acl

五大权限 ： UGO权限 、 SetUID SetGID Sticky 、 ACL权限 、 chattr （文件系统级别的权限）、 SELINUX ======================文件属性以及ugo权限================================== ls -l 列出文件的属性 linux文件的类型包括以下六种： - 普通文件 d 目录文件 l 链接文件 b block类型的设备文件 块设备文件 c 字符型的设备文件 s socket文件 网络类型的文件 p 管道类型的文件 ugo权限 u 代表 users 拥有者 g 代表 group所属组 o 代表 others a 代表所有，包括ugo rwx的含义 r代表读权限 w代表写权限 x代表执行权限 对于文件：r代表可使用cat等命令查看文件内容，w代表可增 加/删除/修改文件内容，x代表可执行该文件。 对于目录：r代表可使用ls命令列出目录下的文件名，要想看文件的详细信息，需结合x权限。 w代表表可在该目录下创建/删除文件和子目录，或修改 文件名称， 要与x结合使用。x代表可进入该目录。 r=4 w=2 x=1 文件类型的查看方式？两种 ls -l 或者 file 文件夹的权限 x 代表可以cd进去 rx 代表可以cd进去 ls ls-l wx 代表可以cd ls touch rm vi

拓扑 IP地址规划 Device interface IP mask R1 F 0/0 10.20.1.1 /24 F 0/1 14.20.1.1 /24 R2 F 0/0 10.20.1.2 /24 R3 F 0/0 10.20.1.3 /24 R4 F 0/1 14.20.1.4 /24 接口配置 采用静态路由将网络做通 以 R4为例： R4(config)#int f0/1 R4(config-if)#ip add R4(config-if)#ip address 14.20.1.4 255.255.255.0 R4(config)#no sh R4(config)#exi R4(config)#ip route 10.20.1.0 255.255.255.0 14.20.1.1 时间配置 （ 1）给每台路由配上时间 R1#clock set 22:06:58 April 25 2019 （ 2）查看时间 结果：时间配置成功。 配置 time-range R1(config)#time-range TELNET R1(config-time-range)#periodic weekdays 9:00 to 22:40 说明：定义的时间范围为每周一到周五的 9:00 to 22:40 配置 ACL R1(config)#access-list 150 deny tcp host

原理： 要通过 ACL来限制用户在规定的时间范围内访问特定的服务，首先设备上必须配置好正确的时间。在相应的时间要允许相应的服务，这样的命令，在配置ACL时，是正常配置的，但是，如果就将命令正常配置之后，默认是在所有时间内允许的，要做到在相应时间内允许，还必须为该命令加上一个时间限制，这样就使得这条ACL命令只在此时间范围内才能生效。而要配置这样的时间范围，是通过配置time-range来实现的，在time-range中定义好时间，再将此time-range跟在某ACL的条目之后，那么此条目就在该时间范围内起作用，其它时间是不起作用的。 拓扑图 1 配置端口 ip 地址。 配置 R2 ip 地址 配置 R4ip 地址 2 测试连通性： R4 telnet R2 3 关键步骤 1.配置time-range r1(config)#time-range TELNET r1(config-time-range)#periodic Sunday 9:00 to 18:00 说明：定义的时间范围为每周日 的 9:00 to 15:00 2.配置ACL 说明： 配置 R1在上面的时间范围内拒绝R2到R4的telnet，其它流量全部通过。 r1(config)#access-list 100 deny tcp host 10.132.1.2 any eq 23 time-range TELNET

动态ACL 拓扑以及地址规划 实验前确保网络连通 1.配置Dynamic ACL （1）配置默认不需要认证就可以通过的数据，如telnet r1(config)#access-list 100 permit tcp an an eq telnet (2)配置认证之后才能通过的数据，如ICMP，绝对时间为2分钟。 r1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any r1(config)#int f0/0 r1(config-if)#ip access-group 100 in 测试内网R2 telnet外网以及内网R2 ping外网R4 说明内网在没有认证之前，ICMP是无法通过的 3.配置本地用户数据库 r1(config)#username ccie password cisco 4.配置所有人的用户名具有访问功能 r1(config)#line vty 0 181 r1(config-line)#login local r1(config-line)#autocommand access-enable R2内网认证前后的内网到外网的ICMP结果对比 可知认证后的ICMP包允许通过 查看ACL状态 r1#show ip access-lists 来源： https://www.cnblogs

