麒麟操作系统教程（微课版） 课件 第10章 麒麟服务器操作系统

人民邮电出版社·Linux创新人才培养系列教材第10章麒麟服务器操作系统《麒麟操作系统实用教程（微课版）》CONTENTS本章目录0110.1麒麟服务器操作系统的安装与配置服务器概述、服务器操作系统、银河麒麟高级服务器OS、安装与配置0210.2远程管理麒麟服务器SSH远程登录、VNC远程桌面、CockpitWeb管理0310.3麒麟服务器的运维软件管理、服务器部署、系统监控、LVM、备份还原0410.4服务器安全管理防火墙配置、审计管理、Kysec安全增强CHAPTER10.1麒麟服务器操作系统的安装与配置企业级服务器系统的部署与初始化掌握服务器操作系统的核心特性10.1.1服务器概述服务器（Server）是指在网络环境中为用户计算机提供各种服务的计算机，承担网络中数据的存储、转发和发布等关键任务，是网络应用的基础和核心。服务器特性处理器架构支持多CPU对称处理器结构可扩展性支持硬件扩展和升级RAID技术独立磁盘冗余阵列技术故障恢复部件冗余技术和内存纠错技术服务器分类入门级Entry-level小型企业或部门使用工作组级Workgroup中小型企业网络部门级Department大型企业部门企业级Enterprise大型企业核心业务10.1.2服务器操作系统服务器操作系统与桌面操作系统的区别：服务器OS侧重稳定性和多任务处理能力，要求7×24小时稳定工作；桌面OS注重易用性和用户界面友好程度。高稳定性•长时间不间断运行•减少系统崩溃和故障•7×24小时稳定工作多用户支持•多用户同时连接•用户认证和授权•权限分配管理网络服务•文件服务•Web服务•DNS/DHCP服务高安全性•防火墙保护•入侵检测系统•加密技术Linux在服务器市场的优势完善的网络功能、较高的安全性、继承UNIX卓越的稳定性，在全球服务器操作系统市场上份额不断增加10.1.3银河麒麟高级服务器操作系统银河麒麟高级服务器操作系统V10SP3是面向kernel根社区构建的国产Linux操作系统，直接面向企业级关键业务，适应虚拟化、云计算、大数据需求。主要特性兼容主流软硬件兼容主流国内外整机、板卡、外设，支持主流数据库、中间件社区深度互动与上游openEuler社区深度互动开发流程可信计算使用硬件可信根，实现可信存储、可信路径、可信通道等安全功能国密算法支持SM2等国密算法六大特性优势自主创新编译器自主平台优化云能力增强可管理性强高安全可用性生态广泛有效应对CentOS停服推出CentOS停服应对方案，助力用户平稳完成服务器操作系统迁移，建议直接迁移至银河麒麟高级服务器操作系统V1010.1.4安装麒麟服务器操作系统（上）安装麒麟服务器操作系统非常便捷，通常可以在半小时内完成。建议初学者先在虚拟机中安装，待熟悉之后再在物理计算机上安装。1启动安装启动虚拟机或设置从光盘/U盘启动选择"InstallKylinLinuxAdvancedServerV10"2选择语言选择安装过程中使用的语言保持默认"简体中文"3安装摘要进入安装信息摘要界面进行时间、语言、安装源、网络等设置安装介质从麒麟官方网站下载服务器版ISO镜像文件，刻录成光盘或制成U盘启动盘虚拟机配置在VMwareWorkstation中配置虚拟机，需在"显示器"设置中勾选"加速3D图形"10.1.4安装麒麟服务器操作系统（中）安装目的地选择存储设备勾选本地存储设备，可添加附加设备或网络设备存储配置•自动：系统自动分区（推荐）•手动：自定义分区（特殊需求）设置root密码密码复杂度要求•长度至少8个字符•包含大写字母、小写字母、数字和特殊字符中的任意3种•不能包含用户名密码设置失败会导致用户创建失败软件选择选择需要安装的软件包•基本环境：带UKUIGUI的服务器•附加软件：根据业务需求选择开始安装完成必要设置后，单击"开始安装"按钮•系统显示安装进度•完成后单击"重启系统"10.1.4安装麒麟服务器操作系统（下）许可协议首次重启后勾选使用许可协议单击"许可信息"查看协议内容勾选"我同意许可协议"创建用户创建管理员用户（如gly）设置用户名和密码单击"结束配置"完成登录系统进入登录界面以root用户登录输入密码并按Enter键安装VMwareTools增强功能•分辨率自动调整•主机与虚拟机文件共享•更好的性能和体验安装命令yum-yinstallopen-vm-toolsopen-vm-