运维之路开始了

2017年10月10日21:32:19

我只想说一句，666

开始接手老师新买的服务器了。别乱搞事情！！

接下来

1、查过的所有操作，都做好笔记

2、《鸟哥的linux私房菜》要好好读

3、学习一些监控软件和操作

未完待续......

权限，用户

用户 容器 关联权限：用户组，方便地指派权限

用户：标识符
用户组：标识符

文件：

进程的安全上下文（secure Context）：
这个来判断，是在内核的管理下，自动完成的

宿主的权限 属组的权限 其他人权限
r w x

文件：
r：可读，可以使用类似 cat more less 等命令查看文件内容
w：可写，可以编辑或删除此文件
x：可执行，可以命令提示符下当做命令提交给内核运行

目录：
r：可以对此目录执行 ls 以列出内部的所有文件
w：可以在此目录创建文件
x：可以使用 cd 切换进此目录，也可以使用 ls -l 查看内部文件的详细信息

目录一般都有x权限，而文件一般不会默认给x权限，因为当文件中放置恶意程序时，会给系统带来危害。

rwx：
r--：只读
r-x：读和执行
---：无权限

0 000 ---：无权限
1 001 --x：执行
2 010 -w-：只有写权限
3 011 -wx：写和读
4 100 r--：只读
5 101 r-x：读和执行
6 110 rw-：读写
7 111 rwx：读写执行

755：rwxr-xr-x

用户：UID /etc/passwd
组：GID /etc/group

影子口令： /etc/shadow
组: /etc/gshadow

用户类别：
管理员：0
普通用户：1-65535
系统用户：1-499
一般用户：500-60000

用户组：
管理员组：
普通组：
系统组：
一般组：

用户组类别：
私有组：创建用户时：如果没有为其指定所属组，系统会自 动为其创建一个与用户同名的组
基本组：（私有组）每个用户自己都有一个默认组
附加组：额外组，默认组以外的其他组

进程：tom tom
对象：rwxrw-r-- jerry tom a.txt

tom: ls
rwxr-xr-x root root /bin/ls

进程权限是发起者权限

account：登录名
password：密码占位符
UID：用户的id号
GID：基本组id
comment：用户的注释信息
HOME DIR：家目录
SHELL：用户的默认shell

向系统添加用户
1 shadow
2 group

/etc/shadow
account:登录名
encrypted password：加密的密码
上次密码修改时间
密码最短使用期限
密码最长使用期限
密码宽限期：登录服务器，先改密码，别的不让做

ls -l $(which useradd)
ls -l `which useradd
ls -l `which adduser

useradd USERNAME

cd /etc/default/
file useradd
cat useradd

cat /etc/group
组名
密码占位符
组ID
以这个组为附加组的用户列表

groupadd GRPNAME

用户管理相关命令：
useradd
userdel
usermod
passwd
chsh
chfn
finger
id
chage

useradd [options] USERNAME
-u UID(500-60000)其他用户尚未使用过得
-g GID（基本组）事先存在，才能用
-G GID，...（指定其额外组,可以有多个，如果有多个，彼此之间用逗号隔开）
-c “COMMENT”
-d /path/to/somedirectory
-s SHELL 指定shell的路径
-m -k
-M
-r 添加一个系统用户（UID：1-499）

/etc/shells 指定了当前系统可用的安全shell
/etc/login.defs 指定用户默认配置

userdel：
userdel [option] USERNAME
如果删除用户不加任何选项，那么用户的家目录将不会被删除
-r 同时删除用户的家命令

id：查看用户的账号属性信息
-u
-g
-G
-n 显示字符名字，可以配合上边几个参数使用

finger USERNAME 查看用户账号信息

如何修改用户账号属性：
usermod [option] USERNAME
-u UID
-g GID（存在的组才能改）
-G GID(如果此前有附加组，改附加组，此前的附加组就没了)
-a -G GID（再添加附加组，不会使之前的丢失）
-c “COMMENT”
-d -m
-s
-l 更改用户名
-L 锁定用户账号（类似于禁用）
-U 用于解锁账号

chsh:修改用户默认shell

chfn:修改注释信息

密码管理：
passwd [USERNAME]
普通用户 passwd 只能修改自己的密码
管理员 passwd [USERNAME] 修改其他用户密码
--stdin 表示从标准输入输入密码(echo "redhat" | passwd --stdin user1)
-l 锁定账号
-u
-n
-x
-i
-d 清空用户的密码（禁止空密码用户登录，redhat）
Linux哲学：尽量不和用户交互

