RHCE-255III笔记.doc

RHCE 254 第一课 getting started with the classroom environment1、虚拟机的相关配置GUI :virt-manager Virsh start|shutdown| reboot | destroy Virsh list #查看安装了哪些虚拟服务器Virsh dominfo vserver#查看vserver的信息Virsh console crrl+ 为退出配置Virsh dumpxml vserver 1.xml #对虚拟机进行配置备份Virsh define 1.xml #重新创建虚拟机，其需要两个配置文件：#1是虚拟机的配置文件，2 是磁盘的配置文件Virsh destroy #把虚拟机删除掉Virsh undefined #把 虚拟机name从管理器中删除定义Virsh-install #在CLI下安装虚拟机脚本文件：which install-vserver虚拟机的配置文件均放在了/etc/libvirt/qemu目录下2、重设root密码 这是考试中的第一个题目（1）编辑grub菜单中的kernel ,添加kernel参数 single,s ,1,S (2)重新启动系统，进入single模式。（3）下面是配置命令： Setenforce 0 Passwd Setenforce 1 Getenforce Init 5 或者 Echo redhat | passwd -stdin root Init 53、LDAP服务器的客户端配置 这是考点System-config-authentication(必须安装的)安装Derictory client 组包 yum groupinstall Directory client（1）选择系统管理-authentication进行相关项目的设置（2）验证：getent passwd ldapuser1 Su ldapuser14、自动挂载nfs服务器的共享目录，这也是考点（1）vim /etc/auto.master /home/guests /etc/auto.guests (2) vim /etc/auto.guests * -rw 54/home/guests/& (3) cd /home/guests Ls su - ldapuser15、SSH验证 ，这是考点（1）ssh-keygen -t rsa(或者dsa) #产生pub和private钥 (2)ssh-copy-id i /home/instructor/.ssh/id_dsa.pub student07#复制公钥给student(3) ssh student07 #测试登陆student，则不需要密码6、SSH 访问ACL，这个也是考点(1) 进入vim /etc/ssh/sshd_config 在最后一行加入如下命令： AllowUsers root student(2) service sshd restart (3)man sshd_config 可以进行参考查询7、安装Apache 服务器（1）yum install httpd* (2)service httpd restart (3) chkconfig httpd on Chkconfig list |grep http (4)测试： links 54第二章 enhance user security 1、sudo 命令的使用,sudo 的作用让普通用户可以执行一些超级用户的命令，相当于交换机中对普通用户授权可以使用哪些命令一样，这不是一个考点主要就是在/etc/sudoer中进行相关的命令修改，也可以使用visudo直接对以上文件进行编辑。以下就是修改的步骤.让student用户具有root的添加用户，设置密码以及id命令的使用（1） which useradd（2） which passwd （3）（4） which id （5） visudo 在”root ALL=(ALL) ALL”一行下添加命令 Student ALL=(root) /usr/bin/useradd ,/user/bin/passwd,/usr/bin/id(5) 验证：切换到student用户中，进行下列命令的执行：Sudo useradd yongzheSudo passwd yongzheSudo Id yongzhe(6) 具体的参考文档请见 man sudoers2、kerberos ,这是一个考点Kerberos是通过客户端向ldap服务器发送账户和密码后，该服务器会回传一个传票，适用于客户端在不安全的环境下进行安全的工作（1） 必备的环境为：要安装如下包：openldap-client;krb5-workstation 但是只要我们安装了Directory client组包的话，以上两个包就安装了。（2） 系统authenticate 选择kerbero password配置完后点击apply（3） 验证： su - ldapuse1 #注意要以普通用户student来执行（4） 以上操作也可以在CLI下编写脚本，用于批量生成配置。3、以上的kerbero其实的服务就是sssd服务。Sssd服务之前的类似服务是nscld 其文件目录为：/etc/init.d/nslcdSssd cache 概念，其会缓存ldapuser信息在客户端，即是客户端与ldap服务器断开，客户端也可以getent 用户的 信息。