防火墻與SELinux
防火墻的概念和分類
從邏輯上講与柑。防火墻可以大體分為主機(jī)防火墻和網(wǎng)絡(luò)防火墻昭躺。
主機(jī)防火墻:針對于單個主機(jī)進(jìn)行防護(hù)。
網(wǎng)絡(luò)防火墻:往往處于網(wǎng)絡(luò)入口或邊緣棠赛,針對于網(wǎng)絡(luò)入口進(jìn)行防護(hù),服務(wù)于防火墻背后的本地局域網(wǎng)将硝。
網(wǎng)絡(luò)防火墻和主機(jī)防火墻并不沖突恭朗,可以理解為,網(wǎng)絡(luò)防火墻主外(集體)依疼, 主機(jī)防火墻主內(nèi)(個人)。
從物理上講而芥,防火墻可以分為硬件防火墻和軟件防火墻律罢。
硬件防火墻:在硬件級別實現(xiàn)部分防火墻功能,另一部分功能基于軟件實現(xiàn)棍丐,性能高误辑,成本高。
軟件防火墻:應(yīng)用軟件處理邏輯運行于通用硬件平臺之上的防火墻歌逢,性能低巾钉,成本低。
iptables防火墻(CentOS6默認(rèn))
?????iptables 其實不是真正的防火墻秘案,我們可以把它理解成一個客戶端代理砰苍,用戶通過iptables這個代理,將用
戶的安全設(shè)定執(zhí)行到對應(yīng)的"安全框架"中阱高,這個"安全框架"才是真正的防火墻赚导,這個框架的名字叫 netfilter
netfilter才是防火墻真正的安全框架(framework),netfilter位于內(nèi)核空間赤惊。
iptables其實是一個命令行工具吼旧,位于用戶空間,我們用這個工具操作真正的框架未舟。
Netfilter具有如下功能:
網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translate)
---數(shù)據(jù)包內(nèi)容修改
---以及數(shù)據(jù)包過濾的防火墻功能
---所以說圈暗,雖然我們使用service iptables start啟動iptables"服務(wù)"掂为,但是其實準(zhǔn)確的來
說,iptables并沒有一個守護(hù)進(jìn)程员串,所以并不能算是真正意義上的服務(wù)勇哗,而應(yīng)該算是內(nèi)核提供的功能。我們知道iptables是按照規(guī)則來辦事的昵济,規(guī)則其實就是網(wǎng)絡(luò)管理員預(yù)定義的條件智绸,規(guī)則一般的定義為"如果數(shù)據(jù)包頭符合這樣的條件,就這樣處理這個數(shù)據(jù)包"访忿。規(guī)則存儲在內(nèi)核空間的 信息包過濾表中瞧栗,這些規(guī)則分別指定了源地址、目的地址海铆、傳輸協(xié)議(如TCP迹恐、UDP、ICMP)和服務(wù)類型(如HTTP卧斟、FTP和SMTP)等殴边。當(dāng)數(shù)據(jù)包與規(guī)則匹配時,iptables就根據(jù)規(guī)則所定義的方法來處理這些數(shù)據(jù)包珍语,如放行(accept)锤岸、拒絕(reject)和丟棄(drop)等。配置防火墻的主要工作就是添加板乙、修改和刪除這些規(guī)則是偷。
---當(dāng)客戶端訪問服務(wù)器的web服務(wù)時,客戶端發(fā)送報文到網(wǎng)卡募逞,而tcp/ip協(xié)議棧是屬于內(nèi)核的一部分蛋铆,所以,客戶端的信息會通過內(nèi)核的TCP協(xié)議傳輸?shù)接脩艨臻g中的web服務(wù)中放接,而此時刺啦,客戶端報文的目標(biāo)終點為web服務(wù)所監(jiān)聽的套接字(IP:Port)上,當(dāng)web服務(wù)需要響應(yīng)客戶端請求時纠脾,web服務(wù)發(fā)出的響應(yīng)報文的目標(biāo)終點則為客戶端玛瘸,這個時候,web服務(wù)所監(jiān)聽的IP與端口反而變成了原點乳乌,我們說過捧韵,netfilter才是真正的防火墻,它是內(nèi)核的一部分汉操,所以再来,如果我們想要防火墻能夠達(dá)到"防火"的目的,則需要在內(nèi)核中設(shè)置關(guān)卡,所有進(jìn)出的報文都要通過這些關(guān)卡芒篷,經(jīng)過檢查后搜变,符合放行條件的才能放行,符合阻攔條件的則需要被阻止针炉,于是挠他,就出現(xiàn)了INPUT、OUTPUT篡帕、PREROUTING殖侵、FORWARD、POSTROUTING等關(guān)卡镰烧,而這些關(guān)卡在iptables中不被稱為"關(guān)卡",而被稱為"鏈"拢军。
根據(jù)上圖,報文的流向:
到本機(jī)某進(jìn)程的報文:PREROUTING --> INPUT
由本機(jī)轉(zhuǎn)發(fā)的報文:PREROUTING --> FORWARD --> POSTROUTING
由本機(jī)的某進(jìn)程發(fā)出報文(通常為響應(yīng)報文):OUTPUT --> POSTROUTING
鏈的概念
-----前面講的“關(guān)卡”為什么叫“鏈”怔鳖, 防火墻的作用就在于對經(jīng)過的報文匹配"規(guī)則"茉唉,然后執(zhí)行對應(yīng)的"動作",所以,當(dāng)報文經(jīng)過這些關(guān)卡的時候结执,關(guān)卡上可能不止有一條規(guī)則度陆,而是有很多條規(guī)則,當(dāng)我們把這些規(guī)則串到一個鏈條上的時候献幔,就形成了"鏈"
表的概念
每個"鏈"上都放置了一串規(guī)則懂傀,但是這些規(guī)則有些很相似,比如蜡感,A類規(guī)則都是對IP或者端口的過濾鸿竖,B類規(guī)則是
修改報文,那么這個時候铸敏,我們是不是能把實現(xiàn)相同功能的規(guī)則放在一起,我們把具有相同功能的規(guī)則的集合叫
做"表"悟泵,不同功能的規(guī)則杈笔,我們可以放置在不同的表中進(jìn)行管理,而iptables已經(jīng)為我們定義了4種表糕非,每種表
對應(yīng)了不同的功能蒙具,而我們定義的規(guī)則也都逃脫不了這4種功能的范圍,iptables為我們提供了如下規(guī)則的分
類朽肥,或者說禁筏,iptables為我們提供了如下"表":
filter表: 負(fù)責(zé)過濾功能,真正的防火墻衡招;內(nèi)核模塊:iptables_filter
nat表: network address translation篱昔,網(wǎng)絡(luò)地址轉(zhuǎn)換功能;內(nèi)核模塊:iptable_nat
mangle表:拆解報文,做出修改州刽,并重新封裝 的功能空执;內(nèi)核模塊:iptable_mangle
raw表:跳過nat表上的連接追蹤機(jī)制,以提高性能穗椅。如大量訪問的web服務(wù)器辨绊,可以讓80端口不再讓
iptables做數(shù)據(jù)包的鏈接跟蹤處理,以提高用戶的訪問速度匹表。內(nèi)核模塊:iptable_raw
表鏈關(guān)系
---某些"鏈"中注定不會包含"某類規(guī)則"门坷,就像某些"關(guān)卡"天生就不具備某些功能一樣,比如袍镀,A"關(guān)卡"只負(fù)責(zé)打擊陸地敵人默蚌,沒有防空能力,B"關(guān)卡"只負(fù)責(zé)打擊空中敵人流椒,沒有防御步兵的能力敏簿,C"關(guān)卡"可能比較NB,既能防空宣虾,也能防御陸地敵人惯裕,D"關(guān)卡"最屌,海陸空都能防绣硝。
每個"鏈"中的規(guī)則都存在于哪些"表"中:
PREROUTING 的規(guī)則可以存在于:raw表蜻势,mangle表,nat表鹉胖。
INPUT 的規(guī)則可以存在于:mangle表握玛,filter表,(centos7中還有nat表甫菠,centos6中沒有)挠铲。
FORWARD 的規(guī)則可以存在于:mangle表,filter表寂诱。
OUTPUT 的規(guī)則可以存在于:raw表mangle表拂苹,nat表,filter表痰洒。
POSTROUTING 的規(guī)則可以存在于:mangle表瓢棒,nat表。
反過來:
表(功能)<--> 鏈(鉤子):
raw 表中的規(guī)則可以被哪些鏈?zhǔn)褂茫篜REROUTING丘喻,OUTPUT
mangle 表中的規(guī)則可以被哪些鏈?zhǔn)褂茫篜REROUTING脯宿,INPUT,F(xiàn)ORWARD泉粉,OUTPUT连霉,POSTROUTING
nat 表中的規(guī)則可以被哪些鏈?zhǔn)褂茫篜REROUTING,OUTPUT,POSTROUTING(centos7中還有INPUT窘面,centos6中沒有)
filter 表中的規(guī)則可以被哪些鏈?zhǔn)褂茫篒NPUT翠语,F(xiàn)ORWARD,OUTPUT
在同一條鏈中财边,的規(guī)則那些在前那些在后肌括,是有優(yōu)先規(guī)則的:
iptables為我們定義了4張"表",當(dāng)他們處于同一條"鏈"時,執(zhí)行的優(yōu)先級如下酣难。
優(yōu)先級次序(由高而低):
raw --> mangle --> nat --> filter
