Linux自有服务—防火墙和计划任务
Linux常用自有服务有NTP时间同步服务、firewalld防火墙服务和crond计划任务服务,NTP在上一篇中讲过,这次主要来说一下防火墙firewalld与计划任务的相关内容。如下。
一、Linux中防火墙firewalld
1、什么是防火墙
防火墙:防范一些网络攻击。有软件防火墙、硬件防火墙之分。
京东搜索企业级硬件防火墙:
Windows防火墙:
搜索控制面板并打开,点击系统与安全=>Windows Defender 防火墙
Windows防火墙的划分与开启、关闭操作:
2、防火墙的作用
防火墙选择让正常请求通过,从而保证网络安全性。
3、Linux中的防火墙分类
传统Linux防火墙
CentOS5、CentOS6 => 防火墙 => iptables防火墙
CentOS7 => 防火墙 => firewalld防火墙
firewalld = fire火 wall墙 daemon守护进程
4、firewalld防火墙
4.1 区域
firewalld增加了区域(zone)的概念,所谓区域是指,firewalld预先准备了几套防火墙策略的集合,类似于策略的模板,用户可以根据需求选择区域。
常见区域及相应策略规则(规则:哪些端口或服务可以通过防火墙,哪些不能通过)
区域 | 默认策略 |
---|---|
trusted | 允许所有数据包 |
home | 拒绝流入的流量,除非与流出的流量相关,允许ssh,mdns,ippclient,amba-client,dhcpv6-client服务通过 |
internal | 等同于home |
work | 拒绝流入的流量,除非与流出的流量相关,允许ssh,ipp-client,dhcpv6-client服务通过 |
==public== | 拒绝流入的流量,除非与流出的流量相关,允许ssh,dhcpv6-client服务通过 |
external | 拒绝流入的流量,除非与流出的流量相关,允许ssh服务通过 |
dmz | 拒绝流入的流量,除非与流出的流量相关,允许ssh服务通过 |
block | 拒绝流入的流量,除非与流出的流量相关,非法流量采取拒绝操作 |
drop | 拒绝流入的流量,除非与流出的流量相关,非法流量采取丢弃操作 |
注:CentOS7中 firewalld防火墙默认的区域是 public
案例:在Linux系统中安装httpd服务(Web服务),占用计算机的80端口
1 | yum install httpd -y |
安装启动完成后,在浏览器中,输入http://服务器的IP地址/即可访问httpd服务页面
IP地址获取:
1 | ifconfig |
访问:
以上操作只能使用Google浏览器、360浏览器或者Firefox火狐浏览器,一定不要使用IE
以上问题的原因在于:firewalld防火墙已经把httpd(80端口)屏蔽了,所以没有办法访问这台服务器的80端口(httpd服务)
临时解决办法:
1 | systemctl stop firewalld |
如上关闭防火墙后再次刷新,成功访问:
4.2 运行模式和永久模式
运行模式:此模式下,配置的防火墙策略立即生效,但是不写入配置文件
永久模式:此模式下,配置的防火墙策略写入配置文件,但是需要reload重新加载才能生效。
==firewalld默认采用运行模式==
5、防火墙设置
5.1 防火墙的启动、停止以及查看运行状态
查看运行状态
1 | systemctl status firewalld |
停止防火墙(学习环境任意操作,生产环境一定不要停止防火墙)
1 | systemctl stop firewalld |
记住:防火墙一旦停止,其设置的所有规则会全部失效!
启动防火墙
1 | systemctl start firewalld |
5.2 防火墙重启与重载操作
重启操作
1 | systemctl restart firewalld |
restart = stop + start,重启=>首先停止服务,然后再重新启动服务
重载操作
1 | systemctl reload firewalld |
若对防火墙的配置文件做了更改(永久模式),则需要使用reload进行重载让其立即生效。
注:reload并没有停止正在运行的防火墙服务,只是在服务的基础上变换了防火墙规则
5.3 把防火墙设置为开机启动与开机不启动
开机启动
1 | systemctl enable firewalld |
开机不启动
1 | systemctl disable firewalld |
6、firewalld防火墙规则
6.1 firewalld管理工具
基本语法:
1 | firewall-cmd [选项1] [选项2] [...N] |
6.2 查看防火墙默认的区域(zone)
1 | firewall-cmd --get-default-zone |
6.3 查看所有支持的区域(zones)
1 | firewall-cmd --get-zones |
区域的概念:其实不同的区域就是不同的规则
6.4 查看当前区域的规则设置
1 | firewall-cmd --list-all |
6.5 查看所有区域的规则设置
1 | firewall-cmd --list-all-zones |
6.6 添加允许通过的服务或端口(重点)
1)通过服务的名称添加规则
1 | firewall-cmd --zone=public --add-service=服务的名称 |
注:服务必须存储在/usr/lib/firewalld/services目录中
案例:把http服务添加到防火墙的规则中,允许通过防火墙
1 | firewall-cmd --zone=public --add-service=http |
扩展:把http服务从防火墙规则中移除,不允许其通过防火墙
1 | firewall-cmd --zone=public --remove-service=http |
2)通过服务的端口号添加规则
1 | firewall-cmd --zone=public --add-port=端口号/tcp |
案例1:把80/tcp添加到防火墙规则中,允许通过防火墙
1 | ss -naltp |grep httpd |
运行效果:
案例2:从firewalld防火墙中把80端口的规则移除掉
1 | firewall-cmd --zone=public --remove-port=80/tcp |
6.7 永久模式permanent
在Linux的新版防火墙firewalld中,其模式一共分为两大类:运行模式(临时模式)+ 永久模式。
运行模式:不会把规则保存到防火墙的配置文件中,设置完成后立即生效。
永久模式:会把规则写入到防火墙的配置文件中,但是其需要reload重载后才会立即生效。
1 | 根据服务名称添加规则(永久) |
案例:把80端口添加到firewalld防火墙规则中,要求永久生效
1 | firewall-cmd --zone=public --add-port=80/tcp --permanent |
二、Linux中的计划任务
1、什么是计划任务
作用:操作系统不可能24 小时都有人在操作,有些时候想在指定的时间点去执行任务(例如:每天凌晨 2 点去重新启动httpd=>阿帕奇),此时不可能真有人每天夜里 2 点去执行命令,这就可以交给计划任务程序去执行操作了。
计划任务,简单理解即:在指定的时间执行指定的操作!
