Content One: Display all users’ password login, password deny and last-login
# lsloginsContent Two: Display a user’s password login, password deny and last-login
# lslogins <user>[步骤] Linux 内核的修复
正文:
步骤一:挂载官方镜像
(步骤略)
步骤二:登录拯救模式
2.1 选择通过光盘启动
(步骤略)
2.2 进入拯救模式
(步骤略)
2.3 登录拯救模式
rescue login:root步骤三:在救援模式确定系统的根 “/” 目录分区
(步骤略)
(
补充:
1) 物理分区可以使用 lsblk 命令、fdisk -l 或 cat /proc/partitions 命令辅助确定
2) 逻辑分区还可以可以使用 pvs 命令、lvs 命令或 lvdisplay 命令辅助确定
)
步骤四:在救援模式将系统的分区挂载到救援模式的 /mnt 目录
4.1 在救援模式将系统的根 “/” 分区挂载到救援模式的 /mnt 目录
tty1:rescue:~ # mount <root spartition> /mnt(
补充:
1) 如果是物理分区,系统的根 “/” 分区就在救援模式的 /dev/ 目录里,例如救援模式的 /dev/sda1
2) 如果是逻辑分区,Rocky Linux & RHEL 的系统根 “/” 分区就是救援模式里的 /dev// 例如救援模式里的 /dev/vg/lv,openSUSE & SLES 的系统根 “/” 分区就是救援模式里的 /dev/mapper/- 例如救援模式里的 /dev/mapper/vg-lv
)
4.2 在救援模式将救援模式的 /dev 目录关联到救援模式的 /mnt/dev 目录
tty1:rescue:~ # mount --rbind /dev /mnt/dev(
补充:
1) 此时所有对救援模式的 /mnt/dev 目录的访问都会变成对救援模式的 /dev 目录的访问
2) 步骤 4.2、步骤 4.3 和步骤 4.4 也可以用以下命令代替:
tty1:rescue:~ # for i in proc sys dev; do mount --rbind /$i /mnt/$i ; done)
4.3 在救援模式将救援模式的 /proc 目录关联到救援模式的 /mnt/proc 目录
tty1:rescue:~ # mount --rbind /proc /mnt/proc(
补充:
1) 此时所有对救援模式的 /mnt/proc 目录的访问都会变成对救援模式的 /proc 目录的访问
2) 步骤 4.2、步骤 4.3 和步骤 4.4 也可以用以下命令代替:
tty1:rescue:~ # for i in proc sys dev; do mount --rbind /$i /mnt/$i ; done)
4.4 在救援模式将救援模式的 /sys 目录关联到救援模式的 /mnt/sys 目录
tty1:rescue:~ # mount --rbind /sys /mnt/sys(
补充:
1) 此时所有对救援模式的 /mnt/sys 目录的访问都会变成对救援模式的 /sys 目录的访问
2) 步骤 4.2、步骤 4.3 和步骤 4.4 也可以用以下命令代替:
tty1:rescue:~ # for i in proc sys dev; do mount --rbind /$i /mnt/$i ; done)
4.5 在救援模式将救援模式的 /run 目录关联到救援模式的 /mnt/run 目录 (选做)
tty1:rescue:~ # mount --rbind /run /mnt/run(补充:此时所有对救援模式的 /mnt/run 目录的访问都会变成对救援模式的 /run 目录的访问)
步骤五:将当前的根 “/” 目录从救援模式的根 “/” 目录切换到系统的根 “/” 目录
5.1 将当前的根 “/” 目录从救援模式的根 “/” 目录切换到系统的根 “/” 目录
tty1:rescue:~ # chroot /mnt(补充:这里以 /mnt 作为系统根 “/” 目录为例)
5.2 在系统模式挂载所有需要开机自动挂载的目录
bash-4.3# mount -a5.3 在系统模式确认当前根 “/” 目录下的目录
bash-4.3# ls
bin boot dev home lib lib64 mnt opt proc root run sbin selinux srv sys tmp usr var(补充:这里显示的是常见的 Linux 根 “/” 目录 下的目录)
步骤六:重装 /boot 目录
6.1 在救援模式创建 /mnt/bin 目录
tty1:rescue:~ # mkdir /mnt/bin6.2 在救援模式挂载官方镜像
6.2.1 在救援模式创建用于挂载镜像的 /media 目录
tty1:rescue:~ # mkdir /media6.2.2 在救援模式挂将官方镜像挂载到 /media 目录
tty1:rescue:~ # mount /dev/dvd /media6.3 在救援模式安装 kernel-default 软件
6.3.1 在救援模式拷贝 kernel-default 的 RPM 文件 (软件包) 到当前目录
