01-windows的常见目录-注册表-系统启动项

windows的常见目录

Documents and Settings/用户

Windows7/10中的“用户”文件夹其实就是XP中的DocumentsandSettings文件夹，这里存储了用户的设置，包括用户文档、上网浏览信息、配置文件等数据。

Windows目录

windows目录，就是我们的windows安装目录，用来放置windows程序的使用数据、设置等文件。强烈不建议改动此文件下的数据，可能会导致windows系统使用异常。

ProgramFile

应用程序文件夹，一般软件默认都安装在这里，也有系统自带的应用程序。在Windows7系统中，64位用户会多出一个ProgramFiles（X86）文件夹，这是系统中32位软件的安装目录。

Temp目录

临时文件目录
文件路径：C:\Users\user\AppData\Local\Temp
作用：上面有很多垃圾文件，包括使用压缩软件等解压的临时文件。

注册表

注册表

注册表是windows操作系统中的一个核心数据库，其中存放着各种参数，直接控制着windows的启动、硬件驱动程序的装载以及一些windows应用程序的运行，从而在整个系统中起着核心作用。
通过注册表修改IE起始页（病毒通常会修改此项键值）HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\MainStartPage注册表发生改动后，需要注销重新登录windows系统，改动后的注册表才生效。

系统启动项

开机的时候系统会在前台或者后台运行的程序
在运行栏输入msconfig

在windows开始菜单栏目有一个启动文件夹，把文件、程序放入其中就可以实现开机自动执行该文件。
启动文件夹的实际位置为：C:\Users\user\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup

02-任务管理器-设备管理器

设备管理器

可以使用“设备管理器”查看和更改设备属性、更新设备驱动程序、配置设备设置和卸载设备。其提供计算机上所安装硬件的图形视图。所有设备都通过一个称为“设备驱动程序”的软件与Windows通信。

• 桌面云—当外设无法识别，在设备管理器查看外设属性并强制映射给虚拟机（放通白名单）
• 超融合的迁移项目，把win server2008迁移到超融合平台出现问题，网络适配器可能出现问题。—查看设备管理器情况，找到网络适配器是什么情况,初步排查：

出现！说明驱动没装，驱动往往在性能优化工具上，也有可能性能优化工具有问题，可以尝试重装
>>>出现X说明网卡没有识别或者没加
使用设备管理器可以安装和更新硬件设备的驱动程序、修改这些设备的硬件设置以及解决问题

运转正常说明，硬件无问题，可以排除硬件问题

任务管理器

Windows任务管理器提供了有关计算机性能的信息，并显示了计算机上所运行的程序和进程的详细信息

*32 代表32位系统
任务管理器-应用程序界面可以看到正在运行的应用程序
可以手动结束任务、新建任务
在进程栏目，可以看到后台运行的进程

在服务栏目，可以看到正在运行的服务
可以通过运行的服务，查到相关运行的后台进程

服务与进程相辅相成的
在性能栏目，可以看到详细的windows系统资源占用情况
联网栏目可以看到目前网卡流量情况
用户栏目可以看到当前运行的用户名

桌面云卡顿可以打开任务管理器查看性能情况，win开机时间，不建议开机太久，会吃性能，2天作业关一次机，仅对于win7/10, winserver /linux另说

03-进程-组策略-安全

进程

进程是正在运行的程序的实例。每一个进程都有它自己的地址空间，一般情况下，包括文本区域（textregion）、数据区域（dataregion）和堆栈（stackregion）。文本区域存储处理器执行的代码；数据区域存储变量和进程执行期间使用的动态分配的内存；堆栈区域存储着活动过程调用的指令和本地变量。

当虚拟机出现cpu、内存异常飙高时，可以通过任务管理器查看进程的资源利用率。
病毒喜欢伪装成svchost.exe、explorer.exe、rundll32.exe等系统进程。
当发现这些系统进程cpu、内存资源占用异常的时候，建议通过杀毒软件查杀。

组策略&安全组

组策略在部分意义上是控制用户可以或不能在计算机上做什么。其策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。
例如：施行密码复杂性策略避免用户选择过于简单的密码
例如：允许或阻止身份不明的用户从远程计算机连接到网络共享
例如：阻止访问Windows任务管理器或限制访问特定文件夹

