日志的異地備份(日志服務器建立)
這個日志不僅保留在本地,在異地也要做備份
如果別人拿到你的root權限
echo "" > /var/log/secure??? 直接清空你的登錄日志,所以日志的異地備份至關重要。
實驗:日志服務器的搭建
實驗環境:
一臺winxp :惡意登錄客戶機
兩臺Centos6.9 被登錄服務器 日志記錄服務器
實驗目的:
了解日志備份服務器的搭建流程,通過搭建日志備份服務器,體會其重要意義。
配置被登錄服務器端:
修改被登錄服務器的配置文件
vim /etc/rsyslog.conf
登錄日志的服務叫authpriv.* @對方主機IP:514 (*.*,前面的*表示服務名稱,后面的*表示日志級別)
?臨時關閉防火墻
setup
配置日志記錄服務器:
vim /etc/rsyslog.conf
因為發送端使用514端口發送數據,故接收端要開啟TCP的514端口接收數據
?配置收誰的日志,收完存哪
?
?service rsyslog restart? ? ? ? ? ? ?//重啟生效?
?檢查514端口是否開啟
ss -antpl | grep 514(t代表tcp協議,l代表監聽)
?
測試日志服務器是否正常工作?
winXP 成功登錄服務器
?在日志記錄服務器上生成了登錄日志文件
?
模擬惡意攻擊者刪除日志情形
惡意客戶機遠程登錄刪除服務器日志
?服務器上的登錄日志被清空
?
而我們日志備份服務器上仍然會記錄登錄日志,防止了日志的丟失。
參考
?
總結
以上是生活随笔為你收集整理的【CyberSecurityLearning 31】Linux网络信息查看与配置、日志文件的管理、备份及日志服务器的搭建的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 专题:区块链与数据共享
- 下一篇: 【CyberSecurityLearni