026 Linux网络配置与日志审计系统

系统"/>

026 Linux网络配置与日志审计系统

目录：

• 一：网络信息查看与配置
• • 1.1：笔记
  • 1.2：实验
• 二：日志的管理与应急分析
• 三：日志服务器的建立
• • 3.1：笔记
  • 3.2：实验

一：网络信息查看与配置

1.1：笔记

	1）确认系统的网卡信息和ip地址ip addrethernet：0表示第一个网卡，1表示第二个网卡2）关闭networkmanager服务service NetworkManager Stopchkconfig --level 345 NetworkManager off3）临时（重启后恢复原先）配置网络地址ip link set eth0 upip addr add 192.168.0.100/24 dev eth0		# dev：device 设备   ip addr del 192.168.0.100/24 dev eth0 删除ip route add default via 192.168.86.1 dev eth0		# 在端口eth0上配置默认路由vim /etc/resolv.conf			# 配置dns服务器nameserver + dns服务器地址4）通过配置文件，配置网络地址eth0：192.168.1.254/24eth1：172.16.1.254/24vim /etc/sysconfig/network-scripts/ifcfg-eth0DEVICE=eth0			# 网卡设备TYPE=Ethernet		# 类型ONBOOT=yes			# 是否允许network服务管理该文件BOOTPROTO=static	# 静态获取，也可dhcpIPADDR=192.168.1.254NETMASK=255.255.255.0GATEWAY=XXXDNS1=DNS2=service network restart

1.2：实验

拓扑图：

windows用xp代替，中间的用centos8代替，右边的用kali代替
，其中xp和centos8其中的一张网卡在vmnet2，kali与centos8的另一张网卡在vmnet3

从centos7开始，没有了eth0，可以理解为被ens33所代替

centos8:

vim /etc/sysconfig/network-scripts/ifcfg-ens33

touch /etc/sysconfig/network-scripts/ifcfg-ens34
vim /etc/sysconfig/network-scripts/ifcfg-ens34
DEVICE=ens34
TYPE=Ethernet
ONBOOT=yes
BOOTPROTO=static
IPADDR=172.16.1.254
NETMASK=255.255.255.0

reboot 重启centos8

然后再XP上发现可以ping通

kali上：（不同版本的linux路径不一样）

vim /etc/network/interfacesatuo eth0iface eth0 inet staticaddress 172.16.1.1netmask 255.255.255.0gateway 172.16.1.254

然后重启网络服务：

systemctl restart networking
或者/etc/init.d/networking restart  这两条命令随便哪一条都可以

然后ifconfig，若是不成功，就重启再ifconfig（我的是没成功，重启之后才好的）

若是kali与XP ping不通：
有可能XP防火墙关了，也有可能是做为中间机的centos8做为路由器功能没有配置路由表所导致，看视频用的是centos6，需要配置路由，而centos8可以直接通。是不是centos8不需要配置路由，默认开启？？？（有个疑问）
centos6的路由配置：

vim /etc/sysctl.conf

若出现目标主机不可达的提示：
中间机：

iptables -nL

这是开启了防火墙，那么我们就要去关闭防火墙
命令行输入：

setup

选择第二项，然后回车

出现下图：

中间有个“*”号，则表示开启了防火墙，用空格的方式可以关掉这个点，然后tab键选到OK，然后退出。
 
 

二：日志的管理与应急分析

日志文件存放路径：/var/log
日志分类：系统日志 /var/log/messages登录日志 /var/log/secure程序日志
日志的管理服务：vim /etc/rsyslog.conf
日志的级别：从低到高debug,info,notice,warning,warn(same as warning),err,error(same as err),crit,alert,emerg,panic(same as emerg)

三：日志服务器的建立

3.1：笔记

防止被黑客入侵，若是root权限入侵，那么就会干一件事，那就是清空日志。远程以root登录到linux，echo "" > /var/log/secure客户机(contos8)：vim /etc/rsyslog.conf增加一条：authpriv.* @@对方IP地址:端口号			# authpriv登录日志，@@表示用TCP协议发authpriv.* @@172.16.1.1:514然后保存退出iptables -F							# 关闭防火墙（centos8貌似不需要）setenforce 0						# 不让日志加锁发出去（centos8貌似不需要）getenforce							# 查看日志加锁状态，Permissive：未加锁（centos8貌似不需要）service rsyslog restart				# 重启服务服务端(kali)：vim /etc/rsyslog.conf把#$ModLoad imtcp，#$InputTCPServerRun 514这两行的注释去掉新增一条：:fromhost-ip,isequal,"172.16.1.254" /var/log/client/172.16.1.254.log   保存退出service rsyslog restart				# 重启服务ss -antpl | grep 514				# 查看是否监听

3.2：实验

实验拓扑图：

如图：XP模拟恶意客户机，centos8被登录服务器，kali日志记录服务器
实验二在实验一的基础上接着做
centos8

vim /etc/rsyslog.conf

kali

vim /etc/rsyslog.conf

然后在XP上用putty软件，成功登录

centos8:

vim /var/log/secure

kali:


至此，日志备份服务器搭建完成。