（1） 手工启动sssd和nscld服务 Vim /etc/nsswitch.confPasswd nslcdShadow nslcdGroup nslcd #启用了nscld 服务或者Passwd sssShadow sssGroup sss #启用了sssd（2） 通过service 命令启动Service nslcd restart 或者Service sssd restart (3) 验证：getent passwd 不同之处是：nslcd可以通过getent passwd 获得所有的users信息；sssd服务只能通过getent passwd ldapuser* 一次获得一条use信息。（3） 我们可以通过man sssd.conf 来参考查询Cache Debug-level=10 #用于调整debug的level（4） 日志文件见：/var/log/sssd/（5） Single用户模式可以不用通过ldap 服务器的验证第三章 bash scripting and tools 本章的重点就是shell的编写.1执行方式有两种：（1）./hello.sh #相对路径的执行 （2）/home/instructor/hello.sh #绝对路径的执行 (3) sh hello.sh #在子父进程中运行 （4）source hello.sh #在父进程中运行2、echo Echo hostname is $hostname #不能达到预期效果 Echo hostname is $(hostname) #可以达到预期效果 Echo hostname is $hostname #可以达到预期效果注意： 符号是数字键1左边的符号，它和（）的作用是一样的。Echo your cost is $5.0 #达不到预期效果Echo your cost is $5.0 #可以达到预期效果，这里起到了转义字符的作用Echo your cost is $5.0 #可以达到预期效果Echo “your cost is $5.0” #达不到预期效果注意：这里的和“”不同之处在于：单引号可以把其中的变量也当做一般的字母；而双引号对其中的变量的性质不变，也就是说变量还是变量。3、touch Touch file 1,2,3Touch file 4.10Touch filea.zRm fileb.z4、for 的用法 For var in item1 item2 item3;do command1 ;command2;done 1、 test的用法可以参考man test e f d p s ;r w x u g b z ; lt gt ne le ge ;nt ot et ;eq ne ;-a o ;-z 2、 if .then .elif then.else .fi3、 环境变量和本地变量的区别Export B #定义环境变量BB=100b=10vim Bb.sh#!/bin/bashEcho $BEcho $bExit Chmod +x Bb.sh./Bb.sh #以另外一个用户的身份执行，通过查看结果可以看到环境变量和本地变量的区别9、$?的用法 Ping c2 54 Echo $? Ping c2 54 &/dev/null #ping的结果不屏幕显示 Echo $? 4、 &和|的用法举例： Test d doc |mkdir doc 在/etc/sysconfig/network中有好多这样的命令脚本 Grep q root: /etc/passwd & echo we have the user|echo no such user #参数q表示grep的结果不屏幕输出10、 的用法和test 是一样的。11、位置参数 $1,$2,$3,. $# $12、read的用法 Vim read.sh #!/bin/bashRead p please input the first number: firstnumberRead p please input the second number: secondnumberEcho “$firstnumber+$secondnumber=$firstnumber+$secondnumber”Exit./read.sh #可以查看shell运行结果。13、md5sum bigfile* 查看文件的md5加密密钥以下是一些text processing tools工具：14、cat Less Grep Cut Wc Sort Uniq Sed Sort Diff 举例： Diff old.doc new.doc Diff Naur old.doc new.doc patchfile Patch pN patchfile #更新old.doc到new.doc Patch R -pN /tmp/gpg.key #导出pubkey-id 4、scp /tmp/gpg.key root:/tmp 在虚拟机上：（发送方）利用pubkey来加密文件。1、 gpg import /tmp/gpg.keygpg -list keys2、 cd /boot3、 gpg -encrypt armor r pubkey-id 文件1 #加密文件4、 scp 文件1.asp root：/tmp 在物理机上解密加密文件1.asp cd /tmpgpg -decrypt 文件1.asp 文件1输入密码验证虚拟机上的文件1和在物理机上的解密的文件1是否一样：在物理机上 md5sum 文件1在虚拟机上 md5sum 文件1结论：产生的md5码一样，说明揭开的文件和原文件是一样的。