Linux常用自有服务有NTP时间同步服务、firewalld防火墙服务和crond计划任务服务，NTP在上一篇中讲过，这次主要来说一下防火墙firewalld与计划任务的相关内容。如下。

一、Linux中防火墙firewalld

1、什么是防火墙

防火墙：防范一些网络攻击。有软件防火墙、硬件防火墙之分。

京东搜索企业级硬件防火墙：

Windows防火墙：
搜索控制面板并打开，点击系统与安全=>Windows Defender 防火墙

Windows防火墙的划分与开启、关闭操作：

2、防火墙的作用

防火墙选择让正常请求通过，从而保证网络安全性。

3、Linux中的防火墙分类

传统Linux防火墙

CentOS5、CentOS6 => 防火墙 => iptables防火墙

CentOS7 => 防火墙 => firewalld防火墙

firewalld = fire火 wall墙 daemon守护进程

4、firewalld防火墙

4.1 区域

firewalld增加了区域(zone)的概念，所谓区域是指，firewalld预先准备了几套防火墙策略的集合，类似于策略的模板，用户可以根据需求选择区域。

常见区域及相应策略规则(规则：哪些端口或服务可以通过防火墙，哪些不能通过)

区域	默认策略
trusted	允许所有数据包
home	拒绝流入的流量，除非与流出的流量相关，允许ssh,mdns,ippclient,amba-client,dhcpv6-client服务通过
internal	等同于home
work	拒绝流入的流量，除非与流出的流量相关，允许ssh,ipp-client,dhcpv6-client服务通过
public	拒绝流入的流量，除非与流出的流量相关，允许ssh,dhcpv6-client服务通过
external	拒绝流入的流量，除非与流出的流量相关，允许ssh服务通过
dmz	拒绝流入的流量，除非与流出的流量相关，允许ssh服务通过
block	拒绝流入的流量，除非与流出的流量相关，非法流量采取拒绝操作
drop	拒绝流入的流量，除非与流出的流量相关，非法流量采取丢弃操作

注：CentOS7中 firewalld防火墙默认的区域是 public

案例：在Linux系统中安装httpd服务（Web服务），占用计算机的80端口

yum install httpd -y
systemctl start httpd

安装启动完成后，在浏览器中，输入http://服务器的IP地址/即可访问httpd服务页面
IP地址获取：

ifconfig

访问：

以上操作只能使用Google浏览器、360浏览器或者Firefox火狐浏览器，一定不要使用IE

以上问题的原因在于：firewalld防火墙已经把httpd（80端口）屏蔽了，所以没有办法访问这台服务器的80端口（httpd服务）

临时解决办法：

systemctl stop firewalld

如上关闭防火墙后再次刷新，成功访问：

4.2 运行模式和永久模式

运行模式：此模式下，配置的防火墙策略立即生效，但是不写入配置文件

永久模式：此模式下，配置的防火墙策略写入配置文件，但是需要reload重新加载才能生效。

firewalld默认采用运行模式

5、防火墙设置

5.1 防火墙的启动、停止以及查看运行状态

查看运行状态

systemctl status firewalld

停止防火墙（学习环境任意操作，生产环境一定不要停止防火墙）

systemctl stop firewalld

记住：防火墙一旦停止，其设置的所有规则会全部失效！

启动防火墙

systemctl start firewalld

5.2 防火墙重启与重载操作

重启操作

systemctl restart firewalld

restart = stop + start，重启=>首先停止服务，然后再重新启动服务

重载操作

systemctl reload firewalld

若对防火墙的配置文件做了更改（永久模式），则需要使用reload进行重载让其立即生效。

注：reload并没有停止正在运行的防火墙服务，只是在服务的基础上变换了防火墙规则

5.3 把防火墙设置为开机启动与开机不启动

开机启动

systemctl enable firewalld

开机不启动

systemctl disable firewalld

6、firewalld防火墙规则

6.1 firewalld管理工具

基本语法：

firewall-cmd [选项1] [选项2] [...N]

