Linux多網(wǎng)卡外網(wǎng)訪問策略路由設(shè)置

如果一個linux服務(wù)器有三個口接三個不同的網(wǎng)絡(luò)，對應(yīng)的網(wǎng)絡(luò)信息是如下

創(chuàng)新互聯(lián)公司主營虞城網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營網(wǎng)站建設(shè)方案,重慶APP開發(fā)公司,虞城h5小程序開發(fā)搭建,虞城網(wǎng)站營銷推廣歡迎虞城等地區(qū)企業(yè)咨詢

傳統(tǒng)情況下，如果是為了從內(nèi)向外訪問獲得更好的速度，讓訪問電信走電信，訪問網(wǎng)通走網(wǎng)通，那么配置是網(wǎng)關(guān)只能夠配置一個。

比如以電信為主的，那么網(wǎng)關(guān)就只設(shè)置電信的1.1.1.254，而針對網(wǎng)通和教育網(wǎng)設(shè)置不同的路由，路由下一跳指向網(wǎng)通和教育網(wǎng)對應(yīng)的 網(wǎng)關(guān)。

如果這樣做的目的只是實現(xiàn)內(nèi)部訪問外面，那么是沒問題了，但是如果是為了讓外面的用戶能夠正常訪問到服務(wù)器上的服務(wù)就會出問題。比如電信用戶會無法訪問網(wǎng)通和教育網(wǎng)的ip，網(wǎng)通用戶會無法訪問電信和教育網(wǎng)的ip。而且只有設(shè)置了默認路由的那個網(wǎng)絡(luò)能被跨網(wǎng)絡(luò)訪問，其它兩個網(wǎng)絡(luò)只能被本子網(wǎng)的設(shè)備訪問。

要解決這個問題，思路就是由哪個網(wǎng)口進來的流量希望全部就由哪個回去。用lartc里面提到的方法就是來源的口不同，走不同的路由表。在默認的路由表基礎(chǔ)上再建立三個路由表。

用 ip route show 可以看到默認有l(wèi)ocal,main,default三個路由表，這三個路由表的名稱命名來自 /etc/iproute2/rt_tables ，這里先在這個配置文件里面添加三個不同的路由表表名，

之后建立這三個路由表的內(nèi)容，因為這三個路由表的只是用來響應(yīng)來自不同接口的，而不是用來相應(yīng)從哪個接口出去的，所以只需要每個路由表里面建立默認網(wǎng)關(guān)即可。

之后再加上三條規(guī)則，使來自不同的口的走不同的路由表

至此無論是電信還是網(wǎng)通還是教育網(wǎng)用戶，訪問三個ip的任意一個地址都能夠連通了。即便是服務(wù)器上本身的默認路由都沒有設(shè)置，也能夠讓外面的用戶正常訪問。三個網(wǎng)絡(luò)的IP都能被跨網(wǎng)絡(luò)訪問了。

命令匯總：

淺析Linux下進程的調(diào)度策略與優(yōu)先級

在 Linux 中，線程是由進程來實現(xiàn)的，可以認為線程就是一個輕量級的進程，因此，線程調(diào)度是按照進程調(diào)度的方式來進行的。這樣設(shè)計，線程調(diào)度流程可以直接復(fù)用進程調(diào)度流程，沒必要再設(shè)計一個進程內(nèi)的線程調(diào)度器了。

在 Linux 中，進程調(diào)度器是基于進程的調(diào)度策略與調(diào)度優(yōu)先級來決定調(diào)度哪個進程運行。

調(diào)度策略主要包括：

調(diào)度優(yōu)先級的范圍是 0~99，數(shù)值越大，表示優(yōu)先級越高。

其中，SCHED_OTHER、SCHED_IDLE、SCHED_BACH 為非實時調(diào)度策略，其調(diào)度優(yōu)先級為 0。而 SCHED_FIFO、SCHED_RR 是實時調(diào)度策略，其調(diào)度優(yōu)先級范圍為 1~99。

實時調(diào)度策略的進程總是比非實時調(diào)度策略的進程優(yōu)先級高。

在 Linux 內(nèi)部實現(xiàn)中，調(diào)度器會為每個可能的調(diào)度優(yōu)先級維護一個可運行的進程列表，以最高優(yōu)先級列表頭部的進程作為下一次調(diào)度的進程，所有的調(diào)度都是搶占式的，如果一個具有更高調(diào)度優(yōu)先級的進程轉(zhuǎn)換為可運行狀態(tài)，那么當(dāng)前運行的進程將被強制進入其等待的隊列中。

