第8章 国产操作系统网络与安全管理

第八章国产操作系统网络与安全管理【本章导读】本章主要介绍国产操作系统——统信UOS系统网络与安全管理方面的知识。首先介绍网络协议TCP/IP协议的各类网络参数；然后详细介绍在国产操作系统下网络参数的设置方式，其中包括命令行（CLI）方式和图形界面（GUI）配置方式；最后介绍在国产操作系统下的两种远程管理方式和系统安全管理的配置。本章要点TCP/IP协议及网络参数概述国产操作系统网络参数设置与调试国产操作系统远程桌面管理国产操作系统安全设置学习目标知识目标学习目标技能目标1、认识TCP/IP协议及网络参数2、掌握国产操作系统网络参数设置与调试3、掌握国产操作系统远程桌面管理4、掌握国产操作系统安全管理学习目标素质目标1、通过介绍国产操作系统上的各类网络参数和调试命令，能够学会在国产系统上调试网络，处理简单的系统网络类故障。2、通过国产系统远程管理知识的学习，能够在虚拟机环境通过远程管理方式实现高效和便捷的运维。3、通过对国产操作系统安全管理的教学，能够进行系统安全设置，设置防火墙策略实现高颗粒度的访问控制以满足信息安全要求。目录TCP/IP协议网络参数概述01网络参数设置与调试02远程桌面管理03国产操作系统安全管理04小结05综合实训06第一节TCP/IP协议网络参数概述第一节TCP/IP协议网络参数概述案例导读：空间站机械臂转位货运飞船试验取得圆满成功据中国载人航天工程办公室消息，北京时间2022年1月6日6时59分，经过约47分钟的跨系统密切协同，空间站机械臂转位货运飞船试验取得圆满成功，这是我国首次利用空间站机械臂操作大型在轨飞行器进行转位试验。1月6日凌晨，机械臂成功捕获天舟二号货运飞船，6时12分转体试验开始，天舟二号货运飞船与天和核心舱解锁分离后，在机械臂拖动下，以核心舱节点舱球心为圆心进行平面转位；尔后，反向操作，直至货运飞船与核心舱重新对接并完成锁紧。此次试验，初步检验了利用机械臂操作空间站舱段转位的可行性和有效性，验证了空间站舱段转位技术和机械臂大负载操控技术，为后续空间站在轨组装建造积累了经验。第一节TCP/IP协议网络参数概述案例分析航天工作的开展离不开通信指令的传送。当传递的信息量过大时，需要对信息进行分组传递，每个分组中都有验证的数据。但是按照这套系统进行信息传递时，并不能确保准确无误。借助参数，可以提高信息传递的准确性。专业知识TCP/IP协议，全称TransmissionControlProtocol/InternetProtocol，译为传输控制协议/网际协议，也叫作网络通讯协议，是Internet中最基本的协议。TCP/IP定义了电子设备（比如计算机）如何连入因特网，以及数据如何在它们之间传输的标准。第一节TCP/IP协议网络参数概述1.1TCP/IP协议简介TCP/IP传输协议是严格来说是一个四层的体系结构，包括应用层、传输层、网络层和数据链路层。（1）应用层应用层决定了向用户提供应用服务时通信的活动。TCP/IP协议族内预存了各类通用的应用服务。比如，FTP（FileTransferProtocol，文件传输协议）、DNS（DomainNameSystem，域名系统）服务，HTTP协议、Telnet协议等。（2）传输层传输层对上层应用层，提供处于网络连接中的两台计算机之间的数据传输。在传输层有两个性质不同的协议：TCP（TransmissionControlProtocol，传输控制协议）和UDP（UserDataProtocol，用户数据报协议）。第一节TCP/IP协议网络参数概述1.1TCP/IP协议简介（3）网络层网络层用来处理在网络上流动的数据包。数据包是网络传输的最小数据单位。该层规定了通过怎样的路径（所谓的传输路线）到达对方计算机，并把数据包传送给对方。与对方计算机之间通过多台计算机或网络设备进行传输时，网络层所起的作用就是在众多的选项内选择一条传输路线。该层包括IP、ARP、CMP、RARP等。（4）数据链路层用来处理连接网络的硬件部分。包括控制操作系统、硬件的设备驱动、NIC（NetworkInterfaceCard，网络适配器，即网卡），及光纤等物理可见部分（还包括连接器等一切传输媒介）。硬件上的范畴均在链路层的作用范围之内。该层包括CSMA/CD协议、TokingRing协议等。第一节TCP/IP协议网络参数概述1.2TCP/IP协议主要网络参数（1）主机名主机名就是计算机的名字（计算机名），这个名字可以随时更改。在同一个局域网中，用不同的主机名比IP地址更好区分不同的计算机。（2）IP地址IP地址是IP协议提供的一种统一的地址格式，它为互联网上的每一个网络和每一台主机分配一个逻辑地址，以此来屏蔽物理地址的差异。大家日常见到的情况是每台联网的PC上都需要有IP地址，才能正常通信。第一节TCP/IP协议网络参数概述1.2TCP/IP协议主要网络参数（3）子网掩码子网掩码(subnetmask)又叫网络掩码、地址掩码、子网络遮罩，它用来指明一个IP地址的哪些位标识的是主机所在的子网，以及哪些位标识的是主机的位掩码。