Linux第五天 网络IP地址配置与日志服务器的搭建

万事须己运,他得非我贤。这篇文章主要讲述Linux第五天 网络IP地址配置与日志服务器的搭建相关的知识,希望能为你提供帮助。
网络地址配置IP地址 子网掩码 网关 DNS
临时配置1、确认系统网卡信息和 IP 地址
命令:

ip addr

以下为网卡的名字,一共说明了你有五张网卡 ,只是你的网卡的名字被输出重定向了 ,名字做了变更

其中
Lo 127.0.0.1 分配给自己的,无法与外界通信的,测试本机网卡是否有问题可以 ping 本地环回地址
ens33 为自动备援模式,名称定为 ens33。网卡的编号存在一定的规则,网卡的代号与网卡的来源有关。Linux 继承了Unix 以网络为核心的设计思想
1、eno1:代表由主板 bios 内置的网卡。
2、ens1:代表有主板 bios 内置的 PCI-E 网卡。
3、enp2s0: PCI-E 独立网卡。
4、eth0:如果以上都不使用,则回到默认的网卡名。

virbr0 虚拟网络接口
virbr0-nic 虚拟网卡
因为我们今天要尝试自己去配置 IP 地址 则需要关闭一个服务 否则会自动获
取影响实验
2、关闭 networkmanage 服务
临时关闭:
systemctl stop NetworkManager

永久关闭:
低版本:chkconfig --level 345 NetworkManager off
高版本:systemctl disable NetworkManager

然后在虚拟机的网络适配器中将对应的网卡更改为桥接模式

同时
***在虚拟网络编辑器中,将桥接模式的VMnet0网卡桥接至自己的WiFi的网卡

3、配置网络地址
首先,需要知道的是,桥接模式下,相当于这台虚拟机和我们的主机在一个网段中,共享真实的网络,连接在我们的家庭路由器上
所以为了确保桥接模式下的虚拟机可以上网,虚拟机的IP地址要和主机的IP在同一个网段,网关要和主机的默认网关相同,DNS也要和主机的一样
先看一下主机的配置:
ipconfig /all


配置虚拟机的网络地址:
(1)先把网卡 eth0 通过 NAT 获取到的IP地址删除
ip addr del 192.168.192.134/24 dev eth0

(2)配置IP
ip addr add 192.168.101.10/24 dev eth0

(3)验证网卡IP
ip addr


网卡配置完成后,默认是up的,如果down了,使用下述命令使其up
ip link set eth0 up

(4)如果想上网需要给这台虚拟机配置一个默认网关,指向我们的家庭路由器
ip route add default via 192.168.101.1 dev eth0

(5)验证路由
route -n


(6)用本地记录的DNS服务做域名解析,测试DNS
nslookup www.baidu.com

无结果
(7)配置 DNS
vim /etc/resolv.conf

nameserver 192.168.101.1

(8)访问百度,测试能否上网
ping www.baidu.com


(9)测试主机与虚拟机的网络连通性
建议用主机去 ping 虚拟机(虚拟机ping主机会被主机的防火墙阻挡)
Linux 系统的 ping 默认会一直 ping
Windows 系统 ping 默认 4 次

永久配置通过修改网卡配置文件来配置网络地址
/etc/sysconfig/network-scripts/ifcfg-eth0
vim /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE=eth0网卡设备名
TYPE=Ethernet类型
ONBOOT=yes是否允许 network 服务管理该文件
BOOTPROTO=static静态获取
IPADDR=192.168.1.254IP地址
NETMASK=255.255.255.0掩码
GATEWAY=192.168.1.254网关
DNS1=8.8.8.8DNS1
DNS2=DNS2

重启网卡,使其生效:
service network restart


实验:搭建日志服务器什么是日志文件日志文件是用于记录Linux系统中各种运行消息的文件,不同的日志文件记载了不同类型的信息,如Linux内核消息、用户登录事件、程序错误等
日志文件对于诊断和解决系统中的问题很有帮助,因为在Linux系统中运行的程序通常会把系统消息和错误消息写入相应的日志文件,这样系统一旦出现问题就会"有据可查”。此外,当主机遭受攻击时,日志文件还可以帮助寻找攻击者留下的痕迹
日志文件的位置Linux系统的日志统一存放在 /var/log 目录下
日志文件的分类
/var/log/messages
系统服务及日志,包括服务的信息,报错等等
/var/log/secure
系统认证信息日志(登录日志)
/var/log/maillog
系统邮件服务信息
/var/log/cron
系统定时任务信息
/var/log/boot.log   
系统启动信息


日志设备(可以理解为日志类型)
auth
pam产生的日志
authpriv
ssh,ftp等登录信息的验证信息
cron
定时任务相关
kern
内核
lpr
打印
mail
邮件
mark(syslog)-rsyslog
服务内部的信息,时间标识
news
新闻组
user
用户程序产生的相关信息
uucp
unix to unix copy, unix主机之间相关的通讯
local 1~7
自定义的日志设备
日志管理服务rsyslog日志服务的配置文件: /etc/rsyslog.conf
vim /etc/rsyslog.conf

