linux 红帽7学习笔记rh134.docx

Redhat Enterprise Linux 7 RH134 Document齐凯斌 编著北 京 没 有 出 版 社 出 版目录RH134-UNIT1 kickstart批量部署系统 -3RH134-UNIT2 grep配合正则表达式-5RH134-UNIT3计划任务-6RH134-UNIT4进程优先级管理-6RH134-UNIT5 ugo权限补充-8RH134-UNIT6 SElinux -9RH134-UNIT7 ldap、自动挂载-10RH134-UNIT8磁盘分区-12RH134-UNIT9 LVM管理、RAID管理-13RH134 UNIT-1使用 kickstart 批量部署系统SattlleRH401 卫星服务器（walkspace centos）windows WDS客户端需要的东西都在 kickstart 服务器上提供1.客户端要获取 ip（从 dhcp） ip-netmask-gw-dns 客户端需要看到安装界面，必须要把系统引导起来 要从服务器获得 pxelinux.0 这个文件（实际上就是 grub） 引导还需要 vmlinuz（内核文件） ，initrd（内存盘） 先引导 grub，再加载 2 个文件2.此 3 个文件如何获得？ 通过服务器上的 TFTP server 以广播的形式发送给客户端 DHCP 告诉服务器发给客户端什么文件，同时告诉服务器 TFTP SERVER 的地址 客户端需要的软件包，也在服务器上3.我们将服务器上的软件包要共享出去。 通过 FTP(RHEL6)、 http(RHEL7)、 nfs（RHEL5) 需要在服务器上搭建相应的服务4.安装系统时需要设置主机名 如果没有设置主机名，默认 localhost.localdomain 如果想给每个客户端设置主机名，需要在服务器上配置 dns 利用 dns 的反向解析，ip-主机名要用 yum 下载文件，需要从 redhat 的官网上下载 yum-downloadonly 软件包配置 kickstart 服务器1.有固定的 ip 用 nmcli 命令设置 setenforce 0 systemctl stop firewalld.service systemctl mask iptables.service systemctl mask ebtables.service2.配置 dhcp 服务器 yum install dhcp cat /usr/share/doc/dhcp*/dhcpd.conf.example /etc/dhcp/dhcpd.conf (从模版得到配置文件） vim /etc/dhcp/dhcpd.conf log-facility local7;subnet netmask range 0 00; option domain-name-servers ; option domain-name ; option routers ; next-server ; # 指的 tftp 服务器的 ip filename /pxelinux.0; # 此“/”指的是 tfpt 的根/var/lib/tftpboot option broadcast-address 55; default-lease-time 600; max-lease-time 7200;systemctl restart dhcpdnetstat -anplut |grep dhcpsystemctl enable dhcpd.service2.配置 tftp server yum install tftp-server cd /var/lib/tftpboot yum install syslinux (得到 pxelinux.0） rpm -ql syslinux | grep pxelinux.0 cp /usr/share/syslinux/pxelinux.0 /var/lib/tftpboot（引导程序） cd /mnt/cdrom/images/pxeboot cp initrd.img vmlinuz /var/lib/tftpboot （内核 内存驱动盘） mkdir /var/lib/tftpboot/pxelinux.cfg cd /mnt/isolinux cp isolinux.cfg /var/lib/tftpboot/pxelinux.cfg/default chmod u+w /var/lib/tftpboot/pxelinux.cfg/default cp /mnt/isolinux/boot.msg /var/lib/tftpboot/ (引导图片） chmod u+w /var/lib/tftpboot/boot.msg vim /var/lib/tftpboot/pxelinux.cfg/default default linux (改为 linux） 第一个 label 改为 linux3.