子网掩码不能单独存在，它必须结合IP地址一起使用。子网掩码只有一个作用，就是将某个IP地址划分成网络地址和主机地址两部分。子网掩码的设定必须遵循一定的规则。与二进制IP地址相同，子网掩码由1和0组成，且1和0分别连续。子网掩码的长度也是32位，左边是网络位，用二进制数字“1”表示，1的数目等于网络位的长度；右边是主机位，用二进制数字“0”表示，0的数目等于主机位的长度。第一节TCP/IP协议网络参数概述1.2TCP/IP协议主要网络参数常用网络A、B、C类IP地址其默认子网掩码的二进制与十进制对应关系，如表：第一节TCP/IP协议网络参数概述1.2TCP/IP协议主要网络参数（4）网关网关(Gateway)又称网间连接器、协议转换器。用于两个高层协议不同的网络互连，既可以用于广域网互联，也可以用于局域网互联。按照不同的分类标准，网关也有很多种。TCP/IP协议里的网关是最常用的，在这里我们所讲的“网关”均指TCP/IP协议下的网关。网关实质上是一个网络通向其他网络的IP地址。不同网段的网络要实现通信，必须通过网关，网关的IP地址是具有路由功能的设备的IP地址，具有路由功能的设备有路由器、启用了路由协议的服务器（实质上相当于一台路由器）、代理服务器（也相当于一台路由器）。第一节TCP/IP协议网络参数概述1.2TCP/IP协议主要网络参数（5）DNS服务器DNS（DomainNameServer，域名服务器）是进行域名(domainname)和与之相对应的IP地址(IPaddress)转换的服务器。将域名映射为IP地址的过程叫做解析。一个域名解析到某一台服务器上，并且把网页文件放到这台服务器上，用户的电脑才知道去哪一台服务器获取这个域名的网页信息。这是通过域名服务器来实现的。常用的域名服务器有14（114DNS）、（CNNICSDNS）等。第一节TCP/IP协议网络参数概述1.2TCP/IP协议主要网络参数（6）域名域名(DomainName)又称网域，是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称，用于在数据传输时对计算机的定位标识。由于IP地址具有不方便记忆并且不能显示地址组织的名称和性质等缺点，人们设计出了域名，并通过网域名称系统（DNS，DomainNameSystem）来将域名和IP地址相互映射。第一节TCP/IP协议网络参数概述1.2TCP/IP协议主要网络参数（7）MAC地址MAC地址（MediaAccessControlAddress），直译为媒体存取控制位址，也称为局域网地址（LANAddress），MAC位址，以太网地址（EthernetAddress）或物理地址（PhysicalAddress），它是一个用来确认网络设备位置的位址。MAC地址是48位的，通常表示为12个16进制数，每2个16进制数之间用冒号隔开。由于MAC地址是网络设备制造商生产时烧录在网卡上，只要不更改自己的MAC地址，MAC地址在世界是唯一的。形象地说，MAC地址就如同身份证上的身份证号码，具有唯一性。第二节网络参数设置与调试第二节网络参数设置与调试案例导读：挽弓当挽强，用箭当用长。射人先射马，擒贼先擒王。杀人亦有限，列国自有疆。苟能制侵陵，岂在多杀伤！《前出塞·其六》第二节网络参数设置与调试案例分析在两军对战中，如果把敌人的主帅擒获或者击毙，其余的兵马则不战自败。比喻在解决事情上抓住关键，解决主要矛盾，其他的细节便可以迎刃而解。网络参数就是网络中的关键的地方，就比如我们在写信时所有的内容无论好坏都写到信纸上，但是寄信的地址是在信封上，网络地址就像我们邮寄时的地址一样，不管信的内容是什么，只有通过信封上的地址这一关键因素才能准确寄给对方。第二节网络参数设置与调试专业知识ping”PacketInternetGroper”(缩写：因特网包探索器)，是TCP/IP协议网络层通信协议ICMP”InternetControlMessageProtocol”(缩写：因特网消息控制协议)协议的一员，主要用于检查网络是否连通。ping向特定的目的主机发送一个ICMP请求，然后再根据目的主机的ICMP返回信息来确认与目标主机的网络是否畅通，并且通过接受答复等待的时间来判断网络速度。如果传输过程存在错误，ping命令还会回显错误信息，协助管理员定位网络问题。第二节网络参数设置与调试2.1网络调试命令1.ping命令ping命令的使用语法：ping-(参数)IP地址ping命令常见参数如下：-c:设置发起ping测试的次数。-R：记录路由过程。-s：设置数据包的大小。-t：设置存活数值TTL的大小。实例：例如ping用于测试主机到目的地址为的网络线路是否连通。第二节网络参数设置与调试2.1网络调试命令从图8-1可以看出，通过ping命令可以检测测试主机到目的主机是否建立连接，其中time=表示目的主机响应时间，通过时间长短可以判定网络速度，速度越小，网络越快。如果要停止ping命令，可以按CTRL+C快捷键组合停止ping。