專題製作一-上課補充教材

• 最新消息：
  • 主要是分組討論，請各位同學務必要達成實做所需要的各項任務！同時，最好能夠與實體店家合作，處理資訊相關任務來作為專題，會更有效果！
  • 下週 2017/03/13：請依據 這個檔案的相關頁面，上台報告！
  • 回首頁

---

• 專題電腦的建置
  1. 向系上管理員申請虛擬機器使用，同時加入 FB 管理員社團，以取得最新的資訊 (有時會緊急關機等等的公告)
  2. 安裝 CentOS 系統，安裝時使用基礎 GUI 界面的伺服器環境即可。
  3. 訂定較為嚴格的 root 密碼，同時安裝者不要提供 root 密碼給組員，不要流出去較佳。
  4. 安裝妥當之後，依據系上提供的 IP 資訊，直接使用上學期教的『 nmcli 』指令完成 IP 參數的設定。
     nmcli connection modify eth0 ipv4.method manual ipv4.addresses 'YOUIP' ipv4.gateway 'YOUGW' ipv4.dns 'YOUDNS' connection.autoconnection yes
• 系統的基礎資安維護 (記得參考上學期的學習心得！)
  1. 將 SELinux 設定為 Permissive 『 vim /etc/selinux/config 』去處理『 SELINUX=permissive 』的項目，然後 setenforce 0 即可。
  2. 立刻全系統更新一次：『 yum -y update 』
  3. 未來每天更新一次，使用『 vim /etc/crontab 』之後，內部撰寫『 20 3 * * * root /bin/yum -y update 』即可！
  4. 減少啟動的埠口，透過『 netstat -tunlp 』查詢啟動的埠口，不需要的埠口就予以關閉，關閉的方法使用『 systemctl stop NNNN 』搭配『 systemctl disable NNNN 』，其中 NNNN 指的是你查詢到的相關服務喔！
  5. 基本上，先保留 port 22, 25 即可，其他不知道是否要留的，可以詢問專題老師喔！
  6. 最好關閉圖形界面，可以使用『 systemctl isolate multi-user.target 』立刻切換為純文字界面，然後以『 systemctl set-default multi-user.target 』讓未來開機都是純文字。如果需要短暫在本機使用圖形界面，則可以使用『 systemctl isolate graphical.target 』來切換成為圖形界面，操作完畢再切回純文字界面，可以節省不少寶貴的記憶體資源。
• 系統的防火牆設定
  1. 你可以使用 firewalld 也能使用 iptables。不過鳥哥比較建議使用 iptables 服務即可。
     • yum -y install iptables-ser*
     • systemctl stop firewalld
     • systemctl disable firewalld
     • systemctl start iptables
     • systemctl enable iptables
  2. 接下來可以建立底下的 /root/firewall.sh 腳本，不過在設計之前，就得先要考慮一下：
     • 你需要哪些服務？最主要需要 WWW, SSH 這兩個！
     • WWW 應該就是 port 80，但 SSH 不能只使用 port 22，假設你還有另一個埠口為 port AAA 的話，那就得要放行 port AAA 才行。
     • 是否需要其他服務的支援？若不需要就算了！若有需要則要紀錄各個 port number 號碼。
  3. 基本的 /root/firewall.sh 根據上述的建議，來設定：

     #!/bin/bash
     # VBird
     iptables -F
     iptables -X
     iptables -Z
     
     iptables -P INPUT DROP
     iptables -P OUTPUT ACCEPT
     iptables -P FORWARD ACCEPT
     
     iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
     iptables -A INPUT -p icmp -j ACCEPT
     iptables -A INPUT -i lo -j ACCEPT
     iptables -A INPUT -s somewhere/prefix -p tcp --dport 22 -j ACCEPT
     iptables -A INPUT -p tcp --dport AAA -j ACCEPT
     iptables -A INPUT -p tcp --dport 5901:5910 -j ACCEPT
     
     iptables-save > /etc/sysconfig/iptables
     sleep 1s
     systemctl restart iptables
     iptables-save
     

     將上述底線字體改成符合你的設定即可！然後記得要執行！『sh /root/firewall.sh』
• ssh 服務的再設定，與 pietty 的使用
  • 預設的 SSH 設定可能會不太能使用在校內，所以有時候，你會需要重新設定一個 port 來放行連線
  • 如上面所說，你的假設埠口會是 AAA 的話，那麼就得要修改『 vim /etc/ssh/sshd_config 』檔案，提供如下的設定：

    Port 22
    Port AAA
    PermitRootLogin no
    
    UseDNS no
    

  • 設定完畢後，重新啟動『 systemctl restart sshd 』，查看一下 port 有無順利啟動『 netstat -tnlp | grep ssh 』，若有 AAA 即可！ 注意！ AAA 是一個埠口數字號碼喔！
  • 從 google 上面搜尋 pietty 這個軟體，下載後開啟他，然後填寫正確的你的伺服器的 IP 與 port AAA ，即可連線。
  • pietty 預設不能使用右邊的數字鍵，若要使用，則從『選項』--> 『詳細設定』--> 『Features』 句選『Disable application keypad mode』，按下『 Apply 』即可！ 如下圖所示：
    
• 建立多人共管的環境
  • 千千萬萬不要將 root 的密碼告知第二人～
  • 系統預設管理員應該要幫其他組員建立帳號，提供相關的操作！
  • 同組的組員應該使用底下的方式來建立：

    # useradd -G wheel username
    # passwd username
    

    那個 username 請填寫你的組員帳號，且在 passwd 之後，直接給予兩次密碼 (請組員自己按)，這樣就能夠透過前一個 pietty 的說明來登入系統了！
  • 若有 root 操作的需求，請使用如下的方式切換身份：

    $ sudo su -
    (這時輸入使用者自己的密碼，並非 root 的密碼喔！)
    
    # exit
    

    這樣就能夠切換身份成為 root 了！另外，操作完畢後，請記得一定要 exit 回你原本的帳號才好！切記切記！不要使用 root 的身份一直掛在系統上， 非常容易出事！
• 突然需要本機的圖形界面支援時
  • 一般來說，我們似乎不太需要圖形界面的。但是如果你的一般帳號突然需要『本機的圖形界面』時，無須取得本機終端機，透過 VNC 即可！
  • 先登入 Linux 伺服器系統，切換身份成為 root 來安裝底下的軟體：

    # yum install tigervnc tigervnc-server
    

  • 切換回一般身份，之後使用如下的指令來啟動 VNC 伺服器：

    $ vncserver :N   (N為 1~9 的數字，例如底下的範例為 port 5905 喔)
    $ vncserver :5
    

  • 接著在用戶端，一般來說應該是 windows 系統吧！先下載安裝 vnc 軟體： https://bintray.com/tigervnc/stable/tigervnc/，畫面往下拉或搜尋 tigervnc 應該就能找到類似『 tigervnc64-1.7.1.exe 』的檔名， 請下載他！
  • 下載完畢後執行該軟體，執行過程中比較需要注意的是，我們並沒有要讓 windows 變成 VNC 伺服器，因此底下這個圖示中，請選擇取消伺服器服務！
    
  • 接下來在開始-->程式集當中，就會出現 TigerVNC 64-bit 的項目，進入裡面會找到『 TigerVNC Viewer 』填寫正確的 IP:port 即可！
    
  • 若完成所有的圖形界面操作，就可以關閉圖形界面了！關閉 VNC 的方法為：

    $ vncserver -kill :N
    $ vncserver -kill :5