环境 HAProxy: 1.4.18 KeepAlived: 1.2.2 VIP: 192.168.1.99 M: 192.168.1.222 S: 192.168.1.189 架构图 192.168.1.99 ±----------VIP----------+ | | | | Master Backup 192.168.1.189 192.168.1.222 ±---------+ ±---------+ | HAProxy | | HAProxy | |keepalived| |keepalived| ±---------+ ±---------+ | v ±-------±--------+ | | | | | | v v v ±-----+ ±-----+ ±-----+ | WEB1 | | WEB2 | | WEB3 | ±-----+ ±-----+ ±-----+ 安装HAProxy 安装pcre yum install pcre wget http://haproxy.1wt.eu/download/1.4/src/haproxy-1.4.18.tar.gz global maxconn 20480 #默认最大连接数 log 127.0.0.1 local3 #[err warning info debug] chroot /var/haproxy

自反 ACL实验配置 拓扑图 R4为外网，R2和R3为内网。 地址表 Device Interface IP address R1 F 0/0 10.1.34.1 F 0/1 14.1.34.1 R2 F 0/0 10.1.34.2 R3 F 0/0 10.1.34.3 R4 F 0/0 14.1.34.4 先在R2、R3 与 R4上配置配置静态路由 R2(config)#ip route 14.1.34.0 255.255.255.0 10.1.34.1 R3(config)#ip route 14.1.34.0 255.255.255.0 10.1.34.1 R4(config)#ip route 10.1.34.0 255.255.255.0 14.1.34.1 配置静态路由完成，路由之间互通，即可做自反 ACL 1.配置拒绝外网主动访问内网 说明： 拒绝外网主动访问内网，但是 ICMP可以不受限制 （ 1）配置允许ICMP可以不用标记就进入内网，其它的必须被标记才返回 R1(config)#ip access-list extended come R1(config-ext-nacl)#permit icmp any any R1(config-ext-nacl)#evaluate abc （ 2）应用ACL R1(config)#int f0/1 R1(config-if

防火墙配置作业 拓扑 我的学号为201610110045，所以是45 路由器 接口 Ip地址 R1 F0/0 10.45.1.1 R3 F0/0 10.45.1.2 F0/1 10.45.2.1 R4 F0/0 10.45.2.2 R2 F0/0 10.45.2.3 首先先配置ip地址，让拓扑配置通 基于时间acl R3： R3(config)#time-range tt // 创建时间范围命名为tt R3(config-time-range)#periodic weekdays 9:00 to 12:00 // 时间范围定在工作日9点到12点 R3(config-time-range)#exi R3(config)#ip access-list extended goto R3(config-ext-nacl)#permit icmp any any time-range tt // 设置允许在tt时间范围内通过icmp报文 R3(config-ext-nacl)#int f0/1 R3(config-if)#ip access-group goto in 查看当前路由器时间 R3#show clock 发现当前时间是星期五1:33，并不在允许ping通的时间工作日9:00到12:00时间段内，理论上R4无法ping通R1，下午为测试，理论正确

Linux文件权限主要有以下几个： ugo基本权限 acl权限 suid,sgid,sticky高级权限 selinux ugo基本权限 一个文件对应三种权限对象，分别文件的所有者user、所属组group和其他人other 每个权限对象对应三种权限，分别是读r、写w和执行x 权限数字对应关系 权限名称 十进制 二进制 r 4 0100 w 2 0010 x 1 0001 这么设计的目的是rwx任意组合不会互相影响 相关操作举例 $ touch file1 $ ls -l file1 -rw-r--r-- 1 root root 0 Jul 14 15:15 file1 $ mkdir dir1 drwxr-xr-x 1 root root 4096 Jul 14 15:15 dir1 默认的文件权限为0644 默认的目录权限为0755 之所以默认权限为这些，是因为umask的值 $ umask 0022 umask默认值为0022,则目录默认权限为0777-0022=0755 而默认的文件权限在此基础上减去执行权限变为0644 至于0644、0755前面的0是什么，我们在高级权限中再介绍 umask命令只能临时生效，退出再登录后就又还原成默认的了，如果想要永远生效，可以更改/etc/profile或~/.bash_profile(没有则添加，有则修改) 而r、w