tools-desktop安装完成后重启系统10.1.5服务器基本配置图形界面配置开始菜单通过开始菜单启动应用程序控制面板使用控制面板实现可视化系统配置命令行配置更改主机名hostnamectlset-hostnamekylin-srvbash网络配置使用nmcli命令管理网络nmcliconnectionshow网络配置示例nmcliconmodifyp160p1ipv4.addr1/24ipv4.gatewayconnection.autoconnectyesipv4.methodmanualipv4.dns"14"CHAPTER10.2远程管理麒麟服务器多种远程管理方式与安全保障实现高效的服务器运维管理10.2.1通过SSH远程登录麒麟服务器（上）SSH（SecureShell）是使用客户端/服务器架构的安全通信协议，能够让用户远程登录到服务端主机系统。与其他远程通信协议不同，SSH加密了登录会话，使入侵者难以获取未加密的密码。配置SSH服务器默认状态麒麟服务器默认已安装OpenSSH并自动启动查看服务状态systemctlstatussshd.service服务名称麒麟服务器：sshd.service防火墙配置firewall-cmd--list-servicesSSH配置文件/etc/ssh/sshd_config常用配置项•Port-监听端口（默认22）•PermitRootLogin-允许root登录•PasswordAuthentication-密码认证•PubkeyAuthentication-密钥认证重启服务systemctlrestartsshd10.2.1通过SSH远程登录麒麟服务器（下）SSH登录基本用法ssh用户名@服务器地址•首次连接需确认服务器指纹•输入密码完成登录•使用exit退出会话SCP文件复制从服务器复制到本地scproot@server:/path/file./local/从本地复制到服务器scp./local/fileroot@server:/path/•使用SSH协议安全传输•支持文件和目录复制SFTP文件传输登录SFTPsftp用户名@服务器地址常用命令•put-上传文件•get-下载文件•mkdir-创建目录•rm-删除文件•使用exit或quit退出10.2.1使用基于密钥的认证基于密钥的认证比密码认证更安全、更便捷，管理员可以直接使用密钥进行认证，免去输入密码的步骤。服务器配置编辑配置文件/etc/ssh/sshd_config启用密钥认证PubkeyAuthenticationyesAuthorizedKeysFile.ssh/authorized_keys禁用密码认证（可选）PasswordAuthenticationno重启SSH服务systemctlrestartsshd生成密钥对ssh-keygen-trsa•选择保存路径（默认~/.ssh/）•设置密码短语（可选）•生成id_rsa（私钥）和id_rsa.pub（公钥）复制公钥到服务器ssh-copy-idroot@server•自动将公钥复制到服务器的~/.ssh/authorized_keys•需要输入服务器密码一次免密登录sshroot@server无需输入密码直接登录成功10.2.2远程连接麒麟服务器的桌面（上）对于安装有图形用户界面的麒麟服务器，使用远程桌面更为方便。常用远程桌面协议包括VNC、SPICE、RDP。VNCVirtualNetworkComputingSPICESimpleProtocolforIndependentComputingEnvironmentRDPRemoteDesktopProtocolTigerVNC安装配置1安装TigerVNCdnfinstalltigervnc-server2复制服务文件cp/usr/lib/systemd/system/vncserver@.service/etc/systemd/system/vncserver-root@.service3修改配置文件WorkingDirectory=/rootUser=rootGroup=root4重新加载systemdsystemctldaemon-reload10.2.2远程连接麒麟服务器的桌面（中）设置VNC密码设置命令vncpasswd设置内容•输入VNC登录密码•确认密码•可选择设置view-only密码（只读）密码保存位置~/.vnc/passwd防火墙配置开放端口firewall-cmd--permanent--add-port=5900-5910/tcp重新加载firewall-cmd--reload启动VNC服务启动并设置开机自启systemctlenablevncserver-root@:1.service--now查看端口netstat-antulp|grep59010.2.2远程连接麒麟服务器的桌面（下）VNC客户端连接•麒麟桌面：远程桌面客户端（Remmina）•Windows：TightVNC客户端•配置服务器IP和端口（如00:5901）10.2.3Cockpit远程管理Cockpit是一个Web控制台，具有易于使用的基于Web的界面，使管理员可以在服务器上执行管理任务。麒麟服务器操作系统已经预装Cockpit。启动Cockpit服务启动并设置开机自启systemctlenable--nowcockpit.socket默认端口Cockpit服务默认监听9090端口防火墙配置firewall-cmd--add-service=cockpit--permanentfirewall-cmd--reload10.2.3Cockpit远程管理Cockpit是一个Web控制台，具有易于使用的基于Web的界面，使管理员可以在服务器上执行管理任务。麒麟服务器操作系统已经预装Cockpit。使用Cockpit访问地址https://服务器IP:9090登录输入服务器用户名和密码登录管理功能•系统管理、日志管理•存储管理、网络管理•账户管理、服务管理•实时终端10.2.3Cockpit远程管理Cockpit是一个Web控制台，具有易于使用的基于Web的界面，使管理员可以在服务器上执行管理任务。麒麟服务器操作系统已经预装Cockpit。使用Cockpit访问地址https://服务器IP:9090登录输入服务器用户名和密码登录管理功能•系统管理、日志管理•存储管理、网络管理•账户管理、服务管理•实时终端CHAPTER10.3麒麟服务器的运维服务器日常管理与维护操作确保系统稳定高效运行10.3.1安装和管理软件（上）麒麟服务器操作系统兼容RHEL/CentOS，使用rpm格式的离线安装包和dnf/yum在线安装工具。rpm命令安装软件包rpm-ivhpackage.rpm-i:安装,-v:显示进度,-h:显示#号进度条升级软件包rpm-Uvhpackage.rpm-U:升级或安装查询软件包rpm-qpackage-q:查询,-qa:查询所有卸载软件包rpm-epackage-e:卸载rpm命令需要自行处理软件依赖性问题，建议使用dnf/yum10.3.1安装和管理软件（中）dnf是新一代软件包管理器，能够自动处理依赖关系，是麒麟服务器操作系统推荐的软件包管理工具。dnf常用命令dnfinstall安装软件包dnfupdate更新软件包dnfremove删除软件包dnfcheck-update检查更新dnfdownload下载软件包dnfinfo显示软件包信息dnf查询命令dnflist列出软件包清单dnfsearch搜索软件包dnfrepolist显示软件源dnfupgrade升级所有软件包dnfhistory查看历史记录dnfhistoryundo撤销历史操作dnf与yum的关系麒麟服务器中dnf和yum命令功能相同，dnf是新一代软件包管理器，兼容yum命令10.3.1安装和管理软件（下）软件包组管理dnfgroups命令用于管理软件包组，将多个相关软件包打包在一起dnfgroupssummary显示软件包组概览dnfgroupslist列出所有软件包组dnfgroupsinfo显示软件包组信息dnfgroupsinstall安装软件包组dnfgroupsremove删除软件包组dnfgroupsupgrade升级软件包组配置软件源dnf.conf配置文件/etc/dnf/dnf.conf设置通用选项，如缓存、日志等软件源仓库配置/etc/yum.repos.d/*.repo定义软件源仓库验证软件源dnfrepolist显示所有可用的软件源10.3.2部署和管理服务器软件麒麟服务器使用systemd作为系统守护进程管理工具。以NginxWeb服务器为例，示范部署流程。