目录:
- 一:网络信息查看与配置
- 1.1:笔记
- 1.2:实验
- 二:日志的管理与应急分析
- 三:日志服务器的建立
- 3.1:笔记
- 3.2:实验
一:网络信息查看与配置
1.1:笔记
1)确认系统的网卡信息和ip地址
ip addr
ethernet:0表示第一个网卡,1表示第二个网卡
2)关闭networkmanager服务
service NetworkManager Stop
chkconfig --level 345 NetworkManager off
3)临时(重启后恢复原先)配置网络地址
ip link set eth0 up
ip addr add 192.168.0.100/24 dev eth0 # dev:device 设备 ip addr del 192.168.0.100/24 dev eth0 删除
ip route add default via 192.168.86.1 dev eth0 # 在端口eth0上配置默认路由
vim /etc/resolv.conf # 配置dns服务器
nameserver + dns服务器地址
4)通过配置文件,配置网络地址
eth0:192.168.1.254/24
eth1:172.16.1.254/24
vim /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0 # 网卡设备
TYPE=Ethernet # 类型
ONBOOT=yes # 是否允许network服务管理该文件
BOOTPROTO=static # 静态获取,也可dhcp
IPADDR=192.168.1.254
NETMASK=255.255.255.0
GATEWAY=XXX
DNS1=
DNS2=
service network restart1.2:实验
拓扑图:
windows用xp代替,中间的用centos8代替,右边的用kali代替
,其中xp和centos8其中的一张网卡在vmnet2,kali与centos8的另一张网卡在vmnet3
从centos7开始,没有了eth0,可以理解为被ens33所代替
centos8:
vim /etc/sysconfig/network-scripts/ifcfg-ens33
touch /etc/sysconfig/network-scripts/ifcfg-ens34
vim /etc/sysconfig/network-scripts/ifcfg-ens34
DEVICE=ens34
TYPE=Ethernet
ONBOOT=yes
BOOTPROTO=static
IPADDR=172.16.1.254
NETMASK=255.255.255.0reboot 重启centos8
然后再XP上发现可以ping通
kali上:(不同版本的linux路径不一样)
vim /etc/network/interfaces
atuo eth0
iface eth0 inet static
address 172.16.1.1
netmask 255.255.255.0
gateway 172.16.1.254然后重启网络服务:
systemctl restart networking
或者/etc/init.d/networking restart 这两条命令随便哪一条都可以然后ifconfig,若是不成功,就重启再ifconfig(我的是没成功,重启之后才好的)
若是kali与XP ping不通:
有可能XP防火墙关了,也有可能是做为中间机的centos8做为路由器功能没有配置路由表所导致,看视频用的是centos6,需要配置路由,而centos8可以直接通。是不是centos8不需要配置路由,默认开启???(有个疑问)
centos6的路由配置:
vim /etc/sysctl.conf
若出现目标主机不可达的提示:
中间机:
iptables -nL
这是开启了防火墙,那么我们就要去关闭防火墙
命令行输入:
setup选择第二项,然后回车
出现下图:
中间有个“*”号,则表示开启了防火墙,用空格的方式可以关掉这个点,然后tab键选到OK,然后退出。
二:日志的管理与应急分析
日志文件存放路径:
/var/log
日志分类:
系统日志 /var/log/messages
登录日志 /var/log/secure
程序日志
日志的管理服务:
vim /etc/rsyslog.conf
日志的级别:从低到高
debug,info,notice,warning,warn(same as warning),err,error(same as err),crit,alert,emerg,panic(same as emerg)
三:日志服务器的建立
3.1:笔记
防止被黑客入侵,若是root权限入侵,那么就会干一件事,那就是清空日志。远程以root登录到linux,echo "" > /var/log/secure
客户机(contos8):
vim /etc/rsyslog.conf
增加一条:
authpriv.* @@对方IP地址:端口号 # authpriv登录日志,@@表示用TCP协议发
authpriv.* @@172.16.1.1:514
然后保存退出
iptables -F # 关闭防火墙(centos8貌似不需要)
setenforce 0 # 不让日志加锁发出去(centos8貌似不需要)
getenforce # 查看日志加锁状态,Permissive:未加锁(centos8貌似不需要)
service rsyslog restart # 重启服务
服务端(kali):
vim /etc/rsyslog.conf
把#$ModLoad imtcp,#$InputTCPServerRun 514这两行的注释去掉
新增一条:
:fromhost-ip,isequal,"172.16.1.254" /var/log/client/172.16.1.254.log 保存退出
service rsyslog restart # 重启服务
ss -antpl | grep 514 # 查看是否监听3.2:实验
实验拓扑图:
如图:XP模拟恶意客户机,centos8被登录服务器,kali日志记录服务器
实验二在实验一的基础上接着做
centos8
vim /etc/rsyslog.conf
kali
vim /etc/rsyslog.conf
然后在XP上用putty软件,成功登录
centos8:
vim /var/log/secure
kali:
至此,日志备份服务器搭建完成。
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
