第2章-配置網(wǎng)絡(luò)和使用ssh服務(wù)

人民郵電出版社|

楊云主編網(wǎng)絡(luò)服務(wù)器搭建、配置與管理—Linux版（第3版）（微課版）第2章配置網(wǎng)絡(luò)和使用ssh服務(wù)2項(xiàng)目導(dǎo)入掌握常見網(wǎng)絡(luò)服務(wù)的配置方法。掌握遠(yuǎn)程控制服務(wù)。掌握不間斷會(huì)話服務(wù)。職業(yè)能力目標(biāo)和要求

作為Linux系統(tǒng)的網(wǎng)絡(luò)管理員，學(xué)習(xí)Linux服務(wù)器的網(wǎng)絡(luò)配置是至關(guān)重要的，同時(shí)管理遠(yuǎn)程主機(jī)也是管理員必須熟練掌握的。這些是后續(xù)網(wǎng)絡(luò)服務(wù)配置的基礎(chǔ)，必須要學(xué)好。

本項(xiàng)目講解了如何使用nmtui命令配置網(wǎng)絡(luò)參數(shù)，以及通過nmcli命令查看網(wǎng)絡(luò)信息并管理網(wǎng)絡(luò)會(huì)話服務(wù)，從而讓您能夠在不同工作場景中快速地切換網(wǎng)絡(luò)運(yùn)行參數(shù)的方法；還講解了如何手工綁定mode6模式雙網(wǎng)卡，實(shí)現(xiàn)網(wǎng)絡(luò)的負(fù)載均衡的方法。本項(xiàng)目還深入介紹了SSH協(xié)議與sshd服務(wù)程序的理論知識(shí)、Linux系統(tǒng)的遠(yuǎn)程管理方法以及在系統(tǒng)中配置服務(wù)程序的方法。3主要內(nèi)容第2章

配置網(wǎng)絡(luò)和使用ssh服務(wù)2.1網(wǎng)絡(luò)服務(wù)知識(shí)2.1.1檢查并設(shè)置有線處于連接狀態(tài)2.1.2設(shè)置主機(jī)名2.1.3使用系統(tǒng)菜單配置網(wǎng)絡(luò)2.1.4通過網(wǎng)卡配置文件配置網(wǎng)絡(luò)2.1.5使用圖形界面配置網(wǎng)絡(luò)2.1.6使用nmcli命令配置網(wǎng)絡(luò)2.2項(xiàng)目設(shè)計(jì)與準(zhǔn)備4主要內(nèi)容2.3項(xiàng)目實(shí)施任務(wù)2-1創(chuàng)建網(wǎng)絡(luò)會(huì)話實(shí)例任務(wù)2-2綁定兩塊網(wǎng)卡任務(wù)2-3配置遠(yuǎn)程控制服務(wù)2.4項(xiàng)目實(shí)錄：配置LINUX下的TCP/IP和遠(yuǎn)程管理2.5練習(xí)題2.6超級(jí)鏈接第2章

配置網(wǎng)絡(luò)和使用ssh服務(wù)52.1網(wǎng)絡(luò)服務(wù)知識(shí)

Linux主機(jī)要與網(wǎng)絡(luò)中其他主機(jī)進(jìn)行通信，首先要進(jìn)行正確的網(wǎng)絡(luò)配置。網(wǎng)絡(luò)配置通常包括主機(jī)名、IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)、DNS服務(wù)器等。2.1.1檢查并設(shè)置有線處于連接狀態(tài)單擊桌面右上角的“啟動(dòng)”按鈕，單擊“Connect”按鈕，設(shè)置有線處于連接狀態(tài)，如圖2-1所示。圖2-1設(shè)置有線處于連接狀態(tài)設(shè)置完成后，右上角將出現(xiàn)有線連接的小圖標(biāo)，如圖2-2所示。圖2-2有線處于連接狀態(tài)特別提示：必須首先使有線處于連接狀態(tài)，這是一切配置的基礎(chǔ)，切記。62.1.2設(shè)置主機(jī)名RHEL7有以下3種形式的主機(jī)名。靜態(tài)的（static）：“靜態(tài)”主機(jī)名也稱為內(nèi)核主機(jī)名，是系統(tǒng)在啟動(dòng)時(shí)從/etc/hostname自動(dòng)初始化的主機(jī)名。瞬態(tài)的（transient）：“瞬態(tài)”主機(jī)名是在系統(tǒng)運(yùn)行時(shí)臨時(shí)分配的主機(jī)名，由內(nèi)核管理。例如，通過DHCP或DNS服務(wù)器分配的localhost就是這種形式的主機(jī)名。靈活的（pretty）：“靈活”主機(jī)名是UTF8格式的自由主機(jī)名，以展示給終端用戶。與之前版本不同，RHEL7中的主機(jī)名配置文件為/etc/hostname，可以在配置文件中直接更改主機(jī)名。71．使用nmtui修改主機(jī)名[root@RHEL7-1~]#nmtui圖2-3配置hostname圖2-4修改主機(jī)名為RHEL7-1在圖2-3、圖2-4所示的界面中進(jìn)行配置。

