报错代码
/usr/bin/sudo must be owned by uid 0 and have the setuid bit set分析
当 /usr/bin/sudo 文件的权限设置不正确时,会出现运行 sudo 命令时报错的情况
解决方法
# chown root:root /usr/bin/sudo ; chmod 4755 /usr/bin/sudo[内容] Linux while 循环
案例一:无限循环
#!/bin/bash
while ((1));
do
sleep 1
echo "infinite loop"
done或者:
#!/bin/bash
while :
do
sleep 1
echo "infinite loop"
done案例二:从 1 计数到 5
#!/bin/bash
i=1;n=5
while ((i <= n))
do
echo $i
let i++
done或者:
#!/bin/bash
i=1;n=5
while [[ $i -le $n ]]
do
echo $i
let i++
done案例三:从 1 加到 5
#!/bin/bash
i=1
while ((i <= 5));
do
let sum=$sum+$i
let i++
done
echo $sum或者:
#!/bin/bash
i=1
while [[ $i -le 5 ]];
do
let sum=$sum+$i
let i++
done
echo $sum案例四:输入多个数字,每输入 1 个数字后就需要按下回车,通过同时按下 “Ctrl” 键和 “D” 键结束输入,并将多个数字相加
#!/bin/bash
sum=0
echo 'Please input number, you must press 'enter' after inputting each number, press 'ctrl' and 'd' at the same time to end the input"
while read num
do
let sum=$sum+$num
done
echo $sum案例五:阅读文件 (一次性阅读文件里的全部内容)
#!/bin/bash
while read line
do
echo $line
done < test.txt或者:
#!/bin/bash
cat test.txt | {
while read line
do
echo $line
done }或者:
#!/bin/bash
cat test.txt | while read line
do
echo $line
done(补充:这里以阅读 test.txt 文件为例)
案例六:阅读文件 (1 列接着 1 列阅读,并可以把每 1 列的内容分开)
6.1 创建要被阅读的文件
# vi test.txt创建以下内容:
no1 user1 test1.txt
no2 user2 test2.txt
no3 user3 test3.txt
no4 user4 test4.txt
no5 uesr5 test5.txt6.2 阅读文件 (1 列接着 1 列阅读,并可以把每 1 列的内容分开)
# cat test.txt | while read no user file ;do echo $no $file;done
no1 test1.txt
no2 test2.txt
no3 test3.txt
no4 test4.txt
no5 test5.txt问题排查的方法
方法一:按时间顺序分析 (Chronological Analysis)
根据问题发生的时间线,回溯最近发生了哪些情况和做了哪些变更,通过回溯找到发生问题的原因
方法二:深度价值分析 (Pain Value Analysis)
根据事件的重要性和特点找到其核心点,并根据核心点分析产生问题的核心
方法三:KTKT 分析 (Kepner and Tregoe)
对发生的问题进行定义,对问题的特征进行描述,通过定义和特征逐一排查,找到可能导致问题的原因
方法四:头脑风暴 (Brainstorming)
大家一起什么都想,快速获得任何和问题相关的信息,但是得到信息往往不够客观
方法五:鱼骨图 (Ishikawa Diagrams)
将发生的问题看成一个主线,分析每一条汇入这条主线的分线,这些分线都有可能导致最后出现在主线上的问题,最终找到导致主线问题的原因在哪条分线上
方法六:帕累托分析 (Pareto Analysis)
分析哪些问题影响最大,先解决所有问题中最重要的那 20%,因为往往解决最重要的 20% 问题可能就会达到 80% 的效果
方法七:5 个为什么 (5 Why)
5 个为什么只是一个抽象的概念,真实情况是对发生问题的原因一只追问下去,先问导致问题的原因是什么,根据这个原因再问导致这个原因的原因是什么,直到问到根本原因以后才停止,此方法由日本丰田公司大野耐一发明。使用此方法需要注意:
1) 避免使用借口回答问题
2) 避免在追问的过程中牵扯到人的心理
3) 避免回答问题时推卸责任
4) 避免各个问题之间没有层级关系
[步骤] SFTP 的搭建 (将 SFTP 端口和 SSH 端口分离、限制 SFTP 用户可以进入的目录和禁止 SFTP 用户 SSH 登录版)
正文:
步骤一:将 SFTP 端口和 SSH 端口分离
1.1 创建新的 SFTP 配置文件
1.1.1 创建新的 SFTP 配置文件
# cp /etc/ssh/sshd_config /etc/ssh/sshdsftp_config1.1.2 让新创建的 SFTP 配置文件被 systemctl 管理
1.1.2.1 创建管理 SFTP 配置文件的 systemctl 管理文件
# cp /usr/lib/systemd/system/sshd.service /etc/systemd/system/sshdsftp.service1.1.2.2 修改管理 SFTP 配置文件的 systemctl 管理文件
# vim /etc/systemd/system/sshdsftp.service将以下内容:
......
Description=OpenSSH server daemon
......
