rm -f /etc/systemd/system/default.target

设置命令行级别方法:

ln -sf /lib/systemd/system/runlevel3.target /etc/systemd/system/default.target

或

ln -sf /lib/systemd/system/multi-user.target /etc/systemd/system/default.target

或

systemctl set-default multi-user.target

改回窗口级别方法:

ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

或

ln -sf /lib/systemd/system/graphical.target /etc/systemd/system/default.target

或

systemctl set-default graphical.target

转载自http://zhidao.baidu.com/question/1690542564781601148.html

CentOS 7 已经切换到 systemd，系统指令也有所变化。之前用于启动、重启、停止各种服务的service 作为向后兼容的指令还能使用，但是将来可能会消失。同时，chkconfig 也改成了systemctl 了。这里列举了一些常用的对应于 service 和 chkconfig 的新的 systemctl 指令。

在目前的 CentOS 7（或 RHEL 7）系统中，依然可以使用 service 指令。例如，

[root@localhost ~]# service network restart Restarting network (via systemctl): [ OK ] [root@localhost ~]# service httpd restart Redirecting to /bin/systemctl restart httpd.service [root@localhost ~]# service sshd restart Redirecting to /bin/systemctl restart sshd.service

但是系统会自动重定向该指令到新的指令 /bin/systemctl 来执行，并给出提示。

是时候切换到新的指令格式了，直接使用 systemctl 吧。这个指令的意思就是 system contrl。下面是一些常用的例子：

启动服务：

systemctl start httpd

停止服务：

systemctl stop httpd

重启服务（先停止，后启动）：

systemctl restart httpd

重新加载（使用新的配置文件）：

systemctl reload httpd

显示服务状态：

systemctl status httpd

与此同时，之前用于设定系统启动时自动运行某服务的指令 chkconfig 也改了，还是用systemctl。

chkconfig service on

改成了，

systemctl enable httpd

chkconfig service off

改成了，

systemctl disable httpd

检查服务状态的

chkconfig service

改成了，

systemctl is-enabled httpd

列举出所有服务的指令，

chkconfig –list

改成了，

systemctl list-unit-files --type=service

以前能指定服务 runlevel 的 –levels 也没有了。慢慢适应吧。

查看所有分区uuid

[root@localhost boot]# ls -l /dev/disk/by-uuid/ 
total 0
lrwxrwxrwx. 1 root root  9 Apr  7 14:04 2014-07-06-17-32-07-00 -> ../../sr0
lrwxrwxrwx. 1 root root 10 Apr  7 14:04 6c2e3bc1-e12c-44a0-b009-7f997e0e0123 -> ../../sda1
lrwxrwxrwx. 1 root root 10 Apr  7 14:04 6c6f8160-c1c0-4053-98ca-90ae760153d0 -> ../../sda2
lrwxrwxrwx. 1 root root 10 Apr  7 14:04 7cf34b87-81cb-45e3-a004-75d727c2b79d -> ../../sda3
lrwxrwxrwx. 1 root root 10 Apr  7 14:04 9e50045c-42cd-4b34-b6f6-017ac4edc504 -> ../../sda5

查看指定分区uuid

[root@localhost boot]# blkid /dev/sda1
/dev/sda1: UUID="6c2e3bc1-e12c-44a0-b009-7f997e0e0123" TYPE="ext4" 

转载自::http://blog.csdn.net/sanlinux/article/details/5203923

看鸟哥的私房菜也有很长一段时间了，终于到了怎么安装程序的地方了，记录下
我是用root使用rpmbuild这个命令的，鸟哥的系统的工作目录是在/usr/src/redhat/
我的系统版本是centos7和鸟哥的不一样，实在/root/rpmbuild/，不知道和用户有没有关系，也没测试下.....
1.一个程序
makefile文件代码

main: main_1.o main_2.o main_3.o main_4.o
        gcc -o ${FILE_NAME}
#main: main_1.o main_2.o main_3.o main_4.o
clean:
        \rm ${FILE_NAME}
install:
        mkdir -p $(RPM_INSTALL_ROOT)/usr/local/bin/ 
        install -m 755 main $(RPM_INSTALL_ROOT)/usr/local/bin/main

main.spec文件代码，我的只是很简单的测试，很多选项都没有用到

Name:           main
Version:        0.1
Release:        1
Summary:        test rpmbuild

Group:          xxxxx
License:        GPL
URL:            www.xxxxxxxxxx.com
Source0:        main-0.1.tar.gz
Packager:  xxxxx
BuildRoot: %{_tmppath}/%{name}-%{version}-%{release}