使用NetworkManager的nmtui接口修改了靜態(tài)主機(jī)名后（/etc/hostname文件），不會(huì)通知hostnamectl。要想強(qiáng)制讓hostnamectl知道靜態(tài)主機(jī)名已經(jīng)被修改，需要重啟hostnamed服務(wù)。[root@RHEL7-1~]#systemctlrestartsystemd-hostnamed82．使用hostnamectl修改主機(jī)名（1）查看主機(jī)名[root@RHEL7-1~]#hostnamectlstatusStatichostname:RHEL7-1Prettyhostname:RHEL7-1

……（2）設(shè)置新的主機(jī)名[root@RHEL7-1~]#hostnamectlset-hostname（3）查看主機(jī)名[root@RHEL7-1~]#hostnamectlstatusStatichostname:

……93．使用NetworkManager的命令行接口nmcli修改主機(jī)名nmcli可以修改/etc/hostname中的靜態(tài)主機(jī)名。//查看主機(jī)名[root@RHEL7-1~]#nmcligeneralhostname//設(shè)置新主機(jī)名[root@RHEL7-1~]#nmcligeneralhostnameRHEL7-1[root@RHEL7-1~]#nmcligeneralhostnameRHEL7-1//重啟hostnamed服務(wù)讓hostnamectl知道靜態(tài)主機(jī)名已經(jīng)被修改[root@RHEL7-1~]#systemctlrestartsystemd-hostnamed102.1.3使用系統(tǒng)菜單配置網(wǎng)絡(luò)在Linux系統(tǒng)上配置服務(wù)之前，必須先保證主機(jī)之間能夠順暢地通信?？梢詥螕糇烂嬗疑辖堑木W(wǎng)絡(luò)連接圖標(biāo)，打開網(wǎng)絡(luò)配置界面，一步步完成網(wǎng)絡(luò)信息查詢和網(wǎng)絡(luò)配置。具體過程如圖2-5～圖2-8所示。圖2-5單擊有線連接設(shè)置（WiredSettings）

圖2-6網(wǎng)絡(luò)配置：ON激活連接、單擊齒輪進(jìn)行配置

圖2-7配置有線連接11

設(shè)置完成后，單擊“Apply”按鈕應(yīng)用配置回到圖2-9所示的界面。注意網(wǎng)絡(luò)連接應(yīng)該設(shè)置在“ON”狀態(tài)，如果在“OFF”狀態(tài)，請進(jìn)行修改。注意，有時(shí)需要重啟系統(tǒng)配置才能生效。圖2-9網(wǎng)絡(luò)配置界面建議：首選使用系統(tǒng)菜單配置網(wǎng)絡(luò)。因?yàn)閺腞HEL7開始，圖形界面已經(jīng)非常完善，所以在Linux系統(tǒng)桌面，依次單擊“Applications”→“SystemTools”→“Settings”→“Network”同樣可以打開網(wǎng)絡(luò)配置界面。圖2-8配置IPv4等信息122.1.4通過網(wǎng)卡配置文件配置網(wǎng)絡(luò)在RHEL7中，網(wǎng)卡配置文件的前綴則以ifcfg開始，如ifcfg-ens33。名稱為ifcfg-ens33的網(wǎng)卡設(shè)備，將其配置為開機(jī)自啟動(dòng)，并且IP地址、子網(wǎng)、網(wǎng)關(guān)等信息由人工指定，其步驟如下。（1）切換到/etc/sysconfig/network-scripts目錄中（存放著網(wǎng)卡的配置文件）。（2）使用vim編輯器修改網(wǎng)卡文件ifcfg-ens33，逐項(xiàng)寫入下面的配置參數(shù)并保存退出。由于每臺(tái)設(shè)備的硬件及架構(gòu)是不一樣的，所以請讀者使用ifconfig命令自行確認(rèn)各自網(wǎng)卡的默認(rèn)名稱。設(shè)備類型：TYPE=Ethernet。地址分配模式：BOOTPROTO=static。網(wǎng)卡名稱：NAME=ens33。是否啟動(dòng)：ONBOOT=yes。IP地址：IPADDR=。子網(wǎng)掩碼：NETMASK=。網(wǎng)關(guān)地址：GATEWAY=。DNS地址：DNS1=。13（3）重啟網(wǎng)絡(luò)服務(wù)并測試網(wǎng)絡(luò)是否聯(lián)通。進(jìn)入到網(wǎng)卡配置文件所在的目錄，然后編輯網(wǎng)卡配置文件，在其中填入下面的信息：[root@RHEL7-1~]#cd/etc/sysconfig/network-scripts/[root@RHEL7-1network-scripts]#vimifcfg-ens33TYPE=EthernetPROXY_METHOD=noneBROWSER_ONLY=noBOOTPROTO=staticNAME=ens33UUID=9d5c53ac-93b5-41bb-af37-4908cce6dc31DEVICE=ens33ONBOOT=yesIPADDR=NETMASK=GATEWAY=DNS1=14

