如何查看Linux系统安装的时间？

查看 bin, daemon, adm 等这些帐号的建立时间，这些帐号是在系统安装的时候创建的，所以这些帐号的创建时间基本上就是 Linux 系统的安装时间

1、查看bin 帐号密码的时间

2、查看daemon帐号密码的时间

3、查看adm 帐号密码的时间

通过已上用户查看到我这台机器是于2014年10月29日安装的。

daemon形式？

docker run指定的命令如果不是那些一直挂起的命令（比如运行top，不断echo），就是会自动退出的。-d命令是设置detach为true，根据官方的文档，意思是让这个命令在后台运行，但并不是一直运行（我们在一个正常的Linux Terminal中运行/bin/bash，运行完了也就完了，不会一直挂着等待响应的，所以确实没办法用daemon方式来跑/bin/bash）。

这个地方官方早期和现在的文档也确实有些前后不一致，现在是detach，早期的文档说指定-d以daemon方式来运行容器，可能存在一定的误解。

另外，如果你需要跑容器里的bash，直接运行docker run -i -t CONTAINER_NAME /bin/bash 就可以了，如果觉得参数比docker attach多，可以设置一个别名（alias）来解决：

alias dockerbash='docker run -i -t CONTAINER_ID /bin/bash'
设置好别名后，直接运行dockerbash就可以进入容器的bash了

linux中dockers容器技术介绍？

linux中dockers容器技术其实就是管理熊雄起的引擎，是应用打包部署平台，可以为数据软件的应用提供基础。

什么是docker？

Docker就好比传统的货运集装箱

Docker是管理容器的引擎

Docker为应用打包 部署平台，而非单纯的虚拟化技术

SaaS(app，云盘，微店，网站) PaaS(redis,nysql,nginx)是基于Docker的云平台

VM VS Container



关于虚拟机

virsh 命令管理

virt_manager 图形化管理

libvirtd 一个管理接口

qemu-kvm(cpu/mem) 完全虚拟化

如果停掉libvirtd

systemctl stop libvirtd

1

1

管理化命令不能工作，但是虚拟机依然存在，依然工作

容器

容器和物理机共享内核和一些重要的文件系统

比虚拟机更小，更轻

传统虚拟机和容器技术对比



容器是如何工作的



创建一个容器



yum install wget -y

cd /etc/yum.repos.d/

wget https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

1

2

3

1

2

3



要解决依赖性

在阿里云平台下载

然后下载的包和rhel7.6 yum源里的包一起解决依赖性

yum install docker-ce container-selinux-2.77-1.el7.noarch.rpm -y

systemctl start docker

1

2

1

2

注意：docker启动前关闭防火墙和关闭selinux

docker info 查看容器信息

1

1

发现有两个警告

解决：

sysctl -a | grep bridge-nf-call-iptables

vim /etc/sysctl.d/bridge.conf

1

2

1

2

net.bridge.bridge-nf-call-iptables = 1

net.bridge.bridge-nf-call-ip6tables = 1

sysctl –system 生效

1

2

3

1

2

3

所有的容器数据都在/var/lib/docker里面



如果想要用普通用户做docker需要给这个文件给权限

yum install bash-* -y 为了table 补齐命令

1

1

用容器部署一个nginx服务

一般拉取太慢，设置一个加速器



cd /etc/docker/

vim daemon.json

systemctl daemon-reload

systemctl restart docker

1

2

3

4

1

2

3

4

docker search nginx 寻找镜像

docker pull nginx 拉取镜像（一般以服务名的是官方提供的）

docker run -d –name nginx nginx 部署容器

docker ps

1

2

3

4

1

2

3

4



docker inspect nginx 查看nginx容器信息

1

1



用ip addr show 命令查看桥接到docker0

yum install bridge-utils 桥接命令

brctl show

1

2

1

2



nginx部署成功



此时，nginx只能内部访问

如果需要外部访问，则删掉原nginx容器，用端口映射部署nginx

-d : 打入后台

-p 80:80 : 80映射80端口

docker run -d –name nginx -p 80:80 nginx

1

1

nginx history nginx:latest 查看nginx镜像信息

iptables -t nat -nL

1

2

1

2

访问本机转发到172.17.0.2:80上去



用ps ax 或 top 或 netstat -antlp 查看 docker就是个进程

网页访问虚拟机ip 可以看到nginx服务。

linux防火墙发展史？

1. 认识防火墙

从逻辑上讲防火墙可以分为主机防火墙和网络防护墙。

　　主机防火墙：针对个别主机对出站入站的数据包进行过滤。（操作对象为个体）

　　网络防火墙：处于网络边缘，针对网络入口进行防护。（操作对象为整体）

从物理上讲防火墙可以分为硬件防火墙和软件防火墙。

　　硬件防火墙：通过硬件层面实现防火墙的功能，性能高，成本高。

　　软件防火墙：通过应用软件实现防火墙的功能，性能低，成本低。

2. 系统防火墙发展过程

防火墙的发展史就是从墙到链再到表，也是从简单到复杂的过程。

防火墙工具变化如下：

ipfirewall—>ipchains—>iptables–>nftables(正在推广)

