System Operation & System Setting & System Software (系统操作 & 系统设置 & 系统软件) – Page 44

March 5, 2021July 9, 2023

[步骤] GRUB2 Bootloader 密码的设置（CentOS Linux & RHEL 版）

步骤一：生成密码的 GRUB2 密码的 SHA512 值

# grub2-mkpasswd-pbkdf2
Enter password: 
Reenter password: 
PBKDF2 hash of your password is 
grub.pbkdf2.sha512.10000.
B857B79D02FF55CA3A69B8485C1A4A427424630C804CC8A89134520A34E056D7882A778F6BC8AD856CB95DF8B99BE25F9FEAD899D826BB3915FB20BAD682D10A.4A1CF49B7F815A0578031CCA2CE98C66BDFBEAB0AE2721531BB54AFC6CFFA990FBD9062F41C006376C283B717FEC1BD9BB1AFB882AF91B5F4A812459D7974D1F

（补充：这里以生成 eternalcenter 的 GRUB2 SHA512 值为例）

（注意：grub.pbkdf2.sha512.10000……. 后面的一长串字母和数字其实是 1 行，这里因为是显示问题所以看上去是多行）

步骤二：创建 GRUB2 密码文件

如果是 EFI 的 CentOS & RHEL：

# echo "GRUB2_PASSWORD=grub.pbkdf2.sha512.10000.B857B79D02FF55CA3A69B8485C1A4A427424630C804CC8A89134520A34E056D7882A778F6BC8AD856CB95DF8B99BE25F9FEAD899D826BB3915FB20BAD682D10A.4A1CF49B7F815A0578031CCA2CE98C66BDFBEAB0AE2721531BB54AFC6CFFA990FBD9062F41C006376C283B717FEC1BD9BB1AFB882AF91B5F4A812459D7974D1F" > /boot/efi/EFI/redhat/user.cfg

（
补充：
1) 登录用户 root
2) 登录密码 eternalcenter
3) 这里的 grub.pbkdf2.sha512.10000.B857B…… 是由步骤一生成的
）

（注意：这里其实只有 1 行，因为是显示问题所以看上去是多行）

如果是 BIOS 的 CentOS & RHEL：

# echo "GRUB2_PASSWORD=grub.pbkdf2.sha512.10000.B857B79D02FF55CA3A69B8485C1A4A427424630C804CC8A89134520A34E056D7882A778F6BC8AD856CB95DF8B99BE25F9FEAD899D826BB3915FB20BAD682D10A.4A1CF49B7F815A0578031CCA2CE98C66BDFBEAB0AE2721531BB54AFC6CFFA990FBD9062F41C006376C283B717FEC1BD9BB1AFB882AF91B5F4A812459D7974D1F" > /boot/grub2/user.cfg

（
补充：
1) 登录用户 root
2) 登录密码 eternalcenter
3) 这里的 grub.pbkdf2.sha512.10000.B857B…… 是由步骤一生成的
）

（注意：这里其实只有 1 行，因为是显示问题所以看上去是多行）

步骤三：测试 GRUB2 Bootloader 密码

3.1 重启系统

（步骤略）

3.2 进入到 GRUB2 Bootloader 模式

当启动系统时按下 “E” 键

补充：CentOS & RHEL 更改 GRUB2 的登录用户

如果是 EFI 的 CentOS & RHEL：

# vim /boot/efi/EFI/redhat/grub.cfg

将以下内容：

### BEGIN /etc/grub.d/01_users ###
if [ -f ${prefix}/user.cfg ]; then
  source ${prefix}/user.cfg
  if [ -n "${GRUB2_PASSWORD}" ]; then
    set superusers="root"
    export superusers
    password_pbkdf2 root ${GRUB2_PASSWORD}
  fi
fi
### END /etc/grub.d/01_users ###

修改为：

### BEGIN /etc/grub.d/01_users ###
if [ -f ${prefix}/user.cfg ]; then
  source ${prefix}/user.cfg
  if [ -n "${GRUB2_PASSWORD}" ]; then
    set superusers="eternalcenter"
    export superusers
    password_pbkdf2 root ${GRUB2_PASSWORD}
  fi
fi
### END /etc/grub.d/01_users ###

（补充：这里以将登陆用户设置为 eternalcenter 为例）

如果是 BIOS 的 CentOS & RHEL：

# vim /boot/grub2/grub.cfg

将以下内容：

### BEGIN /etc/grub.d/01_users ###
if [ -f ${prefix}/user.cfg ]; then
  source ${prefix}/user.cfg
  if [ -n "${GRUB2_PASSWORD}" ]; then
    set superusers="root"
    export superusers
    password_pbkdf2 root ${GRUB2_PASSWORD}
  fi
fi
### END /etc/grub.d/01_users ###

修改为：

### BEGIN /etc/grub.d/01_users ###
if [ -f ${prefix}/user.cfg ]; then
  source ${prefix}/user.cfg
  if [ -n "${GRUB2_PASSWORD}" ]; then
    set superusers="eternalcenter"
    export superusers
    password_pbkdf2 root ${GRUB2_PASSWORD}
  fi
fi
### END /etc/grub.d/01_users ###

（补充：这里以将登陆用户设置为 eternalcenter 为例）

March 4, 2021July 9, 2023

[工具] Shell 自动化部署 GRUB2 Bootloader 密码（CentOS Linux & RHEL 版）

介绍

基本信息

作者：朱明宇
名称：自动化部署 GRUB2 Bootloader 密码（CentOS & RHEL 版）
作用：自动化部署 GRUB2 Bootloader 密码（CentOS & RHEL 版）