執(zhí)行重啟網(wǎng)卡設(shè)備的命令（在正常情況下不會(huì)有提示信息），然后通過ping命令測試網(wǎng)絡(luò)能否聯(lián)通。由于在Linux系統(tǒng)中ping命令不會(huì)自動(dòng)終止，所以需要手動(dòng)按下“Ctrl+C”組合鍵來強(qiáng)行結(jié)束進(jìn)程。[root@RHEL7-1network-scripts]#systemctlrestartnetwork[root@RHEL7-1network-scripts]#pingPING()56(84)bytesofdata.64bytesfrom:icmp_seq=1ttl=64time=0.095ms64bytesfrom:icmp_seq=2ttl=64time=0.048ms……注意：使用配置文件進(jìn)行網(wǎng)絡(luò)配置，需要啟動(dòng)network服務(wù)，而從RHEL7以后，network服務(wù)已被NetworkManager服務(wù)替代，所以不建議使用配置文件配置網(wǎng)絡(luò)參數(shù)。152.1.5使用圖形界面配置網(wǎng)絡(luò)（1）上節(jié)我們使用網(wǎng)絡(luò)配置文件配置網(wǎng)絡(luò)服務(wù)，本節(jié)我們使用nmtui命令來配置網(wǎng)絡(luò)。[root@RHEL7-1

network-scripts]#

nmtui（2）顯示圖2-10所示的圖形配置界面。（3）配置過程如圖2-11、圖2-12所示。圖2-10選中“Editaconnection”

并按下“Enter鍵”圖2-11選中要編輯的網(wǎng)卡名稱，

然后按下“Edit”（編輯）按鈕圖2-12把網(wǎng)絡(luò)IPv4的配置方式改成Manual（手動(dòng)）注意：本書中所有的服務(wù)器主機(jī)IP地址均為，而客戶端主機(jī)一般設(shè)為0及0。之所以這樣做，就是為了后面服務(wù)器配置的方便。16（4）按下“Show”（顯示）按鈕，顯示信息配置框，如圖2-13所示。在服務(wù)器主機(jī)的網(wǎng)絡(luò)配置信息中填寫IP地址/24等信息，單擊“OK”按鈕，如圖2-14所示。圖2-13填寫IP地址圖2-14單擊“OK”按鈕保存配置17（5）按“<back>”按鈕回到nmtui圖形界面初始狀態(tài)，選中“Activateaconnection”選項(xiàng)，激活剛才的連接“ens33”。前面有“*”號(hào)表示激活，如圖2-15、圖2-16所示。圖2-15選擇“Activateaconnection”選項(xiàng)圖2-16激活（Activate）連接或使連接失效（Deactivate）18（6）至此，在Linux系統(tǒng)中配置網(wǎng)絡(luò)的步驟就結(jié)束了。[root@RHEL7-1~]#ifconfigens33:flags=4163<UP,BROADCAST,RUNNING,MULTICAST>mtu1500inetnetmaskbroadcast55inet6fe80::c0ae:d7f4:8f5:e135prefixlen64scopeid0x20<link>ether00:0c:29:66:42:8dtxqueuelen1000(Ethernet)RXpackets151bytes16024(15.6KiB)RXerrors0dropped0overruns0frame0TXpackets186bytes18291(17.8KiB)TXerrors0dropped0overruns0carrier0collisions0……192.1.6使用nmcli命令配置網(wǎng)絡(luò)NetworkManager是管理和監(jiān)控網(wǎng)絡(luò)設(shè)置的守護(hù)進(jìn)程，設(shè)備即網(wǎng)絡(luò)接口，連接是對網(wǎng)絡(luò)接口的配置。一個(gè)網(wǎng)絡(luò)接口可以有多個(gè)連接配置，但同時(shí)只有一個(gè)連接配置生效。1．常用命令

nmcliconnectionshow：顯示所有連接。nmcliconnectionshow--active：顯示所有活動(dòng)的連接狀態(tài)。nmcliconnectionshow"ens33"：顯示網(wǎng)絡(luò)連接配置。nmclidevicestatus：顯示設(shè)備狀態(tài)。nmclideviceshowens33：顯示網(wǎng)絡(luò)接口屬性。nmcliconnectionaddhelp：查看幫助。nmcliconnectionreload：重新加載配置。nmcliconnectiondowntest2：禁用test2的配置，注意一個(gè)網(wǎng)卡可以有多個(gè)配置。nmcliconnectionuptest2：啟用test2的配置。nmclidevicedisconnectens33：禁用ens33網(wǎng)卡，物理網(wǎng)卡。nmclideviceconnectens33：啟用ens33網(wǎng)卡。202．創(chuàng)建新連接配置（1）創(chuàng)建新連接配置default，IP通過DHCP自動(dòng)獲取[root@RHEL7-1~]#nmcliconnectionshowNAMEUUIDTYPEDEVICEens339d5c53ac-93b5-41bb-af37-4908cce6dc31802-3-ethernetens33virbr0f30a1db5-d30b-47e2-a8b1-b57c614385aabridgevirbr0[root@RHEL7-1~]#nmcliconnectionaddcon-namedefaulttypeEthernetifnameens33Connection'default'(ffe127b2-ece7-40ed-b649-7082e86c0775)successfullyadded.212．創(chuàng)建新連接配置（2）刪除連接

