acl

ACL :access control list ，访问 控制 列表 -作用： 匹配感兴趣的流量。 -实现： #规则 #动作(允许/拒绝) #事件 -表示： -类型： #标准ACL/基本ACL ID name #扩展ACL/高级ACL ID name ACL的配置思路： 0、确保原有数据的连通性(基于现网需要来确定)； 在没有实施ACL之前，所有PC 之间是互通的； 1、查看设备上已经存在的ACL [R1] display acl [2000] | all 2、创建ACL [R1] acl 2000 [match-order {config} | {auto} ] [R1-acl-basic-2000] rule [id] deny source 192.168.1.x 0.0.0.0 3、调用ACL [R1]interface gi0/0/0 [R1-gi0/0/0]tranffic-filter inbound acl 2000 4、验证、测试、保存 display acl 2000 //查看ACL的配置条目信息； display traffic-filter applied-record //查看ACL的调用信息； display traffic-filter statistics interface GigabitEthernet 0/0/0 inbound /

文件权限 在linux中一切都是文件，但是每个文件的类型不尽相同，linux系统使用不同的字符来加以区分，常见的字符如下： 字符 含义 - 普通文件 d 目录文件 l 链接文件 b 块设备文件 c 字符设备文件 p 管道文件 每个文件都有所有者和所有组，并且有各自的权限，读（r）写（w）执行（x），对于文件和目录rwx含义是不用的 文件： r 读取文件内容的权限 w 修改文件内容的权限 x 执行文件内容的权限 目录： r 查看目录下文件的权限 w 穿件、删除、修改目录下文件的权限 r 进入目录的权限 示例如下： lrwxrwxrwx. 1 root root 7 Feb 7 19:53 bin -> usr/bin dr-xr-xr-x. 3 root root 4096 Feb 7 12:08 boot 文件的特殊权限 SUID SUID是一种对二进制程序进行设置的特殊权限，可以上二进制程序的执行者临时拥有属主的权限（仅对拥有执行权限的二进制程序有效） 命令是 chmod u+s 文件名 ，将所有者的权限由rwx变成rws，其中x变成s表示拥有了SUID权限，如果原本所有者的权限是rw-就会变成rwS，其中-会变成大写的S 例如passwd命令： [root@localhost /]# ll /bin/passwd -rwsr-xr-x. 1 root root 27832

ACL权限是为了解决权限不够的情况，一般情况下只有ugo三种，但是如果需要第四种，就不够用了，这时候，引入了ACL权限，直接给这个用户添加权限，让他脱离于原有的ugo三种用户之外。 在使用ACL权限之前，我们可以查看分区ACL权限是否开启 eg:dumpe2fs -h /dev/sda5 一般都是已经自动帮你支持了。 临时开启根分区的ACL权限：mount -o remount,acl/ 永久开启ACL权限：-vi /etc/fstab -在想要的目录的default改成‘default,acl’ -重新挂载分区 mount -o remount/ 查看ACL命令 getfacl 文件名 设定文件的ACL权限 setfacl （选项） 文件名；-m。设定ACL权限； -x 删除指定的权限 ；-b。删除所有的ACL权限 ；-d 设置默认的ACL权限； -k 删除默认的ACL权限； -R 递归设置ACL权限;setfacl -m u:st:rx project/ 给project目录添加st用户rx的权限。如果将u改成g，就是给组添加权限 最大ACL权限：我们设置的ACL与文件的mask相‘与’，得到的才是真的改文件的ACL eg:setfacl -m m:rx project/ 递归设置project文件夹的ACL，以后新建的文件没有用：setfacl -m u:st:rx -R

拓扑图如下（学号 26 ）： 配置静态路由： R1(config)#int f0/0 R1(config-if)#ip address 10.26.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config)#int f0/1 R1(config-if)#ip address 14.26.2.1 255.255.255.0 R1(config-if)#no shutdown R4(config)#ip route 10.26.1.0 255.255.255.0 14.26.2.1 R3(config)#ip route 14.26.2.0 255.255.255.0 10.26.1.1 R2(config)#ip route 14.26.2.0 255.255.255.0 10.26.1.1 测试网络是否 Ping 通： R2pingR4 R1pingR4 R3pingR2 R4pingR2 基于时间的 acl R1(config)#time-range TELNET R1(config-time-range)#periodic weekdays 9:00 to 14:00 R1(config)#access-list 150 deny tcp host 10.26.1.2 any eq 23 time TELNET R1

华为 OSPF 拓扑 1、停留在Init状态的效果和原因 本端对端不发送带有本设备ID的hello包，会一直停留在int状态； 首先配置设备端口的ip;其次配置acl;最后配置OSPF。 [AR-2] [AR-2]acl 3000 [AR-2-acl-adv-3000]rule 5 deny ip source 12.1.1.1 0 destination 224.0.0.5 0-----------禁止12.1.1.1地址发往目标为224.0.0.5地址的IP数据 [AR-2-acl-adv-3000]quit [AR-2] [AR-2]int G0/0/0 [AR-2-GigabitEthernet0/0/0] [AR-2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000----------------------------对进入接口的数据匹配编号为3000的高级ACL [AR-2-GigabitEthernet0/0/0]quit [AR-2] 2、停留在2way状态的效果和原因 修改AR-1和AR-2链路的接口优先级为0，使其不参与DR、BDR选举。 [AR-1]int G0/0/0 [AR-1-GigabitEthernet0/0/0]ospf dr-priority 0----------------------