5、 用图形化工具来加密文件 Seahorse 注意：如果新安装虚拟机后，需要删除/root/.ssh/know_hosts和/root/ssh/host_id 第五章 package management 1、 安装包和源RPM包是否一致 Yum install y yum-plugin-verify Rpm ql yum-plugin-verify Yum verify-all vsftp #可以验证vsftp包信息是否与源rpm包信息一致，源rpm包信息来自于/var/lib/rpm 2、 锁定rpm包version,使其以后不能够update Yum install yum-plugin-versionlock Yum versionlock firefox #锁定firefox的version Yum update firefox #提示信息显示firefox不能够update 也可以在/etc/yum/pluginconf.d/versionlock.list 中添加或删除。3、 rpm包安全信息设置 yum install yum-plugin-security yum -security check-update yum -security update 4、 rpm包包含的信息：rpm qi vsftpd（1） Metadata:version name release builder date （2） Internal cpion-archive（3） Scripts: rpm -q -scripts vsftpd #查询脚本信息5、 RPM查询信息6、 在安装rpm包的时候，一定要安装trust包，trust包来自redhat官方网站。注意：如果在/etc/下建立一个nologin的文件，即是nologin文件是个空文件，普通用户也无法登陆到系统。7、 如何生成一个rpm包（1） 下载 /54/pub/materials/redhat-release.src.rpm（2） Rpm -ivh 源码rpm包（3） Cd /root/rpmbuild/ #产生了两个子目录sources ;specs,其中source放的是源码rpm，specs放的是脚本文件（4） Yum -y install rpm-build #安装rpm包工具Cd /root/rpmbuild/specs Ls Rpmbuild -ba rpm源码包Ls #生成了若干个包Cd ./rpms #里面就产生了rpm包Cd ./srpms #产生了新的源码rpm包Cd ./build #将源码rpm包解到build目录中Cd ./buildroot #中间目录，是一个临时的目录，相当于中转站，用完之后会请空。8、 spec 文件目录（1） 定义一系列变量（2） 引用变量%prep %setup -q #将source 里tar文件解压到build中。%build %echo ok #编译过程%install #将编译好的文件放到build root中 Rm #将build root目录清空%create #创建系统目录%clean #将buildroot目录清空%files #产生文件信息，权限，EULA,GPL,autorun%change log #定义change log信息注意：红底部分的内容是最重要的四步内容。9、 rpm macros (宏定义) rpm -showrc |grep topdir #topdir 是rpm包的默认安装目录如何修改topdir目录： 创建新的宏定义 修改topdir变量的值10、 在么有源码rpm包的情况下如何创建rpm包（1） tarball #用C语言写一个*.tar.gz的包（2） 创建一个*.specs文件：vim 1.specs（3） Rpmbuild *.specs（4） Sign gpg resign（5） Test 注意：rpmbuild ba *.specs #同时产生源码rpm和rpm包 Rpmbuild bb *.specs #只产生rpm包信息11、 如何为一个rpm包签名 （1）gpg -gen-keys(2) gpg -list-keys #查看pubkey-id（3）导出：gpg export armor r pubkey-id/tmp/rpm-gpg-key(4) vim /.rpmmacros %pgp _name $kid(5) rpm -resign rpm包（6）scp rpm包 虚拟机：/tmp(7) rpm -k rpm包（8）rpm -import gpg-keyfile Rpm -qi gpg-keyfile12、 创建yum库（1） yum install createrepo（2） /var/ftp/pub/it/Packets #把*.rpm包放入到该目录下（3） Createrepo -v /var/ftp/pub/it/ （4） Baseurl=ftp:/ip/it注意：每加入一个rpm包，都要用createrepo执行一次第6章 network monitoring1、 netstate -tunlpnetstate -a #可以查看每个服务所对应的连接2、 yum install y nmap #安装nmap软件-Sp:只ping,不scan Port如：nmap -sP /24 #对/24网段进行扫描 -sT:对tcp扫描 -sU:对UDP扫描 -p #端口 -O# 如：nmap sT p 1-1024 nmap sT p 1-1024 3、 avahi服务，不需要配IP，用户只要一开机就可以通信。 