[root@RHEL7-1~]#nmcliconnectiondeletedefaultConnection'default'(ffe127b2-ece7-40ed-b649-7082e86c0775)successfullydeleted.22（3）創(chuàng)建新的連接配置test2，指定靜態(tài)IP，不自動(dòng)連接[root@RHEL7-1~]#nmcliconnectionaddcon-nametest2ipv4.methodmanualifnameens33autoconnectnotypeEthernetipv4.addresses00/24gw4Connection'test2'(7b0ae806-1bb7-41a3-92ad-5a1587eb367f)successfullyadded.（4）參數(shù)說明con-name：指定連接名字，沒有特殊要求。ipv4.methmod：指定獲取IP地址的方式。ifname：指定網(wǎng)卡設(shè)備名，也就是次配置所生效的網(wǎng)卡。autoconnect：指定是否自動(dòng)啟動(dòng)。ipv4.addresses：指定IPv4地址。gw4：指定網(wǎng)關(guān)。233．查看/etc/sysconfig/network-scripts/目錄[root@RHEL7-1~]#ls/etc/sysconfig/network-scripts/ifcfg-*/etc/sysconfig/network-scripts/ifcfg-ens33/etc/sysconfig/network-scripts/ifcfg-test2/etc/sysconfig/network-scripts/ifcfg-lo多出一個(gè)文件/etc/sysconfig/network-scripts/ifcfg-test2，說明添加確實(shí)生效了。244．啟用test2連接配置[root@RHEL7-1~]#nmcliconnectionuptest2Connectionsuccessfullyactivated(D-Busactivepath:/org/freedesktop/NetworkManager/ActiveConnection/6)[root@RHEL7-1~]#nmcliconnectionshowNAMEUUIDTYPEDEVICEtest27b0ae802-1bb7-41a3-92ad-5a1587eb367f802-3-ethernetens33virbr0f30a1db5-d30b-47e2-a8b1-b57c614385aabridgevirbr0ens339d5c53ac-93b5-41bb-af37-4908cce6dc31802-3-ethernet--255．查看是否生效[root@RHEL7-1~]#nmclideviceshowens33GENERAL.DEVICE:ens33……基本的IP地址配置成功。266．修改連接設(shè)置（1）修改test2為自動(dòng)啟動(dòng)[root@RHEL7-1~]#nmcliconnectionmodifytest2connection.autoconnectyes（2）修改DNS為

[root@RHEL7-1~]#nmcliconnectionmodifytest2ipv4.dns（3）添加DNS14[root@RHEL7-1~]#nmcliconnectionmodifytest2+ipv4.dns1427（4）看下是否成功[root@RHEL7-1~]#cat/etc/sysconfig/network-scripts/ifcfg-test2TYPE=EthernetPROXY_METHOD=noneBROWSER_ONLY=noBOOTPROTO=noneIPADDR=00PREFIX=24GATEWAY=DEFROUTE=yesIPV4_FAILURE_FATAL=noIPV6INIT=yesIPV6_AUTOCONF=yesIPV6_DEFROUTE=yesIPV6_FAILURE_FATAL=noIPV6_ADDR_GEN_MODE=stable-privacyNAME=test2UUID=7b0ae802-1bb7-41a3-92ad-5a1587eb367fDEVICE=ens33ONBOOT=yesDNS1=DNS2=1428（5）刪除DNS[root@RHEL7-1~]#nmcliconnectionmodifytest2-ipv4.dns（6）修改IP地址和默認(rèn)網(wǎng)關(guān)[root@RHEL7-1~]#nmcliconnectionmodifytest2ipv4.addresses00/24gw454

（7）還可以添加多個(gè)IP[root@RHEL7-1~]#nmcliconnectionmodifytest2+ipv4.addresses50/24[root@RHEL7-1~]#nmcliconnectionshow"test2"[root@RHEL7-1~]#nmcliconnectionmodifytest2-ipv4.dns14297．nmcli命令和/etc/sysconfig/network-scripts/ifcfg-*文件的對應(yīng)關(guān)系nmcli命令/etc/sysconfig/network-scripts/ifcfg-*文件ipv4.methodmanualBOOTPROTO=noneipv4.methodautoBOOTPROTO=dhcpipv4.addresses/24IPADDR=PREFIX=24gw454GATEWAY=54ipv4.dnsDNS0=ipv4.dns-searchDOMAIN=ipv4.ignore-auto-dnstruePEERDNS=noconnection.autoconnectyesONBOOT=yesconnection.ideth0NAME=eth0erface-nameeth0DEVICE=eth0802-3-ethernet.mac-address...HWADDR=...302.2項(xiàng)目設(shè)計(jì)與準(zhǔn)備本項(xiàng)目在RHEL7-1上要完成的任務(wù)如下：①創(chuàng)建會(huì)話；②綁定兩塊網(wǎng)卡；③配置遠(yuǎn)程服務(wù)。31本項(xiàng)目在RHEL7-1上要完成的任務(wù)如下：①創(chuàng)建會(huì)話；②綁定兩塊網(wǎng)卡；③配置遠(yuǎn)程服務(wù)。32任務(wù)2-1創(chuàng)建網(wǎng)絡(luò)會(huì)話實(shí)例