將數(shù)據(jù)包通過防火墻的流程總結(jié)為下圖
處理動作
iptables對數(shù)據(jù)包的常見動作:
T ACCEPT:允許數(shù)據(jù)包通過谍夭。
P DROP:直接丟棄數(shù)據(jù)包,不給任何回應(yīng)信息憨募,這時候客戶端會感覺自己的請求泥牛入海了紧索,過了超時時間才會有反應(yīng)。
REJECT:拒絕數(shù)據(jù)包通過菜谣,必要時會給數(shù)據(jù)發(fā)送端一個響應(yīng)的信息珠漂,客戶端剛請求就會收到拒絕的信息。
T SNAT:源地址轉(zhuǎn)換尾膊,解決內(nèi)網(wǎng)用戶用同一個公網(wǎng)地址上網(wǎng)的問題媳危,修改報文的源地址。
E MASQUERADE:是SNAT的一種特殊形式冈敛,適用于動態(tài)的待笑、會變的ip上。
T DNAT:目標(biāo)地址轉(zhuǎn)換抓谴,修改報文的目的地址暮蹂。
T REDIRECT:在本機(jī)做端口映射。
G LOG:在/var/log/messages文件中記錄日志信息癌压,然后將數(shù)據(jù)包傳遞給下一條規(guī)則仰泻,也就是說除了記錄以外不對數(shù)據(jù)包做任何其他操作。
常用命令:
-A 追加規(guī)則 -->iptables -A INPUT 在所有規(guī)則最后加入規(guī)則
-D 刪除規(guī)則 -->iptables -D INPUT 1( 編號 ) //鏈中規(guī)則的編號滩届,從1開始我纪,后面23456…………
-R 修改規(guī)則 -->iptables -R INPUT 1 -s 192.168.12.0 -j DROP 取代現(xiàn)行規(guī)則,順序不變 (1 是位置 )
-I 插入規(guī)則 -->iptables -I INPUT 1 --dport 80 -j ACCEPT 插入一條規(guī)則丐吓,原本位置上的規(guī)則將會往后移動一個順位,不指定編號趟据,
就會在最前加入規(guī)則
-L 查看規(guī)則 -->iptables -L INPUT 列出規(guī)則鏈中的所有規(guī)則券犁, 加 --line-numbers 顯示規(guī)則編號
-N 新的規(guī)則 -->iptables -N allowed 定義新的規(guī)則
-n :以數(shù)字的方式顯示 ip ,它會將 ip 直接顯示出來汹碱,如果不加 -n 粘衬,則會將 ip 反向解析成主機(jī)名。 和 -L 一起用, n 要放前面
-P : 設(shè)置默認(rèn)策略的(設(shè)定默認(rèn)門是關(guān)著的還是開著的)
//默認(rèn)策略一般只有兩種
iptables -P INPUT (DROP|ACCEPT)
//默認(rèn)是關(guān)的 / 默認(rèn)是開的
//比如:
iptables -P INPUT DROP
//通用參數(shù):
-p 協(xié)議 例: iptables -A INPUT -p tcp
-s 源地址 例: iptables -A INPUT -s 192.168.1.1 ip 范圍: 192.168.0.0/24 //'/24'表示子網(wǎng)掩碼稚新,前24位都是1---即255.255.255.0
-d 目的地址 例: iptables -A INPUT -d 192.168.12.1
--sport 源端口 例 :iptables -A INPUT -p tcp --sport 22
--dport 目的端口 例 :iptables -A INPUT -p tcp --dport 22
-i 指定入口網(wǎng)卡 例 :iptables -A INPUT -i eth0
-o 指定出口網(wǎng)卡 例 :iptables -A FORWARD -o eth0
-m 擴(kuò)展各種模塊
-m multiport :表示啟用多端口擴(kuò)展
-j 指定要進(jìn)行的處理動作
//常用的 ACTION :
DROP :丟棄
REJECT :明示拒絕
ACCEPT :接受
//SNAT 基于原地址的轉(zhuǎn)換
source-- 指定地址
//比如我們現(xiàn)在要將所有 192.168.10.0 網(wǎng)段的 IP 在經(jīng)過的時候全都轉(zhuǎn)換成 172.16.100.1 這個假設(shè)出來的外網(wǎng)地址:
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source 172.16.100.1( 外網(wǎng)有效 ip)
