Linux基础教程-网络配置与网络工具.ppt

第8章 网络配置与网络工具,本章内容要点,回顾网络的相关知识配置以太网络接口使用网络检测工具使用网络客户工具使用安全的网络客户工具,2023年7月7日,2,本章学习目标,学会配置以太网络接口并激活配置IP地址、子网掩码、默认网关、DNSsystem-config-network-tuiifup、ifdown、service network restart区别临时性网络配置和永久性网络配置学会使用常用的网络检测工具学会使用常用的网络客户工具学会生成SSH使用的用户密钥学会配置基于keychain的无口令登录,2023年7月7日,3,LINUX的网络支持,2023年7月7日,4,Linux对网络协议的支持,Linux支持各种协议类型的网络TCP/IP、NetBIOS/NetBEUI、IPX/SPX、AppleTake等在网络底层也支持Ethernet、Token Ring、ATM、PPP（PPPoE）、FDDI、Frame Relay等网络协议。这些网络协议是Linux内核提供的功能，具体的支持情况由内核编译参数决定。RHEL/CentOS的Linux内核默认支持上述的网络协议。,2023年7月7日,5,Linux的网络接口,Linux支持众多类型的网络接口每一个网络接口设备在Linux的内核中都有相应的设备名称每一种网络接口设备（网络适配器）都需要相应的设备驱动程序网络接口设备的驱动程序被编译在系统内核中或者被编译为系统内核模块以便让系统内核进行调用RHEL/CentOS默认是采用内核模块（Module）的方式在系统引导时驱动网络接口的在/lib/modules/$(uname-r)/kernel/drivers/net目录下可以找到可加载的驱动可以从系统内核模块配置文件/etc/modprobe.conf中查看系统加载的网卡驱动模块,2023年7月7日,6,Linux下常见的网络接口,2023年7月7日,7,X是从0开始的整数。如：eth0代表第一块以太网卡，eth1代表第二块以太网卡等。,Linux的网络服务应用,Linux几乎支持Internet世界里所有的网络服务WWW服务：Apache、Ngnix、LighttpdEmail服务：Postfix、Qmail、Sendmail、EximDovecot IMAP、Cyrus IMAP、Courier IMAPFTP服务：Vsftpd、pure-ftpd、Proftpd、Wu-ftpd文件共享服务：Samba、NFSDNS服务：BIND目录服务：OpenLDAP数据库服务：PostgreSQL、MySQL、Oracle远程登录与管理：OpenSSH、VNC,2023年7月7日,8,临时性配置网络参数,2023年7月7日,9,配置网络参数的方法,临时性网络配置通过命令修改当前内核中的网络相关参数实现ifconfig、route、hostname、sysctl-w配置后立即生效重新开机后失效永久性网络配置通过直接修改网络相关的配置文件实现修改配置文件后，为了使之立即生效通过重新启动网络服务或指定的网络接口设备实现重新开机后保留所有配置,2023年7月7日,10,管理以太网接口,网络接口命名：eth0、eth1 等等使用别名（aliases），单个设备可具备多个地址 别名被标识为（eth0:1，eth0:2）等等别名被当作单独的接口对待基于一块物理网卡的多个别名（包括物理网卡自身）只能有一个接口使用DHCP动态分配网络参数查看网络接口配置 ifconfig ethX网络接口的启用与停用使用 ifup ethX 命令来启用指定的接口 使用 ifdown ethX 命令来禁用指定的接口,2023年7月7日,11,例题1,查看本机系统的网络配置设置本机Linux系统中eth0的网络配置子网掩码：默认网关：DNS：，查看路由添加到主机路由添加通过eth0接口到主机的路由添加通过默认网关到主机61.177.7.1 的路由添加到网络的路由,例题1,添加通过eth0接口到网络的路由添加通过网关到网络（标准C类地址）的路由添加通过网关到网络192.168.10.0,子网掩码的路由添加默认网关路由删除路由删除通过eth0接口到主机的路由删除通过网关到网络（标准C类地址）的路由,例题1,修改网络接口配置文件/etc/sysconfig/network-scripts/ifcfg-eth0IP地址，子网掩码，网关修改系统网络配置文件/etc/sysconfig/network主机名，网关网络接口的静态路由配置文件/etc/sysconfig/network-scripts/route-ethX添加通过网关到网络（标准C类地址）的路由修改本地域名解析数据库文件为/etc/hosts增加到google的地址映射,2023年7月7日,14,例题1,编辑/etc/resolv.conf文件增加本地dns服务器210.28.178.1，永久性配置包转发配置文件/etc/sysctl.conf,2023年7月7日,15,ifconfig 