案例一:切换用户,切换后保持当前用户所在的目录,并使用当前用户的环境变量
# su <user>案例二:切换用户,切换后进入被切换用户的家目录,并使用被切换用户的环境变量
# su - <user>[内容] Linux 常用软件
bash-completion
作用:用于使用 tab 键补全命令
安装方法:
如果是 Rocky Linux & RHEL:
# yum install bash-completion或者:
# dnf install bash-completion如果是 openSUSE & SLES:
# zypper install bash-completionlsb-release
作用:可以在 openSUSE & SLES 上显示系统版本信息
安装方法:
# zypper install lsb-releaseredhat-lsb-core
作用:可以在 CentOS Linux & RHEL 上显示系统版本信息
安装方法:
如果是 Rocky Linux & RHEL:
# yum install redhat-lsb-core如果是 openSUSE & SLES:
# dnf install redhat-lsb-coresysstat
作用:包含多种对 Linux 系统综合性能分析的命令,包括 iostat、mpstat、sar、pidstat 等命令
安装方法:
如果是 Rocky Linux & RHEL:
# yum install sysstat或者:
# yum install sysstat如果是 openSUSE & SLES:
# zypper install sysstatvim-enhanced
作用:可以使用 vim 命令编辑文档
安装方法:
如果是 Rocky Linux & RHEL:
# yum install vim-enhanced或者:
# dnf install vim-enhanced如果是 openSUSE & SLES:
# zypper install vim-enhancedxorg-x11-xauth.x86_64 和 xorg-x11-fonts-*
作用:让需要图形化环境的软件可以启动
安装方法:
如果是 Rocky Linux & RHEL:
# yum install xorg-x11-xauth.x86_64; yum install xorg-x11-fonts-*或者:
# dnf install xorg-x11-xauth.x86_64; dnf install xorg-x11-fonts-*如果是 openSUSE & SLES:
# zypper install xorg-x11-xauth.x86_64; dnf install xorg-x11-fonts-*Linux 启动顺序
第一步启动:BIOS/UEFI
BIOS (Basic Input Output System) 即基本输入输出系统。
UEFI (Unified Extensible Firmware Interface) 即可扩展固件接口。
它们的主要作用是为计算机提供直接、底层的硬件控制和设置。UEFT 是 BIOS 的升级替代方案。
第二步启动:MBR/GPT
MBR (Master Boot Record) 即主引导记录。MBR 通常和 BIOS 搭配,最大分区容量不能超过 2T,最多可以有 3 个主分区,1 个扩展分区,不过扩展分区里可以有多个逻辑分区。
GPT (GUID Partition Table) 即全局唯一标识分区表。GPT 通常和 UEFI 搭配。
它们都是读取硬盘时最先读取的分区,里面有各自的启动代码。
第三步启动:GRUB2
GRUB2 (GRand Unified Bootloader version 2) 即多操作系统启动程序,可以选择系统分区上不同的系统内核,同时也可以向启动的内核传递参数。
第四步启动:initrd/Kernel
initrd (init ramdisk) 即初始化内存盘,作用是:
1) 提供开机必备的单 kernel 文件 (vmlinuz) 没有提供的驱动模块。
2) 通过引导加载程序加载内存,将内存视为临时根 “/” 目录,从中运行程序,之后再将根 “/” 目录转移到硬盘上真正的根 “/” 目录上。
(
注意:系统启动 initrd 的时间默认上限是 90 秒钟,如果 initrd 加载的时间超过 90 秒钟,则系统会报以下错误:
Warning: dracut-initqueue timeout - starting timeout scripts)
(补充链接:Linux 解决启动时,某个盘挂不上或者报错 “Warning: dracut-initqueue timeout – starting timeout scripts”)
第五步启动:systemdprocess
systemdprocess,即启动各类程序和进程。
[步骤] auditd 的设置 (日志保存时间)
方法一:通过 auditd 配置文件设置
1.1 设置 auditd 日志的保存时间
# vim /etc/audit/auditd.conf确保部分内容如下:
......
local_events = yes
......
write_logs = yes
......
log_file = /var/log/audit/audit.log
......
max_log_file = 8
......
num_logs =5
......