第二节网络参数设置与调试2.1网络调试命令ping命令除了可以pingIP地址外，还可以ping域名和网址测试网站的连通性，例如ping搜狐域名和百度网址，如图。第二节网络参数设置与调试2.1网络调试命令如果要指定ping的次数，可以通过-c参数来实现。第二节网络参数设置与调试2.1网络调试命令2.traceroute命令traceroute命令是路由追踪命令，其功能有点类似ping-R，可以记录从测试主机到目标主机所途径的所有路由器。国产操作系统需要手动安装traceroute工具，需通过命令进行安装，安装命令：sudoaptinstalltraceroute-y。traceroute命令语法：traceroute-（参数）目标主机名常见参数：-d：指定不对计算机名解析地址-h：指定查找目标的跳转最大数目第二节网络参数设置与调试2.1网络调试命令实例：测试主机通过traceroute记录到目的主机搜狐的网络路径。如下图。第二节网络参数设置与调试2.1网络调试命令3.nslookup命令nslookup命令是主机连接DNS服务器，查询指定域名信息的命令。nslookup语法如下：nslookup域名实例：查询搜狐的域名信息（右图）第二节网络参数设置与调试2.1网络调试命令4.telnet命令telnet命令其中一个功能可以作为tcp端口的测试工具，有时候用ping命令测试网络连通后，但是我们的应用服务依旧无法访问，这时候可以考虑用telnet命令去测试承载该应用服务的端口号是否连通。telnet工具安装命令：sudoaptinstalltelnet-ytelnet语法如下：telnet目的主机端口号第二节网络参数设置与调试2.1网络调试命令实例：测试搜狐网的80端口号第二节网络参数设置与调试2.1网络调试命令5.arp命令arp命令用于显示和修改”地址解析协议”（arp）缓存中的项目。arp缓存通常以表的形式存在，用于存储IP地址和mac地址的对应关系。arp命令语法如下：arp-（参数）常用参数：-a：显示所有接口的arp缓存表-s：向arp缓存表添加可以将IP地址解析为mac地址的静态项-d：删除指定的IP地址项第二节网络参数设置与调试2.1网络调试命令实例：手动添加IP地址00的arp静态项第二节网络参数设置与调试2.1网络调试命令6.ifconfig命令ifconfig命令可用于查看或者配置国产操作系统的网络配置,可以设置网卡相关参数,启动或者停用网络接口。ifconfig命令语法如下：ifconfig-(参数)常用参数：Add：设置网络设备的IP地址Del：删除网络设备的IP地址down：停用指定的网络设备up：启动指定的网络设备mtu：设置网络设备的最大传输单元值其中，网络设备可以理解为各类网卡，包括有线网卡和无线网卡等。第二节网络参数设置与调试2.1网络调试命令实例：使用ifconfig命令查看网络设备的信息，如下图所示：第二节网络参数设置与调试2.1网络调试命令实例：使用ifconfig命令配置IP地址，如下图第二节网络参数设置与调试2.1网络调试命令7.netstat命令netstat可以用于查看国产系统中自身IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检验本机各端口的网络连接情况，它还可以显示系统路由表及网络接口等信息，因此netstat是一个综合性的网络状态查看工具。netstat命令语法如下：netstat-(参数)参数：-a：显示所有当前连接-at：显示所有当前TCP连接-au：显示所有当前UDP连接-nr：列出路由表-l：显示监控中的服务器socket第二节网络参数设置与调试2.1网络调试命令实例：使用netstat-at命令显示系统当前TCP连接第二节网络参数设置与调试2.1网络调试命令实例：使用netstat-l命令显示监控中的服务器socket状况第二节网络参数设置与调试2.1网络调试命令实例：使用组合命令netstat-pantu命令列出所有的正在连接的网络信息。第二节网络参数设置与调试2.2配置TCP/IP协议的网络参数1.使用命令方式配置网络参数国产系统支持多种网络参数配置方式，本文介绍通过命令行的方式进行网络参数配置，其中主要使用的命令有（ipaddress、iplink、route、hostnamectl）等。（1）查看网络设备配置国产操作系统使用命令查看网络设备，我们可以使用ipaddress命令，ipaddress命令功能与ifconfig基本雷同。