最后提一下:
實質(zhì)上勘伺,上面的設(shè)置命令就是將規(guī)則寫到配置文件:/etc/sysconfig/iptables,
所以也可以直接修改這個配置文件來添加或修改規(guī)則褂删,但是改完后要再執(zhí)行命令
/etc/init.d/iptables reload 使變更的規(guī)則生效飞醉,而命令的方法則不用
查詢防火墻狀態(tài) : [root@localhost ~]# service iptables status
停止防火墻 : [root@localhost ~]# service iptables stop
啟動防火墻 : [root@localhost ~]# service iptables start
重啟防火墻 : [root@localhost ~]# service iptables restart
永久關(guān)閉防火墻 : [root@localhost ~]# chkconfig iptables off
永久關(guān)閉后啟用 : [root@localhost ~]# chkconfig iptables on
Centos7
firewalld 防火墻(CentOS7默認(rèn))
systemctl status firewalld.service #查看firewalld狀態(tài)
systemctl stop firewalld #關(guān)閉
systemctl start firewalld #開啟
systemctl disable firewalld #開機(jī)自動關(guān)閉
systemctl enable firewalld #開機(jī)自動啟動
firewalld和iptables的關(guān)系:
1、CentOS7里firewalld和iptables是共存的屯阀,真正的防火墻是
netfilter缅帘,firewalld,iptables都是netfilter對用戶提供的一個操作接口
2难衰、firewalld底層是調(diào)用iptables的钦无,是建立在iptables之上的防火墻
3、firewalld比iptables更人性化盖袭,可以理解為firewalld是iptables的升級版本失暂,本質(zhì)上是同一個東西
firewalld和iptables的區(qū)別:
1 、 iptables 用命令一條一條規(guī)則的寫進(jìn)去鳄虱,如果改配置文件還需要執(zhí)行命令 /etc/init.d/iptables reload新規(guī)則才生效
2 弟塞、 firewalld 新引入了域的概念,不同的域規(guī)則不同醇蝴,同一個域規(guī)則一樣宣肚,用域?qū)σ?guī)則進(jìn)行了分組
查看firewalld的域操作firewalld的命令firewall-cmd
//查看firewalld的域操作firewalld的命令firewall-cmd
# firewall-cmd --list-all-zones //查看所有的域以及他們的規(guī)則配置,默認(rèn)有 9個
# firewall-cmd --list-all //查看firewalld的默認(rèn)域以及域中的規(guī)則配置
# firewall-cmd --set-default-zone=work //切換默認(rèn)的域
# firewall-cmd --get-active-zone //查看激活的域
firewalld的域和網(wǎng)卡接口
//1悠栓、一個網(wǎng)卡接口只能屬于一個zone
//2霉涨、一個zone可以綁定多個網(wǎng)卡接口
//3、只要配置上網(wǎng)卡接口或者配置上源ip地址惭适,zone就變成了活動域
# firewall-cmd --zone=home --change-interface=ens33 //這樣改后笙瑟,public域還是默認(rèn)的域,但缺不是激活的域了
# firewall-cmd --zone=home --e remove -interface=ens33 //移除指定的網(wǎng)卡接口
# firewall-cmd --zone=home --d add
firewalld的規(guī)則配置
------firewalld的默認(rèn)規(guī)則:
-----我們要做的工作就是在白名單上加入允許盡量的端口癞志、服務(wù)往枷、ip地址
firewalld中區(qū)域默認(rèn)規(guī)則設(shè)定
