Linux网络管理的最佳实践
BOOTPROTO=static、ONBOOT=yes、IPADDR(服务器IP)、NETMASK(子网掩码)、GATEWAY(网关)、DNS1/DNS2(DNS服务器,如8.8.8.8/8.8.4.4);动态IP适用于客户端(如普通办公电脑),设置BOOTPROTO=dhcp、ONBOOT=yes即可。/etc/sysconfig/network-scripts/ifcfg-<接口名>(如eth0、ens33),修改前需备份原文件(如cp ifcfg-eth0 ifcfg-eth0.bak),避免配置错误导致网络中断。ip addr查看接口状态、systemctl restart network重启服务)快速排查问题;图形界面(如CentOS的“网络设置”)适合新手直观配置,两者结合提升效率。ping测试网络连通性(如ping -c 4 google.com);ip/ifconfig查看接口IP、MAC地址;netstat/ss查看网络连接(如ss -tulnp显示所有监听端口及对应进程);tcpdump捕获数据包(如tcpdump -i eth0 port 80抓取HTTP流量),快速定位网络问题。iftop(类似top的实时流量工具,按带宽排序)监控接口实时流量(如iftop -i eth0);vnstat记录历史流量(如vnstat -d查看今日流量),帮助分析流量趋势。nmap扫描端口(如nmap -sV 192.168.1.1探测目标主机开放端口及服务),检测非法开放端口;Nagios/Zabbix设置流量阈值报警(如流量超过100Mbps时发送邮件),提前预警网络拥堵。firewalld(动态防火墙,支持区域和服务的灵活配置)或iptables(传统包过滤工具)限制访问。例如,firewalld开放SSH端口(firewall-cmd --add-service=ssh --permanent)并设置默认拒绝所有入站流量(firewall-cmd --set-default-zone=drop);iptables限制SSH访问IP(iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT)。/etc/ssh/sshd_config中的PermitRootLogin no);启用公钥认证(PubkeyAuthentication yes)替代密码认证;修改SSH默认端口(如Port 2222),减少暴力破解风险。setenforce 1),设置强制模式(SELINUX=enforcing),通过semanage命令配置端口标签(如允许Apache使用8080端口:semanage port -a -t http_port_t -p tcp 8080),防止未授权访问。yum(CentOS)或dnf(Fedora)更新系统和软件包(如yum update -y),获取安全补丁和功能改进,修复已知漏洞。/etc/sysconfig/network-scripts/)和关键数据(如/etc/ssh/、/var/www/),可使用tar命令打包(如tar -czvf network_backup.tar.gz /etc/sysconfig/network-scripts/),存储到异地或云存储,防止数据丢失。/var/log/messages(系统日志)和/var/log/syslog(网络相关日志),分析网络连接异常(如频繁的SYN_RECV状态可能表示SYN Flood攻击),及时处理问题。
