下載、安裝與配置

下載

下載Centos鏡像,，網(wǎng)站見參考

點擊大的版本,，例如7，再選擇isos進行下載

安裝

這里使用的VMware 12 Pro,，以Centos7為例，新建新的虛擬機-自定義-下一步

繼續(xù)選擇下一步,，然后選擇稍后安裝-下一步

選擇Linux-Red Hat Enterprise Linux 7 64位

填寫名字,，選好位置

核數(shù)和宿主機一致即可

內(nèi)存，看個人要使用什么了,，我一般是選擇宿主機的一半,，平時開虛擬機的話就不會在宿主機開太多軟件了

網(wǎng)絡(luò)都可以,，看個人習(xí)慣

下一步直到分配磁盤大小,，選擇合適磁盤大小，改為單個文件如果你只會在自己的電腦上使用的話

可以刪除沒有的硬件，例如打印機，選擇光驅(qū)

選擇鏡像，就是前面下載的.iso文件

處理器添加虛擬化（之后學(xué)習(xí)KVM需要）

之后點擊完成即可

配置

打開虛擬機，選擇語言

軟件選擇，新手可以選擇帶GUI的,，選擇開發(fā)工具（帶有g(shù)cc等），我就選擇最小安裝了

安裝位置選擇磁盤即可,，我要配置分區(qū)

選擇標(biāo)準分區(qū)，添加掛載點/boot，選擇1024，防止后序yum update空間不足

添加 / 掛載點

添加swap掛載點

完成，接收更改
之后添加網(wǎng)絡(luò),，這里改為手動,，步驟如下。注意網(wǎng)關(guān)最后是1還是2

主機名修改一下,，這里就使用centos+ip最后一位,，這樣之后當(dāng)有其他虛擬機，例如192.168.x.4訪問這臺主機的時候就不用記ip了,，例如訪問Web服務(wù)，http://centos3:80/index.html

點擊開始安裝,，設(shè)置下密碼

重啟,，之后你可以ping一下www.baidu.com,，試一下網(wǎng)絡(luò)
---------2022-04-13更新-------------

主機名與映射

主機名是可以修改的

hostnamectl set-hostname centos3

重啟一下即可
ip不方便記住，可以使用映射

vim /etc/hosts

127.0.0.1 centos3

---------2022-04-13更新完畢------------

軟件安裝與卸載

軟件包說明

rpm包的獲取方式

1. Centos系統(tǒng)鏡像光盤
2. 網(wǎng)站rpmfind.net
3. 軟件官網(wǎng)
4. centos yum源或rpm手動下載

rpm包安裝后一般保存在/var/lib/rpm/目錄下

命令學(xué)習(xí)

rpm下載安裝（不推薦）

命令

rpm [Option...]

常用參數(shù)

rpm -q [Option...]

參數(shù)	含義
-a	查看所有安裝的軟件包
-f	系統(tǒng)文件名
-i pkgname	顯示已安裝的包pkgname的信息
-l	查詢軟件包中文件安裝的位置
-p name	查詢未安裝軟件包name的相關(guān)信息
-R	查詢軟件包的依賴性
舉個例子：
卸載

rpm -e pkgname 

建議添加–nodeps，不去卸載依賴關(guān)系包

yum管理（推薦）

自動處理依賴性關(guān)系，一次性安裝所有依賴的軟件包

yum [options] COMMAND

常用命令

搜索：yum search xxx
安裝：yum -y install xxx
卸載：yum -y remove xxx
更新：yum -y update xxx

-y省的交互輸入y了

常用軟件下載與安裝

ifconfig

網(wǎng)絡(luò)查看

yum -y install net-tools.x86_64

ssh

遠程連接，安裝服務(wù)端與客戶端

yum -y install openssh-server openssh-clients

vim

比vi好像用的文本編輯器

yum -y install vim

tree

目錄樹形結(jié)構(gòu)查看

yum -y install tree

wget

文件下載

yum -y install wget

圖形化界面

如果你還是想用圖形化界面,，可以這樣安裝

yum groupinstall "GNOME Desktop" "Graphical Administration Tools"