%description
zhishi geceshi ===》这里是描述随便写

%prep
%setup -q


%build 
make   =》编译，我的是用make编译的，好像还有configure什么的，初次接触，不了解


%install
rm -rf %{buildroot} 
mkdir -p %{buildroot}
make install RPM_INSTALL_ROOT=%{buildroot}
#上面的部分是安装的部分，说白了就是让这个程序在很多地方都可以直接使用，不用输入绝对路径，这个程序如果是用解压安装的方式的话，如果make install了，就会在/usr/local/bin/文件下面创建一个文件main_test，这里就是做这一步，但是这里不是真正的安装，所以不能真的去系统文件夹去去创建文件，于是就模拟的在~/BUILD/main-0.1/模拟成根目录，再在/usr/local/bin/文件下面创建一个文件main_test

%files
/usr/local/bin/main_test ==》 这个得和上面的路径一样，不然会报错


%doc


%changelog
*Wed Jul 01 2015 xxxxxxx xxxxxx<965724085@qq.com> 0.1 ===>这里的日期格式要对，不然报错
-zhishigeceshi  ===>必须要有这个说明，不然报错

转载自：http://www.biphp.com/website-design/%E9%98%BF%E9%87%8C%E4%BA%91%E6%9C%8D%E5%8A%A1%E5%99%A8linux%E9%85%8D%E7%BD%AEiptables/
尽管阿里云有云盾这样的对云服务器的安全监控保护，但是就如房子在相对安全的小区，关门总比不关门更安全吧。下面我们就开始配置阿里云服务器的iptables，为你的云服务器linux系统加上一道安全门。如果你对iptables基础知识不了解，请查看【IPTABLES】。
阿里云服务器的iptables服务默认是未开启的：

[root@AY12072 ~]# service iptables status
Firewall is stopped.

开始配置

一、配置filter表的防火墙

(1)查看本机关于IPTABLES的设置情况

[root@AY12072 ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain RH-Firewall-1-INPUT (0 references)
target prot opt source destination
ACCEPT all — 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp — 0.0.0.0/0 0.0.0.0/0 icmp type 255
ACCEPT esp — 0.0.0.0/0 0.0.0.0/0
ACCEPT ah — 0.0.0.0/0 0.0.0.0/0
ACCEPT udp — 0.0.0.0/0 224.0.0.251 udp dpt:5353
ACCEPT udp — 0.0.0.0/0 0.0.0.0/0 udp dpt:631
ACCEPT all — 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25
REJECT all — 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

可以看出我在安装linux时,选择了有防火墙,并且开放了22,80,25端口.
如果你在安装linux时没有选择启动防火墙,是这样的

[root@AY12072 ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination

什么规则都没有.

(2)清除原有规则.
不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在filter的所有规则.

[root@AY12072 ~]# iptables -F 清除预设表filter中的所有规则链的规则
[root@AY12072 ~]# iptables -X 清除预设表filter中使用者自定链中的规则
我们在来看一下
[root@AY12072 ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination

什么都没有了吧,和我们在安装linux时没有启动防火墙是一样的.(提前说一句,这些配置就像用命令配置IP一样,重起就会失去作用),怎么保存.

[root@AY12072 ~]# /etc/rc.d/init.d/iptables save

这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.

[root@AY12072 ~]# service iptables restart

现在IPTABLES配置表里什么配置都没有了,那我们开始我们的配置吧

(3)设定预设规则

[root@AY12072 ~]# service iptables stop
[root@AY12072 ~]# iptables -p INPUT DROP
[root@AY12072 ~]# iptables -p OUTPUT ACCEPT
[root@AY12072 ~]# iptables -p FORWARD DROP

上面的意思是,当超出了IPTABLES里filter表里的两个链规则(INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃).应该说这样配置是很安全的.我们要控制流入数据包
而对于OUTPUT链,也就是流出的包我们不用做太多限制,而是采取ACCEPT,也就是说,不在着个规则里的包怎么办呢,那就是通过.
可以看出INPUT,FORWARD两个链采用的是允许什么包通过,而OUTPUT链采用的是不允许什么包通过.
这样设置还是挺合理的,当然你也可以三个链都DROP,但这样做我认为是没有必要的,而且要写的规则就会增加.但如果你只想要有限的几个规则是,如只做WEB服务器.还是推荐三个链都是DROP.
注:如果你是远程SSH登陆的话，如果不把iptables服务停止掉，当你输入iptables -p INPUT DROP回车的时候就应该SSH连接断了。因为你没有设置任何规则。怎么办？除了本机操作只有重启了！

(4)添加规则.
首先添加INPUT链,INPUT链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链
为了能采用远程SSH登陆,我们要开启22端口.