Service avahi-daemon stop chkconfig avahi-daemon off4、 抓包tcpdump 分析包：wireshark #wireshark也可以抓包，在RH6中没有自带wireshark，需要网络上下载wireshark-gnome安装包。Tcpdump nn#包括port 和protocols i #do line buffering to file s# maximum number of bytes w#保存文件 i#interfaceTcpdump -nn l s 200 w /tmp/ftp -i eth0 port 21 and host 54 Wireshark /tmp/ftp #也可以选择follow 更直观的查看5、 wireshark 可以图形化管理6、 另外一种抓包分析工具 yum install iptraf* iptraf 打开第六章 advanced network configuration 1、 给一块网卡设多个IP：动态IP页可以加静态IP ip addr add /24 dev eth0 ip addr list #看的到 ifconfig eth0 #看不到 如何永远生效呢？ Service networkmanager stop Chkconfig networkmanager off Cd /etc/sysconfig/network-scripts Cp ifcfg-eth0 ifcfg-eth0:0 Vim ifcfg-eth0:0 DEVICE=eth0:0 Bootproto=static Ip addr=07 Netmask= Ip addr=07 Onparent=yesService network restart 2、 bonding :mode :0 1 3 4 5 6 2 modinfo bonding vim /etc/sysconfig/network-scripts/ifcfg-bond0 bonding_options=”mode=1 max _bonds=2 miimon=10 “vim /etc/sysconfig/network-scripts/ifcfg-$iface bonding.txt 的有关bonding文档 yum install kernel-doc /usr/share/doc/kernel-doc*/networking/bonding.txtIfenslave help#命令行配置命令3、 调整内核网络参数 这是一个考点（1） sysctl a #查询可调整内核参数（2） vim /etc/sysctl.conf #修改文档（3） sysctl p #使设置生效（4） sysctl w paramet.path-name=value #临时生效说明参考文档：ip-sysctl.txt如：net.ipv4.ip-forward 改为1（开启）Net.ipv4.icmp-ingnore-echo=1 (忽略ping的echo包)4、 静态路由 Ip route show 或 route n Ip route add /24 via 54 Route add net netmask gw 54 #临时生效 如果要使修改的路由永久有效： Vim /etc/sysconfig/network-scripts/route-eth0 Address0= Netmask0= Gateway0=54 Service network restart 第8 章 secure network traffic 1、ssh 的port forward 配置 下面是在client host上通过ssh-host间接登陆web-server::80 Ssh fN L 8888::80 root54#8888端口为client host本机端口，为web-server,54为ssh-host。该配置会在后台持续进行，除非杀死进程。 验证： :8888 Netstate tunlp |grep :8888 Kill -9 PID #杀死进程 :8888 #再次验证进程，不能够登陆2、 socks proxy上网 .好的翻墙工具推荐为goagent（1） 首先确保client能ssh到ssh-host Ssh D 1080 root54 （2） 在firefox中打开代理Socks host: 端口：1080（3） about:config ,收索 socks 把xy.socks.react.dns 的值设置为true这样本来不能上网的客户端通过能够上网的ssh-host代理，就可以正常上网了。3、 如何在家中间接管理公司内网的服务器，由于在家中的PC不能直接与内网的服务器通信，但是可以与公司的一台服务器hosta通信，而hosta可以与hostb通信，所以我们可以再家中的电脑上执行ssh t hosta ssh hostb 例如：ssh -t 07 ssh 4、 通过screen共享终端，远程协助。（1） 在被控制端的配置：Yum y install screenScreen -dmS help #开启名称为help为窗口Screen -x help#关闭help窗口（2） 在控制端配置Ssh -t 07 screen -r help #107为被控制端5、 iptables ,属于内核层，一开机就会有的。