3NTP-1时间同步服务实现及其它安全技术原创

Windows出了问题，呃，我下了课以后把WINDOWS1重启马上就好了，所以有的时候这也是，呃，没办法啊，当然这个实验呢，我们还是要给大家来演示的，呃，上次呢，我们已经给大家讲了这个时间同步的工作逻辑，呃，提到了两个软件可以保证网络中的时间啊，服务器是同步的，一个呢叫CHY啊，一个叫NTP，那么CHY呢，这个软件是相对啊新的一个软件啊，也是比较推荐使用的软件，它的精度，包括它的这个同步速度要比NTP这个软件要快，但是呢，这两个软件底层它都是基于啊标准的NTP协议的啊，希望大家明白，它都是走NTP协议的啊，所以这两个软件都是开源的，你可以进行选择，当然现在一般都是比较推荐CH了啊，当然NDP实际上在我们生工作中用来实现时间同步。也是没。

没问题的啊，只不过就是有一个更好一点点啊，那我们上次呢，给大家描述了一下这个时间同步的工作逻辑，呃，我们在企业里面一般来讲是一种时间同步，是属于基础服务啊，什么叫基础服务，就是必不可少的，就跟我们生活中啊，这个水电是吧，燃气这都是必需的必需品，这不用说你都得配好啊，那所以我们接下来就把这个时间同步的这个架构搭起来，当然我们上次也提到了，我们在真正的企业里面去实现这个时间同步的话，那么你应该至少有两台机器，一个机器是容容易产生单点失败问题的啊，所以我们现在去搭建两个NTP，两个NTP服务器。两个NTP的服务器，这个服务器呢，他们都和互联网的主机进行同步，哎，这是我们上次给大家搭的，那比方说上次我们尝试用阿里云和这个腾讯云，那我们今天还是用这两个，然后呃，这个环境我做了个简化啊，我这个机器就不开了啊，这个机就不开了。

哎，那我们这样，我们用四台机器啊，模拟这个生产环境，那我们其中有一台机器，这个呢，是用来实现NTP服务器的，第一台机器，第二个机器是这个，注意他们都是NTP服务器，不过呢，咱们上面跑的这个软件是用CHY这个软件来实现啊YCHY软件更为推荐使用啊，更为推荐使用。嗯。好，这是咱们目前要实现的架构。好，那现在咱们搭四台主机，呃，我们先来搭第一个ntp server，这个TB server呢，默认咱们S里面CH这个服务可能已经装上了啊，当然这个需要确认一下。

啊，如果是没有安装，那你需要去安装啊，这个就是那个八这台机器啊，我去确认一下CHNY这个软件是不是装上了chronic。好，大家看这个软件已经安装好了，那安装好了以后，那我们只需要去修改它的cloud的一个关键的配置文件，叫ETC的chic com文件，把这个文件打开。啊，上次我们讲到了这个地方要连接啊，指定互联网上的同步服务器，那我们现在呢，同步这个阿里云的，阿里云的呢，我们在图上写的是这个NTP阿里云com。

啊，这是一个单一的服务器，所以我这就选择server，后面跟上I first是为了加速同步的啊，一般来讲呢，我们至少得搭建两个，所以这边再加一个腾讯云的。那腾讯云的呢是TIME1，当然他有1234有好几个，我就实际上工作中一般建议多选几个啊，应该他选上三四个都可以，选上三四个啊这样就行了，那这行呢，我就不要了，这是原来系统自带的这一行，这一行呢我们就先取消它了。好，那我就保留了这两行，这两行配完以后，如果我们把NTP这个生效之后，这个配置生效之后，那么你仅仅是个客户端而已，也就是说你只能保证自己的时间和互联网的服务器同步啊，比方说我故意的把这个时间改错啊，大家看我改成了2019年又回到了去年。

那么我现在把时间服务重新启动，当然这个服务呢，呃，你要确保它是开机启动的，那我们现在确认一下它这个服务是不是开机启动，好是开机启动的，这边有个enabled，所以就没有问题了，然后我们看一下这个时间，大家看发现了吗？是不是瞬间校正过来了？看到了吗？啊，你看这个时间马上我刚才不是改成2019年了吗？对不对，现在是不是瞬间校正过来了啊，这个CY呢，它的速度是比较快的，它的校正速度非常快，快速就校正过来了啊，当然如果我们的时间，我们的时间这个怎么知道他是校正过来呢？我们上次有一个命令叫CHYC-N，刚才是为了避免解析的，要不它会解析成名称啊，比较慢，好大家看这地方出了一个星号，这个星号。

加号代表着什么意思？这边就有提示啊，如果是脱字符表示的是福气，如果是等号是对等，呃，井号等等等这边都有，那么这个星号表示的就是当前已经同步了，那我们现在刚才之所以能瞬间把时间校正过来，原因就是因为和139这个机器同步了。啊，这不有个星吗？那如果你在工作中发现这边没有出现星号，一个星都没有，那说明你的时间就没有同步啊，那当然我们这还有加号，那加号呢，这也有显示说明，告诉你这个加号什么意思？Com，就是已经连上去了，绑定上去了啊啊那所以我们现在当然这个同步只需要有一个G同步就可以了，啊在这边呢，它显示了一些信息。

好，那这些信息并不重要，关键的就是这个地方你要确保有个星号，星号出现了就校正了，好，那么按正常的逻辑呢，我们这个机器已经已经配完了，我们就可以和互联网的时间保存十次持续的同步。当然这个持续同步。那么企业里面的主机能不能和我这个八的机器同步呢？那咱们就来试一试，在七的上面我也是用Y，我也用chrowy，当然他这个器上它默认也是装了chrowy了chrowy啊，大家看这个软件也是有的啊，我们也是同样的方法，当然七个这个机器呢，我们就不需要跑到阿里云去同步了，那我们七这个机器呢，哎，只需要和这个刚才配好的试点上八同步就可以了啊，所以这块我们把这个删掉。