[root@AY12072 ~]# iptables -A INPUT -p tcp –dport 22 -j ACCEPT
[root@AY12072 ~]# iptables -A OUTPUT -p tcp –sport 22 -j ACCEPT 
```(注:这个规则,如果你把OUTPUT 设置成DROP的就要写上这一部,好多人都是望了写这一部规则导致,始终无法SSH.在远程一下,是不是好了.
其他的端口也一样,如果开启了web服务器,OUTPUT设置成DROP的话,同样也要添加一条链:
```shell
[root@AY12072 ~]# iptables -A OUTPUT -p tcp –sport 80 -j ACCEPT #,其他同理.)
#如果做了WEB服务器,开启80端口.
[root@AY12072 ~]# iptables -A INPUT -p tcp –dport 80 -j ACCEPT
#如果做了邮件服务器,开启25,110端口.
[root@AY12072 ~]# iptables -A INPUT -p tcp –dport 110 -j ACCEPT
[root@AY12072 ~]# iptables -A INPUT -p tcp –dport 25 -j ACCEPT
#如果做了FTP服务器,开启21端口
[root@AY12072 ~]# iptables -A INPUT -p tcp –dport 21 -j ACCEPT
[root@AY12072 ~]# iptables -A INPUT -p tcp –dport 20 -j ACCEPT
#如果做了DNS服务器,开启53端口
[root@AY12072 ~]# iptables -A INPUT -p tcp –dport 53 -j ACCEPT

如果你还做了其他的服务器,需要开启哪个端口,照写就行了.
上面主要写的都是INPUT链,凡是不在上面的规则里的,都DROP
允许icmp包通过,也就是允许ping,

[root@AY12072 ~]# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT设置成DROP的话)
[root@AY12072 ~]# iptables -A INPUT -p icmp -j ACCEPT (INPUT设置成DROP的话)

允许loopback!(不然会导致DNS无法正常关闭等问题)

IPTABLES -A INPUT -i lo -p all -j ACCEPT #(如果是INPUT DROP)
IPTABLES -A OUTPUT -o lo -p all -j ACCEPT #(如果是OUTPUT DROP)

下面写OUTPUT链,OUTPUT链默认规则是ACCEPT,所以我们就写需要DROP(放弃)的链.
减少不安全的端口连接

[root@AY12072 ~]# iptables -A OUTPUT -p tcp –sport 31337 -j DROP
[root@AY12072 ~]# iptables -A OUTPUT -p tcp –dport 31337 -j DROP

有些些特洛伊木马会扫描端口31337到31340(即黑客语言中的 elite 端口)上的服务。既然合法服务都不使用这些非标准端口来通信,阻塞这些端口能够有效地减少你的网络上可能被感染的机器和它们的远程主服务器进行独立通信的机会
还有其他端口也一样,像:31335、27444、27665、20034 NetBus、9704、137-139（smb）,2049(NFS)端口也应被禁止,我在这写的也不全,有兴趣的朋友应该去查一下相关资料.
当然出入更安全的考虑你也可以包OUTPUT链设置成DROP,那你添加的规则就多一些,就像上边添加
允许SSH登陆一样.照着写就行了.
下面写一下更加细致的规则,就是限制到某台机器
如:我们只允许192.168.0.3的机器进行SSH连接

[root@AY12072 ~]# iptables -A INPUT -s 192.168.0.3 -p tcp –dport 22 -j ACCEPT

如果要允许,或限制一段IP地址可用 192.168.0.0/24 表示192.168.0.1-255端的所有IP.
24表示子网掩码数.但要记得把 /etc/sysconfig/iptables 里的这一行删了.
-A INPUT -p tcp -m tcp –dport 22 -j ACCEPT 因为它表示所有地址都可以登陆.
或采用命令方式:

[root@AY12072 ~]# iptables -D INPUT -p tcp –dport 22 -j ACCEPT

然后保存,我再说一边,反是采用命令的方式,只在当时生效,如果想要重起后也起作用,那就要保存.写入到/etc/sysconfig/iptables文件里.