启动 tftp server vim /etc/xinetd.d/tftp disable=no systemctl restart xinetd.service netstat -anplut | grep :69 看看 xinetd 是否已经启动4.ftp 服务的配置（将光盘的软件包共享出去） yum install vsftpd systemctl restart vsftpd systemctl enable vsftpd mkdir /var/ftp/cdrom mount /dev/cdrom /var/ftp/cdrom5.客户端测试 此时可以实现，pxe 引导，但是需要自己安装（人际交互式）6.如何实现自动化安装？ 需要配置一个自动化安装的应答文件（.ks) 生成应答文件？ yum install system-config-kickstart 用 system-config-kickstart 建立自动应答文件 vim /root/ks.cfg 加入你未来部署系统的软件包 %packages %end 将 ks 文件放到客户端可以访问到的地方 cp /root/ks.cfg /var/ftp vim /var/lib/tftpboot/pxelinux.cfg/default append initrd=initrd.img inst.repo=/cdrom ks=/ks.cfgquiet systemctl restart xinetd.service 客户机测试RH134-UNIT2使用 grep 配合 正则表达式通配符？ 一个任意字符* 0-多个任意的字符cat file | grep a,b,c 匹配其中的一个字符cat file | grep a-z 匹配其中的一个字符 ab 除了 a 或 b 一个字符开头的 a-z* 第一个字符不是以 a-z 开头的ls /etc/ | grep a-z0-9 找前面结果包括一个字符 a-z 同时相连字符 0-9 的行 ls ?* 第一个字符随意，后面 0-多个字符 !. 除了. rm -rf .!.* 第一个字符是.，第二个字符不是.的，后面随意 rm -rf * *通配符默认不会删除隐藏文件的 shopt -s dotglob *通配符可以包含. shopt -u dotglob *通配符不会包括隐藏文件 范围正则 . 代表单个任意字符 grep . file 找 file 文件中包含 2 个字符的行 + +前面字符可以出现多次，一次以上，不能是 0 次 egrep - 代表后面选项可以有正则表达式 或 grep -E 后面是正则 ？ ？前面的字符可以出现 1 次或 0 次 官方推荐在正则表达式加上 不加单引号，shell 会认为这个 shell 的通配符？ * *前面的字符可以出现多次或 0 次 .* 相当于任意字符（和 shell 中的*） grep -E a.+ file 包括 a 开头，后面任意多个字符（1-多次） grep -E a.+? file 包括 a 开头，后面任意字符 0-多次 a 以 a 开头 a$ 以 a 结尾 a.b$ a11b axxb akkb awk - 单独一个语言RH134-UNIT3计划任务一次性和周期性一次性计划任务at 时间描述 at 15：31 wall “hello” ctrl+d 结束 atq 查看当前用户一次性计划任务 atrm 任务号 删除 一次性计划任务的位置 /var/spool/at限制用户建立 at vim /etc/at.deny zhangsan vim /etc/at.allow zhangsan 一旦冲突，以 at.allow 为准周期性计划任务 cron crontab -e 编辑 -l 显示 -r 删除 1-59/2 相当于（1，3，5，7，。） /数字 间隔 0-58/2 相当于（0，2，4，6，。）vim /etc/cron.deny 拒绝 /etc/cron.allow 允许系统计划任务 /etc/cron.xxxx (每小时、每天、每周、每月） /etc/crontab 语法规则/etc/anacrontab 自动计划任务RH134-UNIT4进程的优先级管理派生 fork（）systemd 系统中第一个进程每个进程都有一个 pid 号关闭终端，其下面的进程都关闭了。nohup 关闭终端，其进程依然运行查看进程ps 查看当前终端有几个进程ps 不加选项的话，只能查看当前终端的进程ps aux显示任何终端的进程 a所有的终端 u所有的用户 x 不属于任何终端的进程nohup firefox & /dev/null 当关闭终端，此进程不属于任何终端ps eux 显示的内容更多ps aux 每列USER 进程的拥有者PID 进程的 ID 号%cpu 进程占用的 cpu 的百分比%MEM 进程占用内存的百分比PPID 父进程NI 进程的 nice 值，数值越大，表示占用 cpu 时间少VSZ 进程的虚拟内存的使用量（kb）RSS 进程真实内存使用量（kb）TTY 进程在哪个终端运行，如果是？