日志级别
man rsyslog.conf 搜索 priority
等级
等级信息
【Linux第五天 网络IP地址配置与日志服务器的搭建】效果
0
EMERG (紧急)
会导致主机系统不可用的情况
1
ALERT (警告)
必须马上采取措施解决的问题
2
CRIT (严重)
比较严重的情况
3
ERR(错误)
运行出现错误
4
WARNING (提醒)
可能影响系统功能 ,需要提醒用户的重要事件
5
NOTICE (注意)
不会影响正常功能,但是需要注意的事件
6
INFO(信息)
一般信息
7
DEBUG (调试)
程序或系统调试信息等
为什么要搭建日志服务器如果别人拿到你的 root 权限,通过 echo "" > /var/log/secure 可以直接清空
你的登录安全日志,这个时候如果对系统发起攻击,我们很难察觉,所以日志
的异地备份至关重要,因此我们在服务器的后面再搭建一个日志服务器,通过
相关配置来将当前服务器上的重要日志文件备份到日志服务器上,保留相关重
要的日志文件。
实验环境一台 win7 模拟恶意登录客户机
两台 Centos7 被登录服务器 日志记录服务器
tail -f /var/log/secure 从内存中跟踪日志信息

实验目的了解日志备份服务器的搭建流程,通过搭建日志备份服务器,体会其重要意
义。
配置网络地址,实现三台虚拟机的网络互通1、恶意登录客户机
win7的网卡IP地址为192.168.1.1,网关为192.168.1.254


使用VMnet2和当前服务器对接

2、被登陆服务器
当前服务器(相当于一个路由器)有两个网卡:eth0 和 eth1
vim /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE=eth0网卡设备名
TYPE=Ethernet类型
ONBOOT=yes是否允许 network 服务管理该文件
BOOTPROTO=static静态获取
IPADDR=192.168.1.254IP地址
NETMASK=255.255.255.0掩码

service network restart

vim /etc/sysconfig/network-scripts/ifcfg-eth1

DEVICE=eth1网卡设备名
TYPE=Ethernet类型
ONBOOT=yes是否允许 network 服务管理该文件
BOOTPROTO=static静态获取
IPADDR=172.16.1.254IP地址
NETMASK=255.255.255.0掩码

service network restart

eth0 使用VMnet2和win7对接

eth1 使用VMnet3和日志服务器对接

3、日志服务器
日志服务器有一个网卡:eth0 
vim /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE=eth0网卡设备名
TYPE=Ethernet类型
ONBOOT=yes是否允许 network 服务管理该文件
BOOTPROTO=static静态获取
IPADDR=172.16.1.1IP地址
NETMASK=255.255.255.0掩码
GATEWAY=172.16.1.254

service network restart

使用VMnet3和当前服务器对接

此时,三台IP地址配置完成,由于是直连,所以在当前服务器上不需要添加路由
但是,Linux默认是没有路由转发功能的,所以还需要手动开启:
在内核配置文件 /etc/sysctl.conf 中添加
net.ipv4.ip_forward = 1//是否做 ip 转发

通过  sysctl -p  立刻刷新当前配置文件
#sysctl -p
net.ipv4.ip_forward = 1

测试网络连通性:
在日志服务器上ping恶意登陆客户机

三台虚拟机互通
(若无法 ping 通 则关闭防火墙)
接下来实现被登陆服务器可以向日志服务器发送日志文件,进行日志的异地备份
配置被登录服务器端1、修改被登录服务器的rsyslog服务的配置文件:
vim /etc/rsyslog.conf

在 begin forwarding rule 下写命令:
authpriv.* @@172.16.1.1:514

含义:
authpriv登录日志
*日志的所有级别
172.16.1.1日志服务器的IP
@@tcp协议
@udp协议
authpriv.* @@172.16.1.1:514
将登录日志的所有级别信息通过TCP协议发送到172.16.1.1日志服务器的514端口上


2、关闭防火墙
systemctl stop firewalld.services

systemctl stop iptables.services

3、关闭 selinux
sed -i s#SELINUX=enforcing#SELINUX=disabled# /etc/selinux/config
< ==修改配置文件则永久生效,但是必须要重启系统
grep SELINUX=disabled /etc/selinux/config
SELINUX=disabled
setenforce 0
< ==临时生效的命令
getenforce
< ==查看selinx当前状态
Permissive

4、重启rsyslog服务
systemctl restart rsyslog


配置日志记录服务器1、修改日志服务器的rsyslog服务的配置文件:
vim /etc/rsyslog.conf

因为发送端使用 TCP 的 514 端口发送数据,故接收端要开启 TCP 的 514 端口
接收数据
在 MODULES 下开启:
#Provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514

#Provides TCP syslog reception
$ModLoad imtcp

    推荐阅读