ipaddress命令语法如下：ipaddress查看主机所有网络设备的配置信息ipaddressshow网络设备名查看指定网络设备配置信息第二节网络参数设置与调试2.2配置TCP/IP协议的网络参数实例：使用ipaddressshow命令查看网络设备信息，如下图第二节网络参数设置与调试2.2配置TCP/IP协议的网络参数（2）配置网络设备IP地址和掩码（临时生效）在国产系统中，我们常用ipaddressadd/del来修改网络设备的IP和掩码，命令语法如下：ipaddressaddxxxxdev网络设备新增IP地址ipaddressdelxxxxdev网络设备删除IP地址实例：使用ipadress命令新增指定网络设备的IP和掩码第二节网络参数设置与调试2.2配置TCP/IP协议的网络参数（3）禁用启用网络设备国产系统要禁用或启用网络设备，可以通过iplink命令来实现，具体使用语法如下：iplinkset网络设备up/down实例：禁用ens3网卡sudoiplinksetens3down实例：启用ens3网卡sudoiplinksetens3up第二节网络参数设置与调试2.2配置TCP/IP协议的网络参数（4）主机名设置国产系统需要设置主机名可以使用hostname和hostnamectl命令实现，其中hostname命令设置后，主机重启即失效，所以我们推荐直接使用hostnamectl命令来进行设置可以永久生效，具体语法如下：hostnamectlset-hostnamexxxx第二节网络参数设置与调试2.2配置TCP/IP协议的网络参数（5）路由设置（临时生效）如果要和其他局域网甚至外网进行通信，就必须设置路由来实现。有了路由，就可以通过导航的指引与目的主机进行通信。国产操作系统设置路由可以使用route命令临时设置路由。route命令语法如下：routeadd：增加路由routedel：删除路由routeadd-net：设置到目的网段的路由routeadd-host：设置到目的主机的路由routeadd-hostxxxxgw：设置到目的主机路由的网关地址routeadd-hostxxxxdev：设置到目的主机的本机出接口第二节网络参数设置与调试2.2配置TCP/IP协议的网络参数实例：设置到主机的路由第二节网络参数设置与调试2.2配置TCP/IP协议的网络参数实例：添加去往目的网段/24网段的路由第二节网络参数设置与调试2.2配置TCP/IP协议的网络参数实例：删除指定人工添加的路由第二节网络参数设置与调试2.2配置TCP/IP协议的网络参数2.使用NetworkManager配置网络参数（1）NetworkManager简介NetwrokManager是目前国产操作系统提供的网络连接管理服务的一套软件，NetworkManager支持两种网络管理命令工具，分别是nmcli和nmtui。管理员可以使用它来查询和管理网络状态和配置。NetworkManager的配置文件保存在/etc/sysconfig/NetworkManager目录下。需要注意，通过NetworkManager方式配置的网络参数，可以永久保存，重启主机依然生效。第二节网络参数设置与调试2.2配置TCP/IP协议的网络参数（2）nmcli命令nmcli具体操作步骤较为复杂，我们可以直接通过nmclihelp来查看nmcli的语法。第二节网络参数设置与调试2.2配置TCP/IP协议的网络参数实例：通过nmclidevice查看所有网络设备。第二节网络参数设置与调试2.2配置TCP/IP协议的网络参数实例：通过nmcliconnectionshow查看指定的网络链接配置第二节网络参数设置与调试2.2配置TCP/IP协议的网络参数（3）nmtui命令nmtui命令相对nmcli来说提供了一个GUI的界面，能够实现nmcli同样的功能，而且对于管理员来说更加友好，更受管理员的喜爱。只要在国产操作系统的终端中运行sudonmtui，回车后即可进入配置界面，配置界面如右图。第二节网络参数设置与调试2.2配置TCP/IP协议的网络参数（3）nmtui命令nmtui主要功能很直观得分为三块：编辑连接、启用连接和设置系统主机名。第二节网络参数设置与调试2.2配置TCP/IP协议的网络参数（3）nmtui命令编辑连接功能在这个功能模块里面，我们可以修改指定连接的网络参数，包括IP地址、子网掩码、网关、路由、dns服务器等等。下一步编辑指定连接如右图。第二节网络参数设置与调试2.2配置TCP/IP协议的网络参数编辑具体的连接“有线连接”，通过键盘方向键切换到编辑，回车即可切换到“有线连接”的参数设置界面，如下图。第二节网络参数设置与调试2.2配置TCP/IP协议的网络参数从上图我们可以看到，我们在这个界面就可以完成需要的网络参数设置，例如：IPV4地址，掩码，网关，DNS服务器，路由等。选项之间，可以通过[tab]键进行切换，根据光标位置输入具体配置内容。配置完成后，将光标移动到最下方的<确定>上回车，如下图。需要注意，<确定>后，设置并没有生效，重新启用该连接才行，具体操作见第（2）部分-启用连接。第二节网络参数设置与调试2.2配置TCP/IP协议的网络参数启用连接功能光标切换到“启用连接”并回车，进入下一步，将光标移动到<停用>，敲击回车，再次敲击回车，即<启用>，说明刚刚我们完成了一次对“有线连接”的重新启用，如此，前面的对“有线连接”网络参数的修改方能生效。第二节网络参数设置与调试2.2配置TCP/IP协议的网络参数设置主机名功能此功能同前文介绍的hostnamectl功能一样，修改主机名后能永久生效，具体操作如下图。第二节网络参数设置与调试2.3