命令,ifconfig命令可以临时地设置网络接口的IP参数格式ifconfig netmask broadcast 当IP地址使用标准A、B、C类地址时，广播地址和子网掩码可以省略举例#ifconfig eth0 192.168.0.10,2023年7月7日,16,查看Linux内核路由表,查看路由路由的种类到主机的路由到网络的路由默认网关,2023年7月7日,17,#routeKernel IP routing tableDestination Gateway Genmask Flags Metric Ref Use Iface192.168.0.0*255.255.255.0 U 0 0 0 eth0192.168.1.0*255.255.255.0 U 0 0 0 eth1192.19.12 192.168.1.1 255.255.255.0 U 0 0 0 eth1default localhost 0.0.0.0 UG 0 0 0 eth0,route命令,route命令可以临时地设置内核路由表格式route add|del-net|-host gw Gateway dev Interfaceadd或del：表示添加或删除路由-net或-host：表示添加到主机或网络的路由target：指定目标主机或网络地址，若目标为网络地址时，需使用 netmask 指定子网掩码gw：用于指定网关的IP地址dev：用于指定路由的网络接口（dev关键字可省略）,2023年7月7日,18,route命令举例添加路由,添加到主机的路由#route add-host 192.168.1.2 dev eth0:0#route add添加到网络的路由#route add-net 10.20.30.40 netmask 255.255.255.248 eth0#route add#route add添加默认网关路由#route add,2023年7月7日,19,route命令举例删除路由,2023年7月7日,20,删除到主机的路由#route del-host 192.168.1.2 dev eth0:0#route del删除到网络的路由#route del-net 10.20.30.40 netmask 255.255.255.248 eth0#route del#route del删除默认网关路由#route del,设置主机名和包转发,使用hostname命令可以临时地修改主机名格式：hostname 例如：使用sysctl命令可以临时地开启内核的包转发sysctl命令用于临时调整内核参数开启内核的包转发功能使用如下命令#sysctl-w net.ipv4.ip_forward=1或#echo 1/proc/sys/net/ipv4/ip_forward,2023年7月7日,21,永久性配置网络参数,2023年7月7日,22,RHEL/CentOS中的TCP/IP配置文件,2023年7月7日,23,网络接口配置文件,网络设备的配置被保存在文本文件中/etc/sysconfig/network-scripts/ifcfg-ethX配置文件的语法和完整选项列表参见/usr/share/doc/initscripts-*/sysconfig.txt常用选项,2023年7月7日,24,网络接口配置文件举例静态配置,2023年7月7日,25,#vim/etc/sysconfig/network-scripts/ifcfg-eth0Type=EthernetDEVICE=eth0HWADDR=00:02:8A:A6:30:45BOOTPROTO=staticONBOOT=yes,网络接口配置文件举例动态配置,#vim/etc/sysconfig/network-scripts/ifcfg-eth0Type=EthernetDEVICE=eth0HWADDR=00:02:8A:A6:30:45BOOTPROTO=dhcpONBOOT=yes,2023年7月7日,26,系统网络配置文件,系统网络配置文件为/etc/sysconfig/network用于永久性配置主机名和默认网关等例如：#vim/etc/sysconfig/networkNETWORKING=yes,2023年7月7日,27,网络接口的静态路由配置文件,网络接口的静态路由配置文件每个网络接口均可有其静态路由配置文件/etc/sysconfig/network-scripts/route-ethX例如配置网络接口eth0的静态路由#vim/etc/sysconfig/network-scripts/route-eth0 via,2023年7月7日,28,本地域名解析配置文件,本地域名解析数据库文件为/etc/hosts例如#vim/etc/hosts127.0.0.1 localhost.localdomain localhost:1 localhost6.localdomain6 localhost6192.168.1.200 centos1.ls-al.loc centos1192.168.0.200 soho.mylabs.me soho,2023年7月7日,29,配置远程域名解析器,设置Linux的DNS客户可以编辑/etc/resolv.conf文件举例#vim/etc/resolv.confnameserver nameververnameverver domain sinolido.org#指定本机所在的域search sinolido.org#指定默认搜索域,2023年7月7日,30,配置域名解析顺序,域名解析的优先顺序由配置文件/etc/host.conf决定例如首先查找/etc/hosts 文件进行域名解析然后使用/etc/resolv.conf文件中指定的域名服务器进行域名解析#vim/etc/host.conforder hosts,bind,2023年7月7日,31,设置包转发,永久性配置包转发需要修改要配置文件#vim/etc/sysctl.conf确保如下配置行存在 net.ipv4.ip_forward=1查看当前系统是否支持包转发使配置文件的修改在当前环境下生效#sysctl-p,2023年7月7日,32,使用TUI工具配置网络,#system-config-network-tui,2023年7月7日,33,提示：为了使网络接口配置的更改在当前环境生效需要重新启动网络服务。,网络测试工具,2023年7月7日,34,网络检测的常用工具,2023年7月7日,35,ping和traceroute,ping测试网络的连通性例如：traceroute显示数据包到达目的主机所经过的路由例如：,2023年7月7日,36,查看网络端口的使用情况,netstat 查看网络端口#netstat-an#netstat-lunptlsof 查看在指定IP 和/或 端口上打开的进程查看指定IP的进程的运行情况 查看指定端口运行的程序#lsof-i:ssh#lsof-i:22,2023年7月7日,37,网络客户工具,2023年7月7日,38,图形界面网络客户工具,图形界面浏览器：Firefox、Mozilla图形界面E-mail客户端：Thunderbird、Evolution图形界面FTP客户端：Gftp、Konqueror图形界面下载工具：WebDownloader for X、Httrack、Getleft,2023年7月7日,39,操作相对简单，请自学这些工具的使用,字符界面网络工具,2023年7月7日,40,传统的ftp命令,2023年7月7日,41,只支持交互式使用方式$ftp 常用的交互子命令,lftp简介,lftp是个功能强大的字符界面文件传输工具主页：在RHEL/CentOS中由名为 lftp 的RPM包提供功能支持交互式和命令行两种工作模式支持ftp、ftps、http、https、hftp、fish等传输协议支持FXP【File eXchange Protocol】（在两个FTP服务器之间传输文件）支持代理、支持多线程传输、支持断点续传支持传输队列（queue)、支持书签（bookmark）支持镜像（mirror）类似bash，提供后台命令、nohop模式、命令历史、命令别名、命令补齐、作业控制、lftp环境设置等支持。使用 lftpget 来实现自动化传输,2023年7月7日,42,lftp的交互模式,进入lftp交互模式的命令格式lftp-p-u,lftp ftp:/:port例如$lftp-p 2021,2023年7月7日,43,lftp的交互子命令,lftp支持传统ftp的所有子命令lftp还支持如下子命令（常用的）help：显示指定子命令的帮助信息get/put/mget/mput：比传统ftp提供更多的选项pget：多线程下载reget/reput：续传，等效于 get/put 的 c 选项mirror：镜像站点目录open/close：开始/关闭一个FTP连接set：设置lftp的环境参数,2023年7月7日,44,lftp的交互子命令 get/put,格式get-E-a-c-O base rfile-o lfileput-E-a-c-O base lfile-o rfile选项-E：传输完毕删除源文件-a：使用ASCii模式传输（默认使用BINary模式）-c：续传（continue）-O base：指定目标文件存放的目录或指定的URL-o：指定目标文件的名字或URL（用于传输后改名存储）,2023年7月7日,45,lftp的交互子命令 get/put 举例,get README get README-o centos.README get README centos.mirrors get README-o centos.README README.mirrors-o centos.mirrors get ftp:/site1/pub/file-o ftp:/site2/incoming/file1 get-O ftp:/site1/pub/file1 file2 put README put README centos.mirrors put ftp:/site1/pub/file,2023年7月7日,46,lftp的交互子命令mget/mput,格式mget-c-d-a-E-O base filesmput-c-d-a-E-O base files选项-c：续传（continue）-d：创建与被传输文件同名的目录，并将目标文件存入该目录而非当前目录-E：传输完毕删除源文件-a：使用ASCii模式传输（默认使用BINary模式）-O base：指定目标文件存放的目录或指定的URL,2023年7月7日,47,lftp的交互子命令 mget/mput 举例,mget Note*mget-O/var/downloads item*mget-O ftp:/site2/incoming/ftp:/site1/pub/*mput Note*mput ftp:/site1/pub/*,2023年7月7日,48,lftp的交互子命令pget,格式pget-c-n rfile-o lfile选项-c：续传（要求 lfile.lftp-pget-status 文件存在）-n：指定最大连接数，默认为5举例 pget-n 8 somefile.iso pget-c-n 8 somefile.iso,2023年7月7日,49,查看pget默认的最大连接数 set-d|grep pget:default-nset pget:default-n 5,lftp的交互子命令mirror,格式mirror OPTS 说明将源目录source镜像到目标目录targetsource可以使用URL指定目标目录省略时表示当前目录常用选项-e,-delete：删除本地存在而远程不存在的文件-n,-only-newer：仅下载比本地新的文件-P,-parallel=N：并行下载 N 个文件-v,-verbose=level：显示操作的输出,2023年7月7日,50,lftp的交互子命令mirror的其他常用选项,2023年7月7日,51,lftp的交互子命令mirror举例,并行镜像远程的iso目录到本地当前目录 mirror-P iso/并行镜像 到本地当前目录（删除远程不存在的文件，仅下载新文件）并行镜像 到本地当前目录下的 ftp.example.org 子目录,2023年7月7日,52,lftp的交互子命令open,格式open-e cmds-p-u,open-e cmds ftp:/:port选项-e cmds：在打开连接后执行lftp子命令用于使用不带任何参数的lftp命令进入交互模式之后重新打开新的FTP连接,2023年7月7日,53,lftp的环境设置,交互模式：使用set命令设置lftp环境变量set-a：显示所有的环境变量set-d：显示默认的环境变量set var val：设置环境变量var的值为val，若省略值val表示取消此环境变量的设置环境文件全局：/etc/lftp.conf每用户：/.lftp/rc用户可以将用于自己环境设置的set命令放入其中,2023年7月7日,54,设置lftp的常用环境变量,2023年7月7日,55,lftp的命令行模式,lftp命令行模式的命令格式登录站点后执行命令cmds$lftp-e-p-u,$lftp-e ftp:/:执行命令cmds$lftp-c 执行lftp脚本（预先将所有要执行的lftp子命令写入脚本）$lftp-f 说明-e执行命令后不退出交互模式；-c执行命令后返回Shell在cmds中可以使用;、&、|组合多个lftp子命令,2023年7月7日,56,lftp的命令行模式举例,匿名登录，下载lsof*文件到本地当前目录$lftp-c open-e mget lsof*ftp:/lftp-c open-e mput lsof*ftp:/joe:将 目录镜像到tom用户在上的自家目录$lftp-c open-e mirror Changelogs ftp:/tom:tomspassftp.blah.org/ftp:/,2023年7月7日,57,lftp的命令行模式举例使用lftp脚本文件,$lftp-f myscript.lftp,2023年7月7日,58,$cat myscript.lftp#将debug设置为3级，并将日志写入 debug-o/logs/lftp.debug.txt 3#设置环境变量 mirror:exclude-regexset mirror:exclude-regex(x86_64)|(SRPMS)|(ppc)|(isos)#切换本地目录lcd/var/ftp/yum/distr/centos/5#镜像 到本地当前目录#开启新的FTP连接mget lsof*mput xclip*exit,wget简介,wget是基于控制台的HTTP/FTP下载工具。主页：在RHEL/CentOS中由名为 wget 的RPM包提供功能不使用交互界面，可以在后台工作。支持 HTTP、HTTPS 和 FTP 协议。在wget通过FTP下载时，具有文件名通配符匹配和目录递归镜像功能，并支持被动FTP下载。可以读出并储存HTTP和FTP站点给出的时间戳，从而可以判断远程文件的更新状况。断点续传的功能使得在缓慢和不稳定的连接状态下表现依然出色。支持代理服务器的特性使得wget在使用中减小网络负载、加速下载以及配合防火墙使用成为可能。,2023年7月7日,59,wget命令,格式wget option 基本选项,2023年7月7日,60,wget命令常用下载选项,2023年7月7日,61,wget命令常用筛选选项,2023年7月7日,62,LIST 中可以使用Shell的通配符,wget命令举例,下载单个文件下载单个文件（断点续传）、在后台运行（-b）$wget-cb 下载单一HTML文件（-p确保页面显示的所有元素均被下载，-k重新建立链接）下载 http:/网站上 packages 目录中的所有文件。(-np 不遍历父目录，-nd 不在本机重新创建目录结构）$wget-r-np-nd http:/,2023年7月7日,63,wget命令举例（续）,仅下载指定目录及其子目录中的所有*.iso 文件$wget-r-np-nd-accept=iso http:/镜像一个网站，将链接转换成本地地址(-k)，若链接的文件在外部站点则一同下载之(-h)在本地镜像网站的内容（-l指定深度，-t0一直重试）只下载网站指定的目录，避免向远程主机的其他目录扩散，并拒绝下载gif和png文件,2023年7月7日,64,字符界面浏览器 links/w3m,浏览指定的URL在标准输出显示html页面的TXT版本$links-dump$w3m-dump 在标准输出显示html页面的源代码$links-source$w3m-dump_source,2023年7月7日,65,邮件客户mutt,支持POP、IMAP和本地邮箱 高度的可配置性 可映射的“热键”（hotkey，功能键）消息串线和彩色显示 GnuPG整合 上下文敏感的帮助（“?”）,2023年7月7日,66,文件同步rsync（remote synchronize）,rsync 是一个远程数据同步工具可通过LAN/WAN同步不同主机上的文件或目录可以同步本地硬盘中的不同文件或目录rsync 使用所谓的 rsync算法 进行数据同步同步若干新文件时：只复制有变化的文件同步原有文件时：只复制文件的变化部分参考 How Rsync Works A Practical Overviewrsync 目前由 维护,2023年7月7日,67,rsync 的基本特性,可以镜像保存整个目录树和文件系统可以很容易做到保持原来文件的权限、时间、软硬链接等无须特殊权限即可安装优化的流程，文件传输效率高可以使用 rsh、ssh 方式来传输文件，当然也可以通过直接的 socket 连接支持匿名传输，以方便进行网站镜象,2023年7月7日,68,rsync 使用的两种方式,远程Shell方式可以使用rsh、ssh等远程Shell，默认使用ssh用户验证由远程Shell负责C/S方式客户连接远程 rsync 服务器rsync 服务器默认监听 873 端口用户验证由 rsync 服务器负责rsync 服务器也可配置为匿名访问访问rsync服务器时可使用URL（）,2023年7月7日,69,rsync 命令,同步本地文件或目录rsync OPTION.SRC.DEST将远程文件或目录同步到本地（拉）rsync OPTION.USERHOST:SRC.DEST将本地文件或目录同步到远程（推）rsync OPTION.SRC.USERHOST:DEST,2023年7月7日,70,rsync 命令的常用选项,2023年7月7日,71,rsync 命令的常用选项续,2023年7月7日,72,rsync 命令应用举例（1）,将整个/home 目录及其子目录同步到/backups#rsync-a-delete/home/backups将/home 目录下的所有内容同步到/backups/home.0#rsync-a-delete/home/backups/home.0执行“推”复制同步rootsoho#rsync/etc/hosts centos5:/etc/hosts执行“拉”复制同步rootcentos5#rsync soho:/etc/hosts/etc/hosts,2023年7月7日,73,rsync 命令应用举例（2）,执行“推”复制同步用户的环境文件osmondsoho$rsync/.bash*centos5:执行“拉”复制同步用户的环境文件osmondcnetos5$rsync soho:/.bash*.执行“推”复制同步站点根目录osmondsoho$rsync-avz-delete/var/www root:/var/www执行“拉”复制同步站点根目录osmondcnetos5$rsync-avz-delete root:/var/www/var/www,2023年7月7日,74,rsync 命令应用举例（3）,从匿名 rsync 服务器同步 CentOS 的 yum 仓库同步到本地/var/ftp/yum/distr/centos/目录不同步SRPMS、x86_64和isos 目录#rsync-aqzH-delete-delay-updates-exclude=SRPMS/-exclude=x86_64/-exclude=isos/rsync:/var/ftp/yum/distr/centos/,2023年7月7日,75,安全的网络客户工具,2023年7月7日,76,SSH简介,SSH 的英文全称为 Secure SHellSSH 是IETF 的网络工作组所制定的协议SSH 是建立在应用层和传输层基础上的安全协议SSH（Secure SHell）协议是 C/S 模式协议分为 SSH 的客户端和服务器端一次成功的 SSH 会话需要两端通力合作来完成SSH 目的是要在非安全网络上提供安全的远程登录和其他安全服务所有使用 SSH 协议的通信，包括口令，都会被加密传输用于替代传统的 telnet、ftp、r族命令（rlogin、rsh、rcp）,2023年7月7日,77,SSH协议体系结构,2023年7月7日,78,SSH 基于主机的安全验证,在 SSH 协议中每台主机都有一对或多对主机密钥首次启动 SSH 服务时会自动生成，一般无需变更SSH 通过严格的主机密钥检查用户可以核对来自服务器的公钥同之前所定义的密钥是否一致，防止了某个用户访问一个他没有相应公钥的主机SSH 利用主机的公钥（而不是IP地址）实现主机身份认证，不容易受到IP地址欺骗的攻击,2023年7月7日,79,SSH 基于用户的安全验证1,基于口令的安全验证只要用户知道自己用户账号和口令，就可以登录到远程主机口令验证由 PAM 进行验证SSH 对所有传输的数据进行加密传输（包括用户口令）不能避免受到“中间人”方式的攻击,2023年7月7日,80,SSH 基于用户的安全验证2,基于密钥的安全验证每个用户都拥有自己的一对或多对密钥包括：公钥和私钥密钥协议：RSA 或 DSS/DSA每个用户自己的密钥对需用户自己生成可以使用不同的密钥协议创建多对密钥并将公密发布到需要访问的服务器上基于密钥的安全验证不需要在网络上传送用户口令可以避免“中间人”的攻击方式，因为“中间人”没有你的私钥,2023年7月7日,81,用户密钥认证协议,RSA 和 DSS/DSA 认证承诺不必提供密码就能够同远程系统建立连接RSA/DSA 密钥认证协议的基本工作原理：密钥由一对组成：一把专用密钥（亦称私钥）和一把公用密钥（亦称公钥）。密钥对由客户端生成，私钥由用户自己保管，并将公钥散播到需要认证之处（登录服务器端）。公钥用于对消息进行加密，只有拥有私钥的人才能对该消息进行解密。公钥只能用于加密，而私钥只能用于对由匹配的公钥编码的消息进行解密。,2023年7月7日,82,用户密钥认证过程,SSH 客户向 SSH 服务器提出用户密钥认证请求SSH 服务器在用户的家目录下寻找其公钥，然后把它和用户发送过来的公钥进行比较如果两个密钥一致服务器就用公钥生成加密“质询”（challenge）并把它发送给客户端软件客户端软件收到“质询”之后就使用用户自己的私钥解密再把它送还给服务器认证通过后，客户端向服务器发送会话请求开始双方的加密会话否则认证失败,2023年7月7日,83,OpenSSH简介,OpenSSH 是 SSH 协议的免费开源实现安全、加密的网络连接工具（ssh、scp、sftp）代替了 telnet、rlogin、rsh、rcp 和 ftp 等工具OpenSSH 支持 SSH 协议的版本 1和 2。自从 OpenSSH 的版本 2.9 以来，默认的协议是版本 2版本 2的协议支持 RSA 和 DSA，默认使用 RSA 密钥OpenSSH 支持的用户认证方式支持基于 PAM 的用户口令认证支持用户密钥认证,2023年7月7日,84,ssh,ssh 用于替代 telnet/rlogin格式ssh userhostname ssh userhostname command 举例$ssh osmond192.168.0.100 ls,2023年7月7日,85,scp,scp 用于替代 rcp格式：scp option 远程文件的指定方式是：userhost:/path/to/file选项：-r：用于递归复制子目录-p：用于保留被复制文件的时间戳和权限-C：用于压缩数据流举例$scp osmond192.168.0.101:remotefile localfile$scp-rpC osmondbackup.ls-al.me:/data.,2023年7月7日,86,sftp,sftp命令是基于SSH协议的 ftp 的客户端与 ftp 类似,但它进行加密传输，比FTP有更高的安全性格式sftp userhostname举例：进入 sftp 会话之后就可以使用 ftp 子命令上传和下载文件了,2023年7月7日,87,OpenSSH的主机密钥管理主机密钥生成,OpenSSH的服务启动脚本/etc/init.d/sshd包含了主机密钥的生成命令sshd首次启动时默认会生成三对主机密钥（SSH-1 RSA、SSH-2 RSA、SSH-2 DSA）何时需要重新生成主机密钥若系统是从一个旧系统克隆而来如：硬盘对拷、复制的虚拟机文件等在 RHEL/CentOS 上重新生成主机密钥#rm-f/etc/ssh/ssh_host_*#service sshd restart,2023年7月7日,88,OpenSSH的主机密钥管理搜集可信任主机的公钥,ssh-keyscan 命令格式ssh-keyscan-t-t：用于指定密钥算法。