（2）下面是iptables的规则列表：Filtering port TablesfilternatMangleINPUT(考点)OKOKFORWARDOKOKOUTPUTOKOKOKPREROUTINGOKOKPOSTROUTINGOKOK注：forward只有在做gw的时候才会用到；在做端口重定向也就是端口映射的时候才会用到prerouting；在做地址伪装，也就是snat的时候才会用到postrouting。例子：iptables -A FORWARD s /24 d j DROP （2）执行的动作包括下列这些 DROP #丢弃 LOG #记录下访问信息作为日志 REJECT #拒绝并给一个回应 ACCEPT#接收 例如：iptables -t filter A INPUT s -j DROP -L or vnL #查看iptables设置的规则 -A #在规则的最后追加一跳规则， -I #在现有的规则的前面插入一跳规则 -D #删除，可以跟规则，也可以跟规则的序号。 下面是一些例子： Iptables A INPUT s -j DROP Iptables I INPUT s -j DROP Iptables vnL input Iptables D INPUT 2 #将INPUT chain中的第二条规则删除6、 iptables 的其它命令 -s #源 -d #目的 -i lo # -o eth1 #如果只有一张网卡的时候，不用指明网卡 -p tcp dport 80 -p tcp sport 80 -p udp dport 80 -p udp sport 80 -dport 22:25 #表示从2225端口 Iptables A INPUT s /24 p icmp j DROP Iptables p icmp -help Iptalbes A INPUT s /24 p icmp icmp_type echo-request j DROP iptables A INPUT s /24 p icmp icmp-type echo-reply j DROP Iptables F INPUT #清空INPUT规则Iptables p INUPT DROP #设置INPUT默认规则7、 跟进状态来做访问控制： NEW: ESTABLISHED: RELATED :比如20和21端口，是相似端口，当打开21端口时，20端口也会打开INVALID: -m state - -state ESTABLISHED,RELATED j ACCEPT -m state - -state NEW d dport 25 -m state state NEW j DROP 8、modprobe l |grep conntrack Modprobe nf_conntrack_ftp (手工，临时性质的，重启后失效) Vim /etc/sysconfig/iptalbes.conf Iptables_modules=”nf_conntrack_ftp” #开启后会自动加载 Service iptalbes save #保存在/etc/sysconfig/iptables8、 NAT:一般进来的数据做DNAT,出去的数据做SNAT. PREROUTING和OUTPUT都可以做DNAT，不同的是前者的数据来自于外界，后者的数据来源于本机。例如：iptables t NAT Nl PREROUTING(1) SNAT举例iptables t NAT A POSTROUTING o wlan0 j MASQUERADED #使用与wlan0的IP来源于DHCP源IP 54 转换为wlan0接口下的IPIptables t NAT A POSTROUTING o wlan0 j SNAT to-source 54 #wlan0的IP是静态IP注：Ifconfig eth0 Netmask (2) DNAT举例 Ssh 54 ssh 50Iptables t NAT A prerouting-d 54 p tcp dport 22 j DNAT to-destination 50:220 #目的IP后可以跟port.9、 结合squitd 证明代理设置：好处不用设置代理，用户可以直接使用Yum install squid#安装代理服务器vim /etc/squid/squid.conf 加：acl mynetwork src /24 http_access allow network http-port 3128 intercept visible-hostname= :wq!Iptables t NAT A PREROUTING p tcp dport 3128 j ACCEPT这样客户端不用设置代理就可以上网了。 第9章 configure an ntp server1、 ntp 服务器端配置 vim /etc/ntp.conf 参数说明如下： Server: 54 #表示从上层ntp服务器获取时间 Peer : #对等的ntp服务器，两服务器可以互相学习时间，靠stratam(集成)值来确定，该值越小，集成越高。Server #local timeFudge stratum 10 # stratam(集成)值来确定，该值越小，集成越高。