一、软件包管理 1.1 Linux分为源码包和二进制包（rpm包） 　　源码包：开源、可选择安装功能、需编译安装 更稳定、卸载方便，但安装步骤多，编译时间长，报错不易解决； /usr/local/软件名/ 源码包 默认安装路径（卸载的话直接将/usr/local/<包名>删除即可） 源码包安装：将包解压 ./configure [--prefix=/usr/local/<>] 定义需要的功能选项； 检测系统环境是否符合要求； 将前两项结果写入makefile文件； make 编译（make clear清空编译） make install 编译安装 　 rpm包：安装快、简单，但看不到源码、依赖性更大。 rpm默认安装路径 /etc/ 配置文件 /usr/bin/ 可执行的命令 /usr/share/doc 软件使用手册 /usr/share/man/ 帮助文件 1.2 rpm命令管理 　　rpm安装最大问题：依赖性 　　（1）依赖分为树形依赖，环形依赖（同时安装所有包），模块依赖 #模块依赖 mount /dev/sr0 /mnt/cdrom/ #挂载系统镜像 cd /mnt/cdrom/Packages #选择安装mysql为例 rpm -ivh mysql-connector-odbc* #提示缺少依赖libobdcinst.so.2，so.2格式为安装库

ACL：访问控制列表 ACL的作用 ： 1）访问控制 2）定义感兴趣流量 ACL原理：手动在路由器定义一张ACL列表，列表中存在有多条规则，然后将此列表在路由器的某个接口的某个方向调用，让路由器按照表中指定的规则对流量执行相对应的动作—拒绝、允许 ACL匹配规则： 至上而下逐条匹配：若命中则直接执行动作，不再查看下一条：末尾隐含拒绝所有 ACL的分类： 1）基本ACL：只能识别数据包中的源IP地址（适合限制一对多的区域快当一对一限制时用高级的） 2）高级ACL：可以识别数据包中的源、目IP，源目端口号，和协议号。 基本ACL配置： [huawei]acl ? INTEGER<2000-2999>Basic access-list(add to current using rules) //基本ACL INTEGER<3000-3999> Advanced access-list(add to current using rules) //高级ACL [huawei]acl 2000 //创建基本ACL列表 [huawei-acl-basic-2000]rule deny source 192.168.10.1 0(相当于0.0.0.0) //拒绝主机源192.168.10.1 通配符 默认定义规则按照+5的序号排列。 [huawei]dis acl all Total

edusrc漏洞平台到了高级白帽，暂时就先不挖漏洞了，选择提高自己吧 一，ACL权限 　　1，ACL权限简介与开启 　　　　在普通权限中，用户对文件只有三种身份，就是属主、属组和其他人；每种用户身份拥有读（read）、写（write）和执行（execute）三种权限。但是在实际工作中，这三种身份实在是不够用，我们举个例子来看看。 　　　　 　　　　图 1 的根目录中有一个 /project 目录，这是班级的项目目录。班级中的每个学员都可以访问和修改这个目录，老师也需要对这个目录拥有访问和修改权限，其他班级的学员当然不能访问这个目录。需要怎么规划这个目录的权限呢？应该这样：老师使用 root 用户，作为这个目录的属主，权限为 rwx；班级所有的学员都加入 tgroup 组，使 tgroup 组作为 /project 目录的属组，权限是 rwx；其他人的权限设定为 0。这样这个目录的权限就可以符合我们的项目开发要求了。 　　　　有一天，班里来了一位试听的学员 st，她必须能够访问 /project 目录，所以必须对这个目录拥有 r 和 x 权限；但是她又没有学习过以前的课程，所以不能赋予她 w 权限，怕她改错了目录中的内容，所以学员 st 的权限就是 r-x。可是如何分配她的身份呢？变为属主？当然不行，要不 root 该放哪里？加入 tgroup 组？也不行，因为 tgroup

使用三层 交换机 的ACL实现不同vlan间的隔离 建立三个vlan vlan10 vlan20 vlan30 www.2cto.com PC1 PC3属于vlan10 PC2 PC4属于vlan20 PC5属于vlan30 Vlan10 vlan20 vlan30不能互访 但是能上外网 Pc1 :172.16.10.2 pc2: 172.16.20.2 pc3:172.16.10.3 pc4:172.16.20.3 pc5: 172.16.30.2 配置R1 Int f0/0 Ip add 192.168.1.2 255.255.255.0 配置f0/0 No sh Int lo0 Ip add 1.1.1.1 255.255.255.0 配置环回地址 以测试各vlan与外网的连通性 No sh 配置静态路由 到三层交换机各vlan的路由 # ip route 172.16.10.0 255.255.255.0 192.168.1.1 # ip route 172.16.20.0 255.255.255.0 192.168.1.1 # ip route 172.16.30.0 255.255.255.0 192.168.1.1 配置 SW1 #conf t #ip routing 启用三层路由功能 #int f0/0 #no switch #ip add 192.168.1.1

本文为原创文章，转载请标明 出处 目录 用户管理 系统用户文件 添加用户 useradd 设置用户密码 passwd 删除用户 userdel 用户管理 usermod 用户组管理 系统用户组文件 添加用户组 groupadd 删除用户组 groupdel 用户组管理 基本权限及管理命令 修改文件属主 chown 修改文件属组 chgrp 文件权限管理 chmod suid、sgid、sticky权限 权限掩码 umask POSIX ACL权限系统及其管理命令 ACL权限管理 setfacl ACL权限查看 getfacl 1. 用户管理 系统用户文件 系统用户文件 etc/passwd 用户密码文件 etc/shadow 添加用户 useradd # useradd [username] 参数 d：指定用户home目录 e：设置过期时间 g：指定新用户所属的用户组 s：指定新用户使用的shell u：设置用户UID 例如： # useradd -s /bin/ksh metaphors # useradd -g group user 设置用户密码 passwd # passwd [username] 删除用户 userdel # userdel [username] 删除用户及其家目录和邮件文件 # userdel -r [username] 用户管理 usermod #