使用配置文件修改网络参数在国产操作系统中，还提供了一种通过修改配置文件的方式修改网络参数。因此我们首先需要了解我们的配置文件，本文介绍了以下几个配置文件（/etc/resolv.conf、/etc/hostname、/etc/NetworkManager、/etc/service、/etc/hosts等）第二节网络参数设置与调试2.3

使用配置文件修改网络参数（1）/etc/resolv.conf/etc/resolv.conf是主机DNS服务器的配置文件，用于指定DNS服务器来将域名解析为IP地址。参数含义：nameserverDNS服务器IP地址：指定主机DNS服务器地址第二节网络参数设置与调试2.3

使用配置文件修改网络参数（2）/etc/hosts/etc/hosts文件是国产操作系统上一个负责ip地址与域名快速解析的文件。它的优先级高于DNS服务器查询，可以这么理解，这是域名和IP地址的本地数据解析库，需要人工设置，而DNS服务器上存放着域名和IP地址的外部数据解析库，DNS服务器存放着全网的域名和IP地址解析库，而hosts文件只有手动添加的部分，因此当主机需要解析一个域名的时候，优先查询/etc/hosts文件，如查询不到，才会去请求DNS服务器来解析。参数如下：IP地址域名第二节网络参数设置与调试2.3

使用配置文件修改网络参数（2）/etc/hosts配置文件如下图：第二节网络参数设置与调试2.3

使用配置文件修改网络参数（3）/etc/hostname/etc/hostname文件是国产操作系统主机名的配置文件，修改主机名时，只需要编辑hostname文件，在文件中输入新的主机名并保存该文件即可。第二节网络参数设置与调试2.3