RHEL和CentOS系統(tǒng)默認(rèn)使用NetworkManager來提供網(wǎng)絡(luò)服務(wù)，這是一種動(dòng)態(tài)管理網(wǎng)絡(luò)配置的守護(hù)進(jìn)程，能夠讓網(wǎng)絡(luò)設(shè)備保持連接狀態(tài)。

nmcli是一款基于命令行的網(wǎng)絡(luò)配置工具，功能豐富，參數(shù)眾多。它可以輕松地查看網(wǎng)絡(luò)信息或網(wǎng)絡(luò)狀態(tài)：[root@RHEL7-1~]#nmcliconnectionshowNAMEUUIDTYPEDEVICEens339d5c53ac-93b5-41bb-af37-4908cce6dc31802-3-ethernet--

RHEL7系統(tǒng)支持網(wǎng)絡(luò)會(huì)話功能，允許用戶在多個(gè)配置文件中快速切換（非常類似于firewalld防火墻服務(wù)中的區(qū)域技術(shù)）。2.3項(xiàng)目實(shí)施33[root@RHEL7-1~]#nmcliconnectionaddcon-namecompanyifnameens33autoconnectnotypeethernetip4/24gw4Connection'company'(69bf7a9e-1295-456d-873b-505f0e89eba2)successfullyadded.可以使用nmcli命令并按照“connectionaddcon-nametypeifname”的格式來創(chuàng)建網(wǎng)絡(luò)會(huì)話。假設(shè)將公司網(wǎng)絡(luò)中的網(wǎng)絡(luò)會(huì)話稱之為company，將家庭網(wǎng)絡(luò)中的網(wǎng)絡(luò)會(huì)話稱之為home，依次創(chuàng)建各自的網(wǎng)絡(luò)會(huì)話。（1）使用con-name參數(shù)指定公司所使用的網(wǎng)絡(luò)會(huì)話名稱company，然后依次用ifname參數(shù)指定本機(jī)的網(wǎng)卡名稱。用autoconnectno參數(shù)設(shè)置該網(wǎng)絡(luò)會(huì)話默認(rèn)不被自動(dòng)激活，以及用ip4及gw4參數(shù)手動(dòng)指定網(wǎng)絡(luò)的IP地址：34（2）使用con-name參數(shù)指定家庭所使用的網(wǎng)絡(luò)會(huì)話名稱home。我們想從外部DHCP服務(wù)器自動(dòng)獲得IP地址，因此這里不需要進(jìn)行手動(dòng)指定。[root@RHEL7-1~]#nmcliconnectionaddcon-namehometypeethernetifnameens33Connection'home'(7a9f15fe-2f9c-47c2-a232-fc310e1af2c9)successfullyadded.35（3）在成功創(chuàng)建網(wǎng)絡(luò)會(huì)話后，可以使用nmcli命令查看創(chuàng)建的所有網(wǎng)絡(luò)會(huì)話：[root@RHEL7-1~]#nmcliconnectionshowNAMEUUIDTYPEDEVICEens339d5c53ac-93b5-41bb-af37-4908cce6dc31802-3-ethernetens33virbr0a3d2d523-5352-4ea9-974d-049fb7fd1c6ebridgevirbr0company70823d95-a119-471b-a495-9f7364e3b452802-3-ethernet--homecc749b8d-31c2-492f-8e7a-81e95eacc733802-3-ethernet--36（4）使用nmcli命令配置過的網(wǎng)絡(luò)會(huì)話是永久生效的，這樣當(dāng)我們下班回家后，順手啟用home網(wǎng)絡(luò)會(huì)話，網(wǎng)卡就能自動(dòng)通過DHCP獲取到IP地址了。[root@RHEL7-1~]#nmcliconnectionuphomeConnectionsuccessfullyactivated(D-Busactivepath:/org/freedesktop/NetworkManager/ActiveConnection/6)[root@RHEL7-1~]#ifconfigens33:flags=4163<UP,BROADCAST,RUNNING,MULTICAST>mtu1500inet4netmaskbroadcast55inet6fe80::c70:8b8f:3261:6f18prefixlen64scopeid0x20<link>ether00:0c:29:66:42:8dtxqueuelen1000(Ethernet)RXpackets457bytes41358(40.3KiB)RXerrors0dropped0overruns0frame0TXpackets131bytes17349(16.9KiB)TXerrors0dropped0overruns0carrier0collisions0……37（5）如果大家使用的是虛擬機(jī)，請把虛擬機(jī)系統(tǒng)的網(wǎng)卡（網(wǎng)絡(luò)適配器）切換成橋接模式，如圖2-17所示，然后重啟虛擬機(jī)系統(tǒng)即可。圖2-17設(shè)置虛擬機(jī)網(wǎng)卡的模式38（6）如果回到公司，可以停止home會(huì)話，啟動(dòng)company會(huì)話（連接）。[root@RHEL7-1~]#nmcliconnectiondownhomeConnection'home'successfullydeactivated(D-Busactivepath:/org/freedesktop/NetworkManager/ActiveConnection/4)[root@RHEL7-1~]#nmcliconnectionupcompanyConnectionsuccessfullyactivated(D-Busactivepath:/org/freedesktop/NetworkManager/ActiveConnection/6)[root@RHEL7-1~]#ifconfigens33:flags=4163<UP,BROADCAST,RUNNING,MULTICAST>mtu1500inetnetmaskbroadcast55inet6fe80::7ce7:c434:4c95:7ddbprefixlen64scopeid0x20<link>ether00:0c:29:66:42:8dtxqueuelen1000(Ethernet)RXpackets304bytes41920(40.9KiB)RXerrors0dropped0overruns0frame0TXpackets429bytes47058(45.9KiB)TXerrors0dropped0overruns0carrier0collisions0……39（7）如果要?jiǎng)h除會(huì)話連接，請執(zhí)行nmcli命令，執(zhí)行“Editaconnection”命令，然后選中要?jiǎng)h除的會(huì)話，按“Delete”按鈕即可，如圖2-18所示。圖2-18刪除網(wǎng)絡(luò)會(huì)話連接40任務(wù)2-2綁定兩塊網(wǎng)卡第1步：在虛擬機(jī)系統(tǒng)中再添加一塊網(wǎng)卡設(shè)備，請確保兩塊網(wǎng)卡都處在同一個(gè)網(wǎng)絡(luò)連接中（即網(wǎng)卡模式相同），如圖2-18和圖2-19所示。41第2步：使用Vim文本編輯器來配置網(wǎng)卡設(shè)備的綁定參數(shù)。[root@RHEL7-1~]#vim/etc/sysconfig/network-scripts/ifcfg-ens33TYPE=EthernetBOOTPROTO=noneONBOOT=yesUSERCTL=noDEVICE=ens33MASTER=bond0SLAVE=yes[root@RHEL7-1~]#vim/etc/sysconfig/network-scripts/ifcfg-ens38TYPE=EthernetBOOTPROTO=noneONBOOT=yesUSERCTL=noDEVICE=ens38MASTER=bond0SLAVE=yes42第2步：使用Vim文本編輯器來配置網(wǎng)卡設(shè)備的綁定參數(shù)。還需要將綁定后的設(shè)備命名為bond0并把IP地址等信息填寫進(jìn)去，這樣當(dāng)用戶訪問相應(yīng)服務(wù)的時(shí)候，實(shí)際上就是由這兩塊網(wǎng)卡設(shè)備在共同提供服務(wù)。[root@RHEL7-1