使用

init 5

進入圖形界面,，使用

init 3

回到命令行界面
到了這里，差不多必備的軟件就全了,。接下來在練習(xí)命令的時候,，你可能會創(chuàng)建一些文件、目錄,、用戶等,，也可能誤操作導(dǎo)致系統(tǒng)損壞,，網(wǎng)絡(luò)不通等問題，因此,，強烈建議不再動這個,，而是以此為母版，克隆一些,。
例如：
Centos7-test：練習(xí)Linux命令
Centos7-docker：練習(xí)Docker使用
Centos7-web：練習(xí)Web開發(fā)與部署
之后不需要了可以直接刪除,。

克隆與網(wǎng)絡(luò)連接

上了班一般設(shè)置自動快照，網(wǎng)絡(luò)一般不用管,，都是云服務(wù)器,，有外網(wǎng)ip和VPC。這里還是簡單配置一下,。

克隆

我不會動母版,，所以都是使用鏈接克隆，可以節(jié)省空間

原來的是NAT的,，克隆了一個Bridge的,。之后NAT的不再開機，只做母版留著克隆,。

網(wǎng)絡(luò)連接

VM與物理機設(shè)置

類型	ip	子網(wǎng)掩碼	網(wǎng)關(guān)	DNS
物理機/宿主機/主機	192.168.31.164	255.255.255.0	192.168.31.1	自動
橋接虛擬機	192.168.31.3	255.255.255.0	192.168.31.1	192.168.31.1
NAT虛擬機	192.168.100.3	255.255.255.0	192.168.100.2	8.8.8.8;114.114.114.114
橋接設(shè)置
選擇與物理機一直的網(wǎng)卡即可
NAT設(shè)置
設(shè)置網(wǎng)關(guān)
設(shè)置子網(wǎng)ip，子網(wǎng)掩碼,，dhcp
Host-Only設(shè)置
設(shè)置子網(wǎng)ip,，子網(wǎng)掩碼，dhcp
物理機/宿主機/主機設(shè)置
網(wǎng)絡(luò)連接
ip自動
ipconfig查看
接下來設(shè)置虛擬機

橋接模式

主機網(wǎng)卡與虛擬機虛擬的網(wǎng)卡,，利用網(wǎng)橋進行通信,。類似于虛擬一個交換機，所有橋接設(shè)置的虛擬機連接到這個交換機的一個接口上,，物理主機也同樣插在這個交換機中,。
注意：虛擬機ip地址需要與主機在同一個網(wǎng)段，如果需要聯(lián)網(wǎng),，網(wǎng)關(guān)與DNS保持一致,。
虛擬機網(wǎng)絡(luò)適配器設(shè)置為橋接模式

修改網(wǎng)絡(luò)配置

cd /etc/sysconfig/network-scripts

文件一般為ifcfg-ensxx，你的可能不是33

修改為協(xié)議為static,，設(shè)置靜態(tài)ip,，網(wǎng)關(guān)，dns

重啟網(wǎng)絡(luò)

/etc/init.d/network restart

測試網(wǎng)絡(luò)
發(fā)現(xiàn)無法ping通宿主機,，但是可以訪問主機http服務(wù)（這里使用的python -m http.server開啟的）

所以,，應(yīng)該是宿主機防火墻的問題
設(shè)置防火墻

啟用上圖所示的虛擬機監(jiān)控，啟用后前面會有綠色對勾
測試訪問主機與外網(wǎng)

測試主機訪問虛擬機

NAT（地址轉(zhuǎn)換）模式

借助虛擬NAT設(shè)備和虛擬的DHCP,，虛擬機和物理機共用一個IP,。
注意：虛擬機使用NAT模式時,，Linux系統(tǒng)要配置成dhcp。
虛擬機網(wǎng)絡(luò)適配器設(shè)置為NAT模式

