需求:
測試期間,可以控制測試服務(wù)器的狀態(tài)以及使用權(quán)
目錄:
1亥鸠、centos7 通過firewalld來控制IP訪問
2而账、【Linux】pkill命令--按照終端號踢出用戶
3朽们、CentOS7下限制ip訪問
centos7 通過firewalld來控制IP訪問
一、查看防火墻狀態(tài)
1褐耳、首先查看防火墻是否開啟,如未開啟撮躁,需要先開啟防火墻并作開機(jī)自啟
systemctl status firewalld
開啟防火墻并設(shè)置開機(jī)自啟
systemctl start firewalld
systemctl enable firewalld
一般需要重啟一下機(jī)器漱病,不然后面做的設(shè)置可能不會生效
二、開放或限制端口
1把曼、開放端口
(1)如我們需要開啟XShell連接時(shí)需要使用的22端口
firewall-cmd --zone=public --add-port=22/tcp --permanent
其中--permanent的作用是使設(shè)置永久生效杨帽,不加的話機(jī)器重啟之后失效
(2)重新載入一下防火墻設(shè)置,使設(shè)置生效
firewall-cmd --reload
(3)可通過如下命令查看是否生效
firewall-cmd --zone=public --query-port=22/tcp
(4)如下命令可查看當(dāng)前系統(tǒng)打開的所有端口
firewall-cmd --zone=public --list-ports
2嗤军、限制端口
(1)比如我們現(xiàn)在需要關(guān)掉剛剛打開的22端口
firewall-cmd --zone=public --remove-port=22/tcp --permanent
(2)重新載入一下防火墻設(shè)置注盈,使設(shè)置生效
firewall-cmd --reload
(3)再去查看系統(tǒng)所有開放的端口,已經(jīng)看到?jīng)]有22端口了
firewall-cmd --zone=public --list-ports
3叙赚、批量開放或限制端口
(1)批量開放端口老客,如從100到500這之間的端口我們?nèi)恳蜷_
firewall-cmd --zone=public --add-port=100-500/tcp --permanent
(2)重新載入一下防火墻設(shè)置,使設(shè)置生效
firewall-cmd --reload
(3)查看系統(tǒng)所有開放的端口震叮,可以看到從100到500的端口已被全部開放
firewall-cmd --zone=public --list-ports
(4)同理胧砰,批量限制端口為
firewall-cmd --zone=public --remove-port=100-500/tcp --permanent
firewall-cmd --reload
三、開放或限制IP
1苇瓣、限制IP地址訪問
(1)比如限制IP為192.168.0.200的地址禁止訪問80端口即禁止訪問機(jī)器
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.200" port protocol="tcp" port="80" reject"
(2)重新載入一下防火墻設(shè)置尉间,使設(shè)置生效
firewall-cmd --reload
(3)查看已經(jīng)設(shè)置的規(guī)則
firewall-cmd --zone=public --list-rich-rules
2、解除IP地址限制
(1)解除剛才被限制的192.168.0.200
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.200" port protocol="tcp" port="80" accept"
(2)重新載入一下防火墻設(shè)置,使設(shè)置生效
firewall-cmd --reload
(3)再查看規(guī)則設(shè)置發(fā)現(xiàn)已經(jīng)沒有192.168.0.200的限制了
firewall-cmd --zone=public --list-rich-rules
如設(shè)置未生效哲嘲,可嘗試直接編輯規(guī)則文件贪薪,刪掉原來的設(shè)置規(guī)則,重新載入一下防火墻即可
vi /etc/firewalld/zones/public.xml
3眠副、限制IP地址段
(1)如我們需要限制10.0.0.0-10.0.0.255這一整個(gè)段的IP画切,禁止他們訪問
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.0.0.0/24" port protocol="tcp" port="80" reject"
其中10.0.0.0/24表示為從10.0.0.0這個(gè)IP開始,24代表子網(wǎng)掩碼為255.255.255.0囱怕,共包含256個(gè)地址霍弹,即從0-255共256個(gè)IP,即正好限制了這一整段的IP地址光涂,具體的設(shè)置規(guī)則可參考下表
(2)重新載入一下防火墻設(shè)置庞萍,使設(shè)置生效
firewall-cmd --reload
(3)查看規(guī)則,確認(rèn)是否生效
firewall-cmd --zone=public --list-rich-rules
(4)同理忘闻,打開限制為
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.0.0.0/24" port protocol="tcp" port="80" accept"
firewall-cmd --reload
【Linux】pkill命令--按照終端號踢出用戶
pkill命令有一個(gè)非常實(shí)用的功能钝计,就是按照終端號踢出用戶。
命令格式:pkill [信號] -t 終端名稱 //支持的信號與kill命令一樣齐佳,1,9,15等私恬。
w命令可以查看當(dāng)前系統(tǒng)登錄了哪些用戶。
比如說炼吴,現(xiàn)在虛擬機(jī)里面登錄了root用戶本鸣,XShell也遠(yuǎn)程登錄了用戶。那么用w命令查看硅蹦,結(jié)果如下:
可以看到當(dāng)前登錄了兩個(gè)root用戶荣德,一個(gè)是通過tty1登錄,一個(gè)是通過遠(yuǎn)程終端pts/0登錄童芹。那么我們可以使用pkill -9 -t tty1命令把虛擬機(jī)的root用戶踢掉涮瞻。?
1、查看在線用戶資料:
?who
2假褪、查看在線 用戶pid
ps -ef | grep pts/1
3署咽、殺掉進(jìn)程,剔除用戶
kill -9 23091
或者
pkill -9 -t tty1
CentOS7下限制ip訪問
此教程的作用:設(shè)置SSH只允許特定用戶從特定的IP登錄生音,其它未經(jīng)允許的用戶和IP都不能登錄
示例1:只允許192.168.0.222登錄192.168.1.81
# vim /etc/hosts.allow宁否,最后一行加入:
sshd:192.168.0.222:allow? ? ? ? //多個(gè)IP可以按照此格式寫多行
# vim /etc/hosts.deny,最后一行加入:
sshd:ALL? ? ? ? ? ? ? ? ? ? //除了上面允許登錄的IP缀遍,其它IP都拒絕登錄
# service sshd restart?
示例2:只允許192.168.1網(wǎng)段的主機(jī)登錄192.168.1.81
# vim /etc/hosts.allow慕匠,最后一行加入:
sshd:192.168.1.*:allow
# vim /etc/hosts.deny,最后一行加入:
sshd:ALL
# service sshd restart
示例3:只允許192.168.0.222以keyso用戶身份域醇、192.168.1.135以root用戶身份登錄192.168.1.81
# vim /etc/ssh/sshd_config台谊,最后一行加入:
AllowUsers keyso@192.168.0.222 root@192.168.1.135? ?//多個(gè)用戶名@IP之間使用空格分隔
# service sshd restart?
資料:
https://blog.csdn.net/ywd1992/article/details/80401630
https://www.cnblogs.com/peteremperor/p/10847987.html