SCHED_OTHER

該調(diào)度策略是默認的 Linux 分時調(diào)度策略，該調(diào)度策略為非實時的，其調(diào)度優(yōu)先級總是為 0。

對于該調(diào)度策略類型的進程，調(diào)度器是基于動態(tài)優(yōu)先級來調(diào)度的。動態(tài)優(yōu)先級跟屬性 nice 有關(guān)，nice 的值會隨著進程的運行時間而動態(tài)改變，以確保所有具有 SCHED_OTHER 策略的進程公平地得到調(diào)度。

在 Linux 中，nice 的值范圍為-20 ~ +19，默認值為 0。nice 值越大，則優(yōu)先級越低，因此相對較低 nice 值的進程可以獲得更多的處理器時間。

通過命令 ps -el 查看系統(tǒng)中的進程列表，其中 NI 列就是進程對應(yīng)的 nice 值。

使用 top 命令，看到的 NI 列也是進程的 nice 值。

調(diào)整 nice 值，可以通過 shell 命令 nice ，該命令可以按照指定的 nice 值運行 cmd ，命令的幫助信息為：

重新調(diào)整已運行進程的 nice 值，可通過 renice 命令實現(xiàn)，命令的幫助信息為：

另外，可以執(zhí)行 top 命令，輸入 r ，根據(jù)提示輸入進程的 pid ，再輸入 nice 數(shù)值，也可以調(diào)整進程的 nice 值。

SCHED_FIFO

該調(diào)度策略為先入先出調(diào)度策略，簡單概括，就是一旦進程占用了 CPU，則一直運行，直到有更高優(yōu)先級的任務(wù)搶占，或者進程自己放棄占用 CPU。

SCHED_RR

該調(diào)度策略為時間片輪轉(zhuǎn)調(diào)度策略，該調(diào)度策略是基于 SCHED_FIFO 策略的演進，其在每個進程上增加一個時間片限制，當(dāng)時間片使用完成后，調(diào)度器將該進程置于隊列的尾端，放在尾端保證了所有具有相同調(diào)度優(yōu)先級的進程的調(diào)度公平。

使用 top 命令，如果 PR 列的值為 RT ，則說明該進程采用的是實時調(diào)度策略，其調(diào)度策略為 SCHED_FIFO 或者 SCHED_RR，而對于非實時調(diào)度策略的進程，該列的值為 NI + 20 。

可以通過命令 ps -eo state,uid,pid,ppid,rtprio,time,comm 來查看進程對應(yīng)的實時優(yōu)先級，實時優(yōu)先級位于 RTPRIO 列下，如果進程對應(yīng)的列顯示為 - ，說明該進程不是實時進程。

chrt 命令可以用來很簡單地更改進程的調(diào)度策略與調(diào)度優(yōu)先級。在 Linux 下查看 chrt 命令的幫助信息：

比如，獲取某個進程的調(diào)度策略，使用如下命令：

在比如，設(shè)置某個進程的調(diào)度策略為 SCHED_FIFO，調(diào)度優(yōu)先級為 70，使用如下命令：

如何在 Linux 上設(shè)置密碼策略？

Linux是一套免費使用和自由傳播的類Unix操作系統(tǒng)，是一個基于POSIX和UNIX的多用戶、多任務(wù)、支持多線程和多CPU的操作系統(tǒng)。它能運行主要的UNIX工具軟件、應(yīng)用程序和網(wǎng)絡(luò)協(xié)議。它支持32位和64位硬件。Linux繼承了Unix以網(wǎng)絡(luò)為核心的設(shè)計思想，是一個性能穩(wěn)定的多用戶網(wǎng)絡(luò)操作系統(tǒng)。在 Linux 上設(shè)置密碼策略，分三個部分，具體是：

1、準備。安裝一個PAM模塊來啟用cracklib支持，這可以提供額外的密碼檢查功能。在Debin,Ubuntu或者Linux Mint使用命令：

sudo apt-get install libpam-cracklib ?這個模塊在CentOS,Fedora或者RHEL默認安裝了。所以在這些系統(tǒng)上就沒有必要安裝了。如要強制執(zhí)行密碼策略，我們需要修改/etc/pam.d這個與身份驗證相關(guān)的文件。這個文件會在修改后立即生效。