修改網(wǎng)絡(luò)配置

cd /etc/sysconfig/network-scripts

文件一般為ifcfg-ensxx,，你的可能不是33

修改為dhcp,，設(shè)置個靜態(tài)ip

重啟網(wǎng)絡(luò)

/etc/init.d/network restart

測試網(wǎng)絡(luò)

測試主機訪問虛擬機

Host-Only模式

將虛擬機與外網(wǎng)隔開，使得虛擬機成為一個獨立的系統(tǒng),，只與主機互相通訊,。相當(dāng)于NAT模式去除了虛擬NAT地址轉(zhuǎn)換功能。
這個我不用,，就不展示了,。

文件與目錄

自帶目錄

• bin：二進制文件目錄，/usr/bin的軟鏈接
• boot：系統(tǒng)啟動相關(guān)的文件
• dev：Device,，設(shè)備文件目錄,，聲卡、磁盤等
• etc：常用系統(tǒng)及二進制安裝包配置文件默認路徑 例如,，/etc/passwd /etc/hosts
• home：普通用戶家目錄
• lib：庫文件目錄,，/usr/lib的軟鏈接
• lib64：庫文件目錄，/usr/lib64的軟鏈接
• media,、mnt：臨時掛載存儲設(shè)備的目錄
• opt：有些軟件會安裝在這里
• proc：操作系統(tǒng)運行時,，進程信息及內(nèi)核信息存放在這里，例如,，/proc/cpuinfo
• root：root用戶家目錄
• run：運行目錄,，存放系統(tǒng)運行時數(shù)據(jù)
• sbin：大部分系統(tǒng)管理命令存放目錄，root可執(zhí)行命令存放目錄,，/usr/sbin的軟鏈接
• srv：服務(wù)目錄,，存放本地服務(wù)相關(guān)文件
• sys：系統(tǒng)目錄，存放硬件信息
• tmp：臨時文件目錄
• usr：存放應(yīng)用程序和文件 /usr/bin（普通用戶的應(yīng)用程序）,、/usr/lib （庫文件）
• var：系統(tǒng)和軟件運行時產(chǎn)生的日志信息,，例如，/var/log

進階前的命令就不展示了,，可以看參考的Linux基礎(chǔ)

目錄

• cd：change dirctory
• pwd：print working directory
• ls：list
• mkdir：make directory
• rm：remove
• rmdir：remove directory,，不推薦，可使用rm代替

文件

• touch
• echo
• mv
• cp
• head
• tail
• cat
• more
• less
• ln
• grep
• find
• locate

>：用前面的內(nèi)容覆蓋掉后面文件的內(nèi)容
>>：用前面的內(nèi)容追加到后面的文件尾部
|：管道,，前面的做后面的輸入

壓縮與備份

• zip
• unzip
• tar

用戶與權(quán)限管理

用戶

• whoami
• id
• useradd
• passwd
• userdel
• usermod
• su

用戶組

• groupadd
• groupdel

權(quán)限

• chown
• chgrp

系統(tǒng)管理

系統(tǒng)查看

系統(tǒng)版本

lsb_release -a

cat /etc/issue

內(nèi)核版本

uname -a

-r參數(shù)獲取部分

cpu信息

cat /proc/cpuinfo

cpu和內(nèi)存使用

top

時間日期

• date：日期
• cal：日歷

任務(wù)調(diào)度

• crontab

進程管理

• ps：進程查看
• kill：殺死進程

其他

• history：歷史命令
• runlevel：運行級別
• init
• help
• man
• shutdown：關(guān)機
• poweroff：關(guān)機
• halt：關(guān)機
• reboot：重啟

進階

服務(wù)管理

service（不推薦）

service 服務(wù)名 [start | stop | restart | reload | status]

• start：啟動
• stop：停止
• restart：重啟
• reload：重新載入
• status：狀態(tài)