Nginx部署步骤1安装Nginxdnfinstallnginx2查看服务状态systemctlstatusnginx3启动并设置开机自启systemctlenable--nownginx4防火墙开放http服务firewall-cmd--add-service=http--permanent验证安装浏览器访问在浏览器中输入服务器IP地址查看欢迎页面显示Nginx欢迎页面表示安装成功修改配置主配置文件/etc/nginx/nginx.conf站点配置/etc/nginx/conf.d/*.conf10.3.3系统监控图形界面工具系统信息查看系统基本信息和硬件信息系统监视器监控进程、资源、磁盘使用情况日志查看器查看和管理系统日志sysstat工具集iostatCPU和硬盘吞吐mpstat处理器数据pidstat进程级资源使用vmstat虚拟内存统计nfsiostatNFS文件系统I/Osar系统活动信息安装sysstatdnfinstallsysstat10.3.4动态调整磁盘存储空间（上）逻辑卷管理（LVM）提供了磁盘存储管理的灵活性，可以在系统运行时扩充和缩减磁盘空间，无需重新格式化磁盘或重启系统。物理卷PV•磁盘或分区•初始化物理卷•使用pvcreate命令卷组VG•多个物理卷组成•卷组是存储池•使用vgcreate命令逻辑卷LV•从卷组分配•可以动态扩容•使用lvcreate命令物理区域PELVM的最小存储单位，默认大小为4MB。LVM通过交换PE进行数据转换，实现逻辑卷容量的动态调整10.3.4动态调整磁盘存储空间（中）LVM管理工具物理卷命令pvscan扫描pvs显示pvdisplay详细信息pvcreate创建卷组命令vgscan扫描vgs显示vgdisplay详细信息vgcreate创建vgextend扩充逻辑卷命令lvscan扫描lvs显示lvdisplay详细信息lvcreate创建lvextend扩充LVM2软件包dnfinstalllvm2提供LVM管理工具命令功能分类•扫描检测（scan）•显示信息（display）•创建（create）•删除（remove）•扩充（extend）•缩减（reduce）10.3.4动态调整磁盘存储空间（下）创建逻辑卷的完整步骤1创建分区fdisk/dev/sdb类型设为LinuxLVM2创建物理卷pvcreate/dev/sdb1pvs查看3创建卷组vgcreatevg_data/dev/sdb1vgs查看4创建逻辑卷lvcreate-L10G-nlv_datavg_datalvs查看5建立文件系统mkfs.xfs/dev/vg_data/lv_data6挂载目录mount/dev/vg_data/lv_data/mnt/data7配置自动挂载编辑/etc/fstab动态扩充逻辑卷扩充物理卷pvcreate/dev/sdc1扩充卷组vgextendvg_data/dev/sdc1扩充逻辑卷lvextend-L+10G/dev/vg_data/lv_data扩展文件系统xfs_growfs/mnt/data10.3.5备份还原（上）麒麟备份还原工具功能特点•系统和用户数据备份还原•新建备份点和增量备份•系统还原到指定状态界面功能•高级系统备份•高级系统还原•数据备份•操作日志、备份管理10.3.5备份还原（上）麒麟备份还原工具功能特点•系统和用户数据备份还原•新建备份点和增量备份•系统还原到指定状态界面功能•高级系统备份•高级系统还原•数据备份•操作日志、备份管理10.3.5备份还原（下）dd命令备份整个磁盘ddif=/dev/sdaof=/backup/sda.img还原磁盘ddif=/backup/sda.imgof=/dev/sda常用选项•if:输入文件•of:输出文件•bs:块大小•status=progress:显示进度xfsdump备份备份xfs文件系统xfsdump-f/backup/data.dump/mnt/data特点按inode顺序备份，无需卸载文件系统xfsrestore恢复恢复备份xfsrestore-f/backup/data.dump/mnt/data查看备份内容xfsrestore-t/backup/data.dumptar命令创建归档tar-czvfbackup.tar.gz/path解压归档tar-xzvfbackup.tar.gz-C/path常用选项•-c:创建•-x:解压•-z:gzip压缩•-v:显示过程•-f:指定文件名CHAPTER10.4服务器安全管理构建全方位企业级系统安全防护体系确保服务器安全稳定运行10.4.1配置和管理防火墙（上）麒麟服务器默认使用firewalld防火墙，支持网络/防火墙区域定义网络链接，以及网络连接应该分配哪个区域的信任程度。