指向咱们企业内部的10.0.0.8啊，当然还有一个呢，18我们计划待会儿要用，所以呢，我们这儿呃，18也给他配一下。当然18我还没配呢啊，好，这样就行了，然后我也故意的把时间给他调错啊，比方说调成两年啊，这样的时间就错了。然后我们在。七的上面啊，去看一下当前的pro的状态啊，这个状态现在已经启动了，那我们需要重新启动一下，改了配置了，好改了配置以后，那我们刚开始看，大家看这个时间还没有同步，然后我们去执行CHYC-n source。

岗位。哎，大家看这个地方它显示的是问号，为什么是问号，大家看到问号表示什么意思。不可，那不可答，那我们明明这个主机我们之间应该是可以访问的，对吧，为什么不可答，那我们看到现在始终无法同步，那这就是刚才我们之前给大家强调的，就是我在10.0.0.8这个机器上并没有设置允许别人和我同步，我现在是我和互联网的这个阿里云和腾讯云同步了，但是我并没有允许别人和我同步，所以导致了别人就连不上来啊，那当然这个呃，八个上面我需要去修改，继续修改，继续修改什么呢？上次我们说过了，我不知道你们自己下来试了没有。哪一项啊，是不是这一项啊，叫alone把这一项打开，当然了，你可以这个复制这一行啊，然后呢，把这个允许每个网段的主机和你通讯啊，我们是十网段24。

24这样就行了，当然还有一项也要改，就是如果我无法和互联网的服务器同步的话，我也能够继续为本网络的主机提供服务，那那就是你要把这一项打开，把这项打开，这个地方呢，它有一个local stringer10，这个十呢就是表示是第十层啊，什么叫第十层呢？是这样的，就是你和他同步。但是大家都知道阿里云他自己和谁同步啊，他的时间从哪来呀，是不是也是从别的NTB服务器来的啊，或者是不是从原子钟得到的呢？当然最终应该是有一个非常准时的这样的一个这样的一个设备，比方说原子钟，那么这个原子钟是国家这个这种机构才有能力架设的啊，那么这是原子钟，原子钟时间非常准，它呢，诶，准备了一个服务器，把这个服务器和这个原子钟同步啊，然后呢，其他这些商业机构是不是和它在同步啊，大家明白意思了吗？就大概这个机制啊，那也就是说我们现在目前来讲，实际上这些呢，都是有一定的层的，并不是说你直接就和哎这个阿里云同步了，哎阿里云就是顶头了，它不是这样的，那么我们把这个地方设为第十层。第十层那一。

意思就是我们当前啊，所谓的十并不是说真的第十层啊，它只是一个大概的值，这个十呢表示就是如果互联网的主机我没有办法和他们同步，这两个断了，断网了，比方说诶，那么没关系，我继续用我自己的时钟，也可以给我企业内部的服务器来同步时间，就这个意思啊，就一般来讲，企业里面一般要打开，因为互联网的连接不能啊，不可能是持续的，每次都能够正常的去连接，万一有一天断了，我还也可以提供在短期之内用我本机的时间来同步也是没问题的，好，这样的话，我们就把这亮相打开了，打开以后我们去同步，把时间再重新启动，重新启动，启动完了以后，那我们看一下这边七的机器。

啊，那我现在为了快速一点，那我重新启动一下服务啊，因为那边改了配置了啊，然后看看这边有没有变化，诶大家看变化非踌是不是立即就是星了，星就表示校正了，大家看改过来了吗？是不是效果很明显啊啊很明显看懂了吧？啊所以这就是需要在八的机上去设置啊，当然这个18也是一样的，当然为了省事，我干脆怎么样呢？是不是把这配置文件拷一下就行了，因为他们的版本都一样嘛，啊是不是直接拷到18上把它覆盖了就得了，因为它里面的配置是一模一样的啊然后呢，我们现在确认一下ETC Pony com这个文件的。

呃，权限所有属属性都没有什么特殊之处，那么我复制过去这边应该也没有问题，ETC pro com这是复制过来的，然后也是把服务重新启动啊，这个也不要加好诶stop大。

看看监听端口，它会绑定在213，同时由于我开启了允许别人连接我，我不知道大家还记不记得上次上课的时候，我们只有213端口。现在大家发现没有多了个123是不是啊，相信大家记得上次我们讲的时候是只有323的，为什么现在多了个123，就是因为我们打开了允许别人和我同步，因为我要当NTP服务器，服务器的端口是123端口，听懂了吧，123，而且是up的啊，Udp的123，所以如果你将来要配防火墙，你要允许123穿过，否则的话呢，将来这个时间同步就会受到影响，它是udp的123 udp的123啊，那这边七的同步已经保证了啊，当然理论上，理论上我们这两台机器任何一个机挂了都应该不会影响啊，不会影响，那么在六的上面呢，因为我这个六的上面，它默认安装的可能是NTP，他没有装那个CY，这个是版本老一点啊，诶也装了，那也装了，那这两个呢，实际上我们用一个就够了啊，比方说这样吧。

啊，也是咱们为了演示啊，咱们就给大家演示一下NTP啊，虽然这个软件老点吧，反正也都一样啊，用法都差不多，它里面的格式都很像，那我们就装用这个NTP了，这回啊NTP这个软件呢，我们可以打开，当然大家有经验的同学了，是吧？你们现在是老司机了啊，那应该能找到关键的文件，是不是就这个文件呀，是不是一看就看见了啊，这是个关键的文件，当然NTP呢，它是不是个服务啊，是的，看到没？它是不是有一个专门在浮脚本啊，叫NTPD对不对啊，那所以我们将来一定是要把它设为开机启动的啊on是不是，那所以这就开机没问题，好，那现在我故意的也把这个时间呢给它调的错一些啊，比方说这回改成一个小时吧，好大家看现在是一下改成10:17了，这就不对了啊好，那现在呢，我们去把这个NTP的服务改一下。

啊，它的配置呢，跟咱们之前讲的很像，你看它也是server server我们都一样啊，无非就是这个地方指向咱们企业内部的服务器嘛，啊企业内部的服务器一个是八，一个是18，就这两个机器对吧？哎，这就完了，就这么简单，然后这两个呢，这些就可以不要了，哎。其他的都不用改，这样就够了啊，然后呃，我们把服务重新启动，启动之前咱们看一下它的端口情况啊，大家看它这边有不少udp端口啊，当然E端端口我们可以看到有123端口开着呢啊啊，然后呢，我们把服务重新启动。

好，启动一下。好起来了，起来以后呢，它的这个矫正NTP，它的这个软件速度相对来讲应该可C内比稍微慢一点点，大家看，不过也校正过来了，看到没？过了一会儿是不是第一次看还没有校正过来，第二次校正过来了，看到吗？诶也同步了，当然我们也可以用NTP这个命令，有一个叫Q的命令，它可以看到同步的情况啊，这个地方也可以加个N，应该是啊啊大家看它是不是和10:18，呃，你看它是和18同步的星号，是不是它和18同步的，它没有和八同步，那就反正这两个有一个同步就行，哎，当然任何一个机挂着大不了我和别的机器同步呗。哎，这就是企业里面搭建时间同步的方法，会了吗？哎，就这么配，非常简单啊，非常简单，上次我实际上讲了，只不过就没没做这个实验啊，实际上这个不难啊，不难，那记住了，从现在开始，你们就把自己的时间同步。

必须要写配置好，保证你的环境里面有三项啊，这之前咱们也强调过的，什么防火墙关闭对吧，什么SLIS关闭，再加上时间，再把这个时间加上，你到时候别做实验的时候，因为时间不同步啊，导致你的实验失败，你在这折腾半天，这都是基础要求啊，基础要求必须的，所以从现在开始，你把你的虚拟机再做一下改，改了，把它重修快照啊，每次做实验就是这个环境是要保障的，我就不强调啊，每次都是这些都是必备的，必备的公司里面装好系统以后，这都是必须要配的，上来就要配好的，不用强调的啊，这是咱们给大家讲的时间同步啊，当然我这边呢，还有一些这个命令的用法啊，比方说chc，这是刚才我们刚才说的客户端啊，你像刚才我用的一个叫sources，这就是显示同步信息的，那事实上这里面还可以去做一些什么呢？所谓的检查，看看有多少个NTP源是在在线的，离线的呀，这这这它是可以这个命令还是个交互式命令。

啊，这个命令还是个交互式命令啊，你可以用这个命令pro c，你看它是个交互式命令，你可以这样敲这个命令，你看有几个圆是在线的，大家看有两个圆是在线的，因为我就配了俩圆嘛，就两个一个八，一个18嘛，对吧，其他的诶没有没有在线这边呢，有一些设置显示，比方说我可以远程的直接加一个临时加一个服务器，对吧？诶在这儿呢，还可以报告说这个访问当前这个本服务器的客户端，呃，客户端是谁？那我还可以看看谁和我连，那这个也可以看啊，比方说pro c啊，然后呢，我们看看client看看，诶有一个七的机器是我的客户端，这个地方它是能看到的，看到吧，啊，所以这个地方呢，他看的很清楚啊，这些命令呢，你们下来自己试试吧，实际上呢，我们一般来讲呢，这个NTP啊，CH配完了，时间保证同步了，基本上也很少去动它啊，那这些呢，下来你们可以自己测，那这就是互联网上的一些著名的NTP。

地服器啊，刚才我用的是这个阿里云的和腾讯云的啊，您可以再选择别的。房间。啊，这个我们刚才改时间是用date命令啊，那这个你也可以改，这个也可以改啊，叫date time，还可以改这个，开启这个NTP功能和关闭NTP功能，还可以改时区，这个命令可以改时区啊，这个时区呢，工作中也是要注意的，尤其这个乌邦兔啊，乌邦兔呢，这个装好系统以后，这个时区你要去改一下啊，改一下把这个命令执行一下，乌邦兔也执行，也支持这个命令，把时区校正一下，别时区错了，导致你的时间也是错的啊，那我们都知道时间这个一定是和时区相关的啊，你要时区不对，时间配对了，那反而是错的，对吧？时区一定要保证时相正确啊，那这个命令呢，我们说过，这个命令呢，是在早期的系统中的一个命令了，在三八上呢，已经没有这个命令了，所以这个命令呢，以前的人都喜欢拿它来临时同步，比方说我的时间错了，我就会用它找一个NTP服务器。

是校正，但是这个命令在八上取消了，没了，八上没了。啊七上这个命令老老的这个早期的版本，这个命令还是好使的啊，非常好使，就是你不去配NTP服务的情况下，你想和呃把当前的超级统的时间校正一下，那你就可以用ntb date后面跟上一个呃远程服务器的时间就可以校正啊，这个呢也是很好用的啊，006上也有这个命令啊，比方说我把这个NTP的这个时间同步给他停了，停了以后呢，我们去把这个时间给它改错啊，比方说改成啊。

一个月俩月month啊，大家看现在就改成了。两个月前啊，现在是九月，两个月前是七月啊，改了改了以后呢，我们用ATP data找一个互联网上，或者说我们企业内部的也行，只要找一个NTP服务器就可以啊，然后你是。一执行哎，它就同步了，你看这个时间马上就校正过来了，看到没有啊，这里面需要注意的就是它两个是冲突的啊，什么叫冲突呢？就是这个符你不能启动。如果这个服务启动了，你看我故意再把它改错，然后你再校正一下，它就不行，这俩冲突，要么你启动一下NTP服务，要么你就手工执行n TP data，在服务启动的时候，N TP data要执行，它会报错的。他是打架的啊，因为它相当于两个都是NTP的客户端嘛，啊去去同步的话，它会冲突是吧，冲突好这就是这个命令的用法啊好NTP呢，包括CH内的配置，我们就讲这么多，这就够了啊，你们下来把这个时间同步，这个一定要确保，一定要确保啊，存成快照啊，存成快照你们做实验，现在是不是把干净系统装好以后，把我要求那些什么IP包啊，想想用的一些常用的包啊，包括一些别名啊，啊包括这个这个s Linux啊，那这些都已经做成干净的快照了，做好没有，如果没有做，赶紧再把这个今天也加上，把这个实间也加上，要不你后面的做实验，你说你老你留着以前的实验的环境乱七八糟，你做实验成功率非常低啊，实际上呢，并不是说你这个现在学的东西有问题，你之前的环境太乱了啊，你不要因为这个以前的环境导致你后面的实验做实验。

遇到问题啊，尤其咱们现在时间很宝贵，没有时间花在那个很很简单的一些错误的上面去啊，把这些问题先规避掉，所以大家发现没有，我上课每次来了，哎，我这环境就恢复了，对吧？啊，这个就干干净净的环境做实验对吧，你提高效率啊，现在不是我们去揪的一个小问题的时候啊，现在我们要学技术的时候啊。

那然上了班了，那你就没办法了，上了班了，那你环境就是那样了，你不能说这个不行了，重装一下系统对不对，这就没招了啊好了，那这是咱们给大家讲的NTP的这部分内容啊好了，呃，那关于这个剩下两块呢，这两块已经是个激励技术了啊激励技术了，不过呢，怎么说呢，也给大家做一下介绍啊，这两个技术呢，一个叫TCP rapper，一个这家写错了单词还写反了啊啊，一个叫TC rapper，一个呢叫s SE Linux啊这两个技术呢，我们大概给家说一下啊，早期的时候呢，我们上课会给大家讲，现在呢，不怎么讲了，为什么呢？因为这两个技术在S8上面，后来发现没了啊，S8上你像TCB不用了。

那以前七到八呢还用，那当然都没了，看来这个技术已经慢慢没落了，那既然没落了，咱们也就不要花太多的时间去上面，当然确实有些工程师在用啊，所以我们大体随便就是给大家简单介绍一下，介绍一下啊，那tcb rocker那个技术呢，诶也是老牌的技术了，他呢是IBM的公司一个工程师开发出来的，当然了，这个哥们后来去赌歌了啊，跳槽了，呃，实际上现在就是都有一个这个大的趋势，就是这些，呃，It的牛人们都是以前都是一些比较传统的公司，什么IBM啊，Oracle啊这些公司，现在都跑到那个互联网公司去了啊，互联网公司呢，首先他们的这个。业务面对的是全球业务，访问量要更大，它的应用场景也更复杂，对这个用户量，这个并发量都有较高要求啊，技术上也追求比较新的技术啊，再加上待遇也高是吧，所以这些大佬们都喜欢去互联网公司啊，所以你们现在不是将来毕业不都去互联网公司嘛，对吧？哎。

啊，当然也有一些是传统公司啊，有些同学毕业以后就去银行啊，等等一些这个传统公司，呃，你会发现这些传统公司他们用的技术确实是相对偏旧的，偏老啊，偏老。好，呃，那么这个技术是做什么的呢？这个技术呢，就是在传输层的TCP协议中对那些有状态的特定服务进行控制的，啊，这个控制呢，最简单的就是允许拒绝，那实际上呢，对于这个技术来讲，我们要实现允许拒绝的访问，那么我们有多种方法，那么TC rapper就是其中一种方法，那么它的实现呢，是调用了这个tcb rap这个库，通过这个库来实现的。那么你像早期的六七。

那么六和七上面他们都有SRD这个软件，就是我们说的SSH服务器的软件，这个软件呢，他们都是支持tcb rapper技术的，那怎么判断它支持TCB技术呢？我们去看一下他的库里面有没有rapper库，如果有就说明它支持，那我们看到在S7之前的版本中都是支持的，但是从八开始没了。从八的机上再看没了，也就是八不支持了啊，八不支持了，那个这个技术看来也是慢慢的走向没落了啊，不怎么用了，那这个技术它的功能就是控制资源的访问，控制用户是否能够允许SSH连接，那么通过这个库呢，它控制的时候，它对应的有一个专门的呃，两个配置文件，一个配置文件呢叫ETC的POS。

一个是ETC的host词，点单这两个文件默认就有，它是配合TCP rap的，那么其中host law就是允许的意思，Y就是拒绝。那么他的工作逻辑呢，就是用户去访问的时候，如果它支持TCP rapper，那么我们可以把这个服务的访问放在allow和Y里。那当然，放在里就允许了，放在line里就拒绝了，那么放在allow里，它在设置的时候就意味着。先去看文件里面有没有这个用户符合这个law里面定义的规则，如果符合就允许了啊，注意，即使这个用户，他的信息仍然也可能会存放在deny里，但是allow优先级高。那么也就意味着，一旦发现他匹配allow里面的规则，他就直接生效，就权限就允许了，他就不去看deny了。

那当然，如果allow里面的规则不满足，那我接着看。代呢？如果满足了，那就拒绝了，不满足那就默认了。默认啥呢？默认是允许。听懂了吧，这就是他背后的逻辑，当然大家可能更多的会关心这两个文件怎么写，那这两个文件呢，实际上格式如果说简单也简单，它的格式非常看，我把它打开，打开以后呢，这里面实际上啥也没写，就是个注释啊，格式呢你可以参考慢。啊，这里边有它的帮助说明啊，那我这直接给大家写一个例子啊，写个啥例子呢？比方说我这个allow是允许，实际上默认不就是允许吗？对于SSH服务来讲，默认允许的，那我们这样我这个文件就不改了，我们写个拒绝，拒绝你看。那在写这个文件之前呢，我们坐在八的上面去连一下七的SSA服务，现在显示见是不受控制的啊，现在只要你知道密码是可以连随时连接的，现在我通过刚才说的TCP rapper的技术来禁止八的访问，怎么禁止它呢？诶，把这个line文件打开，打开以后呢，在这个地方加上一行叫SSHD，这是那个主程序的程序名啊，SSHD是它的程序名啊，程序名，然后后面跟上你要拒绝谁，冒号拒绝谁，比方说如果你写奥，那就全拒绝了，当然这个东西别加啊，加傲的话，我的Windows都连不上去了，对不对？哎，所以我们拒绝谁呢？我只拒绝哎一个机器。

行了吧，只拒绝一个机器。好，这样就可以了，这样拒绝完了以后，你看他这边立即就防不了了，看立即就访问不了，这个文件设完了都不用存什么，什么重启服之类的，因为它是通过怕模块生效的，相当于啊，所以呢，这个直接就可以拒绝了啊，拒绝了，当然我们在18上访问是不受影响的，因为我们只是拒绝了八这个机器的访问，看到没啊，这是可以的，这就是allow啊和接单，当然这个allow呢，如果你写了，比方说我们这里面也加了一个啊，当然我故意的把这两个冲突一下。

那按照我们刚才的逻辑的话，现在请问八去访问到底允许还是拒绝？哎，允许了，看到没允许了，因为allow优先升级优先生效，Allow优先级高啊allow优先级高。好，那当然，那如果我这再加一个，比方说十点零点零点八十八我再加一个，那现在请问18到底是允许还是拒拒绝。我这个里面是不是就根本没有写18对吧，那allow里面加了，那是不是就18就允许了啊，那我们来看刚才不就允许吗？啊，那现在看这个18访问还是不受影响，还是不受影响啊，就是我们可以写这个多个主机，甚至你也可以写网段，这个地方你可以写网段，写网段的话怎么写呢？比方说我们这儿可以写一个，呃172。

啊160.0啊0.0什么16写成这种形式也是可以的。那就是后面是允许或者拒绝的一些地址段嘛，啊地址段嘛，就这意思。啊，这个技术呢，大体上大家了解这些，因为三八上都不支持了，所以这个东西，嗯，有的时候偶尔用一下还是挺方便的，因为它基本上这个格式很简单，前面就是一个服务的程序名，后面呢跟上他的这个IP地址就完了，就这么简单，所以也不需要学特别复杂的技术，不过呢，我们后面马上就会讲一些这个更加好的，功能更为强大的控制访问的方法，比方说我们后面讲的IP table IP table大家前面也见过，我用过IP tables那个命令，那那个命令呢，实际上功能更强啊，这个呢，它是依赖于这个TC库的，如果说你的软件里面没有调入个库，你用不了这个技术了，明白了吧？啊，所以这个它依赖性太多啊，所以目前基于TCP rapper的这个技术的，呃，软件用的越来越少，所以现在呢，这个技术慢慢的没落了，淘汰了，如果大家有兴趣的话，也可以去看一下我的文档，我这边呢有详细的介绍。

那这边甚至还有一些范例啊，就有一些范例这个呢，你们可以下来自己看啊自己看，因为这个技术既然是已经用处不大了，咱们也就没有必要在上面花时间了。好，那再有就是s SE Linux SE Linux呢，这个东西我们经常给大家说，那么到底什么是Linux，这个我们先大家说一说到底是什么，然后呢，我们知道怎么去启用它，怎么禁用它就行了，工作中一般来讲一般都是禁用的啊，所以这个东西啊，你不知道不行啊，那么你了解了解，至少了解了解，那么什么是SE Linux呢？S SE Linux呢叫安全的加强Linux啊，就是增强安全性的Linux系统。

那么这个软件呢，它是美国的国家安全局早在2000年的时候，之前和一家公司共同研发出来的，为了保证这个国家自己内部的一些啊，这个国家网络的安全，LIS的安全的，后来呢，在2000年的时候就把它以GPL的这种协议的方式就开源了，就免费了啊开源了。在2.6里面被集成在内核中了啊，这个东西啊，也是红帽公司一直比较推荐使用的一个安全技术啊，当然红帽推荐这个东西，并不是别的公司都推荐，你像乌邦兔里边就不用这东西，像乌邦图里不用啊，所以这个技术呢，虽然说确实从安全角度来讲好。

安全强了，那自然带来另外一个问题，就是配置就更为繁琐了，所以咱们国内工程师一般上来就先把它关了再说啊，啊很麻烦很麻烦，当然很多人可能对这个东西也觉得没啥用处，或者是觉得很不懂，不懂干脆我就不用它了呗。啊那么到底啥是c lix呢？我们给大家粗略做一下介绍啊，那么c Linux呢？呃，它和我们早期的系统相比较，它用的是叫Mac技术，它叫Mac技术，那么Mac呢，叫强制访问控制，那么早期没有c Linux之前呢？啊，比方说乌帮库，现在也没有，那么它用的就是DAC，那么什么叫DAC呢？DAC叫自由访问控制。一个叫强制访问控制，一个叫自由访问控制，那么强制访问控制和自由访问控制可以和我们生活中的呃社会制度有关，很像。如果说DC就像。

远古时代的原始社会。啊，或者是这个这个很早以前的社会状态，那么原始社会我们都知道是没有法律的，没有法律这一说，每个人都是想干嘛干嘛，也没有制度来约束他，当然这个你要说完全没有约束也不是啊，至少说不像现在有这么非常明确的法律条文啊，那么这个法制在远古的时候是不存在的，所以呢，可以说每个人为所欲为。那么DAC。就类似于这种情况，我们在没有s Linux的时候呢，系统的安全谁说了算呢？当然就是运维工程师说了算，那么我们已入的身份登录到你的系统以后，为所欲为，你就是上帝权限，你想干嘛干嘛，没人控控制你，没人约束你，那么这时候如果你的水平很高，那当然你可以把这个系统配的非常好，非常安全，但是反之，如果你的系统很菜啊，你的水平很很很啊，水平很低，初学者，小菜鸟，那这时候你的系统配置可能就很糟糕，很不安全，很不安全，那就全靠你个人的这样的一个水平了。

那么Mac它的作用就是为了解决这个问题的。他。类似于我们现代当今的法制社会，我们都知道法治社会，我们是不是每个人都要受到法律的约束啊，理论上上至国家领导人，下至平民老百姓都要遵守法律，对吧？哎，虽然咱们中国人这个法制意识可能还不是那么强啊，这个说实在的，很多人头脑里没有法律意识，想干嘛干嘛，哎。包括咱们有一些这个不不是说这个平民老百姓了啊，就是有一些机关干部，包括政府的人，他们也没有什么特别明确的法律意识。

所以这也不得不说这是一个缺陷啊，当然现在这种趋势也是越来越这个有所改变啊，大部分的人慢慢有一些法律意识了啊，开始现在动不动就说了，你你在我告诉你是吧，有这个有有这个话，那说明有法律意识了，这是好事啊，有法律意识了啊，那么Mac呢，就相当于我们现在这个法制社会，我们系统中有一个像法律一样的技术存在，那么这个法律一样的技术呢，就约束了每个用户，包括入的在内，必须是在一定的安全框架下来执行操作，你不能违反啊，刚才说了，法律不就是针对所有人都有效的嘛，对吧，理论上上至领导人，下至普通老百姓，我们说理论上是吧，啊，都要遵守啊，都要遵守啊，那么Mac呢，它的作用就是制定了一个安全框架，这个安全框架呢，定义了很多规则，比方说某个服务。

他认为这个服务如果是出现了这种行为，他认为是危险的，那比方说FTP服务，FTP服务是用来上传下载文件的，但是他认为上传文件是危险的，他就会默认的在Mac这个规则里面加一个法律红线啊，就加一个规则，就不允许你上传，不许你上传。这样的话呢，如果说你是个菜鸟的域名工程师，那么你在配的时候，呃，无意中开启了上传权限，没关系，即使你设置了开上传，因为有s SE Linux这个安全保证技术，一个法律技术在这摆着呢，他就禁止你上传，所以这样的话呢，你就不至于造成安全重大风险啊，所以有很多的限制，有很多的限制，那么IC Linux还限定了每个进程运行的工作区间，工作范围，以前的话呢，咱们的SS没有的情况下，我们系统中的每一个进程，它可以访问它能访问的所有资源。

只要他有权限，他都能访问，哎，那么有了SC技术以后，就相当于孙悟空的那个金箍棒一样，把唐僧放在那个一个圆圈里面啊，放在圆圈里面是不是别人就进不去了，当然这个唐僧他画个圈是别人不能进来，咱们说的这个S利说是他不能出去，给他发了个圈，就放在这个，把这个进程约束在这样的一个程序范围内，那么您能访问的文件夹只能是特定文件夹，别的不让你访问，诶这样的话呢，带来的好处就是黑客即使说被把这个进程黑掉了，控制了，得到他的权限了，他也只在那个圈圈里转圈，出不来，那有效的控制了他的这个造成的危险性的范围啊，所以这个总之S0S安全性角度来讲确实好用，但是呢，正因为它定义了太多的条条框框，很多用户人是觉得太烦了，我配个服务配完了还得改你的SD的策略啊，我们注意SSA策略不是说不能改。如果你要想违反策略，你。

可以改，就像法律一样，你觉得你法律不合适，我可以改法律，但是你觉得改法律哪那么容易呀，对不对，你是不是得格外的做一些操作呀，所以这样的话呢，好多工程师觉得好烦呐，干脆就把它关了啊，所以这就是造成国内基本上没人用s Linux的这个技术的原因，明白了吧，那所以说呃，大家现在明白SS安全确实好，但是很烦，不用，那既然明白了这一点，那我们接下来就不说别的东西了啊，那我们给大家说说怎么关就行了啊，当然了，这个东西啊，有些地方还是要适当说说的啊，比方说咱们在系统中你发现有一些点，看到没有这个点从来没说过这个点呢，实际上它就是s lix的一些属性标签，那么加上Z的话呢，你能看到这个地方有一些s Linux的标签信息，我估计大家很多人一看这东西就晕了，这什么玩意儿，这么长啊，这是是不是啊，这是SX的东西啊。这些东。

东西呢，正因为你在装系统的时候呢，你把S6给开启了，开启了以后你创建的文件默认是有S0的信息的，但是如果我们现在把S关掉以后，它就你再创建新文件就没有了哦，我知道我怎么确认我这个SD是关掉的呢，哎，开启关闭用这个命令可以看。叫get force，这个命令可以来确认，如果是关闭的就是disable啊，当然除了这个命令，还有一个命令也可以看。哎，应该也给你个命令。叫什么来着？啊，宽宽提醒我了，这个啊，这个也可以看SE status啊，Status这个也以看到，呃，这个命令看到的信息要更加丰富一些，他看到的东西要更全啊，当然现在我们看到好像都是disable的啊，那么这个disable就比较禁用啊，那么我们可以现在这样，我创建个新文件，大家看，当我创建个新文件以后，大家发现没有这个新文件上面这就没有点出现了吗？为什么没点呢？就是因为我们目前是禁用了s Li的，禁用s Li，你在禁用状态下创建的新文件是不会贴上sc link相关的属性标签的。

啊，就没有，他这个就禁用了，你贴这标签没有用了，你就不会贴了，但是如果你把它启用了，那么再创建新文件，它就有了啊，比方说再扒上吧，我们再扒上来给大家说啊八上面它现在也是禁用的啊，现在禁用的，那我们知道启用的话呢，在哪启用呢？是不是有一个叫ETC的con，这个我们说过的，在这这个启用叫forcing，我把它改了叫forcing。

注意这个我们刚才原来是disable，现在非把人家改成in enforceive，或者改成perceive perceive和inforcing这两个呢，和disable这三种状态，它的区别在哪呢？就是forcing表示启用这个SE功能，那如果你违反了sa策略的话，他会禁止你，他会阻止你，而per per，呃，Permis permisive permisive呢，就是他如果你违反了的规则的话，他只是报警，他不会阻止你啊，就有点像咱们经典的话就是你打我，我骂你，就这意思是吧，我骂死你是吧，我就不打你。啊，朝鲜好像就是这样吧，是吧？哎，你要是打朝鲜，你要骂朝鲜，他朝鲜就打南朝鲜就打韩国是吧？啊，那这个地方我们把它DC报呢，就彻底禁用了，连警报都没了啊，警报的话就会给你发日志，给你进入日志说你违反了策略，策略，但是他违反，而违反他不会阻止你啊，所以实际上permisive和disc报实际上都相当于禁用，只不过一个是有警报，一个没警报啊，那这个地方呢，需要注意，我一旦改完这个文件以后，那么必须重启才能生效，就是从DC报切换成permissive和foring话，必须重启啊，大家看现在我在这边也建一个文件叫A文件，大家看这个A文件是不是也没有标签，也没有点，也没有点，待我重启以后，因为我刚才把S处略给改了，给启用了，那么启用了以后呢，它在重启的时候，你会发现它会做一些事儿，看这提示啊，看这提。

哎，看这。看见了吗？报警说as target policy reli什么什么啥意思？Reli啥意思啊，这单词啥意思，就是贴标签吗？就是因为你原来是启用的，你现在变成禁用，呃，原来是禁用的，现在变成启用了，启用了的话，因为磁盘上好多文件可能是新建，它是没没标签，没标签就不受S的控制了，不行，所以下次重启的时候，他就给你找你磁盘上哪些文件没标签，给你贴标签。啊，所以呢，刚才那个文件呀，等我们起来以后，应该这个a.test它就有点了，有标签了，听懂了吧，当然这个贴标签是不是要等呀，那你像硬盘那么多文件呢，那是不是挨个的贴标签，所以这个中间启动的时候会比较慢。啊，这个地方。挨个的去贴上的相关信息属性。

贴上标签才能好管吗？啊是吧，哎，贴上标签这是你家的，这是他家的是吧？这个文件是给谁用的，那个文件给谁用的，贴上标签才才能去控制嘛啊。所以可见S0还是稍微有点小小的复杂性的，那红红帽公司呢，他有专门一门课就专门讲S森零，他一门课专门讲好几天一本书啊，但是话说回来，没人学没人学。当然了，咱们中国不太用，那也许国外人家用是吧，呃，国外有些公司可能会用啊，这个也不不好说。啊，你看启动还挺慢。

哎，贴完标签以后，它再次重启，所以以后你们见到这个东西就不不会说，因为哎不懂什么意思了啊，至少说我们知道诶发生了什么对吧，有些技术不用，但是你也知道大概是干嘛的，你别一说了啥不懂这不行啊，不用你也得知道好，那现在呢，我们看一下这个就重启完了，重启完以后呢，我们现在重新连一下。呀，刚才我是不是没加那个什么，刚才那个修改那些东西吧，不要影响我自己连啊。好，两人来了，两人以后呢，我们用SE这个get force来确认，你看是启用了啊，然后也可以用set status来看，大家看这时候呢，显示东西就比较丰富了，那么这呢，显示的是目前状态是启用的，那其中我们在当前状态。

这个地方当前的模式是forcing，什么叫当前的模式呢？是这个意思啊，就是我们在文件里面和当前生效的设置是可以不一样的啊，那这个东西我们虽然是forcing，但是我们可以临时把它关闭，临时关闭。大家看这个地方的A文件上面带标签了吧，还记得刚才是没标签没标签的，现在你看是不是贴上标签了。多了一些东西了啊，当然这些标签干嘛的，你不需要去了解了啊，你大体上知道就是他约束了这个文件的使用用途啊，就这个文件是给谁用的有一些约束，所以在s Li里面呢，它的这个设置是非常严格的，说什么文件给谁用，他有明确规定，所以这样的话呢，我们黑客想破坏你的系统，就容易受到SD的限制啊，你这也不行，那也不行，好多配置，当然了，约束黑客是一方面约束了运维工程师就觉得很不痛苦，很很不舒服，所以一般来讲就把它关了啊。

好，那另外呢，我们临时禁用的话呢，也有个命令叫我们在修不修改配置文件的情况下，可以临时禁用，那么怎么禁用呢？就是set ening，把它变成零，就是禁用，这个零呢，实际上就是disable的意思啊，不是Dis，就是把它改成permisive的意思，注意这个disable这个状态，它和forcing和permisive之间的切换是不能。用命令直接切换的，必须改文件重启机器才行，而这两个服务的这两个状态呢，是可以通过这个set inforcing来进行切换的，比方说现在是forcing，我可以变成零，零就表示变成permissing啊，PERMISIVE1呢就表示inforing，听了吧，可以用命令临时切换，大家看是不是切换了呢？我们确认一下是不是真的切换了。

大家看这个地方是不是当前模式是permisive，而文件里面是不是我没改文件吧，还是inforcing的啊，那么用get inforing呢，这个命令你能看到，那这时候呢，就相当于临时禁用，因为我们刚才说过permisive，它只是警报，它不会阻止你，所以相当于就禁用啊，所以工作中如果说你装好系统以后，想发现它默认，因为我们在SS里面默认是inbsing的，如果你想临时禁用，你就可以执行这个命令啊，因为你改文件的话，你把它变成disable，它是不会立即生效的，必须下次重启才能生效，所以呢，我们一般来讲装好系统以后，第一步先把这个SDS用这个命令临时禁用，然后呢，把文件改了，把文件改了以后，下次重启它也就变成DC报了啊，由于你现在变成了零，它也就是顶多警报不起作用，明白了吧，所以这两步配合着用，配合着用啊。

哎，你们那个初始化脚本就可以再把这两个相应的给它加上了啊，相应加上好，这就是s lix啊，这个s lix呢，呃，如果你说你工作中忘了把这个禁用了，影响是非常非常大的啊，多影响多大呢？我举个例子你就知道了，我举个例子啊，举个例子让让大家体会一下，这个S04确实还是挺强的啊，我现在先把它启用一下，我先把它启用一下啊，Sforcing把它变成一一就是启用了，大家看变成inforcing了，一旦变成inforcing以后会带来一个什么问题呢？就是我们这装个软件。装个HTP服务，装这个HTB服务以后，这个HTP服务的端口号相信大家都知道叫八对吧？啊八零这个地方它有一个指定叫LISTEN80，那这个LISTEN80呢，呃，指定了我们默认的监听端口，这个端口呢，我可以把它改了，比方说我现在就不喜欢用这个，我用9527。

啊9527，然后呢，我们现在把它改完以后，重新启动服务，哎，重新启动服务你看就报错，为什么报错，就是SC策略在这阻止你啊，为什么阻止你啊，他觉得你这个你TP服务应该用八零的，你开发改成9527啊莫名其妙他不允许你，所以他就限制了好多我们工程师想很灵活的做一些透明，他不让你做，当然这个东西那看不出来，那我们看看日志啊，看日志里面有没有明确的是因为这个日志里面告诉我们是因为这个原因看。看见了没有，是不是写了不能绑定，为什么不能绑定，就是因为sa策略阻止了啊，Sa策略阻止了。

啊，在这个地方日志里面，我们看到能不能看到他一些细节，呃，看到他只是说这边呃不能绑定到9527，到底什么原因造成的。没有明确，没有明确显示，没有明确显示。呃，看有没有那个明确提示，我们是因为SD策略，那我们去看一下这个文件，ETC的word log的security啊，这个日志文件，这个日志文件里面看有没有一些这个。报错提示。这里面没有。那所以他有的时候提示还不详细啊，提示还不详细，哎，结果造成你的服务莫名其妙就起不来了，那实际上很简单，你只需要禁用SC策略就完了啊，禁用的话，刚才讲了一个命令怎么禁用来着，Set in for0就这么简单啊，这就禁用了，一旦禁用了，那你再起一下，这个服务就起来了。

看到没？你看这个端口927跑上就这么简单，所以有的时候他的日志里又写的不详细，对吧，结果呢，呃，你还忘了把这SC关了，那你就在这折腾吧，折腾半天。所以这样的话呢，就是很容易造成你后面实验就造成大量问题啊，所以现在大家把S类策略禁用就行了啊，禁用就行了啊禁用的话呢，我们刚才改的是哪个文件呢？是这个文件ETC的SE con，实际上还有一个文件也可以改啊，就是什么呢？呃，就是s con啊SE Linux这两个呢，实际上是软连接的关系。它是同一个文件。同一个文件改哪个都行，改哪个都行啊。那么禁用s Linux呢？除了改这个文件，还可以来改另外一种方式来禁用s Linux，那就是什么呢？去把咱们的这个rap的启动菜单加上内核参数，加上内核参数来改。

那这个地方啊，这有一个启动的内核参数，在这个地方你也可以给它加上。SE Linux等于零，这种方式也是可以进入s lix啊，就是你不改那个刚才那个文件啊，就我们我刚才这个文件没改，你看这个这个这个文件我没没没改，那这个文件里面写的是英包型的，我没改，然后我改的就是grab那个文件啊，改的是grab文件，当然大家应该知道这个grab文件呢，它是不会直接生效的，它的作用是用来。作为模板的是要配合一个命令，真正的生成的配置文件放哪了？是不是在这儿呢？这才是真正生效的文件呢啊，所以我们要用命令来生成真正生效的命令文件叫什么？命令号叫make con杠是不是啊，哎，这样。

好，生成完了以后呢，我们看一下这里面是不是有了C00的东西，你看是不是他给你修改了这个文件了，那这时候你重启一下，那么这个sa策略应该也是禁用的，就两种方法都行，不过一般来讲，既然SD提供了这个禁用方法，咱们还是用SD的配置文件就好了。好，看一下是不是禁用了，看是不是禁用的，这两种方法都可以啊，两种方法都可以，不过呢，我们还是建议大家还是用官方的那个比较正规的方法吧，哎，这种方法还是改这个吧，还是改这个比较好。

改这个是比较正规的，建议大家还是改这个啊，这个地方就可以了，这就行了，把这文件注意改完以后必须重启才能变成disc啊，Disable和forcing和promisive之间的状态切换，只有重启才能生效，不重启是做不到的，不重启是做不到的啊。好，这是咱们给大家讲的这个SSE004的这个功能，那么刚才相信大家也看到了，如果说你SD策略不改，会出现一些莫名其妙的问题，断口号都不让你去随便设，所以这样的话就非常麻烦啊，非常麻烦，那这个SD呢，我们讲这些基本上就够了啊，其他东西就不用看了，当然你要是真的感兴趣，我这有文，我这有文档你也可以去看啊，这个下来你们真的有有人觉得，哎，这东西还是想学学习，那我这你们自己可以看这个文档，我这以前还详细的讲了，一讲了好长时间，还讲一堂课呢啊讲一堂课这个就咱们这就不花时间了啊，不花时间了。

好了，那么这章，那我们就终于给大家讲完了，这章的内容在上次课呢，我们到现在重点要说重点，你要觉得哪组重点啊，那这章里面我们讲了这么多，那你让你挑挑重点，你觉得哪块重点，那这章里面这个呃，证书的工作逻辑你必须要搞搞清楚，对吧？然后再就是证书申请的一套，那要求大家写脚本的，不知道你们写完脚本没有啊，然后再就是SSH的服务配置，SL服务的配置里面，呃，包括服务器的安全加固，这个我们上次讲这个服务器配置，另外呢，SH里面呢，有一个非常重要的技术就是GK验证，这个基术开证是我们以后经常会用到的，因为你要不用GQ验证的话，每次输密码是太麻烦。

所以基于可验证，而且呢，你将来怎么去批量部署基于可验证这个，当时我们有一个叫ss pass的一个程序，可以帮助我们批量部署，对吧？当然你要用expect也是可以做到的，不过不如这个s pass用起来更方便啊，建议大家把这个好好看一看。再有就是咱们上次讲的这个速度啊，包括怕模块，怕模块，那这个怕模块里面其中有一个叫limit的一个限制模块，那个模块用的非常普遍，因为它默认限制的值是非常少的，所以这块呢一定要去做一些优化，一般装好系统以后，我们要改两个初始化的一个优化地方，一个呢就是CCTL下c ctl com文件，还有一个就是limits那个com文件，这两个文件都要做一个优化啊，一个是修改内核参数的，一个是去优化帕的限资源限制的，这两个都要优化，要要不默认值现在是太小了啊，包括我们刚刚给大家讲的这个时间同步的这部分内容，这都是基础要求，这个呢都是必须要会的啊。至于这两个呢，我们关掉IC Li就行了，这个技术已经没落了，淘汰了，不再用了，好了，这就是我们这章给大家介绍的内容，好，那接下来呢，我们就开始学习。

下一张这样吧，正好也跟到下一个，我们就提前休息会吧，好吧，一会回来啊，一会回来18。