2、Windows中计划任务
在底部任务栏的搜索框中搜索控制面板,打开控制面板=> 管理工具=>任务计划程序
案例:在Windows中创建一个计划任务
第一步:创建基本任务
第二步:设置计划任务名称
第三步:创建任务触发器(什么时间触发这个任务)
第四步:设置具体的时间
第五步:可以做的工作
第六步:设置要启动的程序
3、Linux中的计划任务
基本语法:
1 | crontab [选项] |
案例1:显示当前账号下的计划任务
1 | crontab -l |
案例2:编写计划任务
1 | crontab -e |
4、计划任务的编辑
crontab -e进入计划任务编辑文件
打开计划任务编辑文件后,可以在此文件中编写我们自定义的计划任务:
==计划任务的规则语法格式,以行为单位,一行则为一个计划==
问题:如何查询一个命令的真实路径在哪个位置?
可以使用which或whereis查看,推荐用which更简洁
1 | 分 时 日 月 周 要执行的命令(要求必须使用命令的完整路径,可以使用which查看) |
5、几个小案例
问题1:每月1、10、22 日的4:45 重启network 服务
1 | 第一步:定制格式 |
问题2:每周六、周日的1:10 重启network 服务
1 | 第一步:定制格式 |
问题3:每天18:00 至23:00 之间每隔30 分钟重启network 服务
1 | 第一步:定制格式 |
问题4:每隔两天的上午8 点到11 点的第3 和第15 分钟执行一次重启
1 | 第一步:定制格式 |
案例:每1 分钟往 root 家目录中的 readme.txt 中输一个1,为了看到效果使用追加输出【输出使用echo 命令,语法:echo 输出的内容】
1 | crontab -e |
1)输入小写字母 i 进入插入模式。
2)写入后按两次esc,回到命令模式,然后输入 :wq保存并退出。
提示:为了看到计划任务的效果,你可以单独开一个选项卡,使用tail -f /root/readme.txt动态查看文件内容的输出信息。
注:计划任务常见的一个操作:定时备份(定时把数据库中的数据导出到某个文件中)
6、计划任务权限
6.1 黑名单
crontab是任何用户都可以创建的计划任务,但是超级管理员可以通过配置来设置某些用户不允许设置计划任务 。
问题:如果我们想限定某个用户(如zhengyquan)使用计划任务,如何处理呢?
答:可以使用计划任务的黑名单,黑名单文件路径 => ==/etc/cron.deny==文件
案例:把普通账号zhengyquan加入到cron.deny黑名单中,禁止其创建计划任务
第一步:切换到超级管理员root
1 | su - root |
第二步:使用vim打开/etc/cron.deny文件
1 | vim /etc/cron.deny |
第三步:把需要禁止的用户名单,加入此文件(如zhengyquan)
1 | zhengyquan |
使用 vim编辑器打开后,输入小写字母 i 进入插入模式插入,然后按两次esc,回到命令模式,最后输入 :wq保存并退出。
切换到zhengyquan账号,测试是否可以使用crontab命令
6.2 白名单
在Linux的计划任务中,除了拥有黑名单以外,还有白名单。
作用:允许哪些用户使用计划任务。
白名单文件的路径 => ==/etc/cron.allow==,但是要特别注意,此文件需要手工创建。
注:白名单优先级高于黑名单,如果一个用户同时存在两个名单文件中,则会被默认允许创建计划任务。
7、查看计划任务的保存文件
问题:计划任务文件具体保存在哪里呢?
答:/var/spool/cron/用户名称,如果使用root用户编辑计划任务,则用户文件名为root
1 | ll /var/spool/cron |
8、计划任务的日志程序
问题:在实际应用中,我们如何查看定时任务运行情况?
答:通过计划任务日志,日志文件位于
/var/log/cron
案例:演示计划任务的日志程序
第一步:使用root账号创建一个计划任务
1 | su - root |
第二步:使用tail -f命令监控/var/log/cron日志程序
1 | tail -f /var/log/cron |
9、扩展内容:at命令
在Linux系统下,有两个命令可以实现计划任务:crontab与at(第三方需要额外安装)
crontab :每天定时执行计划任务(最小单元分钟)
at :一次性定时执行任务
9.1 安装at命令
CentOS7自带,其他版本可能需要手工安装
1 | yum install at -y |
9.2 启动底层服务
1 | systemctl start atd |
atd = at + d = at命令 + daemon缩写
9.3 几个案例
案例1:三天后下午5点执行/bin/ls,输出信息到指定文件中(/root/readme.txt)。
1 | at 5pm+3 days |
am = 上午、pm = 下午、3 days = 3天
案例2:明天17点,输出时间(date命令)到指定的文件中(/root/readme.txt)。
1 | at 17:00 tomorrow |
tomorrow = 明天
案例3:使用atq查看没有执行的计划任务
1 | atq |
atq = at + q = at命令 + query查询
案例4:删除指定的计划任务
1 | atq |
atrm = at + rm = at命令 + remove移除