2、設(shè)置最小密碼長度。尋找同時包含“password”和“pam_cracklib.so”的一行，并在后面加上“minlen=10”。這將強行設(shè)置密碼的最小密碼長度為10位，其中# of types多少個不同類型的字符在密碼中使用。有四種符號類型（大寫、小寫、數(shù)字和符號）。所以如果使用所有四種類型的組合，并指定最小長度為10，所允許的簡單密碼部分將是6位。

在Debin,Ubuntu或者Linux Mint使用命令：

sudo ?vi ?/etc/pam.d/common-password

修改內(nèi)容：

password ? requisite ? ?pam_cracklib.so retry=3 minlen=10 difok=3

在Fedora,CentOS或RHEL使用命令：

sudo ?vi ?/etc/pam.d/system-auth

3、設(shè)置密碼復(fù)雜度。尋找同時包含“password”和“pam_cracklib.so”的一行，并在后面加上“ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1”。這將迫使你在密碼中至少包括一個大寫字母、兩個小寫字母、一個數(shù)字和一個符號。

在Debin,Ubuntu或者Linux Mint使用命令：

sudo ?vi ?/etc/pam.d/common-password

修改內(nèi)容：password ? requisite ? ?pam_cracklib.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1

linux之selinux

一、SELinux三種模式簡介

二、getenforce命令

功能：查看當(dāng)前SELinux的運行模式

三、sestatus命令

功能：查看當(dāng)前系統(tǒng)上面SELinux的策略，運行模式等信息

命令格式：

sestatus [-vb]

相關(guān)參數(shù)與選項：

-v：檢查列于/etc/sestatus.conf內(nèi)的文件御錦城的安全上下文

-b：將目前策略的規(guī)則布爾值列出，亦即某些規(guī)則是否要啟動（0/1）之意

四、SELinux的配置文件（/etc/selinux/config）

SELINUX=enforcing：當(dāng)前SELinux的模式

SELINUXTYPE=targeted：當(dāng)前SELinux的策略

如果想要修改策略和模式，就更改這個文件里面的內(nèi)容即可

五、SELinux模式的更改（setenforce命令）

SELinux模式的更改規(guī)則：

setenforce命令格式：

# 轉(zhuǎn)換為Permissive寬容模式 setenforce 0

# 轉(zhuǎn)換為Enforcing強制模式 setenforce 1

注意事項：setenforce無法設(shè)置SELinux為Disabled模式

六、restorecon -Rv 命令

介紹：

當(dāng)你從Disabled切換為Enforcing模式時，會有一堆服務(wù)無法順利啟動，會跟你說/lib/xxx里面的數(shù)據(jù)沒有權(quán)限讀取，所以啟動失敗。原因：大多是重新寫入SELinux類型時出錯的緣故