ExecStart=/usr/sbin/sshd -D $OPTIONS $CRYPTO_POLICY
......修改为:
......
Description=OpenSSH SFTP server daemon
......
ExecStart=/usr/sbin/sshd -D -f /etc/ssh/sshdsftp_config $OPTIONS $CRYPTO_POLICY
......1.1.2.3 让 systemctl 加载 SFTP 配置文件的 systemctl 管理文件
# systemctl daemon-reload1.2 将 SFTP 端口和 SSH 端口分离
1.2.1 修改 SFTP 使用的端口
# vim /etc/ssh/sshdsftp_config将以下内容:
......
#Port 22
......修改为:
......
Port 2222
......1.2.2 从 SSH 的配置文件里删除 SFTP 的功能
# vim /etc/ssh/sshd_config如果是 CentOS Linux & RHEL,将以下内容:
......
Subsystem sftp /usr/libexec/openssh/sftp-server
......修改为:
......
#Subsystem sftp /usr/libexec/openssh/sftp-server
......如果是 openSUSE & SLES, 将以下内容:
......
Subsystem sftp /usr/lib/ssh/sftp-server
......修改为:
......
# Subsystem sftp /usr/lib/ssh/sftp-server
......1.2.3 开放 SFTP 使用的端口
1.2.3.1 在防火墙上允许被 SFTP 使用的端口可以被访问
1.2.3.1.1 在防火墙上允许被 SFTP 使用的端口可以被访问
# firewall-cmd --add-port=2222/tcp --perm(补充:这里以在 firewalld 防火墙开通 2222 端口为例)
1.2.3.1.2 让新的防火墙策略立刻生效
# firewall-cmd --reload1.2.3.2 在 SELinux 上给 SFTP 使用的端口打上 SSH 标签
# semanage port -a -t ssh_port_t -p tcp 2222(补充:这里以给 2222 端口打上 SSH 的标签为例)
(注意:此步骤只有在 SELinux 开启,且处于 enforcing 状态时才需要设置)
1.3 让 SFTP 端口和 SSH 端口分离的设置生效
1.3.1 开启 SFTP 并将 SFTP 设置为开机自启
# systemctl enable --now sshdsftp1.3.2 重启 SSHD
# systemctl restart sshd步骤二:限制 SFTP 用户可以进入的目录
2.1 限制 SFTP 用户可以进入的目录
# vim /etc/ssh/sshdsftp_config如果是 CentOS Linux & RHEL,将以下内容:
......
Subsystem sftp /usr/libexec/openssh/sftp-server
......修改为:
......
#Subsystem sftp /usr/libexec/openssh/sftp-server
......如果是 openSUSE & SLES, 将以下内容:
......
Subsystem sftp /usr/lib/ssh/sftp-server
......修改为:
......
# Subsystem sftp /usr/lib/ssh/sftp-server
......并添加以下内容:
......
Subsystem sftp internal-sftp
Match LocalPort 2222
ChrootDirectory /%u
ForceCommand internal-sftp -m 770
AllowTcpForwarding no
X11Forwarding no(
补充:
1) 这里以将:
SFTP 的端口设置为 2222
SFTP 用户可以进入的目录只能为 /<user>
SFTP 上传的文件默认权限是 770 (-m 770 参数也可以使用 -u 770 替代,但是 -u 参数有时候会不起作用)
为例
2) 其它配置方案可以参考
)
2.2 让限制 SFTP 用户可以进入的目录的设置生效
# systemctl restart sshdsftp步骤三:禁止 SFTP 用户 SSH 登录
3.1 创建 SFTP 用户
# useradd sftpuser(补充:这里以创建名为 sftpuser 的用户为例)
3.2 禁止 SFTP 用户 SSH 登录
# usermod -s /bin/false sftpuser(补充:这里以将用户 sftpuser 的解释器修改成 /bin/false 为例)
或者:
# usermod -s /sbin/nologin sftpuser(补充:这里以将用户 sftpuser 的解释器修改成 /sbin/nologin 为例)
3.3 给 SFTP 用户设置密码
# passwd sftpuser(补充:这里以给 sftpuser 用户设置密码为例)
3.4 创建 SFTP 用户的 SFTP 目录
3.4.1 创建 SFTP 用户的 SFTP 目录
# mkdir /sftpuser(补充:因为在本文步骤 2.1 中,设置的 SFTP 用户的目录是 /<user>,且在本文步骤 3.1 中创建的用户名是 sftpuser,所以这里的 SFTP 目录是 /sftpuser)
3.4.2 设置此 SFTP 目录的所属主为 root
# chown root: /sftpuser(注意:SFTP 目录以及所有 SFTP 目录的父目录的所属主必须是 root,权限最高只能是 755 或者 750,否则就算此目录的所属主是此 SFTP 用户,此用户在登录时也会报错)
3.4.3 设置此 SFTP 目录的权限为 755
# chmod 755 /sftpuser(注意:SFTP 目录以及所有 SFTP 目录的父目录的所属主必须是 root,权限最高只能是 755 或者 750,否则就算此目录的所属主是此 SFTP 用户,此用户在登录时也会报错)
步骤四:测试 SFTP
4.1 创建测试用户
4.1.1 创建测试用户
# useradd nosftp(补充:这里以创建测试用户 nosftp 为例)
4.1.2 给测试用户设置密码
# passwd nosftp4.2 测试 SFTP 用户无法 SSH
# ssh sftpuser@127.0.0.1(补充:这里以测试用户是 sftp 为例)
4.3 测试 SFTP 目录范围
4.3.1 登录 SFTP
# sftp -P 2222 sftpuser@127.0.0.1
Connected to sftpuser@127.0.0.1.
sftp>(补充:这里以 SFTP 端口是 2222,SFTP 目录时 /sftpuser ,测试用户是 sftpuser 为例)
4.3.2 确认 SFTP 根 “/” 目录
4.3.2.1 切换到 SFTP 的根 “/” 目录
sftp> cd /4.3.2.2 显示 SFTP 根 “/” 目录下的文件或目录
sftp> ls
write
sftp>(补充:此时发现目前 SFTP 的根 “/” 并不是 Linux 系统的根 “/” 目录)
4.4 测试 SSH 和 SFTP 分离
4.4.1 SSH 测试
4.4.1.1 SSH 端口可以正常 SSH
# ssh nosftp@127.0.0.1(补充:这里以 SSH 端口是 22,测试用户是 nosftp 为例)
4.4.1.2 SFTP 端口不能被 SSH
4.4.1.2.1 有 SFTP 目录的用户不能通过 SFTP 端口 SSH
# ssh -p 2222 sftpuser@127.0.0.1
sftpuser@192.168.8.58's password:
This service allows sftp connections only.
Connection to 10.0.0.3 closed.
#(补充:这里以 SFTP 端口是 2222,SFTP 目录是 /sftpuser,测试用户是 sftpuser 为例)
4.4.1.2.2 没有 SFTP 目录的用户不能通过 SFTP 端口 SSH
# ssh -p 2222 nosftp@127.0.0.1
client_loop: send disconnect: Broken pipe
#(补充:这里以 SFTP 端口是 2222,SFTP 目录是 /sftp,测试用户是 nosftp 为例)
4.4.2 SFTP 测试
4.4.2.1 SSH 端口不能 SFTP
# sftp sftpuser@127.0.0.1
subsystem request failed on channel 0
Connection closed
#或者:
# sftp sftpuser@127.0.0.1
sftpuser@127.0.0.1's password:
Received message too long 1416133333
Ensure the remote shell produces no output for non-interactive sessions.
#(补充:这里以 SFTP 端口是 22,测试用户是 sftpuser 为例)
4.4.2.2 没有 SFTP 目录的用户不能通过 SFTP 端口 SFTP
# sftp -P 2222 nosftp@127.0.0.1
client_loop: send disconnect: Broken pipe
Connection closed
#(补充:这里以 SFTP 端口是 2222,SFTP 目录是 /sftp,测试用户是 nosftp 为例)
4.4.2.3 有 SFTP 目录的用户可以通过 SFTP 端口 SFTP
# sftp -P 2222 sftpuser@127.0.0.1
Connected to sftpuser@127.0.0.1.
sftp>(补充:这里以 SFTP 端口是 2222,SFTP 目录是 /sftpuser ,测试用户是 sftpuser 为例)
补充:
补充一:当 SFTP 用户密码输错时登陆的报错
$ sftp -P 2222 sftpuser@127.0.0.1
sftpuser@127.0.0.1's password:
Permission denied, please try again.
sftpuser@127.0.0.1's password:
Permission denied, please try again.
sftpuser@127.0.0.1's password:
sftpuser@127.0.0.1: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).
Connection closed(补充:这里以测试用户 sftpuser 为例)
补充二:当 SFTP 用户密码过期后登陆的报错
# sftp -P 2222 sftpuser@127.0.0.1
sftpuser@127.0.0.1 password:
Connection closed.
Connection closed(补充:这里以测试用户 sftpuser 为例)
[步骤] Linux 进入单用户模式密码的开启 (使用 root 密码)
步骤一:开启进入单用户模式的密码
修改 /usr/lib/systemd/system/emergency.service 文件
# vim /usr/lib/systemd/system/emergency.service添加以下内容:
......
ExecStart=-/usr/lib/systemd/systemd-sulogin-shell emergency(补充:此时进入单用户模式需要输入 root 密码以后才能进入)
步骤二:显示进入单用户模式密码的开启状态
显示 /usr/lib/systemd/system/emergency.service 文件里的 /systemd-sulogin-shell 参数
# grep /systemd-sulogin-shell /usr/lib/systemd/system/emergency.service
ExecStart=-/usr/lib/systemd/systemd-sulogin-shell emergency(补充:此时进入单用户模式需要输入 root 密码以后才能进入)