tty1:rescue:~ # cp /media/suse/x86_64/kernel-default-3.10.0-693.el7.x86_64.rpm .(补充:这里以拷贝 /media/suse/x86_64/kernel-default-3.10.0-693.el7.x86_64.rpm 为例)
6.3.2 在救援模式安装 kernel-default 的 RPM 文件 (软件包)
tty1:rescue:~ # rpm -ivh kernel-default-3.10.0-693.el7.x86_64.rpm(补充:这里以安装 /media/suse/x86_64/kernel-default-3.10.0-693.el7.x86_64.rpm 为例)
6.4 将 GRUB2 安装到对应硬盘
6.4.1 在系统模式确定系统的 GRUB2 目录分区
(步骤略)
(
补充:
1) 物理分区可以使用 lsblk 命令、fdisk -l 或 cat /proc/partitions 命令辅助确定
2) 逻辑分区还可以可以使用 pvs 命令、lvs 命令或 lvdisplay 命令辅助确定
)
6.4.2 在系统模式修复 GRUB2
bash-4.3# grub2-install <disk which GRUB2 in>6.5 生成 /boot/grub2/grub.cfg
bash-4.3# grub2-mkconfig -o /boot/grub2/grub.cfg步骤七:重启系统
7.1 从当前系统的根 “/” 目录切换回救援模式的根 “/” 目录
bash-4.3# exit7.2 重启系统
tty1:rescue:~ # reboot补充:boot 分区的文件系统损坏的情况
如果以上步骤都不起作用,且 /boot 是单独分区的话,则可能是 boot 分区的文件系统损坏,可以尝试以下补充:
1) 重复本文步骤五和之前步骤的内容
2) 将 /boot 目录里的内容全部拷贝出来
3) 取消挂载 /boot 目录的分区
4) 将挂载 /boot 目录的分区重新格式化成 ext4 格式
5) 格式化后分区的 UUID 会改变,所以需要更新 /etc/fstab 文件中挂载 /boot 目录分区的 UUID
6) 将格式化后的分区重新挂载 /boot 目录
7) 将刚刚从 /boot 目录拷贝出来的内容拷贝回 /boot 目录
8) 重复此文的步骤六
(注意:不建议使用 Btrfs 文件系统给 /boot 目录分区)
参考文献:
https://www.suse.com/support/kb/doc/?id=000018770
[内容] auditd 使用 (监控文件或目录的变化)
内容一:auditd 的管理
1.1 启动 auditd
1.1.1 启动 auditd
# service auditd restart1.1.2 查看 auditd 状态
# auditctl -s1.1.3 设置 auditd 开机自启
# chkconfig auditd on1.1.4 查看 auditd 开机自启状态
# chkconfig --list auditd1.2 查看 auditd 的规则
# auditctl -l1.3 删除 auditd 的规则
1.3.1 永久删除 auditd 的所有规则
1.3.1.1 清空 /etc/audit/audit.rules 文件里的所有内容
# vi /etc/audit/audit.rules删除里面的所有内容
1.3.1.2 让刚刚的设置生效
# service auditd restart或者:
# augenrules1.3.2 临时删除 auditd 的规则
1.3.2.1 临时删除 auditd 的所有规则
# auditctl -D(补充:此操作重启后失效)
1.3.2.2 临时删除 auditd 的普通规则 (以 -w 开头的规则)
# auditctl -W <policy>(补充:此操作重启后失效)
1.3.2.3 临时删除 auditd 的使用系统调用和过滤条件的监控规则 (以 -a 开头的规则)
# auditctl -d <policy>(补充:此操作重启后失效)
1.4 显示 auditd 日志
1.4.1 显示 auditd 的所有日志
# cat /var/log/audit/audit.log1.4.2 显示某文件或目录的日志
# ausearch -f <file/directory>1.4.3 显示某关键词的日志
# ausearch -k <key_name>1.5 生成 auditd 日志报告
# aureport -k内容二:auditd 的规则
2.1 普通监控规则
2.1.1 普通监控规则的格式
2.1.1.1 普通监控规则的格式
-w <file/directory> -p <previlege> -k <key_name>(
补充:
1) 文件名或目录名,需要绝对路径
2) 监控的权限,可以是 rwxa 其中的任意 1 个或多个,r 代表读权限、w 代表写权限,x 代表执行权限,a 代表文件类型
3) 此类日志的关键词
)
2.1.1.2 添加普通监控规则的格式
2.1.1.2.1 临时添加普通监控规则的格式
# auditctl -w <file/directory> -p <previlege> -k <key_name>2.1.1.2.2 永久添加普通监控规则的格式
# vim /etc/audit/audit.rules添加以下内容:
......