　　Linux 2.0版内核中：包过滤机制为ipfw，管理工具是ipfwadm。

　　Linux 2.2版内核中：包过滤机制为ipchain，管理工具是ipchains。

　　Linux 2.4，2.6,3.0+版内核中：包过滤机制为netfilter，管理工具是iptables。

　　Linux 3.1（3.13+）版内核中：包过滤机制为netfilter，中间采取daemon动态管理防火墙，管理工具是firewalld。

　　　　# 目前低版本的firewalld通过调用iptables(command)，它可以支持老的iptables规则（在firewalld里面叫做直接规则），

　　　　# 同时firewalld兼顾了iptables,ebtables,ip6tables的功能。

3. iptables和nftables

nftables

　　nftables诞生于2008年，2013年底合并到Linux内核，从 Linux 3.13起开始作为iptables的替代品提供给用户。

　　它是新的数据包分类框架，新的linux防火墙管理程序，旨在替代现存的 {ip,ip6,arp,eb}_tables，它的用户空间管理工具是nft。

由于iptables的一些缺陷，目前正在慢慢过渡用nftables替换iptables，同时由于这个新的框架的兼容性，

所以nftables也支持在这个框架上运行直接iptables这个用户空间的管理工具。

　　nftables实现了一组被称为表达式的指令，可通过在寄存器中储存和加载来交换数据。

也就是说，nftables的核心可视为一个虚拟机，nftables的前端工具nft可以利用内核提供的表达式去模拟旧的iptables匹配，

维持兼容性的同时获得更大的灵活性。

　　而未来最新的firewalld（0.8.0）默认使用将使用nftables。详情可以看www.firewalld.org

iptables、nftables和firewalld之间的区别与联系

　　firewalld同时支持iptables和nftables，未来最新版本(0.8.0)默认将使用nftables。

简单的说firewalld是基于nftfilter防火墙的用户界面工具。而iptables和nftables是命令行工具。

firewalld引入区域的概念，可以动态配置，让防火墙配置及使用变得简便。

　　准确的说：iptables(command)的最底层是netfilter，它的用户空间管理工具是iptables

nftables(command)是iptables(command) 的一个替代品并兼容iptables(command)，最底层依然是netfilter，它的用户空间管理工具是nft，

同时未来firewalld最新版（0.8.0）也将默认支持nftables(command)。https://firewalld.org/

　　iptables会把配置好的防火墙策略交给内核层的netfilter网络过滤器来处理

　　firewalld会把配置好的防火墙策略交给内核层的nftables包过滤框架来处理

下图为iptables、firewalld、nftables之间的关系图：



4. centos6.X到centos7.X

centos6.X：防火墙由netfilter和iptables构成。其中iptables用于制定规则，又被称为防火墙的用户态；

　　而netfilter实现防火墙的具体功能，又被称为内核态。简单地讲，iptables制定规则，而netfilter执行规则。

centos7.X：防火墙在6.X防火墙的基础之上提出了新的防火墙管理工具，提出了区域的概念，通过区域定义网络链接以及安全等级。

5.怎样学好防火墙的配置？

　　1）OSI7层模型以及不同层对应哪些协议必须很熟悉　　# 基础必备

　　2）TCP/IP三次握手，四次断开的过程，TCP HEADER，状态转换　　# 基础必备

　　3）常用的服务端口要非常清楚了解。　　# 基础必备

　　4）常用服务协议的原理，特别是http协议，icmp协议。　　# 基础必备

　　5）能够熟练的利用tcpdump和wireshark进行抓包并分析，这样会更好　　# 拓展

　　6）对计算机网络有研究，至少基本路由交换要很熟悉　　# 拓展

6、企业中安全配置原则

　　尽可能不给服务器配置外网IP，可以通过代理转发或者通过防火墙映射。

　　并发不是特别大情况有外网IP，可以开启防火墙服务。

　　大并发的情况，不能开iptables，影响性能，利用硬件防火墙提升架构安全。