6.2 查看防火墙默认的区域（zone）

firewall-cmd --get-default-zone

6.3 查看所有支持的区域（zones）

firewall-cmd --get-zones

区域的概念：其实不同的区域就是不同的规则

6.4 查看当前区域的规则设置

firewall-cmd --list-all

6.5 查看所有区域的规则设置

firewall-cmd --list-all-zones

6.6 添加允许通过的服务或端口（重点）

1）通过服务的名称添加规则

firewall-cmd --zone=public --add-service=服务的名称

注：服务必须存储在/usr/lib/firewalld/services目录中

案例：把http服务添加到防火墙的规则中，允许通过防火墙

firewall-cmd --zone=public --add-service=http

扩展：把http服务从防火墙规则中移除，不允许其通过防火墙

firewall-cmd --zone=public --remove-service=http
firewall-cmd --list-all

2）通过服务的端口号添加规则

firewall-cmd --zone=public --add-port=端口号/tcp

案例1：把80/tcp添加到防火墙规则中，允许通过防火墙

ss -naltp |grep httpd
# httpd :::80
# 允许80端口通过firewalld防火墙
firewall-cmd --zone=public --add-port=80/tcp

运行效果：

案例2：从firewalld防火墙中把80端口的规则移除掉

firewall-cmd --zone=public --remove-port=80/tcp

6.7 永久模式permanent

在Linux的新版防火墙firewalld中，其模式一共分为两大类：运行模式（临时模式）+ 永久模式。

运行模式：不会把规则保存到防火墙的配置文件中，设置完成后立即生效。

永久模式：会把规则写入到防火墙的配置文件中，但是其需要reload重载后才会立即生效。

# 根据服务名称添加规则（永久）
firewall-cmd --zone=public --add-service=服务名称 --permanent
firewall-cmd --reload

# 根据端口号添加规则（永久）
firewall-cmd --zone=public --add-port=服务占用的端口号 --permanent
firewall-cmd --reload

案例：把80端口添加到firewalld防火墙规则中，要求永久生效

firewall-cmd --zone=public --add-port=80/tcp --permanent
# reload重载令其生效
firewall-cmd --reload
# 查看当前区域的规则设置
firewall-cmd --list-all

二、Linux中的计划任务

1、什么是计划任务

作用：操作系统不可能24 小时都有人在操作，有些时候想在指定的时间点去执行任务（例如：每天凌晨 2 点去重新启动httpd=>阿帕奇），此时不可能真有人每天夜里 2 点去执行命令，这就可以交给计划任务程序去执行操作了。

计划任务，简单理解即：在指定的时间执行指定的操作！

2、Windows中计划任务

在底部任务栏的搜索框中搜索控制面板，打开控制面板=> 管理工具=>任务计划程序

案例：在Windows中创建一个计划任务

第一步：创建基本任务

第二步：设置计划任务名称

第三步：创建任务触发器（什么时间触发这个任务）

第四步：设置具体的时间

第五步：可以做的工作

第六步：设置要启动的程序

3、Linux中的计划任务

基本语法：

crontab [选项]
-l ：list，显示目前已经设置的计划任务
-e ：使用vim编辑器编辑计划任务的文件

案例1：显示当前账号下的计划任务

crontab -l
# no crontab for root => root账号下没有创建计划任务

案例2：编写计划任务

crontab -e

4、计划任务的编辑

crontab -e进入计划任务编辑文件

打开计划任务编辑文件后，可以在此文件中编写我们自定义的计划任务：

计划任务的规则语法格式，以行为单位，一行则为一个计划

问题：如何查询一个命令的真实路径在哪个位置？

可以使用which或whereis查看，推荐用which更简洁

分  时  日  月  周  要执行的命令（要求必须使用命令的完整路径，可以使用which查看）

取值范围（常识）：
分：0~59
时：0~23
日：1~31
月：1~12
周：0~7，0 和 7 表示星期天

四个符号：
*：表示取值范围中的每一个数字
-：做连续区间表达式的，要想表示1~7，则可以写成：1-7
/：表示每多少个，例如：想每 10 分钟一次，则可以在分的位置写：*/10
,：表示多个取值，比如想在 1 点，2 点 6 点执行，则可以在时的位置写：1,2,6

5、几个小案例

问题1：每月1、10、22 日的4:45 重启network 服务

第一步：定制格式
分  时  日      月   周 /usr/bin/systemctl restart network
第二步：定制时间
45  4  1,10,22  *   *  /usr/bin/systemctl restart network

问题2：每周六、周日的1:10 重启network 服务

第一步：定制格式
分 时 日 月 周 /usr/bin/systemctl restart network
第二步：定制时间
10 1  * *  6,7 /usr/bin/systemctl restart network