-w <file/directory> -p <previlege> -k <key_name>(
注意:永久添加的规则后要重启 auditd 服务后才会生效
# service auditd restart或者:
# augenrules)
2.1.2 添加普通监控规则的案例
2.1.2.1 案例一:添加监控 /etc/nginx/nginx.conf 文件的读、写、执行和文件属性变化的规则
# auditctl -w /etc/nginx/nginx.conf(补充:这里以临时添加监控 /etc/nginx/nginx.conf 文件的读、写、执行和文件属性变化的规则为例)
2.1.2.2 案例二:添加监控 /etc/nginx/nginx.conf 文件的读、写、执行和文件属性变化,并设置关键词为 nginx 的规则
# auditctl -w /etc/nginx/nginx.conf -p rwxa -k 'nginx'(补充:这里以临时添加监控 /etc/nginx/nginx.conf 文件的读、写、执行和文件属性变化,并设置关键词为 nginx 的规则为例)
2.2 使用系统调用和过滤条件的监控规则
2.2.1 使用系统调用和过滤条件的监控规则的格式
2.2.1.1 使用系统调用和过滤条件的监控规则的格式
-a <action>,<filter> -S <system_call> -F <field>=<value> -k <key_name>(
补充:
1) 和 用于确定事件被记录, 的值可以是 always 或者 never, 的值可以是 task、exit、user 或者 exclude
2) 是系统调用,Linux 系统调用的名称在 /usr/include/asm/unistd_64.h 文件中,可以将多个系统调用放在一个规则里,例:-S <system_call> -S <system_call> ……,或者 -S <system_call>,<system_call>……
3) 和 是过略条件,可以将多个过略条件放在一个规则里,-F <field>=<value> -F <field>=<value> ……
4) 是此类日志的关键词
)
2.2.1.2 添加使用系统调用和过滤条件的监控规则的格式
2.2.1.2.1 临时添加使用系统调用和过滤条件的监控规则的格式
# auditctl -a <action>,<filter> -S <system_call> -F <field>=<value> -k <key_name>2.2.1.2.2 永久添加使用系统调用和过滤条件的监控规则的格式
# vim /etc/audit/audit.rules添加以下内容:
......
-a <action>,<filter> -S <system_call> -F <field>=<value> -k <key_name>(
注意:永久添加的规则后要重启 auditd 服务后才会生效
# service auditd restart或者:
# augenrules)
2.2.2 使用系统调用和过滤条件的监控规则的案例
2.2.2.1 案例一:监控所有 UID 大于 1000 的用户的删除操作,并设置关键词为 delete
# auditctl -a always,exit -S rmdir -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=unset -F auid!=4294967295 -k delete(补充:这里以临时监控所有 UID 大于 1000 的用户删除操作为例)
(注意:这里的 -F auid!=4294967295 是为了排除 login UID 没有被设置的用户)
2.2.2.2 案例二:监控所有 UID 大于 1000 的用户的文件删除操作,并设置关键词为 delete
# auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=unset -F auid!=4294967295 -k delete(补充:这里以临时监控所有 UID 大于 1000 的用户删除操作为例)
(注意:这里的 -F auid!=4294967295 是为了排除 login UID 没有被设置的用户)
2.2.2.3 案例三:监控所有网络连接
# auditctl -a always,exit -F arch=b64 -S socket
# auditctl -a always,exit -F arch=b64 -S connect
# auditctl -a always,exit -F arch=b64 -S sendmmsg
# auditctl -a always,exit -F arch=b64 -S sendmsg
# auditctl -a always,exit -F arch=b64 -S bind
# auditctl -a always,exit -F arch=b64 -S recvmsg
# auditctl -a always,exit -F arch=b64 -S close(补充:这里以监控所有网络连接为例)
[内容] Linux 常用的功能文件 (/dev/null、/dev/zero、/dev/urandom)
内容一:/dev/null 文件
1.1 /dev/null 文件的作用
空设备,任何进入此文件的数据都会被删除,一般用于删除输出内容
1.2 /dev/null 文件的修复
# rm -f /dev/null;mknod /dev/null c 1 3;chmod 666 /dev/null内容二:/dev/zero 文件
2.1 /dev/zero 文件的作用
二进制的零流,可以连续不断地产生二进制零流,一般用于对设备和文件进行初始化
2.2 /dev/zero 文件的修复
# rm -f /dev/zero;mknod /dev/zero c 1 5;chmod 666 /dev/zero内容三:/dev/urandom 文件
3.1 /dev/urandom 文件的作用