查詢sshd服務(wù)狀態(tài)

service sshd status

systemctl

systemctl [Options...] {COMMANDS...}

start：啟動
stop：停止
status：狀態(tài)
reload：重新載入
restart：重啟
enable：開機啟動
disable：取消開機啟動
開機啟動sshd服務(wù)

systemctl enable sshd

文件

sed

這個命令最厲害的地方在于在文件中間進行插入,，替換，刪除

sed [-hnV][-e<script>][-f<script文件>][文本文件]

參數(shù)說明

• -e<script>或–expression=<script> 以選項中指定的script來處理輸入的文本文件,。
• -i 修改源文件

動作說明

• a ：新增,， a 的后面可以接字串，而這些字串會在新的一行出現(xiàn)(目前的下一行),；
• c ：取代,， c 的后面可以接字串,，這些字串可以取代 n1,n2 之間的行！
• d ：刪除,，因為是刪除啊,，所以 d 后面通常不接任何東東；
• i ：插入,， i 的后面可以接字串,，而這些字串會在新的一行出現(xiàn)(目前的上一行)；
• p ：打印,，將某個選擇的數(shù)據(jù)印出,。通常 p 會與參數(shù)-n一起運行
• s ：取代，通常這個 s 的動作可以搭配正規(guī),！例如 1,20s/old/new/g
  創(chuàng)建文件tested,，并寫入一些內(nèi)容，內(nèi)容如下
  
  在第四行后插入一行內(nèi)容,，內(nèi)容為：新的第5行

sed -e 4a\新的第5行 testsed

注意：默認是將結(jié)果輸出到控制臺,，而不是文件，可以使用重定向>來放到新的文件,，例如

sed -e 4a\新的第5行 testsed > newtestsed

在第3行前插入內(nèi)容,，內(nèi)容為：新的第3行

sed '3i 新的第3行' testsed

刪除第4-5行

sed "4,5d" testsed

取代第3,4行：內(nèi)容為第3-4行

sed '3,4c 第3-4行' testsed

搜尋含有4的行，并輸出,，帶有行號

sed -n '4p' testsed

直接替換是這樣的

's/要被取代的字串/新的字串/g'

將第2-4行的這是替換為這個是

前面都是輸出到控制臺或重定向到新文件,，testsed文件還未改變，接下來說一下直接修改源文件?。?！注意測試時不要使用系統(tǒng)配置,，或記得備份
把所有數(shù)字，改為number

sed -i 's/[0-9]/number/g' testsed

磁盤

mount

掛載
掛載/dev/vda到/data下

mount /dev/vda /data

df

disk free,，磁盤情況統(tǒng)計

df -Th

fdisk

一個創(chuàng)建和維護分區(qū)表的程序
查看分區(qū)情況

fdisk -l

磁盤這里,，如果你是云服務(wù)商用戶，可以嘗試買一塊數(shù)據(jù)盤,，掛載一下

-------------2022-03-13更新-----------------

安全

selinux

一般都會關(guān)閉
1,、臨時關(guān)閉（不用重啟機器）

setenforce 0

2、修改配置文件（需要重啟機器）
修改/etc/selinux/config 文件
將SELINUX=enforcing改為SELINUX=disabled
重啟機器即可

iptables（centos 5,、6）

iptables會加大延遲,，一般內(nèi)網(wǎng)關(guān)閉，外網(wǎng)看情況
iptables是用于配置 Linux 2.4.x 及更高版本包過濾規(guī)則集的用戶空間命令行程序,。它面向系統(tǒng)管理員,。
由于網(wǎng)絡(luò)地址轉(zhuǎn)換也是從數(shù)據(jù)包過濾規(guī)則集配置的,，因此也使用iptables。
iptables 包還包括 ip6tables,。 ip6tables用于配置 IPv6 包過濾器,。
簡單說，iptables是一個規(guī)則表鏈,，用于包過濾和NAT