使用配置文件修改网络参数（4）/etc/NetworkManager/etc/NetwokManager目录就是前面章节使用NetworkManager方式配置的配置文件，除了使用nmcli和nmtui进行配置以外，也可以直接修改对应配置文件内容，然后保存后重启NetworkManager服务生效。进入/etc/NetworkManager/system-connections目录下，即可看到所有的网络连接对应的配置。查看网络连接配置第二节网络参数设置与调试2.3

使用配置文件修改网络参数（4）/etc/NetworkManager有线连接的配置文件即“有线连接.nmconnection”,我们可以对该文件进行修改,保存重启NetworkManager服务后即可生效。重启NetworkManager服务第二节网络参数设置与调试2.3

使用配置文件修改网络参数（5）/etc/services/etc/services文件列出来国产操作系统中所有可用的网络服务，所使用的端口号以及通信协议等等。两个网络服务不能使用同一个端口号进行通信，否则会造成冲突。而且，用户无法修改此文件，一般用于查看系统当前提供的网络服务。查看网络服务第二节网络参数设置与调试2.4

使用桌面控制中心配置网络参数作为一个国产操作系统，设计的理念之一就是提供符合国人习惯的桌面UI，统信UOS操作系统核心DDE（deepinDesktopDevelopment）桌面环境提供了控制中心程序，用于提供用户对系统进行自定义设置。网络参数也可以非常方便的在控制中心进行设置和查看。第二节网络参数设置与调试2.4

使用桌面控制中心配置网络参数（1）控制中心网络入口/etc/services文件列出来国产操作系统中所有可用的网络服务，所使用的端口号以及通信协议等等。两个网络服务不能使用同一个端口号进行通信，否则会造成冲突。而且，用户无法修改此文件，一般用于查看系统当前提供的网络服务。第二节网络参数设置与调试2.4

使用桌面控制中心配置网络参数（2）网络详情查看控制中心进入网络设置模块后，在二级菜单选择“网络详情”，即可看到所有网络连接的参数信息。第二节网络参数设置与调试2.4

使用桌面控制中心配置网络参数（3）网络参数设置网络设置二级菜单，选择“有线连接”，即可对有线连接参数进行设置，可以新建一个连接，也可以删除和修改已知的连接。值得注意的是每个网络设备同一时间只能启用一个网络连接。第二节网络参数设置与调试2.4