随机数流,可以连续不断地产生随机数流,一般用于清除机密数据,用随机的数据完全覆盖磁盘
3.2 /dev/urandom 文件的修复
# rm -f /dev/random;mknod /dev/random c 1 8;chmod 666 /dev/random[内容] Linux 密码文件 /etc/shadow 的介绍 (显示用户密码相关的策略)
内容一:/etc/shadow 文件的简介
1) /etc/shadow 文件存储着用户的密码和与之相关的信息
2) /etc/shadow 文件以冒号 “:” 作为分隔符,分类 8 段
内容二:/etc/shadow 文件的作用
2.1 第 1 段内容:用户名
/etc/shadow 文件的第 1 段存储的是用户名,和 /etc/passwd 文件中的用户名是一一对应的
2.2 第 2 段内容:密码
2.2.1 内容的含义
1) 如果是奇怪的字符串则代表是加密过的密码,格式是 $id$salt$hashed,其中 $id 是指加密算法。如果字符串:以 $1$ 开头则代表是用 MD5 加密,以 $2a$ 开头则代表是用 Blowfish 加密,以 $2y$ 开头则代表是用另一种算法长度的 Blowfish 加密,以 $5$ 开头则代表是用 SHA-256 加密,以 $6$ 开头则代表是用 SHA-512 加密
2) 如果是 2 个感叹号 “!!” 则代表从来都没有设置过密码
3) 如果为空则代表没有设置密码
4) 如果是 1 个星号 “*” 则代表用户被锁定,但是其它登陆方式不受限制,例 SSH 登陆
5) 如果是 1 个感叹号 “!” 则代表用户被锁定,但是其它登陆方式不受限制,例 SSH 登陆
6) 如果以 1 个感叹号开头 “!” 则代表用户被锁定
7) 如果以 2 个感叹号开头 “!!” 则代表用户被锁定
2.2.2 查看命令
# cut -d: -f1,72.2.3 修改命令
# passwd <user>2.3 第 3 段内容:密码最后的修改日期
2.3.1 内容的含义
密码最后修改的日期于 1970 年 1 月 1 日相距的天数
2.3.2 查看命令
# egrep ^[^:]+:[^\!*] /etc/shadow | cut -d: -f1,3或者:
# chage -l <user> | grep 'Last password change'2.3.3 修改命令
# chage -d <date> <user>或者:
# chage --lastday <date> <user>2.4 第 4 段内容:修改密码最短天数间隔
2.4.1 内容的含义
两次修改密码最短天数间隔
1) 如果是 0 则代表随时可以修改密码
2) 如果是 99999 则代表永远都不能修改密码
2.4.2 查看命令
# egrep ^[^:]+:[^\!*] /etc/shadow | cut -d: -f1,4或者:
# chage -l <user> | grep 'Minimum number of days between password change'2.4.3 修改命令
# chage -m <days> <user>或者:
# chage --mindays <days> <user>2.5 第 5 段内容:密码过期的天数
2.5.1 内容的含义
修改密码后过多少天会过期
1) 如果是 99999 则代表永远都不会过期
2) 如果密码只是过期但是没有失效的话,则可以使用过期的密码更改密码再使用新密码登陆,如果密码失效的话则此密码不能再使用
2.5.2 查看命令
# egrep ^[^:]+:[^\!*] /etc/shadow | cut -d: -f1,5或者:
# chage -l <user> | grep 'Maximum number of days between password change'2.5.3 修改命令
# chage -M <days> <user>或者:
# chage --maxdays <days> <user>2.6 第 6 段内容:密码过期前提前多少天发出警告
2.6.1 内容的含义
密码过期前,提前多少天发出警告
如果为空则代表不发出警告
2.6.2 查看命令
# egrep ^[^:]+:[^\!*] /etc/shadow | cut -d: -f1,6或者:
# chage -l <user> | grep 'Number of days of warning before password expires'2.6.3 修改密码
# chage -W <days> <user>或者:
# chage --warndays <days> <user>2.7 第 7 段内容:密码失效的天数
2.7.1 内容的含义
密码过期后过多少天会失效
1) 如果是 99999 则代表永远都不会失效
2) 如果密码只是过期但是没有失效的话,则可以使用过期的密码更改密码再使用新密码登陆,如果密码失效的话则此密码不能再使用
2.7.2 查看命令
# egrep ^[^:]+:[^\!*] /etc/shadow | cut -d: -f1,7或者:
# chage -l <user> | grep 'Password inactive'2.7.3 修改密码
# chage -I <days> <user>或者:
# chage --inactive <days> <user>2.8 第 8 段内容:用户的失效日期
2.8.1 内容的含义
用户的失效日期于 1970 年 1 月 1 日相距的天数
2.8.2 查看命令
# egrep ^[^:]+:[^\!*] /etc/shadow | cut -d: -f1,8或者:
# chage -l <user> | grep 'Account expires'2.8.3 修改密码
# chage -E <date> <user>或者:
# chage --expiredate <date> <user>2.9 第 9 段内容:保留
这是一个保留位,目前没有作用