，表示没有在任何终端运行START 进程运行的开始时间STAT 进程状态 D 无法中断的睡眠 R 正在运行 S 休眠 T 停止 W 进入了内存交换 X 死了的进程 Z 僵尸进程 优先级高的进程 N 优先级低的进程 + 进程在后台TIME 进程实际运行的时间COMMAND 进程运行了什么命令ps efx -o %cpu 查看某些特定信息ps efx -o pid，%cpupgrep 命令 查 pidpidof 命令 查 pidlsof 查看系统中的进程lsof -i | grep httpd 查看某个进程的情况ps 静态查看（不是实时）top-动态查看进程 默认 top 每 3s 刷新一次 每隔 1s 刷新 1 次 top -d 1 z 改变颜色 看其他 cpu 状态（看其他 core） 按 0，1，2，3 查看系统有多少个核 cat /proc/cpuinfo 在 top 中杀进程 k-pid 号 信号 9 强制的 15 干净的 kill pid killall 程序名（杀一类） 修改进程的优先级？ 优先级=优先的系数+nice 不同进程的优先系数不一样，由内核绝对系数 一般进程的优先级 20 用户可以调节 nice 值 nice -20 到 19（数值越大级别越低） nice -n -20 程序 （没有运行的程序） renice -n -20 pid 号（已经运行的进程） RH442 调优讲修改系数 chrt 普通用户只能向正数调，相当于越调越慢 在 top 中修改 nice r - pid - nice 值RH134-UNIT5 ACL对 ugo 权限的补充setuid setgid striky对同一个文件，不同用户有不同的权限 ACL 访问控制列表在 ACL 前，要先看看此文件是否设置 aclgetfacl 文件 setfacl -m u:用户名:权限 文件名 g:组名:权限 文件名 setfacl -x 删除 acl -b 全部删除 acl acl 设置后 -rw- ana 设置前 -rw-rwx- ana acl 设置后 rw- 拥有者的权限 rwx 第一个 acl 用户的权限 - 第 1 个 acl 组的权限 +表示后面还有，显示不了 acl 的优先级？ 拥有者-acl setfacl -m d:u:zhangsan:rw- /abc d: default,不管哪个用户在 abc 目录中建立了文件或目录，新建立 的文件/目录，zhangsan 都有 rw 权限 RH413 服务器的加固 如果把 d:默认权限删除后，新建立的文件没有 acl，老的依然有效RH134-UNIT6SELinux美国国防部开发，限制 root 权限ll 后出现.，说明和 SELinux 有关SELinux 是对安全的加固有个 SELinux 后，即使给文件设置了 777 权限，也不是所有的人和进程都可以访问此文件。SELinux 会给每个文件分配一个标签。ls -Z 查看文件/目录的 SELinux 标签ps auxZ 查看进程的 SElinux 标签标签不匹配，即使有权限，也不能访问。只通过权限访问的叫 DAC权限+SELinux，叫 MAC 强制访问方式。标签学名叫做 SELinux 上下文。（context）SELinux 打开后，每个文件都有上下文。SELinux 是否打开？getenforcesestatus修改 SELinux 下次启动模式vim /etc/sysconfig/selinux /selinux/configdisabled 关闭 SELinuxpermissive 警告，不满足上下文的要求，依然可以访问enforcing 强制，不满足上下文，拒绝setenforce 0|1mv 不修改 SELinux 上下文cp 继承目标目录的 SELinux 上下文修改 SELinux 上下文chcon -R -t SELinux 上下文 文件/目录 -R 递归到子目录 -t 上下文的类型restorecon -R 文件/目录 继承当前目录的上下文上下文的快速模仿？chcon -R -reference=/var/www/html index.htmlSELinux 布尔值是针对服务的开关（附加开关）如果 SELinux 布尔开关关闭了，即使服务允许，最终是拒绝的。查看 SELinux 布尔开关getsebool -a 查看所有服务的开关setsebool -P 需要修改的 SELiux 服务布尔开关 on|off图形化管理 SElinux yum whatprovides system-config-selinux yum install policycoreutils-gui system-config-selinuxSELinux 错误 setroubleshootd 命令行查看 SELinux 冲突 cat /var/log/audit/audit.log | grep sealert cat /var/log/messages | grep sealert sealert -l 2065d1c2-42a7-4ca1-a952-a2a16f7d4cb7RH134-UNIT7网络用户管理在企业中帐号是集中管理的windows 使用 AD 活动目录Linux（ldap+kerberos） 用户可以在本地验证，也可以在 DC 上验证Linux 下使用的 openldap 认证 kerberosopenldap 保存 用户名、密码、地址、电话、家目录、shell、uid、gidkerberos 保存 密码通过 ldap 验证1.