max_log_file_action = ROTATE
......(
补充:这里以
1) 开启 auditd 日志 (local_events = yes) (write_logs = yes)
2) 将 auditd 日志写入 /var/log/audit/audit.log 文件 (log_file = /var/log/audit/audit.log)
3) auditd 日志每达到 8M 大小就将旧的 auditd 日志进行备份并创建新的 auditd 日志 (max_log_file = 8) (max_log_file_action = ROTATE),也可以修改成: max_log_file_action = keep_logs
4) 旧的 auditd 日志保存 5 份 (num_logs =5)
为例
)
1.2 让设置的 auditd 时间生效
# service auditd restart方法二:通过 logrotate 配置文件设置
2.1 设置 auditd 日志的保存时间
# vim /etc/logrotate.d/auditd创建以下内容:
/var/log/audit/*
{
rotate 30
daily
missingok
compress
delaycompress
postrotate
touch /var/log/audit/audit.log ||:
chmod 0600 /var/log/audit/audit.log ||:
service auditd restart
endscript
}(
补充:这里以:
1) 备份的日志文件保留 30 份 (rotate 30)
2) 每天将现在的日志文件进行备份并生成新的日志文件 (dayly)
)
2.2 让设置的 auditd 时间生效
# systemctl restart logrotate.service[步骤] Linux 密码的安全 (本地和 SSH 输错密码次数的限制) (pam_tally2.so 版) (CentOS Linux 7 & RHEL 7 版)
正文:
步骤一:让 sshd 使用可插入身份验证模块
1.1 修改 sshd 的配置文件
# vim /etc/ssh/sshd_config将以下内容:
......
#UsePAM no
......修改为:
......
UsePAM yes
......1.2 让修改的 sshd 配置文件生效
# systemctl restart sshd步骤二:让本地登录和 sshd 登录使用密码认证
2.1 确认 /etc/pam.d/login 配置文件
# cat /etc/pam.d/login | grep system-auth确保包含以下内容:
auth substack system-auth
account include system-auth
password include system-auth
session include system-auth2.2 确认 /etc/pam.d/sshd 配置文件
# cat /etc/pam.d/sshd | grep password-auth确保包含以下内容:
auth substack password-auth
account include password-auth
password include password-auth
session include password-auth步骤三:在 /etc/pam.d/system-auth-ac 配置文件中添加 pam_tally2.so 模块和相关参数
# vim /etc/pam.d/system-auth-ac添加以下内容:
......
auth required pam_tally2.so onerr=fail audit silent deny=15 unlock_time=3000 even_deny_root root_unlock_time=3000(
补充:
1) 这里的 pam_tally2.so 代表使用 pam_tally2.so 模块
2) 这里的 silent 代表不会显示信息性的消息
3) 这里的 deny=15 代表输错 15 次后会禁止登录
4) 这里的 unlock_time=3000 代表禁止登录后 3000 毫秒后可以重新登录
5) 这里的 even_deny_root 代表 root 用户和其它用户一样会被锁住
6) 这里的 root_unlock_time=3000 代表禁止 root 用户登录后 3000 毫秒后可以重新登录
)
步骤四:在 /etc/pam.d/password-auth-ac 配置文件中添加 pam_tally2.so 模块和相关参数
# vim /etc/pam.d/password-auth-ac添加以下内容:
......
auth required pam_tally2.so onerr=fail audit silent deny=15 unlock_time=3000 even_deny_root root_unlock_time=3000(
补充:
1) 这里的 pam_tally2.so 代表使用 pam_tally2.so 模块
2) 这里的 silent 代表不会显示信息性的消息
3) 这里的 deny=15 代表输错 15 次后会禁止登录
4) 这里的 unlock_time=3000 代表禁止登录后 3000 毫秒后可以重新登录
5) 这里的 even_deny_root 代表 root 用户和其它用户一样会被锁住
6) 这里的 root_unlock_time=3000 代表禁止 root 用户登录后 3000 毫秒后可以重新登录
)
步骤五:部分用户输错密码次数限制的排除
5.1 在 /etc/pam.d/system-auth-ac 配置文件中添加 pam_succeed_if.so 模块和相关参数
# vim /etc/pam.d/system-auth-ac在此行:
......
auth required pam_tally2.so onerr=fail audit silent deny=15 unlock_time=3000 even_deny_root root_unlock_time=3000下面添加:
......
auth [success=1 default=ignore] pam_succeed_if.so user in mingyuzhu1:mingyuzhu2:mingyuzhu3(补充:这里以排除用户 zhumingyu1、zhumingyu2 和 zhumingyu3 的输错密码次数限制为例)
5.2 在 /etc/pam.d/password-auth-ac 配置文件中添加 pam_succeed_if.so 模块和相关参数
# vim /etc/pam.d/password-auth-ac在此行:
......
auth required pam_tally2.so onerr=fail audit silent deny=15 unlock_time=3000 even_deny_root root_unlock_time=3000下面添加:
......
auth [success=1 default=ignore] pam_succeed_if.so user in mingyuzhu1:mingyuzhu2:mingyuzhu3(补充:这里以排除用户 zhumingyu1、zhumingyu2 和 zhumingyu3 的输错密码次数限制为例)
参考文献:
https://access.redhat.com/solutions/62949