使用桌面控制中心配置网络参数新建网络连接第二节网络参数设置与调试2.4

使用桌面控制中心配置网络参数新建网络连接第二节网络参数设置与调试2.4

使用桌面控制中心配置网络参数删除网络连接第二节网络参数设置与调试2.4

使用桌面控制中心配置网络参数修改网络连接第二节网络参数设置与调试2.5总结第三节远程桌面管理第三节远程桌面管理案例导读：感动中国人物马旭——涓滴见沧海2021年，武汉一位退休老人向家乡木兰县教育局捐赠1000万元，引起了广泛的关注。这笔巨款是马旭与丈夫一分一毫几十年积累而来。他们至今生活简朴，住在一个不起眼的小院里。网友纷纷向两位老人致敬、点赞。颁奖辞：少小离家乡音无改，曾经勇冠巾帼如今再让世人惊叹。以点滴积蓄汇成大河灌溉一世的乡愁，你毕生节俭只为一次奢侈，耐得清贫守得心灵的高贵。第三节远程桌面管理案例分析我们生活在这个社会中一定会受到别人的帮助，也帮助过别人，但是当我们距离比较远时，即使我们想帮助别人，也是鞭长莫及，但计算机的世界是不同的，只要我们能进行网络通信，我们就可以通过网络像登录我们自己的计算机一样登录到别人的计算机，来解决那些远程的需要帮助的对象。第三节远程桌面管理专业知识当某台计算机开启了远程桌面连接功能后，就可以在网络的另一端控制这台计算机了，通过远程桌面功能可以实时操作这台计算机。在这台计算机上安装软件，运行程序，所有的一切都好像是直接在该计算机上操作一样，这就是远程桌面的最大功能。通过该功能网络管理员可以在家中安全的控制单位的服务器，而且由于该功能是系统内置的所以比其他第三方远程控制工具使用更方便更灵活。第三节远程桌面管理3.2openssh服务器SSH是一种允许两台计算机之间通过安全的连接进行数据交换的网络安全数据传输软件。OpenSSH则是SSH的开源实现，在统信UOS家庭版中采用了OpenSSH，分为服务端和客户端。第三节远程桌面管理3.2openssh服务器（1）OpenSSH的安装第三节远程桌面管理3.2openssh服务器（2）OpenSSH的状态、启动、关闭及重启OpenSSH的服务名为ssh，使用格式如下：servicesshstatus/start/stop/restart【SSH的查询及启动】第三节远程桌面管理3.2openssh服务器（2）OpenSSH的状态、启动、关闭及重启【ssh的重启】第三节远程桌面管理3.2openssh服务器（3）OpenSSH的配置文件/etc/ssh/sshd_config配置文件中提供了对OpenSSH服务器运行参数的修改和设置。修改配置文件的格式为：vim/etc/ssh/sshd_config（注：ssh配置文件属于系统文件，需要调用root权限）第三节远程桌面管理3.2openssh服务器（4）登录OpenSSH服务器LINUX系统直接使用ssh命令登录OpenSSH，Windows系统则需要第三方软件，例如PuTTY或者SecureCRT。ssh命令：ssh[选项]IP地址【例】：linux系统登录IP地址为31的计算机第三节远程桌面管理3.2openssh服务器首次连接需要确认是否继续连接，输入yes后，按回车键，然后再password后输入远程计算机的登录密码，按回车键，即可登录成功。第三节远程桌面管理3.2openssh服务器第二次登录，只需要输入密码即可。【例】：Windows使用PuTTY远程登录的计算机。具体操作步骤如下：打开PuTTY，在HostName中输入目标计算机的IP地址，如右图。第三节远程桌面管理3.2openssh服务器②点击Open按钮，弹窗提示登录账户名，输入账户名后回车，提示输入密码，在password后输入登录密码回车，即可进入远程桌面的Shell环境。第四节国产操作系统安全管理第四节国产操作系统安全管理案例导读：感动中国人物王继才和王仕花——守岛卫国32的夫妇江苏灌云县开山岛位于我国黄海前哨，面积仅有两个足球场大小。1986年，26岁的王继才接受了守岛任务，从此与妻子王仕花以海岛为家，与孤独相伴，在没水没电、植物都难以存活的孤岛上默默坚守，把青春年华全部献给了祖国的海防事业。颁奖辞：

浪的执著、礁的顽强、民的本分、兵的责任。岛再小也是国土，家未立也要国先安。三十二年驻守，三代人无言付出两百面旗帜收藏了太多风雨。涛拍孤岛岸、风颂赤子心!第四节国产操作系统安全管理案例分析国家安全离不开共和国的守卫者，操作系统同样需要守卫者，随着网络的发展，各种病毒传播开来。不法分子为了获取信息主动给各种资源附上有能利用漏洞的代码，进而在各种系统上获取资源。各种不同的操作系统都会有应对病毒的方法。第四节国产操作系统安全管理专业知识随着国家信息技术应用创新的推广，国产操作系统作为核心基础软件也不断得到普及。国家如此看重国产操作系统的发展，其中很大的一个原因也是国产操作系统的相对的安全性。因此，本章会通过几个方面简要的介绍国产操作系统的安全设置，帮助大家创建一个更安全的操作系统环境。第四节国产操作系统安全管理4.1

UOS账户安全1.口令复杂度策略如果需要控制整个系统，需要管理员账户密码。因此对于密码口令需要设置强口令，强口令具有不易被暴力破解的特性，因此需要设置一个复杂的口令密码。uos系统提供图形化的口令复杂度策略设置，打开系统自带安全中心即可进行相关设置。第四节国产操作系统安全管理4.1

UOS账户安全2.密码有效天数策略除了设置成强口令之外，密码也用定时修改，设置密码有效天数策略系统会定时要求管理员对密码进行修改，对系统账户安全提供更进一步保护。打开控制中心，在“账户”设置页，设置“密码有效天数”即可。第四节社交应用4.2

UOS登录安全1.登录失败账户锁定策略当系统用户连续认证失败后，建议配置账户锁定策略，可以有效防止密码暴力破解。设置方法如下：更改//var/lib/deepin/authenticate/config.json配置文件，修改内容type=password的部分。第四节社交应用4.3