时间同步 vim /etc/chrony.conf server 54 iburst systemctl restart chronyd.service timedatectl 查看是否成功 timedatectl set-ntp yes systemctl restart chronyd.service2.安装 ldap 客户端的软件 yum install sssd authconfig-gtk krb5-workstation3.加入到 ldap system-config-authentication 选择 LDAP dc=example，dc=com ldap:/ use TLS下载 CA 证书 /pub/example-ca.crt kerberos password EXAMPLE.COM apple 应用4.验证 getent password ldapuserX su - ldapuserX 没有家目录如何自动挂载家目录？方法 1：在客户端 mkdir /home/guests/ldapuserXmount 服务器 ip:/home/guests/ldapuserX /home/guests/ldapuserX 永久生效 vim /etc/fstab服务器 ip:/home/guests/ldapuserX /home/guests/ldapuserX xfs defaults 0 0 mount -a方法 2： 自动挂载,按需挂载 通过服务实现 autofs RHEL6 默认安装了此服务，此服务默认开机就启动了 RHEL7 默认未安装 yum install autofs 配置 autofs 1）/etc/auto.master 要挂载的真实目录的上级目录 /home/guests /etc/auto.ldap(目标目录的配置） 2）/etc/auto.ldap cp /etc/auto.misc /etc/auto.ldap ldapuser1 -fstype=nfs,rw 54:/home/guests/ldapuser1 * -fstype=nfs,rw 54:/home/guests/&（全映射） 3)让 autofs 配置生效 systemctl restart autofs.service systemctl enabled autofs.serviceRH134-UNIT8磁盘分区查看分区 cat /proc/partitions fdisk -l df -Th(只能查看已经挂载的分区）分区的类型 NTFS xfs 83 ext4 ext3 swap 82 lvm 8e raid fd extend 5查看 swap 分区 cat /proc/swaps swapon -s如何增加 swap 分区 fdisk /dev/sdX n-t-82 partprobe mkswap /dev/sdX swapon /dev/sdX 修改 swap 分区的优先级 swapon -p 数字 /dev/sdX 数字越大，优先级越高 永久生效 vim /etc/fstab /dev/sda3 swap swap defaults 0 0 /dev/sda5 swap swap defaults,pri=2 0 0通过文件增加 swap(不推荐） dd if=/dev/zero of=file bs=1M count=xxxx mkswap file chmod 600 file swapon -p 3 file 永久生效 vim /etc/fstab /swap 文件的路径/file swap swap defaults 0 0建立标准分区不在介绍了 逻辑分区一定是从 5 开始的fsck 文件系统修复 ext3 ext4 分区的时间和系统时间不一致 对分区进行修复xfs_repair xfs 用此命令修复RH134-UNIT9LVM 管理0.硬盘分区（普通分区） fdisk gdisk1.把物理分区初始化为物理卷 pvcreate /dev/sdX1 /dev/sdb1 pvs 查看物理卷 pvdisplay pvscan2.把物理卷分组-卷组 vgcreate 卷组名 /dev/sdX1 /dev/sdb1 vgs 查看卷组 vgdisplay vgscan 卷组的最小存储单位，PE 默认 PE 大小，4M vgcreate -s xM 卷组名 /dev/sdX1 /dev/sdb1 修改 PE 大小3.建立逻辑卷 lvcreate -L 容量 卷组名 -n 逻辑卷名 lvcreate -l PE 的个数 卷组名 -n 逻辑卷名 lvs 查看逻辑卷大小 lvdisplay lvscan4.格式化 mkfs.xfs /dev/卷组名/逻辑卷名5.挂载 mountvg 的扩展 vgextend 卷组名 物理卷vg 的缩小 vgreduce 卷组名 物理卷vg 的改名