Linux主机之间权限访问与开通
2016-05-06 11:55
435 查看
近段时间,在测试和部署 Greenplum集群,在集群一开始部署的时候,以及后面测试的一些高可用功能时,都涉及到的Linux主机之间的访问权限问题。
在排查好这写问题后,有必要进行一下访问权限的梳理和总结,以便以后避免这个问题。
对于Linux主机而言,主机之间的访问,主要涉及几个问题: IP地址,ssh协议,selinux限制,iptables防火墙,/etc/hosts.allow 服务器限制。
这几个方面相互关联,其中又以ssh协议是核心和关联:
ssh 协议决定了服务器连接的端口,默认为22端口,可以进行修改,也可以添加多个端口;
ssh 协议端口与IP地址进行配合,是客户端连接服务器的硬件地址,再加上用户名和密码的授权,就可以控制用户对远程主机的访问了;
selinux的限制,一般都是直接关闭的;
iptables 防火墙配置可以对进入或者输出的IP地址、端口进行访问限制,在测试环境中,有些人为了方便,会将iptables关闭,避免网络方面的干扰,但实际生产环境,这个是必须要开的;
/etc/hosts.allow 服务器限制也是非常重要的,它是从服务器和用户角度进行的访问限制。
selinux服务设置
对于selinux服务,一般都是直接禁用的,在其配置文件中直接修改:
vim /etc/selinux/config 修改为如下内容:
SELINUX=disabled
IP地址设置
对于IP地址来说,一方面是涉及 /etc/sysconfig/network-scripts/ifcfg-eth0 网卡的配置,一方面是涉及/etc/hosts IP与主机的解析,/etc/sysconfig/network 主机名设置:
这个涉及的内容为:
vim /etc/sysconfig/network-scripts/ifcfg-eth0
service network restart
vim /etc/sysconfig/network
hostname
vim /etc/hosts
sshd服务设置
对于sshd服务,一方面是配置的密码和密钥问题,另一方面是sshd的配置文件,主要是端口问题:
vim /etc/ssh/sshd_config
# default value.
Port 22
Port 22000
重启服务器与验证:
/etc/init.d/sshd restart
netstat -ntlp | grep sshd
iptables防火墙设置
iptables 防火墙主要是在 /etc/sysconfig/iptables 配置文件中,添加相关策略,对于一个集群的几个主机来说,添加所有端口都可以相互访问的方法如下,集群有四台服务器需要相互访问,配置文件添加:
vim /etc/sysconfig/iptables
-A INPUT -p all -s 192.168.0.201 -j ACCEPT
-A INPUT -p all -s 192.168.0.202 -j ACCEPT
-A INPUT -p all -s 192.168.0.203 -j ACCEPT
-A INPUT -p all -s 192.168.0.200 -j ACCEPT
-A OUTPUT -p all -s 192.168.0.201 -j ACCEPT
-A OUTPUT -p all -s 192.168.0.202 -j ACCEPT
-A OUTPUT -p all -s 192.168.0.203 -j ACCEPT
-A OUTPUT -p all -s 192.168.0.200 -j ACCEPT
重启服务器与验证:
service iptables rstart
iptables -L -n
/etc/hosts.allow服务器访问限制
/etc/hosts.allow服务器限制内容如下:
vim /etc/hosts.allow
ALL:192.168.0.0/255.255.255.0
sshd:ALL
重启服务器与验证:
/etc/rc.d/init.d/xinetd restart
/etc/rc.d/init.d/network restart
注意:/etc/hosts.allow 配置文件中 ALL:192.168.0.0/255.255.255.0配置,并不能代替下面的配置,之前系统中有上面一行,可以正常初始化完成,但在安装Greenplum
master standby和 segment mirror时都会报错, 加入后面的 sshd:ALL 后,这两个操作才正常执行完成。
通过以上几个方面的配置与设置,就可以保证一个集群内部几个节点主机之间的相互访问和连通性了。
近段时间,在测试和部署 Greenplum集群,在集群一开始部署的时候,以及后面测试的一些高可用功能时,都涉及到的Linux主机之间的访问权限问题。
在排查好这写问题后,有必要进行一下访问权限的梳理和总结,以便以后避免这个问题。
对于Linux主机而言,主机之间的访问,主要涉及几个问题: IP地址,ssh协议,selinux限制,iptables防火墙,/etc/hosts.allow 服务器限制。
这几个方面相互关联,其中又以ssh协议是核心和关联:
ssh 协议决定了服务器连接的端口,默认为22端口,可以进行修改,也可以添加多个端口;
