linux综合应用

:set ff=unix

系统启动级别

centos7版本
#命令行模式
sudo systemctl set-default multi-user.target

#图形模式
sudo systemctl set-default graphical.target

#快捷指令
要进入图形界面，只需要输入命令 startx
从图形界面切换回命令行：ctrl+alt+F7
从命令行切换到图形界面：ctrl+alt+F7
要进入命令行模式：ctrl+alt+F2

安全强化 SSH 远程连接

• 禁用 root 用户登录

为此，首先，禁用 root 用户的 SSH 访问并创建一个具有 root 权限的新用户。关闭 root 用户的服务器访问是一种防御策略，可以防止攻击者实现入侵系统的目标。例如，你可以创建一个名为 exampleroot 的用户，如下所示：

useradd -m exampleroot
passwd exampleroot
usermod -aG sudo exampleroot

以下是上述命令的简要说明：

• useradd 创建一个新用户，并且 – m 参数在你创建的用户的主目录下创建一个文件夹。
• passwd 命令用于为新用户分配密码。请记住，你分配给用户的密码应该很复杂且难以猜测。
• usermod -aG sudo 将新创建的用户添加到管理员组。

在用户创建过程之后，需要对 sshd_config 文件进行一些更改。你可以在 / etc/ssh/sshd_config 找到此文件。使用任何文本编辑器打开文件并对其进行以下更改：

# Authentication: 
#LoginGraceTime 2m 
PermitRootLogin no 
AllowUsers exampleroot

PermitRootLogin 行将阻止 root 用户使用 SSH 获得远程访问。在 AllowUsers 列表中包含 exampleroot 会向用户授予必要的权限。
最后，使用以下命令重启 SSH 服务：

> sudo systemctl restart ssh

• 更改默认22端口

默认的 SSH 连接端口是 22。当然，所有的攻击者都知道这一点，因此需要更改默认端口号以确保 SSH 安全。尽管攻击者可以通过 Nmap 扫描轻松找到新的端口号，但这里的目标是让攻击者的工作更加困难。

要更改端口号，请打开 / etc/ssh/sshd_config 并对文件进行以下更改：

Include /etc/ssh/sshd_config.d/*.conf
Port 22099

在这一步之后，使用 sudo systemctl restart ssh 再次重启 SSH 服务。现在你可以使用刚刚定义的端口访问你的服务器。如果你使用的是防火墙，则还必须在此处进行必要的规则更改。在运行 netstat -tlpn 命令时，你可以看到你的 SSH 端口号已更改。

• 禁止使用空白密码的用户访问

在你的系统上可能有你不小心创建的没有密码的用户。要防止此类用户访问服务器，你可以将 sshd_config 文件中的 PermitEmptyPasswords 行值设置为 no。

PermitEmptyPasswords no

• 限制登录 / 访问尝试

默认情况下，你可以根据需要尝试多次输入密码来访问服务器。但是，攻击者可以利用此漏洞对服务器进行暴力破解。通过指定允许的密码尝试次数，你可以在尝试一定次数后自动终止 SSH 连接。

为此，请更改 sshd_config 文件中的 MaxAuthTries 值。

MaxAuthTries 3

• 使用 SSH 版本 2

SSH 的第二个版本发布是因为第一个版本中存在许多漏洞。默认情况下，你可以通过将 Protocol 参数添加到 sshd_config 文件来启用服务器使用第二个版本。这样，你未来的所有连接都将使用第二个版本的 SSH。

Include /etc/ssh/sshd_config.d/*.conf 
Protocol 2

• 关闭 TCP 端口转发和 X11 转发

攻击者可以尝试通过 SSH 连接的端口转发来访问你的其他系统。为了防止这种情况，你可以在 sshd_config 文件中关闭 AllowTcpForwarding 和 X11Forwarding 功能。

X11Forwarding no 
AllowTcpForwarding no

• 使用 SSH 密钥连接

连接到服务器的最安全方法之一是使用 SSH 密钥。使用 SSH 密钥时，无需密码即可访问服务器。另外，你可以通过更改 sshd_config 文件中与密码相关的参数来完全关闭对服务器的密码访问。

创建 SSH 密钥时，有两个密钥：Public 和 Private。公钥将上传到你要连接的服务器，而私钥则存储在你将用来建立连接的计算机上。

在你的计算机上使用 ssh-keygen 命令创建 SSH 密钥。不要将密码短语字段留空并记住你在此处输入的密码。如果将其留空，你将只能使用 SSH 密钥文件访问它。但是，如果你设置了密码，则可以防止拥有密钥文件的攻击者访问它。例如，你可以使用以下命令创建 SSH 密钥：

ssh-keygen

• SSH 连接的 IP 限

大多数情况下，防火墙使用自己的标准框架阻止访问，旨在保护服务器。但是，这并不总是足够的，你需要增加这种安全潜力。

为此，请打开 / etc/hosts.allow 文件。通过对该文件进行的添加，你可以限制 SSH 权限，允许特定 IP 块，或输入单个 IP 并使用拒绝命令阻止所有剩余的 IP 地址。