阻塞區(qū)域( block ):任何傳入的網(wǎng)絡(luò)數(shù)據(jù)包都將被阻止。
工作區(qū)域( work ):相信網(wǎng)絡(luò)上的其他計算機(jī)凄杯,不會損害你的計算機(jī)错洁。
家庭區(qū)域( home ):相信網(wǎng)絡(luò)上的其他計算機(jī),不會損害你的計算機(jī)戒突。
公共區(qū)域( public ):不相信網(wǎng)絡(luò)上的任何計算機(jī)屯碴,只有選擇接受傳入的網(wǎng)絡(luò)連接。
隔離區(qū)域( DMZ ):隔離區(qū)域也稱為非軍事區(qū)域膊存,內(nèi)外網(wǎng)絡(luò)之間增加的一層網(wǎng)絡(luò)导而,起到緩沖作用忱叭。對隔
離區(qū)域,只有選擇接受傳入的網(wǎng)絡(luò)連接今艺。
信任區(qū)域( trusted ):所有的網(wǎng)絡(luò)連接都可以接受韵丑。
丟棄區(qū)域( drop ):任何傳入的網(wǎng)絡(luò)連接都被拒絕。
內(nèi)部區(qū)域( internal ):信任網(wǎng)絡(luò)上的其他計算機(jī)虚缎,不會損害你的計算機(jī)撵彻。只有選擇接受傳入的網(wǎng)絡(luò)連
接。
外部區(qū)域( external ):不相信網(wǎng)絡(luò)上的其他計算機(jī)遥巴,不會損害你的計算機(jī)千康。只有選擇接受傳入的網(wǎng)絡(luò)
連接。
測試用的httpd服務(wù)配置
- 安裝
yum install httpd -y - 安裝好后啟動httpd
systemctl start httpd
顯示running是代表運行的意思铲掐,inactive代表未運行
image.png -
啟動之后可以通過瀏覽器訪問主機(jī)ip地址(默認(rèn)端口80)
image.png - httpd服務(wù)配置文件和存放的目錄
服務(wù)目錄: /etc/httpd
主配置文件: /etc/httpd/conf/httpd.conf
網(wǎng)站數(shù)據(jù)目錄: /var/www/html
訪問日志: /var/log/httpd/access_log
錯誤日志:/var/log/httpd/error_log -
使用vim 編輯主配置文件
vim /etc/httpd/conf/httpd.conf
image.png
image.png
需要修改網(wǎng)站數(shù)據(jù)目錄拾弃,在主配置文件中將/var/www/html改成你想要的網(wǎng)站目錄重啟服務(wù)即可
image.png
舉例1:開啟80端口
# firewall-cmd --zone=public --add-port=80/tcp //這樣的配置只是臨時生效,防火墻重啟后摆霉,配置丟失
# firewall-cmd --zone=public --add-port=80/tcp --permanent //想要永久生效豪椿,后面加要給參數(shù)--permnent 表示永久
# firewall-cmd --zone=public -- remove -port=80/tcp --permanent
# firewall-cmd --reload // 防火墻熱重載,如果新規(guī)則沒生效可以熱重載試試
舉例2:開啟服務(wù)携栋,其實服務(wù)和端口是一致的搭盾,因為沒個服務(wù)必然綁定對應(yīng)的端口
// /usr/lib/firewalld/services這個目錄下有很多的xml配置文件,對應(yīng)著可以配置的服務(wù)婉支,可以看一下
//如果我們要加鸯隅,是可以自己新建xml文件放這里的,這里有xml配置文件的服務(wù)就可以用服務(wù)的方
//法放開防火墻的限制
# firewall-cmd --zone=public --remove-port=80/tcp 先移除剛剛設(shè)置的端口
# firewall-cmd --zone=public --add-service=http 然后設(shè)置服務(wù)向挖,同樣這樣是臨時的
# firewall-cmd --zone=public --add-service=http --permanent 永久生效
# firewall-cmd --reload 重載一下
舉例3:限制所有的ip地址訪問蝌以,除開白名單上的ip地址
-----下面設(shè)置了信任的網(wǎng)段為192.168.238.0,其它任何網(wǎng)ip都不可訪問.