yum install iptables-service

systemctl [stop|start|restart|status] iptables

使用

man iptables

查看選項等信息

匹配流程

層層匹配
匹配到就不再繼續(xù)匹配了,，不論是丟棄還是接受，直接處理

5 tables && 5 chains && many policies

表包含鏈,，鏈包含規(guī)則
前面man的手冊往下繼續(xù)翻看,，可以找到表

• filter：默認表，不用-t參數(shù)指定,，進行包過濾,，有INPUT、FORWARD,、OUTPUT三條鏈
• nat： 地址轉(zhuǎn)換,，用于代理，進行包轉(zhuǎn)發(fā),，有創(chuàng)建新連接的包時,，考慮此表，類似網(wǎng)絡(luò)交換機的acl,，有PREROUTING,、OUTPUT、POSTROUTING三條鏈
• mangle： 有PREROUTING,、INPUT,、FORWARD、OUTPUT,、POSTROUTING
• raw：基本沒用過的表,，有PREROUTING、OUTPUT兩條鏈
• security：安全表,，新版本才有的,，結(jié)合SELINUX，在filter表之后使用,，有INPUT,、FORWARD、OUTPUT三條鏈

接下來,，說說五條鏈
INPUT：入站,，過濾目的地址是本機的數(shù)據(jù)包
OUTPUT：出站，過濾源地址是本機的數(shù)據(jù)包
FORWARD：轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)流經(jīng)主機的數(shù)據(jù)包
PREROUTING：預(yù)路由,，路由判斷之前執(zhí)行的規(guī)則鏈,，改變數(shù)據(jù)包的目的地址、目的端口等,。
POSTROUTING：已路由,，路由判斷之后執(zhí)行的規(guī)則鏈，改變數(shù)據(jù)包的源地址,、源端口等,。

接下來說說語法、規(guī)則
部分語法如下

iptables -t 表名 [命令選項] [匹配條件] [-j 控制類型]

查看規(guī)則列表
-L			#列出所有的規(guī)則條目
-n			#以數(shù)字形式顯示地址,、端口等信息
-v			#以更詳細的方式顯示規(guī)則信息
--line-numbers		#查看規(guī)則時,，顯示規(guī)則的序號（方便通過序號刪除規(guī)則）

添加新的規(guī)則
-I			#在鏈的開頭（或指定序號）插入一條規(guī)則
-A			#在鏈的末尾追加一條規(guī)則

刪除、清空規(guī)則
-D			#刪除鏈內(nèi)指定序號（或內(nèi)容）的一條規(guī)則
-F			#清空所有的規(guī)則
-X			#是清理自定義的鏈,，用的少
-Z			#清理規(guī)則序號

設(shè)置默認規(guī)則
-P     	#為指定的鏈設(shè)置默認規(guī)則
-p			#指定協(xié)議名稱
-s			#指定地址
-i			#指定網(wǎng)段
--dport			#指定端口
-m multiport --sports   #指定多源端口
-m multiport --dports   #指定多目的端口
-m iprange --src-range	#指定IP范圍
-m mac --mac-source		#指定mac
-m state --state		#指定狀態(tài)

整個規(guī)則就是條件+處理方式
條件可以是目的ip地址,、目的端口、數(shù)據(jù)包類型等
處理方式常見：
ACCEPT：接受
DROP：丟棄
REJECT：拒絕
JUMP：跳轉(zhuǎn)
MATCH：匹配

實踐

查看所有鏈規(guī)則

iptables -L

firewalld(centos 7)

上圖為iptables和firewall的關(guān)系,，在service層面是平級的,，然后firewall最終還是調(diào)用的iptables的command。去執(zhí)行內(nèi)核的netfilter,。

firewall使用時隔離iptables,，隔離與取消隔離命令如下

systemctl mask iptables
systemctl umask iptables

firewalld使用的越來越多了,，下面這些都在使用

• RHEL 7+
• CentOS 7+
• Fedora 18+
• SUSE 15+
• OpenSUSE 15+

架構(gòu)與概念

firewalld的架構(gòu)如下圖所示

firewalld 有兩層設(shè)計：核心層和頂層的 D-Bus 層。核心層負責(zé)處理配置和后端,，如 firewalld.conf,、iptables、ip6tables,、ebtables,、ipset等。
firewalld D-Bus 接口是更改和創(chuàng)建防火墻配置的主要方式,。所有 firewalld 提供的在線工具都使用該接口，例如 firewall-cmd,、firewall-config 和 firewall-applet,。