2、 ntp客户端配置命令配置如下：service ntpd stop #开启ntpd服务 Ntpdate 54 #启用ntpdate服务另外一种配置方法：在sys-administratordate&time Service ntpd start 注意：ntpd 可以做客户端和服务器 Ntpdate只能做客户端。第10章 system monitoring and logs 1查看空间大小命令 Df h #查看磁盘空间使用率 Ls lh #查看文件或目录的大小 Du -h #查看各个分区的使用情况3、 disk I/O report iostate -dk 1 3#k表示kbit，1 &3表示每隔1秒统计一次，共统计3次 iostat dNk 1 3 #%util 表示I/O吞吐量占用的%值，该值超过60%表示i/o已经很忙了，我们看的三个%util值中第一个是历史平均值，后两个是实时的。 Man iostat Iostat -xdNk 1 34、 yum install y iotop# 监控i/o所占的%值 top | iotop5、swap usage report vmstat 1 200 #表示每隔1秒统计一次，共统计200次。Man vmstat 6、monitor with aide #监视原配置文件是否改变 Yum y install aide Mkdir /backup/ Cd /backup Cp /etc/*.conf Ls Vim /etc/aide.conf 添加：/backup NORMAL #文件有R+ Aide -init 验证：故意修改/etc/下的*.conf文件属性或内容，比如owner,permission,time等属性.Cd /var/lib/aide ls 把aide.db.new.gz 重命名为aide.db.gz执行：aide -check #通过执行该条命令我们可以看出/etc下哪些*.conf文件被修改过。7、 sar树系统进行监控 yum -y install systat/etc/cron.d/systate #该文件的作用是定义把计划任务放在/var/log/sa里cd /var/log/sals sa -f sa05 #用sa查看日志信息sa -n DEV #查看网络的sa A #所以的系统监控，sa默认是显示CPU的监控信息注意：我们可以修改systat里的计划任务调整时间，如： Sar 1 2 #每隔1秒共监控2次，监控数据来源于/proc sar -b 1 10#磁盘实时监控 sar n DEV #网络实时监控 sar u 2 5 #CPU实时监控，每隔2秒监控一次 ，共5次 man sar 可以查看sar的使用方法。8、 tmpwatch 文件/etc/cron.daily/tmpwatch #清理磁盘旧文件，释放空间。默认是每10天清理一次，清理时间可以在tmpwatch里修改。9、 logrotate 分割日志文件，循环使用文件/etc/logrotated.conf 可以进行对相关参数进行修改。Logrotate可以对所以的log文件进行管理，但需要在下面目录下写文件： /etc/logrotate.d/ Ls Compress Nocompress Postrotate Endcritp #后两个参数往往会成对出现10、 log-server创建和配置 (1) vim /etc/rsyslog.conf udp 514 tcp 514 #以上的两个端口任意开启一个即可 service rsyslog restart netstate tunlp |grep :514（2）客户端的配置Vim /etc/rsyslog 添加： *.* 54*.info; mail.noneService rsyslog restart Cat /etc/hosts/logger Tail f /var/log/messages测试：modprobe qlazxxx Mail s test student /etc/passwd在server上查看：tail f /var/log/maillog第11章 centralized and secure storage1、 这是一个考点：iscsi客户端的配置 Iscsi默认的端口为tcp 3260 客户端的配置如下：Yum install y iscsi*Man iscsiadmIscsiadm 54 -discoveryIscsiadm .改.254(改2)FdiskDmesg #查看内核信息Fdisk cu /dev/sdb #分区后可以不用重启就生效，但是本地磁盘必须要重启才能生效Mkfs.ext4 /dev/sdbVim /etc/fstab #开机可以自动挂载 /dev/sdb1 /back ext4 defaults ,_netdev 0 0 Mkdir /backMount a Service iscsid statusDf h 2、 如何卸载iscsi分区Umount Ls -l /dev/sdb1Iscsiadm .54:3260 -o deleteVim /etc/fstab 3、 如何为加挂的iscsi分区加密第12章 ssl encapsulated web services1、 mod-sslyum y install mod_sslservice httpd restart 2、openssl x509 -ia example-ca.cert -nooat dates#查看证书日期 3、证书自定义（自签名）