UOS网络安全设置1.防火墙设置（1）防火墙介绍防火墙（FireWall）指的是一个在不同安全域之间做访问控制的软件，它建立在内部网络和外部网络之间，能对所有经过它的流量进行访问控制过滤，保护内部网络的安全。防火墙又分为边界防火墙、主机防火墙。本文为介绍国产操作系统的主机防火墙，主要对操作系统和外部网络之间的流量进行安全防护。防火墙工作原理：数据包在出入系统之前，会通过在内核空间里面设置的转发关卡，即所谓的防火墙。防火墙由一系列的访问控制策略组成，每条策略分别由五元组组成，即源地址，目的地址，源端口，目的端口以及协议号，只有通过了所有策略的检测过滤允许后，才能通过防火墙实现通信。反之，数据报文会被直接丢弃。防火墙的策略分为通策略和堵策略。通策略需要定义谁能进，未定义的则默认被丢弃；堵策略需要定义谁不能进，未定义的则默认允许进入。我们可以根据需求，选择任意一种策略方式，形成策略表，防火墙默认对出的流量不做控制。第四节社交应用4.3

UOS网络安全设置（2）防火墙安装安装命令：sudoaptinstallufw-y，如下图所示：第四节社交应用4.3

UOS网络安全设置（3）防火墙启用①sudoufwenable②sudoufwdefaultdeny运行上述两条命令，开启了防火墙，并且系统启动防火墙也能自启动。这里我们采用通策略，默认禁用外部对系统的访问，本机对外部的访问则不影响。第四节社交应用4.3

UOS网络安全设置（4）防火墙策略设置①允许外部访问本机80端口号sudoufwallow80②禁止外部访问本机tcp协议的22端口号sudoufwdeny22/tcp③允许外部的xx地址访问本机sudoufwallowfrom④禁止外部的网段访问本机sudoufwdenyfrom/24第四节社交应用4.3

UOS网络安全设置实例：通过五元组设置防火墙策略作高颗粒度访问控制规则sudoufwallowprototcpfrom6port2000toport80策略分别设置了源IP地址，源端口，目的IP地址，目的端口，以及协议。其中allow表示满足此策略要求的数据包允许与系统通信，prototcp表示协议为tcp协议。from6表示源地址为6。port2000表示源端口为2000。to表示目的地址为。port80表示目的端口为80端口。第四节社交应用4.3

UOS网络安全设置实例：删除上述防火墙策略,命令如下:sudoufwdeleteallowprototcpfrom6port2000toport80第四节社交应用4.3

UOS网络安全设置（5）查看防火墙状态命令如下：sudoufwstatus第四节社交应用4.3

UOS网络安全设置2.UOS安全中心UOS安全中心是系统预装的安全辅助软件，主要包括系统体检、病毒查杀、防火墙、自启动管理、系统安全等功能。（1）首页体检打开安全中心，选择左侧导航栏的“首页”。在首页可以单击“立即体检”，进行系统体检。体检完后，可以对每个问题项单独操作，比如帐户密码安全等级较低、未设置锁屏时间等，单击“前往设置”，可重新设置。第四节社交应用4.3

UOS网络安全设置第四节社交应用4.3

UOS网络安全设置（2）病毒查杀安全中心支持三种病毒扫描方式，分别为全盘扫描、快速扫描和自定义扫描。打开安全中心，选择左侧导航栏的“病毒查杀”。在病毒查杀界面，根据需求选择病毒扫描方式，扫描完成后会显示扫描结果。根据扫描结果，可以对每个风险项单独操作，也可以选择批量操作。第四节社交应用4.3

UOS网络安全设置（3）安全防护打开安全中心，选择左侧导航栏的“安全防护”。在安全防护界面，可以选择是否开启病毒防护、系统防护和网络防护功能。病毒防护功能默认开启，可以对接入电脑的USB存储设备进行病毒扫描。如发现USB存储设备文件有异常病毒，则可以进行相应的处理，保障系统避免病毒的侵害。操作系统远程登录端口默认开启，当登录密码极其简单的时候，系统被入侵时容易被攻破。远程访问控制对系统里有调用远程服务的应用进行管控，远程访问控制功能默认关闭。联网控制对系统里的应