pwck：检查用户账号完整性

环境变量：
PATH
HISTSIZE
SHELL

组管理命令：
groupadd
groupdel
groupmod
gpasswd

groupadd
-g GID 指定GID
-r 添加为系统组

groupmod
-g GID
-n GRPNAME

groupdel

gpasswd [GRPNAME]
为组设定密码

newgrp GRPNAME <--> exit (登录了之后要退出)

chage
-d 最近一次修改时间
-E 过期时间
-T 非活动时间
-m 最短使用期限
-M 最长使用期限
-w 警告时间

权限管理
chown
chgrp
chmod
umask

r
w
x

三类用户：
u 属主
g 属组
o 其他

chown 改变文件属主（只有管理员才有权限）
chown USERNAME file,... （ls -ld /tmp/hi 查看目录数主）
-R 修改目录及其内部文件的属主
--reference=/path/to/somefile file,...

chown USERNAME:GRPNAME file,...
chown :GRPNAME file,...
chown USERNAME.GRPNAME file,...

chgrp GRPNAME file,...
-R
--reference=/path/to/somefile file,...

chmod:修改文件权限
修改三类用户权限
chmod MODE file,...
-R
--reference=/path/to/somefile file,...
rwxr-x---

修改某类用户或某些类用户的权限
u,g,o,a
chmod 用户类别=MODE file,...

修改某类的用户某位或者某些位权限
chmod u+wx /tmp/hi/1.txt
chmod g-r /tmp/hi/1.txt

可以完全手动加用户
管理员权限非常大

openssl passwd

whatis passwd

man sslpasswd

openssl passwd -1 -salt '12345678'

umask:遮罩码
文件 666-umask （文件默认没有执行权限，如果计算的结果有了执行权限，则将其权限加一）
目录 777-umask

站在用户的角度讲，SHELL的类型
登录式shell
正常通常某终端登录
su - USERNAME
su -l USERNAME

非登录式shell
su USERNAME
图形终端中打开命令窗口
自动执行的shell脚本

bash的配置文件
全局配置(修改下面三种类型的配置，对所有用户都有效)
/etc/profile /etc/profile.d/*.sh /etc/bashrc

个人配置(每个用户的个人文件)
~/.bash_profile ~/.bashrc

作用范围越小，越是最终的设定

profile类的文件：
设定环境变量
运行命令或脚本（在用户登录之前，做一些工作）

bashrc类的文件：
用来设定本地变量
定义命令别名

登录式shell如何读取配置文件？
读取顺序：
/etc/profile
/etc/profile.d/*.sh
~/.bash_profile
~/.bashrc
etc/bashrc

非登录式shell如何读取配置文件：
~/.bashrc
/etc/bashrc
/etc/profile.d/*.sh

加密方法：
对称加密：加密和解密使用同一密码
公钥加密：每个密码都成对出现，一个为私钥（secret key），一个为公钥（public key） 用于做密钥交换
单向加密：也叫散列加密或者指纹加密，只能加密不能解密。可以由明文得到密文，反之不行。用来提取数据特征码。常用语数据完整性校验。
1、不可逆
2、雪崩效应（蝴蝶效应）
MD5：Message Digest，128位定长输出
SHA1：secure hash algorithm，160位定长输出
美国强加密算法不让对外输出。
加点盐（salt），

创建用户
mkdir /home/neuiva1/xxx
useradd -G 1000 -d /home/neuiva1/xxx -s /bin/bash xxx
passwd xxx

cp -r /home/sdb1/unicoe/* /home/neuiva1/xxx/
cp -r /home/sdb1/unicoe/.* /home/neuival/xxx/
chown -R xxx.xxx /home/neuiva1/xxx/

对用户来说:
关闭g和o的权限
chmod -R g-w /home/neuiva1/xxx ()
chmod -R o-rwx /home/neuiva1/xxx

从xxx组中删除 test用户

gpasswd xxx -d test

新用户创建之后，解决3个问题

1、ubuntu默认没有给用户默认的shell 需要手动配置（已加）

2、让用户进入neu2017小组（创建用户时已加）

2、想要用/home/neu2017/ 下的东西，需要给当前用户手动配置 ~/.bashrc 文件（已复制）

3、用户想要跑，还要把 /home/neu2017/data 的权限开放(已开放)