问题3：每天18:00 至23:00 之间每隔30 分钟重启network 服务

第一步：定制格式
分 时 日 月 周 /usr/bin/systemctl restart network
第二步：定制时间
*/30 18-23 * * * /usr/bin/systemctl restart network

问题4：每隔两天的上午8 点到11 点的第3 和第15 分钟执行一次重启

第一步：定制格式
分 时 日 月 周 /usr/sbin/reboot
第二步：定制时间
3,15  8-11 */2 * * /usr/sbin/reboot

案例：每1 分钟往 root 家目录中的 readme.txt 中输一个1，为了看到效果使用追加输出【输出使用echo 命令，语法：echo 输出的内容】

crontab -e
* * * * * /usr/bin/echo 1 >> /root/readme.txt

1）输入小写字母 i 进入插入模式。

2）写入后按两次esc，回到命令模式，然后输入 :wq保存并退出。

提示：为了看到计划任务的效果，你可以单独开一个选项卡，使用tail -f /root/readme.txt动态查看文件内容的输出信息。

注：计划任务常见的一个操作：定时备份（定时把数据库中的数据导出到某个文件中）

6、计划任务权限

6.1 黑名单

crontab是任何用户都可以创建的计划任务，但是超级管理员可以通过配置来设置某些用户不允许设置计划任务 。

问题：如果我们想限定某个用户（如zhengyquan）使用计划任务，如何处理呢？

答：可以使用计划任务的黑名单，黑名单文件路径 => /etc/cron.deny文件

案例：把普通账号zhengyquan加入到cron.deny黑名单中，禁止其创建计划任务

第一步：切换到超级管理员root

su - root

第二步：使用vim打开/etc/cron.deny文件

vim /etc/cron.deny

第三步：把需要禁止的用户名单，加入此文件（如zhengyquan）

zhengyquan

使用 vim编辑器打开后，输入小写字母 i 进入插入模式插入，然后按两次esc，回到命令模式，最后输入 :wq保存并退出。

切换到zhengyquan账号，测试是否可以使用crontab命令

6.2 白名单

在Linux的计划任务中，除了拥有黑名单以外，还有白名单。

作用：允许哪些用户使用计划任务。

白名单文件的路径 => /etc/cron.allow，但是要特别注意，此文件需要手工创建。

注：白名单优先级高于黑名单，如果一个用户同时存在两个名单文件中，则会被默认允许创建计划任务。

7、查看计划任务的保存文件

问题：计划任务文件具体保存在哪里呢？

答：/var/spool/cron/用户名称，如果使用root用户编辑计划任务，则用户文件名为root

ll /var/spool/cron

8、计划任务的日志程序

问题：在实际应用中，我们如何查看定时任务运行情况？

答：通过计划任务日志，日志文件位于/var/log/cron

案例：演示计划任务的日志程序

第一步：使用root账号创建一个计划任务

su - root
crontab -e
* * * * * echo 1 >> ~/readme.txt

第二步：使用tail -f命令监控/var/log/cron日志程序

tail -f /var/log/cron

9、扩展内容：at命令

在Linux系统下，有两个命令可以实现计划任务：crontab与at（第三方需要额外安装）

crontab ：每天定时执行计划任务（最小单元分钟）

at ：一次性定时执行任务

9.1 安装at命令

CentOS7自带，其他版本可能需要手工安装

yum install at -y

9.2 启动底层服务

systemctl start atd
systemctl enable atd
查看状态信息：
systemctl status atd

atd = at + d = at命令 + daemon缩写

9.3 几个案例

案例1：三天后下午5点执行/bin/ls，输出信息到指定文件中（/root/readme.txt）。

at 5pm+3 days
/bin/ls > /root/readme.txt
按Ctrl+D（退出）

am = 上午、pm = 下午、3 days = 3天

案例2：明天17点，输出时间（date命令）到指定的文件中（/root/readme.txt）。

at 17:00 tomorrow
date > /root/readme.txt
按Ctrl+D（退出）

tomorrow = 明天

案例3：使用atq查看没有执行的计划任务

atq

atq = at + q = at命令 + query查询

案例4：删除指定的计划任务

atq
atrm 任务号

atrm = at + rm = at命令 + remove移除