防火墙区域区域概念基于信任程度划分网络，每个区域设置要打开或关闭的端口和服务常用区域•public-公共区域（默认）•trusted-信任区域•drop-丢弃区域•block-阻止区域管理方法firewall-cmd命令行最常用的管理方法，功能强大图形用户界面firewall-config工具，可视化配置XML配置文件直接编辑/etc/firewalld/下的配置文件10.4.1配置和管理防火墙（下）firewall-cmd命令查看状态firewall-cmd--state查看默认区域firewall-cmd--get-default-zone列出所有区域规则firewall-cmd--list-all查看活动区域firewall-cmd--get-active-zones添加规则添加端口firewall-cmd--add-port=8080/tcp--permanent添加服务firewall-cmd--add-service=http--permanent删除规则删除端口firewall-cmd--remove-port=8080/tcp--permanent删除服务firewall-cmd--remove-service=http--permanent重新加载firewall-cmd--reload修改配置后需要重新加载才能生效10.4.2审计管理审计系统用于记录系统中的安全相关事件，帮助管理员追踪系统活动，检测安全威胁。审计系统运行机制1内核审计组件接受系统调用，记录审计事件2过滤器筛选根据规则筛选审计事件3auditd守护进程处理并记录审计事件4日志记录记录到audit.log日志文件10.4.2审计管理审计规则决定审计日志文件能够记录的事件及其内容，可分为3种类型，通过auditctl命令定义。控制规则提供控制命令来配置审计系统参数设置审计缓冲区最大容量auditctl-b8192规则持久化配置/etc/audit/rules.d/audit.rules文件系统规则也称为文件监视（watch），监视文件的读、写、执行和属性修改命令格式auditctl-wpath-ppermissions-kkey示例：监视passwd文件auditctl-w/etc/passwd-pwa-kpasswd_changes-r读取-w写入-x执行-a改变属性系统调用规则监测并记录指定程序所做的系统调用命令格式auditctl-a[list,action]-Ssyscall-kkey示例：监控mount调用auditctl-aexit,always-Farch=b64-Smount-kmountsalways分配审计上下文/never不生成记录10.4.2审计管理审计记录默认保存在/var/log/audit/audit.log，可使用专门工具查看和分析。ausearch搜索审计日志基于条件搜索审计日志，支持按关键字、时间等过滤按关键字搜索ausearch-kpasswd_changes列出所有审计规则auditctl-laureport生成审计报告从审计日志文件中生成总结和分栏式报告生成默认汇总报告aureport使用选项定制报告aureport[options]审计规则持久化通过auditctl添加的规则不是永久有效的，重启后会失效。将规则添加到配置文件可实现持久化。规则配置文件/etc/audit/rules.d/audit.rules（语法与auditctl相同，不含auditctl命令前缀）多条规则自上而下匹配，冲突时第一个匹配的规则优先。#开头的行会被忽略。10.4.3使用麒麟安全增强组件Kysec是麒麟软件自主研发的操作系统安全防护机制，实现应用执行控制、联网控制、文件保护等安全策略。启用Kysec安全机制1安装麒麟安全增强工具dnfgroupinstall麒麟安全增强工具2切换到推荐安全级别security-switch--setdefault3重启系统使配置生效重启后执行getstatus查看安全状态查看当前安全级别：security-switch--getKysec5大子模块exectl应用执行控制，管控可执行文件的执行行为netctl应用联网控制，管理网络访问和网络服务