默认情况下，MicrosoftWindows每90分钟刷新一次组策略，随机偏移30分钟。在域控制器上，MicrosoftWindows每隔5分钟刷新一次
组策略对象会按照以下顺序（从上向下）处理：

• 本地-任何在本地计算机的设置。在WindowsVista之前，每台计算机只能有一份本地组策略。在WindowsVista和之后的Windows版本中，允许每个用户帐户分别拥有组策略。
• 站点-任何与计算机所在的活动目录站点关联的组策略。（活动目录站点是旨在管理促进物理上接近的计算机的一种逻辑分组）。如果多个策略已链接到一个站点，将按照管理员设置的顺序处理。
• 域-任何与计算机所在Windows域关联的组策略。如果多个策略已链接到一个域，将按照管理员设置的顺序处理。
• 组织单元-任何与计算机或用户所在的活动目录组织单元（OU）关联的组策略。（OU是帮助组织和管理一组用户、计算机或其他活动目录对象的逻辑单元）。如果多个策略已链接到一个OU，将按照管理员设置的顺序处理。

打开方式，在运行模式下输入gpedit.msc
根据需要，配置相关策略选项

安全组

可以列在用于定义资源和对象权限的任意访问控制列表(DACL)中的组
在运行任务栏输入secpol.msc
windows安全组策略其实是组策略其中关于安全设置的一部分。里面囊括了账户安全策略、windows防火墙配置等配置目录。

安全组相关配置示例，更改windows本地密码策略。
重新登录windows用户后生效

04-域工作组安全日志

工作组

工作组就是将不同的电脑按功能分别列入不同的组中，以方便管理。
Windows9x/NT/2000才引用了“工作组”这个概念，比如一所高校，会分为诸如数学系、中文系之类的，然后数学系的电脑全都列入数学系的工作组中，中文系的电脑全部都列入到中文系的工作组中……如果你要访问某个系别的资源，就在“网上邻居”里找到那个系的工作组名，双击就可以看到那个系别的电脑了。

设置方法：
1、用鼠标点击“计算机”右键，然后弹出的快捷菜单中选择“属性”，打开“系统”。
2、弹出“系统属性”对话框，然后切换到“计算机名”，点击“修改”键。
3、在弹出的“计算机名修改”对话框，输入对应的名称。
4、点击“确定”按钮，就会在计算机的屏幕中弹出信息提示框。
5、点击“确定”键，会再一次会弹出信息提示框。
6、点击“确定”键，返回到“系统属性”点击“确定”键，然后重新启动计算机即可。

看不到工作组的其他主机可能是防火墙等网络设备屏蔽了

域

• 其实可以把域和工作组联系起来理解，在工作组上你一切的设置在本机上进行包括各种策略，用户登录也是登录在本机的，密码是放在本机的数据库来验证的。
• 而如果你的计算机加入域的话，各种策略是域控制器统一设定，用户名和密码也是放到域控制器去验证，也就是说你的账号密码可以在同一域的任何一台计算机登录。
• 在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（DomainController，简写为DC）”
• 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。

Windows安全日志

windows用户所有的登录注销、安全策略更改都会以安全日志的形式记录
计算机管理->系统工具->事件查看器->Windows日志->安全

可以通过windows安全日志，溯源黑客的入侵行为。（假如黑客没有把安全日志清干净的话）

可以通过事件ID快速检索日志，比如事件ID：4616代表安全状态更改

05-常用的网络排查命令

ping

通过发送Internet控制消息协议（ICMP）验证与其他TCP/IP计算机的IP级连接回显请求消息。显示相应的回音回复信息的接收，以及往返时间。ping是主要的TCP/IP命令，用于解决连接、可访问性和名称解析问题。使用时不带参数，ping显示帮助。
ping IP/域名 -t
ping IP/域名 -n 1 次数
ping IP/域名 -l 长度

ping 错误提示

ARP

显示和修改地址解析协议（ARP）缓存中的条目，其中包含一个或多个用于存储IP地址及其解析的以太网或令牌环物理地址的表。计算机上安装的每个以太网或令牌环网络适配器都有一个单独的表。在没有参数的情况下使用，arp显示帮助。
arp -a
查看当前电脑上的ARP映射表。可以看到当前的ARP的映射关系是动态的还是静态的
arp -d
删除指定的IP地址项，此处的InetAddr代表IP地址，要删除所有项，请使用星号（）通配符代替
*arp -s IP/MAC
加静态ARP实现ARP绑定。其中w.x.y.z代表要绑定的IP地址，aa-bb-cc-dd-ee-ff代表其MAC地址

Tracert

确定通过发送Internet控制消息协议（ICMP）回显请求或以递增的生存时间（TTL）字段值向目标发送消息。路径显示源主机和目标之间路径中路由器的近/侧路由器接口列表。近/侧接口是最接近路径中发送主机的路由器接口。不用参数，tracert显示帮助。用于跟踪路由
TracertIP/域名
TracertIP/域名-d 不将地址解析成主机名，提高回显速度

Route

显示并修改本地IP路由表中的输入。无参数使用，路径显示帮助。
Rtoue add 目标网络 MASK子网掩码 网关IP
Rtoue delete 目标网络
Rtoue -p add 目标网络 MASK子网掩码 网关IP 永久路由

Ipconfig

ipconfig命令用于显示当前的TCP/IP配置的设置值，这些信息一般用来检验人工配置的TCP/IP设置是否正确。如果你的计算机和所在的局域网使用了动态主机配置协议，这个程序所显示的信息也许更加实用。ipconfig可以让你了解你的计算机是否成功的租用到一个IP地址，如果租用到则可以了解它分配到的是什么地址。此命令也可以清空DNS缓存（DNS cache）。了解计算机当前的IP地址、子网掩码和缺省网关实际上是进行测试和故障分析的必要项目。
Ipconfig 显示所有网口基本IP地址信息
Ipconfig /all 显示网卡配置详细信息
Ipconfig -release 释放所有本地连接开头的网卡的连接，如果是DHCP获取地址的网卡则会清除IP地址配置，会出现断网。
Ipconfig /renew 通过DHCP重新获取地址，本地连接，更新本地连接网卡配置
Ipconfig /displaydns 查看DNS缓存
Ipconfig /flushdns 清空刷新DNS缓存

netstat

显示有源TCP连接，计算机在哪一个端口被听，以太网统计，IP路由表，IPV4统计（关于IP，ICMP，TCP，和UDP协议）和IPV6统计（关于IP，ICMP，TCP，和UDP协议）。使用无参数，网络显示激活TCP连接。

netstat -a 显示所有活动的 TCP 连接以及计算机侦听的 TCP 和 UDP 端口。
netstat -n 显示活动的 TCP 连接，不过，只以数字形式表现地址和端口号，却不尝试确定名称。
netstat -o 显示活动的 TCP 连接并包括每个连接的进程 ID (PID)?Windows 任务管理器中的“进程”选项卡上找到基于 PID 的应用程序。任务管理器中查看－－选择列－－PID选项选中，即可查看当前进程的PID，可根据此PID删掉占用端口的进程。该参数可以与 -a、-n 和 -p 结合使用。
netstat -p 协议 显示 Protocol 所指定的协议的连接。在这种情况下，Protocol 可以是 tcp、udp、tcpv6 或 udpv6。如果该参数与 -s 一起使用按协议显示统计信息，则 Protocol 可以是 tcp、udp、icmp、ip、tcpv6、udpv6、icmpv6 或 ipv6。
-s 按协议显示统计信息。

06 Linux

Linux系统介绍

Linux是一个类似Unix的操作系统，Unix要早于Linux，Linux的初衷就是要替代UNIX，并在功能和用户体验上进行优化，所以Linux模仿了UNIX（但并没有抄袭UNIX的源码），使得Linux在外观和交互上与UNIX非常类似。

系统命令是在用户编程接口之上，它实际上是一个可执行程序，内部是引用了用户编程接口(API)来实现相应的功能。

linux系统与Windows系统的区别

linux系统目录结构概述

• /bin存放二进制可执行文件(ls,cat,mkdir等)，常用命令一般都在这里。
• /etc存放系统管理和配置文件
• /home存放所有用户文件的根目录，是用户主目录的基点，比如用户user的主目录就是/home/user，可以用~user表示
• /usr用于存放系统应用程序，比较重要的目录/usr/local本地系统管理员软件安装目录（安装系统级的应用）。这是最庞大的目录，要用到的应用程序和文件几乎都在这个目录
• /opt额外安装的可选应用程序包所放置的位置。一般情况下，我们可以把tomcat等都安装到这里。
• /proc此目录的数据都在内存中，如系统核心，外部设备，网络状态，由于数据都存放于内存中，所以不占用磁盘空间，比较重要的目录有/proc/cpuinfo、 /proc/interrupts、 /proc/dma、 /proc/ioports、 /proc/net/* 等。
• /root系统管理员root的家目录。
• /sbin、/usr/sbin、/usr/local/sbin放置系统管理员使用的可执行命令，如fdisk、shutdown、mount等。与/bin不同的是，这几个目录是给系统管理员root使用的命令，一般用户只能”查看”而不能设置和使用。
• /tmp一般用户或正在执行的程序临时存放文件的目录，任何人都可以访问，重要数据不可放置在此目录下。
• /var：放置系统执行过程中经常变化的文件，如随时更改的日志文件/var/log， /var/log/message：所有的登录文件存放目录，/var/spool/mail：邮件存放的目录，/var/run:程序或服务启动后，其PID存放在该目录下。

  基本操作

  使用命令的注意事项：
  •在Linux系统中命令区分大小写
  •在命令行中，可以使用Tab键来自动补齐命令，即可以只输入命令的前几个字母，然后按Tab键，系统将自动补齐该命令，若命令不止一个，则显示出所有和输入字符相匹配的命令
  •按Tab键时，如果系统只找到一个和输入字符相匹配的目录或文件，则自动补齐；如果没有匹配的内容或有多个相匹配的名字，系统将发出警鸣声，再按一下Tab键将列出所有相匹配的内容，以供用户选择

  CD

  命令格式：cd[目录名]
  在Linux系统中，用“.”代表当前目录；用“..”代表当前目录的父目录；用“~”代表用户的个人主目录。
  ~进入当前用户主目录-返回进入此目录之前所在的目录!$把上个命令的参数作为cd参数使用

  pwd

  ls

  命令格式：ls [参数] [目录或文件]
  常用参数选项有：
  -a：显示所有文件，包括以“.”开头的隐藏文件。
  -A：显示指定目录下所有的子目录及文件，包括隐藏文件。但不显示“.”和“..”。
  -c：按文件的修改时间排序。
  -C：分成多列显示各行。
  -d：如果参数是目录，只显示其名称而不显示其下的各个文件。往往与“c-l”选项一起使用，以得到目录的详细信息。
  -l：以长格形式显示文件的详细信息。
  -i：在输出的第一列显示文件的i节点号
  -h以更容易理解形式显示文件大小

查看文件命令

cat

主要用于滚屏显示文件内容。
命令格式：cat [参数] 文件名
常用参数选项：
-b：对输出内容中的非空行标注行号。
-n：对输出内容中的所有行标注行号。

more

使用cat命令时，如果文件太长，用户只能看到文件的最后一部分。这时可以使用more命令，一页一页的分屏显示文件的内容。按【Enter】键可以向下移动一行，按【space】键可以向下移动一页；按【q】键可以退出more命令。
命令格式：more [参数] 文件名
more命令的常用参数选项有：
-num：这里的num是一个数字，用来指定分页显示时每页的行数。
+num：指定从文件的第num行开始显示。

less

是more命令的改进版，比more命令的功能强大。more命令只能向下翻页，而less命令可以向下、向上翻页，甚至可以前后左右的移动。
执行less命令后，进入了less状态，
•按【Enter】键可以向下移动一行，
•按【space】键可以向下移动一页；
•按【b】键可以向上移动一页；
•用光标键向前、后、左、右移动；
•按【q】键可以退出less命令。
less命令还支持在一个文本文件中进行快速查找。先按下斜杠键【/】，再输入要查找的单词或字符。less命令会在文本文件中进行快速查找，并把找到的第一个搜素目标高亮度显示。如果希望继续查找，就再次按下斜杠键【/】，再按【Enter】键即可。

head

用于显示文件的开头部分，默认情况下只显示文件的前10行内容。
命令格式：head [参数]
文件名常用参数选项：
-nnum：显示指定文件的前num行。
-cnum：显示指定文件的前num个字符。

tail

用于显示文件的末尾部分，默认情况下只显示文件的末尾10行内容。
命令格式：tail [参数]
文件名tail命令的常用参数选项有：
-nnum：显示指定文件的末尾num行。
-cnum：显示指定文件的末尾num个字符。
+num：从第num行开始显示指定文件的内容。

查找文件或目录的命令

find

是最常见和最强大的查找命令，你可以用它找到任何你想找的文件。
该命令的语法为：find<目录><参数>
find命令的常用参数选项有：
-name<表达式>：根据文件名查找文件
-user<用户名>：按归属用户查找文件
-type<文件类型>：根据文件类型查找文件。（b块设备、c字符设备、d目录、p管道文件、f普通文件、l链接、s端口文件）
-size<大小>：根据文件大小查找，单位bcwkMG
加上|xargstarcvzf<文件名>：可以将查询的结果压缩

grep

用于查找文件中包含有指定字符串的行。
该命令的语法为：grep [参数] 要查找的字符串
文件名grep命令的常用参数选项有：
-v：列出不匹配的行。
-c：对匹配的行计数。
-l：只显示包含匹配模式的文件名。
-h：抑制包含匹配模式的文件名的显示。
-n：每个匹配行只按照相对的行号显示。
-i：对匹配模式不区分大小写。

mkdir

用于创建一个目录。
命令格式：mkdir [参数] 目录名
常用参数–p：如果父目录不存在，则同时创建该目录及该目录的父目录

rmdir

用于删除空目录。
命令格式：rmdir [参数] 目录名
常用参数-p：在删除目录时，一起删除父目录，但父母录中必须没有其他目录及文件。

cp

主要用于文件或目录的复制。
命令格式：cp [参数] 源文件目标文件
常用参数选项：
-f：如果目标文件或目录存在，先删除它们再进行复制（即覆盖），并且不提示用户。
-i：如果目标文件或目录存在，提示是否覆盖已有文件。
-R：递归复制目录，即包含目录下的各级子目录。

mv

主要用于文件或目录的移动或改名。
命令格式：mv [参数] 源文件或目录 目标文件或目录
常用参数选项：
-i：如果目标文件或目录存在时，提示是否覆盖目标文件或目录。
-f：无论目标文件或目录是否存在，直接覆盖目标文件或目录，不提示

rm

主要用于文件或目录的删除。
命令格式：rm [参数] 文件名或目录名
常用参数选项：
-i：删除文件或目录时提示用户。
-f：删除文件或目录时不提示用户。
-R：递归删除目录，即包含目录下的文件和各级子目录。

df

主要用来查看文件系统的各个分区的占用情况。该命令列出了系统上所有已挂载的分区大小、已占用的空间、可用空间以及占有率。
命令格式：df[选项]
常用参数选项：空间大小的单位是K（df–h，单位为M）

du

主要用来查看某个目录中的各级子目录所使用的硬盘空间数。
命令格式：du[选项][参数]
常用选项参数：
-a：显示目录中个别文件的大小。
-c：除了显示个别目录或文件的大小外，同时也显示所有目录或文件的总和。
-k：以KB(1024bytes)为单位输出。
-m：以MB为单位输出。
-s：仅显示总计，只列出最后加总的值。
-h：以K，M，G为单位，提高信息的可读性。

常用linux命令及作用

在linux运维时，主要查看系统的网络和性能方面。
网络方面：ping，iptables，netstat，ifconfig，route，tcpdump，ethtool，iperf，telnet
性能方面：df，free，ps，top，kill

ping

是常用的网络命令，它通常用来测试与目标主机的连通性。它通过发送ICMPECHO_REQUEST数据包到网络主机，并显示响应情况。
命令格式：ping[参数][主机名或IP地址]
常用选项参数：
-c数目：在发送指定数目的包后停止
-s字节数：指定发送的数据字节数，预设值是56，加上8字节的ICMP头，一共是64ICMP数据字节。
-i秒数：设定间隔几秒送一个网络封包给一台机器，预设值是一秒送一次。
-t存活数值：设置存活数值TTL的大小。
ifconfig
用来配置或查看网卡接口.
命令格式：ifconfig[网络设备][参数]
常用参数选项：
up：启动指定网络设备/网卡。
down：关闭指定网络设备/网卡。该参数可以有效地阻止通过指定接口的IP信息流，如果想永久地关闭一个接口，我们还需要从核心路由表中将该接口的路由信息全部删除。
-a：显示全部接口信息
-s：显示摘要信息（类似于netstat-i）
add：给指定网卡配置IPv6地址
del：删除指定网卡的IPv6地址
注意：单独使用ifconfig时，只显示激活状态的网络设备信息。

netstat

用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检验本机各端口的网络连接情况。netstat是在内核中访问网络及相关信息的程序，它能提供TCP连接，TCP和UDP监听，进程内存管理的相关报告。
命令格式：netstat[参数]
常用参数选项有：
-a：显示所有连线中的Socket。
-n：直接使用IP地址，而不通过域名服务器。
-t：显示TCP传输协议的连线状况。
-u：显示UDP传输协议的连线状况。
-p：显示正在使用Socket的程序识别码和程序名称。
-c：持续列出网络状态。

route

用于显示和操作IP路由表.
命令格式：route[选项] [参数]
常用参数选项有：
add：添加一条路由规则
del：删除一条路由规则
-net：目的地址是一个网络
-host：目的地址是一个主机
target：目的网络或主机
netmask：目的地址的网络掩码
gw：路由数据包通过的网关
dev：为路由指定的网络接口

cpdump

可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。
命令格式：tcpdump [参数]
常用参数选项有：
-i：指定监听的网络接口；
-v：输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息；
-vv：输出详细的报文信息；
-c：在收到指定的包的数目后，tcpdump就会停止；
-e：在输出行打印出数据链路层的头部信息，包括源mac和目的mac，以及网络层的协议；
-f：将外部的Internet地址以数字的形式打印出来；
-w：直接将包写入文件中，并不分析和打印出来；
-X：告诉tcpdump命令，需要把协议头和包内容都原原本本的显示出来（tcpdump会以16进制和ASCII的形式显示），这在进行协议分析时是绝对的利器。

-命令：tcpdump-ieth1
说明：监视指定网络接口的数据包
-命令：tcpdumphost210.27.48.3
说明：截获210.27.48.3主机收到的和发出的所有数据包
-命令：tcpdumphost210.27.48.4and(210.27.48.5or210.27.48.6)
说明：截获210.27.48.3主机和210.27.48.5或者210.27.48.6主机进行通信的所有数据包
-命令：tcpdumptcpport23andhost210.27.48.3
说明：获取主机210.27.48.3上端口为23的应用发出和接收的所有TCP协议包
-命令：tcpdumpsrchost10.126.1.222anddstnet10.126.1.0/24
说明：截获源主地址为10.126.1.222，目的地址是10.126.1.0/24整个网络
-命令：tcpdump-ieth0-s0-C1-Zroot-weth0Packet.pcap
说明：抓取报文后按照指定报文大小保存；-C选项后接文件大小，单位为MB；上述命令就是每抓包文件达到1MB时就使用一个新的文件保存新抓的报文

Iptables服务
不是真正的防火墙，只是用来定义防火墙规则功能的”防火墙管理工具”，将定义好的规则交由内核中的netfilter即网络过滤器来读取，从而真正实现防火墙功能。
命令格式：iptables[选项] [参数]
常用选项：
-A：在指定链的末尾添加（append）一条新的规则
-D：删除（delete）指定链中的某一条规则，可以按规则序号和内容删除
-I：在指定链中插入（insert）一条新的规则，默认在第一行添加
-R：修改、替换（replace）指定链中的某一条规则，可以按规则序号和内容替换
-L：列出（list）指定链中所有的规则进行查看
-E：重命名用户定义的链，不改变链本身
-F：清空（flush）
-N：新建（new-chain）一条用户自己定义的规则链
-X：删除指定表中用户自定义的规则链（delete-chain）
-P：设置指定链的默认策略（policy）
-Z：将所有表的所有链的字节和数据包计数器清零
-n：使用数字形式（numeric）显示输出结果
-v：查看规则表详细信息（verbose）的信息