# firewall-cmd --set-default-zone=drop
# firewall-cmd --zone=drop --change-interface=ens33 //綁定到網(wǎng)卡上
# firewall-cmd --zone=trusted --add-source=192.168.238.0/24 # 同樣要刪除, add 改成 remove
常見的網(wǎng)絡(luò)攻擊
- DDOS
DDOS
-----一群惡霸試圖讓對面那家有著競爭關(guān)系的商鋪無法正常營業(yè)何之,惡霸們扮作普通客戶一直擁擠在對手的商鋪跟畅,賴著不走,真正的購物者卻無法進(jìn)入溶推;惡霸們完成這些壞事有時憑單干難以完成徊件,需要叫上很多人一起,網(wǎng)絡(luò)安全領(lǐng)域中 DoS 和DDoS 攻擊就遵循著這些思路蒜危。DoS ( Denial of Service )虱痕,即拒絕服務(wù)攻擊,該攻擊方式利用目標(biāo)系統(tǒng)網(wǎng)絡(luò)服務(wù)功能缺陷或者直接消耗其系統(tǒng)資源辐赞,使得該目標(biāo)系統(tǒng)無法提供正常的服務(wù)皆疹。
-----DdoS 的攻擊方式有很多種,最基本的 DoS 攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源占拍,從而使合法用戶無法得到服務(wù)的響應(yīng)略就。單一的 DoS 攻擊一般是采用一對一方式的,當(dāng)攻擊目標(biāo) CPU 速度低晃酒、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項指標(biāo)不高的性能表牢,它的效果是明顯的。隨著計算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展贝次,計算機(jī)的處理能力迅速增長崔兴,內(nèi)存大大增加,同時也出現(xiàn)了千兆級別的網(wǎng)絡(luò)蛔翅,這使得 DoS 攻擊的困難程度加大了 - 目標(biāo)對惡意攻擊包的 " 消化能力 " 加強了不少敲茄。這時候分布式的拒絕服務(wù)攻擊手段( DDoS )就應(yīng)運而生了。 DDoS 就是利用更多的傀儡機(jī)(肉雞)來發(fā)起進(jìn)攻山析,以比從前更大的規(guī)模來進(jìn)攻受害者堰燎。 - CC
DDoS 攻擊打的是網(wǎng)站的服務(wù)器,而 CC 攻擊是針對網(wǎng)站的頁面攻擊的笋轨,用術(shù)語來說就是秆剪,一個是 WEB 網(wǎng)絡(luò)
層拒絕服務(wù)攻擊( DDoS ),一個是 WEB 應(yīng)用層拒絕服務(wù)攻擊( CC ) - SYN
SYN 攻擊屬于 DOS 攻擊的一種爵政,它利用 TCP 協(xié)議缺陷仅讽,通過發(fā)送大量的半連接請求,耗費目標(biāo)的 CPU 和內(nèi)存資源钾挟。服務(wù)
器進(jìn)入 SYN_RECV 狀態(tài)后洁灵,如果未收到客戶端的確認(rèn)包時,會重發(fā)請求包掺出,一直到超時徽千。
linux清理緩存內(nèi)存
1---查看內(nèi)存狀況 free -m
sync && echo 3 > /proc/sys/vm/drop_caches
sudo sysctl -w vm.dirty_ratio=0
sudo sysctl -w vm.dirty_background_ratio=0
SELinux配置
sestatus //查看SELinux狀態(tài)
SELinux status: disabled //表示禁用狀態(tài)
setenforece 0 //臨時修改為寬容模式
setenforce 1 //臨時修改為強制模式
永久修改 SELinux 模式,編輯 /etc/selinux/config 文件并將 SELINUX 的值修改為 enforcing蛛砰、permissive 或 disabled罐栈。
系統(tǒng)設(shè)置的一些命令
1-修改系主機(jī)名
hostnamectl status //查看當(dāng)前主機(jī)配置
sudo hostnamectl set-hostname 新主機(jī)名 //退出并重新登錄以確保新的主機(jī)名生效,或者重啟系統(tǒng)泥畅。