下面你将看到一些示例设置。完成这些之后，像往常一样重新启动 SSH 服务以保存更改。

sshd : 192.168.1.0/24 : ALLOW

中断脚本

我们需要使用exit命令来实现以上描述的情境。exit命令被强制输出非0值时，脚本会报错并退出。在 Unix 环境下的 shell 脚本中，0值表示成功执行。因此，在脚本终止前执行一个不带引号的exit -1命令将使脚本中止。

#!/bin/bash
echo "Hello"
exit -1
echo "bye"

执行结果
[root@localhost ~]# sh 1.sh 
Hello

权限管理

文件夹管理

假如你是一个员工组的团队领导，为xyz公司工作。公司要求你创建一个dir_xyz目录，让该组成员都能在该目录下创建或访问文件，但是除了文件创建者之外的其他人不能删除文件，你会怎么做？

# mkdir dir_xyz
# chmod g+wx dir_xyz
# chmod +t dir_xyz

第一行命令创建了一个目录（dir_xyz），上面的第二行命令让组（g）具有‘写’和‘执行’的权限，而上面的最后一行命令——权限位最后的‘+t’是‘粘滞位’，它用来替换‘x’，表明在这个目录中，文件只能被它们的拥有者、目录的拥有者或者是超级用户root删除。

一般的，在Linux系统中用户只要对某个目录具备w写入权限，便可以删除该目录中的任何文件，而不论这个文件的权限是什么。比较典型的例⼦就是“/tmp”、 “/var/tmp”目录。这两个目录作为Linux系统的临时文件夹，权限为“rwxrwxrwx”，即允许任意用户、任意程序在该目录中进行创建、删除、移动文件或目录等操作。粘滞位权限便是针对此种情况设置，当目录被设置了粘滞位权限以后，即便用户对该目录有写入权限，也不能删除该目录中其他用户的文件数据，而是只有该文件的所有者和root用户才有权将其删除。设置了粘滞位之后，正好可以保持一种动态的平衡：允许各用户在目录中任意写入、删除数据，但是禁止随意删除其他用户的数据。需要注意的是，粘滞位权限只能针对目录设置，对于文件无效。

磁盘管理lvm

物理卷PV

最底层的物理卷

PV命令
pvcreate /dev/vdb #将物理分区vdb磁盘建立成为PV
pvscan 查找目前系统里面任何具有PV的磁盘
pvdisplay /dev/vda5 显示目前系统上面的PV状态
pvremove 将PV 属性删除，让该分区不具有 PV 属性。

卷组 VG

就是将多个最底层的物理卷 pv，整合成一个 vg

物理扩展块PE

lvm 模式使用 4MB的 pe 数据库。

逻辑卷 lv

最终的 vg 还会被切成 lv，通常文件名为/dev/vgname/lvname的格式

LVM磁盘扩容

swap

使用文件创建内存交换文件

#先看原来的大小
[root@wj ~]# free -m
              total        used        free      shared  buff/cache   available
Mem:           1993         101        1677           8         214        1808
Swap:          2047           0        2047

#使用dd这个命令创建一个128MB文件
[root@wj ~]# dd if=/dev/zero of=/root/swap bs=1M count=128
记录了128+0 的读入
记录了128+0 的写出
134217728字节(134 MB)已复制，0.0754787 秒，1.8 GB/秒
[root@wj ~]# ll -h /root/swap 
-rw-r--r-- 1 root root 128M 3月  11 01:49 /root/swap

#使用mkswap将swap文件格式化为内存交换文件的文件格式
[root@wj ~]# mkswap /root/swap 
正在设置交换空间版本 1，大小 = 131068 KiB
无标签，UUID=ada0c3e6-84c0-46e6-a1f2-a505faa4511e

#使用swapon来讲swap启动
[root@wj ~]# swapon /root/swap
swapon: /root/swap：不安全的权限 0644，建议使用 0600。

#列出目前使用的内存交换分区设备有哪些
[root@wj ~]# swapon -s
文件名                          类型            大小    已用    权限
/dev/dm-1                               partition       2097148 0       -2
/root/swap                              file    131068  0       -3

#设置开机自启，不要用uuid,因为系统仅会查块设备，不会去查文件
[root@wj ~]# more /etc/fstab 

#
# /etc/fstab
# Created by anaconda on Fri Dec 15 20:55:52 2023
#
# Accessible filesystems, by reference, are maintained under '/dev/disk'
# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info
#
/dev/mapper/ao-root     /                       xfs     defaults        0 0
UUID=4d6381ae-3f76-442b-ad85-a1de2e776b61 /boot                   xfs     defaults        0 0
UUID=CD81-1E9E          /boot/efi               vfat    umask=0077,shortname=winnt 0 0
/dev/mapper/ao-swap     swap                    swap    defaults        0 0
/root/swap              swap                    swap    defaults        0 0

#关闭swap file
[root@wj ~]# swapoff /root/swap 
[root@wj ~]# free -m
              total        used        free      shared  buff/cache   available
Mem:           1993         101        1553           8         338        1807
Swap:          2047           0        2047
[root@wj ~]#