Iperf

是一个网络性能测试工具。Iperf可以测试最大TCP和UDP带宽性能，具有多种参数和UDP特性，可以根据需要调整，可以报告带宽、延迟抖动和数据包丢失。
命令格式：iptables[选项] [参数]
常用选项：
-l：设置读写缓冲区的长度
-s：在服务器模式下运行iPerf
-c：在客户端模式下运行iPerf，连接到在主机上运行的iPerf服务器。
-p：设置端口，与服务器端的监听端口一致
-o：重定向输出到指定文件
-t：设置传输的总时间

ethtool

是用于查询及设置网卡参数的命令。
命令格式：ethtool[选项] [参数]
常用选项：
ethtool–iethX：查询ethX网口的相关信息
ethtool–dethX：查询ethX网口注册性信息
ethtool–rethX：重置ethX网口到自适应模式
ethtool–SethX：查询ethX网口收发包统计
ethtool–sethX[speed10|100|1000]：设置网口速率10/100/1000M

telnet

通常用来远程登录,但是，telnet因为采用明文传送报文，安全性不好，很多Linux服务器都不开放telnet服务，而改用更安全的ssh方式了。telnet命令还可做别的用途，比如确定远程服务的状态，比如确定远程服务器的某个端口是否能访问。
命令格式：telnet[选项] [主机名]
常用选项：
telnet[主机名][端口]：确认主机端口是否可以访问

free

主要用来查看系统内存，虚拟内存的大小及占用情况。
命令格式：free[选项]
常用选项参数：
-b：以Byte为单位显示内存使用情况。
-k：以KB为单位显示内存使用情况。
-m：以MB为单位显示内存使用情况。
-g：以GB为单位显示内存使用情况。
-s<间隔秒数>：持续观察内存使用状况。
-t：显示内存总和列。

ps

主要用于查看系统的进程
命令格式：ps [参数]
常用参数选项有：
-a：显示当前控制终端的进程（包含其他用户的）。
-u：显示进程的用户名和启动时间等信息。
-w：宽行输出，不截取输出中的命令行。
-l：按长格形式显示输出。
-x：显示没有控制终端的进程。
-e：显示所有的进程。
-tn：显示第n个终端的进程。

kill

前台进程在运行时，可以用【ctrl+c】键来终止它，后台进程可以使用kill命令向进程发送强制终止信号，以达到终止进程的目的。
命令格式：：kill [参数] 进程号
常用参数选项：
HUP 1：终端断线
INT 2：中断（同Ctrl+C）
QUIT 3：退出（同Ctrl+\）
TERM 15：终止
KILL 9：强制终止
CONT 18：继续（与STOP相反，fg/bg命令）
STOP 19：暂停（同Ctrl+Z）

top

可以实时监控进程的状况。top屏幕自动每5秒钟刷新一次，也可以用“top–d20”，使得top屏幕每20秒钟刷新一次。

shutdown

用于在指定时间关闭系统，-h关闭计算机，-r重新启动。
立即关机 shutdown–hnow
10分钟后关机 shutdown–h+10
23:30分关机 shutdown–h23:30
立即重启 shutdown–rnow
reboot命令用于重新启动系统，相当于“shutdown–rnow”。
poweroff命令用于立即停止系统，并关闭电源，相当于“shutdown–hnow”

其他

clear命令用于清除字符终端屏幕内容。
uname命令用于显示系统信息。
man命令用于列出命令的帮助手册。
history命令用于显示用户最近执行的命令。只要在命令编号前加“！”，就可以重新运行history中显示出的命令行。

07 AD域和LDAP协议

LDAP

树形数据库，可以认为是一种数据库，用作查询，为读设计，没有事务回滚等，C/S架构
AD活动目录，微软的实现了LDAP协议（服务器），另外还提供统一身份管理（域控），资源管理，与其他应用对接，本身特别适合管理公司内部资源，天然的树形结构

domain control域控制器，AD里的服务器，安装了活动目录的电脑，活动目录的综合体。域用户等资源信息都存在DC里，服务站装了AD后，就没有本地用户了，就是域用户。实际可有多个DC，成员计算机就是跟域控制器建立了信任，加入到域里的计算机。每台计算机加入到域时生成信任密钥，每隔一段时间更新。成员计算机需要拿到密钥，才能建立信任。用户和计算机都有唯一标识SID，活动目录一般要配一个DNS服务器通过域名访问。AD与DNS一般部署在一起。

DN路径，唯一
RDN　键值对
OU　　部门、分公司
CN　　一条记录

数字证书

证书背景

密码学相关概念

明文(plaintext)：发送人、接受人和任何访问消息的人都能理解的消息。
密文(ciphertext)：明文消息经过某种编码后，得到密文消息。
加密(encryption)：将明文消息变成密文消息。
解密(decryption)：将密文消息变成明文消息。
算法：取一个输入文本，产生一个输出文本。
加密算法：发送方进行加密的算法。
解密算法：接收方进行解密的算法。
密钥(key)：只有发送方和接收方掌握的消息
对称密钥加密(SymmetricKeyCryptography)：加密与解密使用相同密钥。
非对称密钥加密(AsymmetricKeyCryptography)：加密与解密使用不同密钥，分为公钥和私钥

对称加密算法

在对称加密算法中，加密使用的密钥和解密使用的密钥是相同的，加密和解密都是使用同一个密钥。
•通信双方采用相同的密钥来加解密会话内容，即一段待加密内容，经过同一个密钥的两次对称加密后，与原来的结果一样。
•举例说明：
根据异或性质：(A ⊕ B) ⊕ B = A
得到如下加密方法，其中C为密文，P为明文，K是双方约定的常量，C = P ⊕ K
对应的解密方法则为：P = C ⊕ K
这就是一种简单的对称密钥算法的过程，其中异或操作是对称加密、解密算法，K则是密钥。

非对称加密算法

非对称加解密算法的密钥是成对出现的，公钥加密过的密文只有对应的私钥能解密；私钥签名过的密文可以通过对应的公钥验签。原则上私钥是不能在网络中传递的。
双方通信时，首先要将密钥对中的公钥传给对方，这个密钥可以在不安全的信道中传输；传输数据时，先使用自己持有的密钥做加密，对方只能用自己传输过去的密钥解密。

证书概念

数字证书（”digitalcertificate”或“publickeycertificate”)是指在互联网通讯中标志通讯各方身份信息的一个数字认证，在网上用它来识别对方的身份。从本质上来说是一种电子文档，它的作用是证明某某东西确实是某某东西。
CA（CertificateAuthority）也叫“证书授权中心”。负责发放和管理数字证书的权威机构。一般来说，CA必须是所有行业和所有公众都信任的、认可的，因此它必须具有足够的权威性。

证书分类

按持有者分类：
•个人证书：CA中心给个人颁发的证书，仅代表个人身份，证书包含个人信息和个人公钥。•单位证书：CA中心给组织机构颁发的证书，代表机构的身份，包含机构单位的信息和单位公钥。
•系统证书：CA中心给应用系统或者设备颁发的证书，代表系统的身份，包含系统的信息和系统的公钥。
按证书用途分类：
•签名证书：签名证书只能用于签名和验证签名，为了密钥的安全，密钥对一般在小客端产生和保存。
•加密证书：加密证书只能用于加密，其中密钥对由CA产生，通过保护算法和协议发送给用户保存，同时CA中心也保存该密钥对，以备管理和恢复。

证书格式

证书格式证书有PEM和DER编码格式，其中PEM是采用Base64编码字符保存，DER格式采用二进制保存。
一张证书包含公钥与私钥，对应着非对称加密算法中用到的公私钥。通常用.crt后缀标识公钥，用.key标识私钥。
还有一种将公钥与私钥捆绑在一起的保存方法，后缀通常为.pfx(微软用)或者.p12。

证书工作原理及流程

SSL概念

SSL(SecureSocketsLayer安全套接层)基于HTTPS下的一个协议加密层，它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能。SSL协议分为以下两层：

• SSL记录协议层的作用是为高层协议提供基本的安全服务。SSL记录协议针对HTTP协议进行了特别的设计，使得超文本的传输协议HTTP能够在SSL运行。记录封装各种高层协议，具体实施压缩解压缩、加密解密、计算和校验MAC等与安全有关的操作。
• SSL握手协议层包括SSL握手协议（SSLHandShakeProtocol）、SSL密码参数修改协议（SSLChangeCipherSpecProtocol）、应用数据协议（ApplicationDataProtocol）和SSL告警协议（SSLAlertProtocol）。握手层的这些协议用于SSL管理信息的交换，允许应用协议传送数据之前相互验证，协商加密算法和生成密钥等。SSL握手协议的作用是协调小客和小服的状态，使双方能够达到状态的同步。