~]#

vim

/etc/sysconfig/network-scripts/ifcfg-bond0TYPE=EthernetBOOTPROTO=noneONBOOT=yesUSERCTL=noDEVICE=bond0IPADDR=PREFIX=24DNS=NM_CONTROLLED=no43第3步：讓Linux內(nèi)核支持網(wǎng)卡綁定驅(qū)動(dòng)。[root@RHEL7-1~]#vim/etc/modprobe.d/bond.confaliasbond0bondingoptionsbond0miimon=100mode=644第4步：重啟網(wǎng)絡(luò)服務(wù)后網(wǎng)卡綁定操作即可成功。[root@RHEL7-1

~]#

systemctl

restart

network[root@RHEL7-1

~]#

ifconfigbond0:flags=5123<UP,BROADCAST,MASTER,MULTICAST>mtu1500inetnetmaskbroadcast55ether86:08:25:89:b4:6dtxqueuelen1000(Ethernet)RXpackets0bytes0(0.0B)RXerrors0dropped0overruns0frame0TXpackets0bytes0(0.0B)TXerrors0dropped0overruns0carrier0collisions0

45第4步：重啟網(wǎng)絡(luò)服務(wù)后網(wǎng)卡綁定操作即可成功。ens33:flags=4163<UP,BROADCAST,RUNNING,MULTICAST>mtu1500ether00:0c:29:66:42:8dtxqueuelen1000(Ethernet)RXpackets119bytes12615(12.3KiB)RXerrors0dropped0overruns0frame0TXpackets0bytes0(0.0B)TXerrors0dropped0overruns0carrier0collisions0

ens38:flags=4163<UP,BROADCAST,RUNNING,MULTICAST>mtu1500ether00:0c:29:66:42:97txqueuelen1000(Ethernet)RXpackets48bytes6681(6.5KiB)RXerrors0dropped0overruns0frame0TXpackets0bytes0(0.0B)TXerrors0dropped0overruns0carrier0collisions0……46第4步：重啟網(wǎng)絡(luò)服務(wù)后網(wǎng)卡綁定操作即可成功?？梢栽诒镜刂鳈C(jī)執(zhí)行ping命令檢查網(wǎng)絡(luò)的連通性。為了檢驗(yàn)網(wǎng)卡綁定技術(shù)的自動(dòng)備援功能，我們突然在虛擬機(jī)硬件配置中隨機(jī)移除一塊網(wǎng)卡設(shè)備，可以非常清晰地看到網(wǎng)卡切換的過程（一般只有1個(gè)數(shù)據(jù)丟包或不丟包）。然后另外一塊網(wǎng)卡會(huì)繼續(xù)為用戶提供服務(wù)。47第4步：重啟網(wǎng)絡(luò)服務(wù)后網(wǎng)卡綁定操作即可成功。[root@RHEL7-1~]#pingPING()56(84)bytesofdata.64bytesfrom:icmp_seq=1ttl=64time=0.171ms64bytesfrom:icmp_seq=2ttl=64time=0.048ms64bytesfrom:icmp_seq=3ttl=64time=0.059ms64bytesfrom:icmp_seq=4ttl=64time=0.049msping:sendmsg:Networkisunreachable---pingstatistics---8packetstransmitted,7received,12%packetloss,time7006msrttmin/avg/max/mdev=0.042/0.073/0.109/0.023ms48任務(wù)2-3配置遠(yuǎn)程控制任務(wù)1.配置sshd服務(wù)

SSH（Secureshell）是一種能夠以安全的方式提供遠(yuǎn)程登錄的協(xié)議，也是目前遠(yuǎn)程管理Linux系統(tǒng)的首選方式。

想要使用SSH協(xié)議來遠(yuǎn)程管理Linux系統(tǒng)，則需要部署配置sshd服務(wù)程序。sshd是基于SSH協(xié)議開發(fā)的一款遠(yuǎn)程管理服務(wù)程序，不僅使用起來方便快捷，而且能夠提供了以下兩種安全驗(yàn)證的方法?；诳诹畹尿?yàn)證—用賬戶和密碼來驗(yàn)證登錄?；诿荑€的驗(yàn)證—需要在本地生成密鑰對，然后把密鑰對中的公鑰上傳至服務(wù)器，并與服務(wù)器中的公鑰進(jìn)行比較；該方式相較來說更安全。49參

數(shù)作

用Port22默認(rèn)的sshd服務(wù)端口ListenAddress設(shè)定sshd服務(wù)器監(jiān)聽的IP地址Protocol2SSH協(xié)議的版本號(hào)HostKey/etc/ssh/ssh_host_keySSH協(xié)議版本為1時(shí)，DES私鑰存放的位置HostKey/etc/ssh/ssh_host_rsa_keySSH協(xié)議版本為2時(shí)，RSA私鑰存放的位置HostKey/etc/ssh/ssh_host_dsa_keySSH協(xié)議版本為2時(shí)，DSA私鑰存放的位置PermitRootLoginyes設(shè)定是否允許root管理員直接登錄StrictModesyes當(dāng)遠(yuǎn)程用戶的私鑰改變時(shí)直接拒絕連接MaxAuthTries6最大密碼嘗試次數(shù)MaxSessions10最大終端數(shù)PasswordAuthenticationyes是否允許密碼驗(yàn)證PermitEmptyPasswordsno是否允許空密碼登錄（很不安全）sshd服務(wù)配置文件中包含的重要參數(shù)如表2-1所示?，F(xiàn)有計(jì)算機(jī)的情況如下。計(jì)算機(jī)名為RHEL7-1，角色為RHEL7服務(wù)器，IP為/24。計(jì)算機(jī)名為RHEL7-2，角色為RHEL7客戶機(jī)，IP為0/24。需特別注意兩臺(tái)虛擬機(jī)的網(wǎng)絡(luò)配置方式一定要一致，本例中都改為：橋接模式。50[root@RHEL7-2~]#sshTheauthenticityofhost'()'can'tbeestablished.ECDSAkeyfingerprintisSHA256:f7b2rHzLTyuvW4WHLjl3SRMIwkiUN+cN9y1yDb9wUbM.ECDSAkeyfingerprintisMD5:d1:69:a4:4f:a3:68:7c:f1:bd:4c:a8:b3:84:5c:50:19.Areyousureyouwanttocontinueconnecting(yes/no)?yesWarning:Permanentlyadded''(ECDSA)tothelistofknownhosts.root@'spassword:此處輸入遠(yuǎn)程主機(jī)root管理員的密碼Lastlogin:WedMay3005:36:532018from192.168.10.[root@RHEL7-1~]#[root@RHEL7-1~]#exitlogoutConnectiontoclosed.在RHEL7系統(tǒng)中，已經(jīng)默認(rèn)安裝并啟用了sshd服務(wù)程序。接下來使用ssh命令在RHEL7-2上遠(yuǎn)程連接RHEL7-1，其格式為“ssh[參數(shù)]主機(jī)IP地址”。要退出登錄則執(zhí)行exit命令。在RHEL7-2上操作。51如果禁止以root管理員的身份遠(yuǎn)程登錄到服務(wù)器，則可以大大降低被黑客暴力破解密碼的概率。下面進(jìn)行相應(yīng)配置。（1）在RHEL7-1SSH服務(wù)器上。首先使用vim文本編輯器打開sshd服務(wù)的主配置文件，然后把第38行#PermitRootLoginyes參數(shù)前的井號(hào)（#）去掉，并把參數(shù)值yes改成no，這樣就不再允許root管理員遠(yuǎn)程登錄了。記得最后保存文件并退出。[root@RHEL7-1~]#vim/etc/ssh/sshd_config……3637#LoginGraceTime2m38PermitRootLoginno39#StrictModesyes

……52（2）一般的服務(wù)程序并不會(huì)在配置文件修改之后立即獲得最新的參數(shù)。如果想讓新配置文件生效，則需要手動(dòng)重啟相應(yīng)的服務(wù)程序。最好也將這個(gè)服務(wù)程序加入到開機(jī)啟動(dòng)項(xiàng)中，這樣系統(tǒng)在下一次啟動(dòng)時(shí)，該服務(wù)程序便會(huì)自動(dòng)運(yùn)行，繼續(xù)為用戶提供服務(wù)。[root@RHEL7-1