可以同时指定多种算法（用逗号间隔）Hostname|IPaddress：指定被信任主机的主机名或 IP 地址例如：$ssh-keyscan-t rsa,dsa soho soho.ls-al.loc 192.168.0.200/.ssh/known_hosts,2023年7月7日,89,OpenSSH的用户密钥管理密钥生成和分发,密钥生成ssh-keygen-t rsa1|rsa|dsa默认使用rsa密钥认证类型密钥分发私钥（private key）被保留在自己的系统上通常使用口令保护（建议）重新设置私钥保护短语$ssh-keygen-f/.ssh/id_dsa-p公钥（public key）被分发（复制）到目标系统$ssh-copy-id-i/.ssh/id_dsa.pubuserhost,2023年7月7日,90,OpenSSH的用户密钥管理ssh-agent和ssh-add,ssh-agent是一个用户认证代理（authentication agent）用于在登录会话中缓存解密后的私钥ssh/scp/sftp命令内置支持了同 ssh-agent 通信的机制使得私钥保护口令只需要输入一次ssh-add用于向认证代理的高速缓存中添加私钥,2023年7月7日,91,OpenSSH的用户密钥管理ssh-agent的运行方法,在Shell中运行$eval$(ssh-agent)或$ssh-agent bash在用户登录脚本中运行$vi/.bash_profile添加如下行eval$(ssh-agent),2023年7月7日,92,OpenSSH的用户密钥管理ssh-agent的缺点,每次登录会话都启动一个新的 ssh-agent 副本浪费资源得使用 ssh-add 向每个新的 ssh-agent 副本添加私钥ssh-agent与cron任务系统不兼容cron 任务无法从它们的环境中继承 ssh-agent 所需的 SSH_AUTH_SOCK 变量,2023年7月7日,93,OpenSSH的用户密钥管理keychain简介,keychain 是一个 ssh-agent 的前端工具使用keychain完美实现无口令登录让每个用户只使用一个 ssh-agent 进程使用一个认证代理可以跨越不同的登录会话只需对每个私钥执行一次 ssh-add 即可与 cron任务系统兼容安装#yum-enablerepo=rpmforge install keychain#man keychain,2023年7月7日,94,OpenSSH的用户密钥管理keychain的运行方法,#vi/.bash_profile添加如下配置行#START-Keychain#start keychain and point it to the private keys that wed like it to cache/usr/bin/keychain$HOME/.ssh/id_dsasource$HOME/.keychain/$HOSTNAME-sh#End-Keychain#,2023年7月7日,95,OpenSSH的用户密钥管理keychain的工作原理,keychain 的实现方法若 ssh-agent 还没运行，执行 ssh-agent 的同时将环境变量 SSH_AUTH_SOCK 和 SSH_AGENT_PID 的值记录在指定文件中若ssh-agent已经运行，则用 source 命令读入并执行指定文件来获得适当的 SSH_AUTH_SOCK 设置在 shell 脚本及 cron 任务脚本中使用无口令登录在执行ssh/scp/rsync等命令之前先执行如下行即可 source$HOME/.keychain/$HOSTNAME-sh,2023年7月7日,96,本章思考题,简述TCP/IP模型及协议栈。如何使用命令配置以太网接口？简述路由类型？简述RHEL/CentOS下的TCP/IP配置文件族。简述Linux下常用的网络服务和网络客户端。,2023年7月7日,97,本章实验,学会使用route命令设置静态路由。学会使用ifconfig命令配置以太网接口。学会通过修改配置文件的方法配置网络参数。学会使用system-config-network-tui配置网络。学会使用常用的网络测试工具。学会使用lftp命令、wget命令和links/w3m命令。学会使用 rsync 命令同步文件或目录。学会使用安全的网络客户工具ssh、scp和sftp。学会生成ssh的密钥及其分发。学会使用keychain实现无口令登录。,2023年7月7日,98,进一步学习,学习Linux环境下的IPv6相关概念及配