解決辦法：

切換為Permissive寬容模式，然后使用restorecon -Rv / 重新還原所有SELinux的類型，就能解決這個問題

如何在 Linux 上設(shè)置密碼策略

1.準備 安裝一個PAM模塊來啟用cracklib支持，這可以提供額外的密碼檢查功能。 在Debin,Ubuntu或者Linux Mint使用命令：sudo apt-get install libpam-cracklib 這個模塊在CentOS,Fedora或者RHEL默認安裝了。所以在這些系統(tǒng)上就沒有必要安裝了。 如要強制執(zhí)行密碼策略，我們需要修改/etc/pam.d這個與身份驗證相關(guān)的文件。這個文件會在修改后立即生效。 請注意，本教程中的密碼規(guī)則只有在非root用戶更改密碼時強制執(zhí)行。 2.避免重復(fù)使用舊密碼 尋找同時包含“password”和"pam_unix.so"的行，然后再這行后面加上“remember=5”。這將防止5個最近使用過的密碼被用來設(shè)置為新密碼（通過將它們存放在/etc/security/opasswd文件中）。 在Debin,Ubuntu或者Linux Mint使用命令：sudo vi /etc/pam.d/common-password 修改內(nèi)容：password [success=1 default=ignore] pam_unix.so obscure sha512 remember=5 在Fedora,CentOS或RHEL使用命令：sudo vi /etc/pam.d/system-auth 修改內(nèi)容：password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5 3.設(shè)置最小密碼長度 尋找同時包含“password”和“pam_cracklib.so”的一行，并在后面加上“minlen=10”。這將強行設(shè)置密碼的最小密碼長度為10位，其中# of types多少個不同類型的字符在密碼中使用。有四種符號類型（大寫、小寫、數(shù)字和符號）。所以如果使用所有四種類型的組合，并指定最小長度為10，所允許的簡單密碼部分將是6位。 在Debin,Ubuntu或者Linux Mint使用命令：sudo vi /etc/pam.d/common-password 修改內(nèi)容：password requisite pam_cracklib.so retry=3 minlen=10 difok=3 在Fedora,CentOS或RHEL使用命令：sudo vi /etc/pam.d/system-auth 修改內(nèi)容：password requisite pam_cracklib.so retry=3 difok=3 minlen=10 4.設(shè)置密碼復(fù)雜度 尋找同時包含“password”和“pam_cracklib.so”的一行，并在后面加上“ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1”。這將迫使你在密碼中至少包括一個大寫字母、兩個小寫字母、一個數(shù)字和一個符號。 在Debin,Ubuntu或者Linux Mint使用命令：sudo vi /etc/pam.d/common-password 修改內(nèi)容：password requisite pam_cracklib.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1 在Fedora,CentOS或RHEL使用命令：sudo vi /etc/pam.d/system-auth 修改內(nèi)容：password requisite pam_cracklib.so retry=3 difok=3 minlen=10 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1 5.設(shè)置密碼的有效期 要設(shè)置當(dāng)前密碼的最大有效期，就修改/etc/login.defs文件的下列變量：sudo vi /etc/login.def 修改內(nèi)容：PASS_MAX_DAYS 150 PASS_MIN_DAYS 0 PASS_WARN_AGE 7 這將迫使每一位用戶每半年更改一次他們的密碼，并且在密碼過期之前七天發(fā)送密碼過期還有幾天到等等的警告信息給用戶（到最后甚至在用戶開機登錄時強制用戶更改密碼，不然無法進入系統(tǒng)（個人在linux程序設(shè)計中看到的知識，非原作者觀點））。如果你想基于不同的用戶使用密碼期限功能，那就使用chage命令。要查看針對特別用戶的密碼過期策略使用的命令如下：sudo chage -l xmodulo 注意：xmodule是原作者在linux系統(tǒng)中使用的用戶名。 顯示如下：Last password change : Dec 30, 2013 Password expires : never Password inactive : never Account expires : never Minimum number of days between password change : 0 Maximum number of days between password change : 99999 Number of days of warning before password expires : 7 默認設(shè)置中，用戶的密碼是不會過期的。 為用戶的xmodulo更改有限期限的命令如下：$ sudo chage -E 6/30/2014 -m 5 -M 90 -I 30 -W 14 xmodulo 以上命令將密碼設(shè)置為在2014年6月30日過期。并且，密碼更改時間間隔的最大/最小數(shù)量分別為5和90。在一個密碼過期后，這個賬號將被鎖30天。在密碼過期前14天，警告信息就會發(fā)送到對應(yīng)的賬戶。

服務(wù)器安全加固_Linux配置賬戶鎖定策略

使用下面命令，查看系統(tǒng)是否含有pam_tally2.so模塊，如果沒有就需要使用pam_tally.so模塊，兩個模塊的使用方法不太一樣，需要區(qū)分開來。

編輯系統(tǒng)/etc/pam.d/system-auth 文件，一定要在pam_env.so后面添加如下策略參數(shù)：

上面只是限制了從終端su登陸，如果想限制ssh遠程的話，要改的是/etc/pam.d/sshd這個文件，添加的內(nèi)容跟上面一樣！

編輯系統(tǒng)/etc/pam.d/sshd文件，注意添加地點在#%PAM-1.0下一行，即第二行添加內(nèi)容

ssh鎖定用戶后查看：

編輯系統(tǒng) /etc/pam.d/login 文件，注意添加地點在#%PAM-1.0的下面,即第二行，添加內(nèi)容

tty登錄鎖定后查看：

編輯 /etc/pam.d/remote文件，注意添加地點在pam_env.so后面,參數(shù)和ssh一致

本文名稱：linux策略命令 linux訪問控制策略
URL標題：http://chinadenli.net/article40/doojiho.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供企業(yè)建站、網(wǎng)站營銷、軟件開發(fā)、標簽優(yōu)化、網(wǎng)頁設(shè)計公司、網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)