[root@AY12072 ~]# /etc/rc.d/init.d/iptables save

这样写 !192.168.0.3 表示除了192.168.0.3的ip地址
其他的规则连接也一样这么设置.
在下面就是FORWARD链,FORWARD链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链,对正在转发链的监控.
开启转发功能,(在做NAT时,FORWARD默认规则是DROP时,必须做)

[root@AY12072 ~]# iptables -A FORWARD -i eth0 -o eth1 -m state –state RELATED,ESTABLISHED -j ACCEPT
[root@AY12072 ~]# iptables -A FORWARD -i eth1 -o eh0 -j ACCEPT
#丢弃坏的TCP包
[root@AY12072 ~]#iptables -A FORWARD -p TCP ! –syn -m state –state NEW -j DROP
#处理IP碎片数量,防止攻击,允许每秒100个
[root@AY12072 ~]#iptables -A FORWARD -f -m limit –limit 100/s –limit-burst 100 -j ACCEPT
#设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包.
[root@AY12072 ~]#iptables -A FORWARD -p icmp -m limit –limit 1/s –limit-burst 10 -j ACCEPT
#我在前面只所以允许ICMP包通过,就是因为我在这里有限制.

二、配置NAT表防火墙

1.查看本机关于NAT的设置情况

[root@tp rc.d]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all — 192.168.0.0/24 anywhere to:211.101.46.235
Chain OUTPUT (policy ACCEPT)
target prot opt source destination

我的NAT已经配置好了的(只是提供最简单的代理上网功能,还没有添加防火墙规则).关于怎么配置NAT,参考我的另一篇文章
当然你如果还没有配置NAT的话,你也不用清除规则,因为NAT在默认情况下是什么都没有的
如果你想清除,命令是

[root@AY12072 ~]# iptables -F -t nat
[root@AY12072 ~]# iptables -X -t nat
[root@AY12072 ~]# iptables -Z -t nat

2.添加规则
添加基本的NAT地址转换，添加规则，我们只添加DROP链。因为默认链全是ACCEPT。
防止外网用内网IP欺骗

[root@AY12072 sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -j DROP
[root@AY12072 sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 172.16.0.0/12 -j DROP
[root@AY12072 sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/16 -j DROP

如果我们想,比如阻止MSN,QQ,BT等的话,需要找到它们所用的端口或者IP,(个人认为没有太大必要)
例：
禁止与211.101.46.253的所有连接

[root@AY12072 ~]# iptables -t nat -A PREROUTING -d 211.101.46.253 -j DROP
#禁用FTP(21)端口
[root@AY12072 ~]# iptables -t nat -A PREROUTING -p tcp –dport 21 -j DROP
#这样写范围太大了,我们可以更精确的定义.
[root@AY12072 ~]# iptables -t nat -A PREROUTING -p tcp –dport 21 -d 211.101.46.253 -j DROP

这样只禁用211.101.46.253地址的FTP连接,其他连接还可以.如web(80端口)连接.
按照我写的,你只要找到QQ,MSN等其他软件的IP地址,和端口,以及基于什么协议,只要照着写就行了.
最后：
drop非法连接

[root@AY12072 ~]# iptables -A INPUT -m state –state INVALID -j DROP
[root@AY12072 ~]# iptables -A OUTPUT -m state –state INVALID -j DROP
[root@AY12072 ~]# iptables-A FORWARD -m state –state INVALID -j DROP
#允许所有已经建立的和相关的连接
[root@AY12072 ~]# iptables-A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
[root@AY12072 ~]# iptables-A OUTPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
[root@AY12072 ~]# /etc/rc.d/init.d/iptables save
#这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用．
[root@AY12072 ~]# service iptables restart

用命令行之后别忘了保存，你可以一边保存，一边做实验，看看是否达到你的要求，上面的所有规则我都试过，没有问题。
另外分享几个自己实验的端口设置：
1. 阿里云服务器linux centos的iptables关于DNS设置：

[root@AY12072 ~]# iptables -A INPUT -p tcp –sport 53 -j ACCEPT
[root@AY12072 ~]# iptables -A INPUT -p udp –sport 53 -j ACCEPT

不开以上端口无法ping通如www.baidu.com的网址
2. 阿里云服务器linux centos的iptables关于vncserver设置：

[root@AY12072 ~]# iptables -A INPUT -p tcp –dport 5901 -j ACCEPT
#具体端口查看对应进程所需端口号：
[root@AY12072 ~]# netstat -tunlp
tcp 0 0 0.0.0.0:5901 0.0.0.0:* LISTEN 7019/Xvnc

1. 如果你的阿里云服务器linux centos安装了GNOME，并且firefox无法打开网页，可以用如下设置iptables：

[root@AY12072 ~]# iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT