Linux 应用安全

1 怎样使用 nmcli 创建新连接，并为其配置静态 IP 地址等参数？

# nmcli	connection	add	con-name	"连接名"	ifname	"接口名"	type	ethernet
# nmcli	connection	modify	"连接名"		ipv4.method	manual	ipv4.address	"IP 地址/掩码长度" ipv4.gateway	"默认网关地址"	ipv4.dns	DNS 服务器地址		connection.autoconnect	yes
# nmcli	connection	up	"连接名"

2 列出不少于 5 个 Linux 常见的目录，并描述各自的用途。

/：整个 Linux 文件系统的根目录
/boot：存放系统内核、启动菜单配置等文件
/home：存放普通用户的默认家目录（同名子目录）
/root：管理员的家目录
/bin、/sbin：存放系统命令、可执行的程序
/dev：存放各种设备文件
/etc：存放各种系统配置、系统服务配置文件

3 使用 Linux 命令行时，通配符 *、? 分别表示什么意思？

*：任意多个任意字符
?：单个字符4 对于 CentOS 或 RedHat 系列的 Linux 主机，如何快速设置 yum 软件源？# vim	/etc/yum.conf	
.. ..
gpgcheck = 0		//禁止软件签名检查
# yum-config-manager	--add-repo	软件源的 URL 网址	//添加新配置
# yum	repolist		//确认仓库列表

5 Linux 系统中如何控制文档的访问权限？

设置文档归属：
# chown	-R	属主:属组	文档... 
# chown	-R	属主	文档...
# chown	-R	:属组	文档... 
设置文档权限：
# chmod	-R	ugoa+-=rwx	文档

6 在 CentOS 7.x 系统中，主要通过什么命令来管理系统服务的开启和关闭？

使用 systemctl 工具：
# systemctl	start	服务名.. ..                                                            //开启服务
# systemctl	stop	服务名.. ..                                                           //停止服务
# systemctl	restart	服务名.. ..                                                   //重启服务
# systemctl	status	服务名.. ..                                                   //查看服务状态

7 如果需要在 Linux 主机上部署 vsftpd 服务，请简单描述其实现过程？

1）装软件包
# yum	-y	install	vsftpd	
2）配置	
# useradd	用户名
# passwd	用户名		//为 FTP 用户添加登录账号
//为用户设置登录密码
3）起服务		
# systemctl	restart	vsftpd	//开启服务程序
# systemctl	enable	vsftpd	//设置开机后自动运行此服务

8 Linux 中第一个光盘驱动器的设备文件是 sr0，第一个 SATA 接口硬盘的设备文件是？

SATA 接口的硬盘类别为 sd，老式 IDE 接口的硬盘类别为 hd，硬盘设备的顺序按字母顺序排列，
因此第一个 SATA 接口的硬盘设备是 sda。

9 分区的格式类型中可以作为 Linux 根分区格式的是？

EXT3 —— 比如，RHEL 5.x/CentOS 5.x 系列操作系统
EXT4 —— 比如，RHEL 6.x/CentOS 6.x 系列操作系统
XFS —— 比如，RHEL 7.x/CentOS 7.x 系列操作系统

10 常用的 RAID 磁盘阵列有哪些，各自的特点是什么？

RAID0：条带模式，至少   2   块磁盘，通过并发读写提高效率
RAID1：镜像模式，至少 2 块磁盘，通过镜像备份提高磁盘设备的可靠性
RAID10：条带+镜像模式，相当于 RAID1+RAID0，至少 4 块磁盘，读写效率及可靠性都更高
RAID5：均衡模式，至少 3 块磁盘，其中 1 块磁盘容量用来存放恢复校验数据
RAID6：相当于扩展版的 RAID5，至少 4 块磁盘，其中 2 块磁盘容量用来存放恢复校验数据

11 动态网页与静态网页有啥区别？httpd 服务端如何才能支持 PHP 程序？
静态网站：浏览器通过 URL 访问到的网页内容固定不变，对应服务端静态提供的资源文件，主要
包括.txt 文本、.html 网页、.jpg|.png 图片、.zip|.tar.gz 压缩文件等等。
动态网站：浏览器通过 URL 访问到的网页内容动态变化，对应服务端的网页程序动态生成的资源文件，主要包括 .php、.jsp、.asp、.wsgi 等不同网页语言编写的程序。

支持 PHP 程序：安装 httpd、php、php-mysql 软件包

12 简述将企业的网站部署到华为云或阿里云 ECS 上的过程。

ECS 是华为云/阿里云的弹性计算服务，也就是通常所说的云服务器。

基于 ECS 云服务器的网站上云过程：a. 注册华为云或阿里云账号b. 选购一台 ECS 服务器实例，按时长或用量计费，配置安全组规则开放 80 端口c. 选购一个网站域名，将解析目标设置为所购买 ECS 的公网 IP 地址d. 完成网站备案（可选）e. 准备好企业的网站文档，上传到 ECS 服务器的 Web 目录下f. 从互联网通过选购的域名或 IP 地址访问企业网站

13 为什么很多 Linux 服务器不开放 root 用户远程登录，而采用 sudo 提权的方式？
主要原因/好处：

1. 避免采用 root 密码直接登录带来的安全风险，杜绝针对 root 用户的暴力破解
2. 将普通用户的权限最小化，提高安全性
3. 管理员对普通用户通过 sudo 调用的命令可控、可通过日志跟踪

14 如何有效防止 SSH 暴力登录。

可以多种办法一起采用，比如：
1. 提高登录密码的复杂度    
2.修改 SSH 服务端的监听端口号
3.禁止以 root 用户直接登录
4.调控 SSH 登录会话参数，比如一段时间内的登录次数
5.启用白名单访问控制
6.放弃密码验证，改用密钥验证
7.部署入侵防护（比如 DenyHosts）机制或设备

15 是否了解 Zabbix 监控系统，它是如何获取路由交换设备或 Linux 主机信息的？
Zabbix 是一套集中展示网络设备、主机信息的开源监控平台，通过 C/S 模式采集数据，通过 B/S模式在 WEB 端展示和配置。
由 zabbix server 通过 SNMP，zabbix agent，ping，端口监视等方法获取被监控设备信息。zabbix agent 需要安装在被监控的目标服务器上，主要完成硬盘、内存、CPU 等硬件信息的收集。而对于路由器、交换机等网络设备，则通过 SNMP 协议向 zabbix server 提供监控信息。

16 在典型的监控系统（比如 zabbix）中，server 端和 agent 端各自的作用是什么？

1）zabbix-server 端
负责采集、存储各种监控数据，并通过 Web 提供管理/数据分析入口，以及监控结果展示界面。
2）zabbix-agent 端
作为zabbix 客户端，相当于特工/卧底一样，安装在Linux 或Windows 服务器上，为zabbix-server 提供相应的监控数据。