zone
不同的區(qū)域之間的差異是其對待數(shù)據(jù)包的默認行為不同，根據(jù)區(qū)域名字我們可以很直觀的知道該區(qū)域的特征,，在CentOS7系統(tǒng)中,，默認區(qū)域被設(shè)置為public。

通過將網(wǎng)絡(luò)劃分成不同的區(qū)域，制定出不同區(qū)域之間的訪問控制策略來控制不同程序區(qū)域間傳送的數(shù)據(jù)流,。
開啟firewalld后,，使用命令

firewalld-cmd --list-all-zone

可以查看所有zone，包含以下幾種zone

• block：任何進入的網(wǎng)絡(luò)連接都被拒絕,，并返回 IPv4 的 icmp-host-prohibited 報文或者 IPv6 的 icmp6-adm-prohibited 報文,。只允許由該系統(tǒng)初始化的網(wǎng)絡(luò)連接。
• drop：任何流入網(wǎng)絡(luò)的包都被丟棄,，不作出任何響應(yīng),。只允許流出的網(wǎng)絡(luò)連接。
• external：用在路由器等啟用偽裝的外部網(wǎng)絡(luò),。你認為網(wǎng)絡(luò)中其他的計算機不可信并且可能傷害你的計算機,。只允許選中的連接接入。
• internal：用在內(nèi)部網(wǎng)絡(luò),。你信任網(wǎng)絡(luò)中的大多數(shù)計算機不會影響你的計算機,。只接受被選中的連接。
• home：用在家庭網(wǎng)絡(luò),。你信任網(wǎng)絡(luò)中的大多數(shù)計算機不會影響你的計算機,。只接受被選中的連接。
• public：用以可以公開的部分,。你認為網(wǎng)絡(luò)中其他的計算機不可信并且可能傷害你的計算機,。只允許選中的連接接入。
• trusted：允許所有網(wǎng)絡(luò)連接,。
• work：用在工作網(wǎng)絡(luò),。你信任網(wǎng)絡(luò)中的大多數(shù)計算機不會影響你的計算機。只接受被選中的連接,。
• zmd：用以允許隔離區(qū)（dmz）中的電腦有限地被外界網(wǎng)絡(luò)訪問,。只接受被選中的連接。

zone內(nèi)規(guī)則匹配優(yōu)先級

• 關(guān)聯(lián)zone的源網(wǎng)段
• 關(guān)聯(lián)zone的網(wǎng)卡
• IP地址,、網(wǎng)卡都沒有關(guān)聯(lián)zone,，進入默認zone

使用

firewall-cmd、firewall-config和firewall-applet,，這里僅展示firewall-cmd的部分功能,。
部分命令

禁止訪問本主機http服務(wù)
開啟防火墻前

http服務(wù)是Python3開啟的

開啟firewalld

systemctl start firewalld

添加源網(wǎng)段

firewall-cmd --permanent--add-source= --zone=block

注意,，此時還沒有添加上

使用

firewall-cmd--reload

重載一下

firewall-cmd --permanent--add-service=http --zone=block
firewall-cmd --reload

之后再訪問

恢復(fù)訪問可采用添加到trusted的方式

firewall-cmd --permanent --add-source= --zone=trusted
firewall-cmd --permanent --add-service=http --zone=trusted
firewall-cmd --reload

個人更喜歡這種白名單的方式

參考

Centos阿里云鏡像下載
Linux基礎(chǔ)
Linux命令大全
騰訊云-云硬盤擴展
netfilter-iptables
centos6 iptables&centos7 firewall
firewalld