~]#

systemctl

restart

sshd[root@RHEL7-1

~]#

systemctl

enable

sshd（3）當(dāng)root管理員再來嘗試訪問sshd服務(wù)程序時(shí)，系統(tǒng)會(huì)提示不可訪問的錯(cuò)誤信息。仍然在RHEL7-2上測試。[root@RHEL7-2

~]#

ssh

root@0's

password:此處輸入遠(yuǎn)程主機(jī)root管理員的密碼Permission

denied,

please

try

again.注意：為了不影響下面的實(shí)訓(xùn)，請將/etc/ssh/sshd_config配置文件的更改恢復(fù)到初始狀態(tài)。

532.安全密鑰驗(yàn)證

加密是對信息進(jìn)行編碼和解碼的技術(shù)，在傳輸數(shù)據(jù)時(shí)，如果擔(dān)心被他人監(jiān)聽或截獲，就可以在傳輸前先使用公鑰對數(shù)據(jù)加密處理，然后再行傳送。這樣，只有掌握私鑰的用戶才能解密這段數(shù)據(jù)，除此之外的其他人即便截獲了數(shù)據(jù)，一般也很難將其破譯為明文信息。

在生產(chǎn)環(huán)境中使用密碼進(jìn)行口令驗(yàn)證存在著被暴力破解或嗅探截獲的風(fēng)險(xiǎn)。如果正確配置了密鑰驗(yàn)證方式，那么sshd服務(wù)程序?qū)⒏影踩?。下面使用密鑰驗(yàn)證方式，以用戶student身份登錄SSH服務(wù)器，具體配置如下。[root@RHEL7-1~]#useraddstudent[root@RHEL7-1~]#passwdstudent54（2）在客戶端主機(jī)RHEL7-2中生成“密鑰對”。查看公鑰id_rsa.pub和私鑰id_rsa。[root@RHEL7-2~]#ssh-keygenGeneratingpublic/privatersakeypair.Enterfileinwhichtosavethekey(/root/.ssh/id_rsa)://按回車鍵或設(shè)置密鑰的存儲(chǔ)路徑Enterpassphrase(emptyfornopassphrase)://直接按回車鍵或設(shè)置密鑰的密碼Entersamepassphraseagain://再次按回車鍵或設(shè)置密鑰的密碼Youridentificationhasbeensavedin/root/.ssh/id_rsa.Yourpublickeyhasbeensavedin/root/.ssh/id_rsa.pub.Thekeyfingerprintis:SHA256:jSb1Z223Gp2j9HlDNMvXKwptRXR5A8vMnjCtCYPCTHsroot@RHEL7-1Thekey'srandomartimageis:+---[RSA2048]----+|.o...||+..*oo.||=E.ooBo||o.+oB..o||.Sooo+==||o.o...==||.oo.=o||o..=o+||..o.oo|+----[SHA256]-----+[root@RHEL7-2~]#cat/root/.ssh/id_rsa.pubssh-rsaAAAAB3NzaC1yc2EAAAADAQABAAABAQCurhcVb9GHKP4taKQMuJRdLLKTAVnC4f9Y9H2Or4rLx3YCqsBVYUUn4gSzi8LAcKPcPdBZ817Y4a2OuOVmNW+hpTR9vfwwuGOiU1Fu4Sf5/14qgkd5EreUjE/KIPlZVNX904blbIJ90yu6J3CVz6opAdzdrxckstWrMSlp68SIhi517OVqQxzA+2G7uCkplh3pbtLCKlz6ck6x0zXd7MBgR9S7nwm1DjHl5NWQ+542Z++MA8QJ9CpXyHDA54oEVrQoLitdWEYItcJIEqowIHM99L86vSCtKzhfD4VWvfLnMiO1UtostQfpLazjXoU/XVp1fkfYtc7FFl+uSAxIO1nJroot@RHEL7-2[root@RHEL7-2~]#cat/root/.ssh/id_rsa55（3）把客戶端主機(jī)RHEL7-2中生成的公鑰文件傳送至遠(yuǎn)程主機(jī)：[root@RHEL7-2

~]#

ssh-copy-id

student@/usr/bin/ssh-copy-id:INFO:attemptingtologinwiththenewkey(s),tofilteroutanythatarealreadyinstalled/usr/bin/ssh-copy-id:INFO:1key(s)remaintobeinstalled--ifyouarepromptednowitistoinstallthenewkeysstudent@'spassword://此處輸入遠(yuǎn)程服務(wù)器密碼

Numberofkey(s)added:1

Nowtryloggingintothemachine,with:"ssh'student@'"andchecktomakesurethatonlythekey(s)youwantedwereadded.56（4）對服務(wù)器RHEL7-1進(jìn)行設(shè)置（65行左右），使其只允許密鑰驗(yàn)證，拒絕傳統(tǒng)的口令驗(yàn)證方式。將“PasswordAuthenticationyes”改為“PasswordAuthenticationno”。記得在修改配置文件后保存并重啟sshd服務(wù)程序。[root@RHEL7-1

~]#

vim

/etc/ssh/sshd_config

……

74

62

#

To

disable

tunneled

clear

text

passwords,

change

to

no

here!

63

#PasswordAuthentication

yes

64

#PermitEmptyPasswords

no