那么在 /home/neu2017/ 文件夹创建要给大家看的新东西的时候，就需要给
组的读和执行权限 r-x 。

在   /home/neuiva1/ 目录下创建用户， 必须给用户 neu2017的组权限，不然，用户创建之后，没有家目录。。。 

将用户添加到sudo组

用户添加完成之后，打这么一条命令：usermod -a -G sudo 用户名

如果想取消他的sudo权限，就把该用户组中的该用户再删掉。 

修改  /etc/sudoers 文件，对sudo用户组进行限制

sudo visudo

%admin ALL=/usr/sbin/*,/sbin/*,/usr/bin/*,!/usr/bin/passwd,!/usr/sbin/visudo,!/usr/sbin/useradd,!/usr/sbin/userdel
%sudo  ALL=/usr/sbin/*,/sbin/*,/usr/bin/*,!/usr/bin/passwd,!/usr/sbin/visudo,!/usr/sbin/useradd,!/usr/sbin/userdel,!/bin/rm

　　

普通用户对所有软件的可用测试

修复Windows硬盘挂载   /dev/sda8

sudo ntfsfix /dev/sda8

手动挂载
sudo fdisk -l

查找跟你U盘文件格式相同的那一行所对应的盘符，比如我的U盘对应的是/dev/sdd1。

那就在终端中继续输入 mkdir /media/usb 创建一个挂载文件夹

然后 mount /dev/sdd1 /media/usb 然后打开/media/usb文件夹，

今天实验室的台式机被当矿机了。。。。

感觉受到了侮辱。。。

连日志都不怎么会看。。。

大神经历  https://ruby-china.org/topics/23848

ufw防火墙  http://www.linuxidc.com/Linux/2016-12/138259.htm

禁用账号

把账号禁用可以有几个方法：
1. # usermod -L <username>
    # usermod -U <username>                // 解除禁用
2. 修改/etc/passwd文件，可以有几个地方
1）把第二个字段中的"x"变成其它的字符，该账号就不能登录
2）把/bin/bash修改成/sbin/nologin
3. 修改/etc/shadow文件
1）在第二个密码字段的前面加上一个“!”，该账号就不能登录，这个其实就是usermod -L命令的结果
2）在最后两个冒号之间加上数字"1"，表示该账号的密码自1970年1月1日起，过一天后立即过期，当然现在自然就不能登录了。
如果想解禁，把修改的东西去掉就可以了。

ufw的使用
1.安装
sudo apt-get install ufw
2.启用
sudo ufw enable
sudo ufw default deny
运行以上两条命令后，开启了防火墙，并在系统启动时自动开启。关闭所有外部对本机的访问，但本机访问外部正常。
3.开启/禁用
sudo ufw allow|deny [service]
打开或关闭某个端口，例如：
sudo ufw allow smtp　允许所有的外部IP访问本机的25/tcp (smtp)端口
sudo ufw allow 22/tcp 允许所有的外部IP访问本机的22/tcp (ssh)端口
sudo ufw allow 53 允许外部访问53端口(tcp/udp)
sudo ufw allow from 192.168.1.100 允许此IP访问所有的本机端口

4.查看防火墙状态
sudo ufw status

5.根据端口删除规则

先查询规则号：

sudo ufw status numbered

然后再根据号来删除

sudo ufw delete 2

改了ssh的端口号之后，访问方法

ssh -p port_num  user@IP

1、重启之后，要能自动配置网络 ip
dhclient + 网卡名称enfs

2、硬盘要自动挂载

挂载顺序，别挂载错了
mount /dev/sdb1 /home/neuiva2
mount /dev/sdc1 /home/neuiva1

创建用户脚本

mkdir /home/neuiva2/wangironman
useradd -G 1000 -d /home/neuiva2/wangironman -s /bin/bash wangironman
passwd wangironman


cp -r /home/neuiva1/create_user_template/* /home/neuiva2/wangironman/
cp -r /home/neuiva1/create_user_template/.* /home/neuiva2/wangironman/
chown -R wangironman.wangironman /home/neuiva2/wangironman/



mkdir /home/neuiva2/liweixiqq
useradd -G 1000 -d /home/neuiva2/liweixiqq -s /bin/bash liweixiqq
passwd liweixiqq


cp -r /home/neuiva1/create_user_template/* /home/neuiva2/liweixiqq/
cp -r /home/neuiva1/create_user_template/.* /home/neuiva2/liweixiqq/
chown -R liweixiqq.liweixiqq /home/neuiva2/liweixiqq/