ssh 协议端口与IP地址进行配合,是客户端连接服务器的硬件地址,再加上用户名和密码的授权,就可以控制用户对远程主机的访问了;
selinux的限制,一般都是直接关闭的;
iptables 防火墙配置可以对进入或者输出的IP地址、端口进行访问限制,在测试环境中,有些人为了方便,会将iptables关闭,避免网络方面的干扰,但实际生产环境,这个是必须要开的;
/etc/hosts.allow 服务器限制也是非常重要的,它是从服务器和用户角度进行的访问限制。
selinux服务设置
对于selinux服务,一般都是直接禁用的,在其配置文件中直接修改:
vim /etc/selinux/config 修改为如下内容:
SELINUX=disabled
IP地址设置
对于IP地址来说,一方面是涉及 /etc/sysconfig/network-scripts/ifcfg-eth0 网卡的配置,一方面是涉及/etc/hosts IP与主机的解析,/etc/sysconfig/network 主机名设置:
这个涉及的内容为:
vim /etc/sysconfig/network-scripts/ifcfg-eth0
service network restart
vim /etc/sysconfig/network
hostname
vim /etc/hosts
sshd服务设置
对于sshd服务,一方面是配置的密码和密钥问题,另一方面是sshd的配置文件,主要是端口问题:
vim /etc/ssh/sshd_config
# default value.
Port 22
Port 22000
重启服务器与验证:
/etc/init.d/sshd restart
netstat -ntlp | grep sshd
iptables防火墙设置
iptables 防火墙主要是在 /etc/sysconfig/iptables 配置文件中,添加相关策略,对于一个集群的几个主机来说,添加所有端口都可以相互访问的方法如下,集群有四台服务器需要相互访问,配置文件添加:
vim /etc/sysconfig/iptables
-A INPUT -p all -s 192.168.0.201 -j ACCEPT
-A INPUT -p all -s 192.168.0.202 -j ACCEPT
-A INPUT -p all -s 192.168.0.203 -j ACCEPT
-A INPUT -p all -s 192.168.0.200 -j ACCEPT
-A OUTPUT -p all -s 192.168.0.201 -j ACCEPT
-A OUTPUT -p all -s 192.168.0.202 -j ACCEPT
-A OUTPUT -p all -s 192.168.0.203 -j ACCEPT
-A OUTPUT -p all -s 192.168.0.200 -j ACCEPT
重启服务器与验证:
service iptables rstart
iptables -L -n
/etc/hosts.allow服务器访问限制
/etc/hosts.allow服务器限制内容如下:
vim /etc/hosts.allow
ALL:192.168.0.0/255.255.255.0
sshd:ALL
重启服务器与验证:
/etc/rc.d/init.d/xinetd restart
/etc/rc.d/init.d/network restart
注意:/etc/hosts.allow 配置文件中 ALL:192.168.0.0/255.255.255.0配置,并不能代替下面的配置,之前系统中有上面一行,可以正常初始化完成,但在安装Greenplum
master standby和 segment mirror时都会报错, 加入后面的 sshd:ALL 后,这两个操作才正常执行完成。
通过以上几个方面的配置与设置,就可以保证一个集群内部几个节点主机之间的相互访问和连通性了。
相关文章推荐
- linux Rootkit
- Linux_CentOS6.5安装vncserver实现图形化访问
- centos 7 mysql 离线安装教程
- 杀死Linux中的defunct进程(僵尸进程)的方法指南
- Linux系统编程-文件IO函数
- source Insight linux开发模式
- 64位的AXS3编译报/usr/bin/ld: skipping incompatible /usr/lib/libc.a when searching for -lc
- Embedded Linux - File System
- Android 开机界面及Linux内核启动界面的修改(tiny6410)
- Linux的环境变量设置和查看
- Linux系统编程-文件打开关闭
- centos7 pxe minimal install
- centos jenkins
- 解决Linux中文显示乱码的问题
- linux溢出总结+windows aslr地址随机化绕过
- [原]Linux下清空文件内容的三种方法
- CENTOS 7.0 更改hostname
- Linux系统编程基础知识-Linux进程地址空间和虚拟内存
- Apparmor——Linux内核中的强制访问控制系统
- Linux下的应用程序性能分析