使用方法

1. 给此脚本添加执行权限
2. 执行此脚本
3. 当启动系统时，左下角出现以下内容时按下 “E”：

注意

1. 登录的账号是 root
2. 登录的密码是 eternalcenter

脚本

#!/bin/bash

if [ -d /sys/firmware/efi ]; then
        echo "GRUB2_PASSWORD=grub.pbkdf2.sha512.10000.B857B79D02FF55CA3A69B8485C1A4A427424630C804CC8A89134520A34E056D7882A778F6BC8AD856CB95DF8B99BE25F9FEAD899D826BB3915FB20BAD682D10A.4A1CF49B7F815A0578031CCA2CE98C66BDFBEAB0AE2721531BB54AFC6CFFA990FBD9062F41C006376C283B717FEC1BD9BB1AFB882AF91B5F4A812459D7974D1F" > /boot/efi/EFI/redhat/user.cfg
else
        echo "GRUB2_PASSWORD=grub.pbkdf2.sha512.10000.B857B79D02FF55CA3A69B8485C1A4A427424630C804CC8A89134520A34E056D7882A778F6BC8AD856CB95DF8B99BE25F9FEAD899D826BB3915FB20BAD682D10A.4A1CF49B7F815A0578031CCA2CE98C66BDFBEAB0AE2721531BB54AFC6CFFA990FBD9062F41C006376C283B717FEC1BD9BB1AFB882AF91B5F4A812459D7974D1F" > /boot/grub2/user.cfg
fi

March 4, 2021July 9, 2023

[内容] Linux BIOS 和 EFI 的区分（系统安装时启动分区种类的显示）

内容一：判断 Linux 是 BIOS 还是 EFI 的方法

# ls -ld /sys/firmware/efi

（补充：如果 /sys/firmware/efi 目录存在，则代表系统是 EFI，否则系统是 BIOS）

内容二：判断 Linux 是 BIOS 还是 EFI 的脚本

# [ -d /sys/firmware/efi ] && echo UEFI || echo BIOS

February 6, 2021July 9, 2023

[工具] Shell 批量设置官方软件源（openSUSE Leap 15.2 版）

介绍

基本信息

作者：朱明宇
名称：批量设置官方软件源（openSUSE 版）
作用：批量设置官方软件源（openSUSE 版）

使用方法

1. 服务器清单 $add_repo_servers_list.txt 每个服务器名占用 1 行，并和此脚本放在同一目录下
2. 在此脚本的分割线内写入相应的内容
3. 给此脚本添加执行权限
4. 执行此脚本

脚本分割线里的变量

add_repo_servers_list.txt #指定存放要设置官方软件源的文件

注意

1. 此脚本执行前必须要先保证执行此脚本的用户能无密码 ssh 远程这些远程服务器
2. 服务器的系统需要是 openSUSE 15.2 版本
3. 服务器系统要配置好可用的软件源（最好是软件数量最多的官方版本）
4. 这些远程服务器要能够连接外网

脚本

#!/bin/bash

####################### Separator ########################

add_repo_servers_list.txt

####################### Separator ########################

cat add_repo_servers_list.txt
read -p "will add opensuse_leap_15.2 repo please input y " a
echo $a

if [ "$a" != "y" ];then
        echo "you don't agree so exit now"
        exit
fi

for i in `awk '{print $1}' add_repo_servers_list.txt`
do
        ssh $i '
        sudo -u root su - root -c "zypper mr -da"
        sudo -u root su - root -c "zypper ar -fcg http://download.opensuse.org/distribution/leap/15.2/repo/oss/ OpenSUSE_Leap_152_x64_update-oss"
        sudo -u root su - root -c "zypper ar -fcg http://download.opensuse.org/distribution/leap/15.2/repo/non-oss/ OpenSUSE_Leap_152_x64_update-non-oss"
        sudo -u root su - root -c "zypper ar -fcg http://download.opensuse.org/update/leap/15.2/oss/ OpenSUSE_Leap_152_x64_oss"
        sudo -u root su - root -c "zypper ar -fcg http://download.opensuse.org/update/leap/15.2/non-oss/ OpenSUSE_Leap_152_x64_non-oss"
        sudo -u root su - root -c "zypper ref"
done

February 4, 2021July 9, 2023

[实验] Linux SSH 内网穿透

步骤一：规划拓扑

1.1 服务器列表

客户端电脑
外网服务器
内网服务器

1.2 拓扑图

客户端电脑外网服务器内网服务器

1.3 拓扑图简介

内网服务器建立到外网服务器的 SSH 通道
客户端电脑通过 SSH 外网服务器连接到内网服务器
内网服务器就算没有公网 IP 地址也能被 SSH 上

步骤二：系统环境要求

1) 所有服务器的系统都需要是 Linux 版本
2) 所有服务器都要关闭防火墙
3) 内网服务器要能够 ping 通外网服务器
4) 客户端电脑要能够 ping 通外网服务器

步骤三：创建用于 SSH 内网穿透的用户

3.1 创建用于 SSH 内网穿透的用户

（分别在内网服务器和外网服务器上执行以下步骤）

# useradd <user for intranet penetration>

3.2 给用于 SSH 内网穿透的用户设置密码

（分别在内网服务器和外网服务器上执行以下步骤）

# passwd <user for intranet penetration>

步骤四：创建用于内 SSH 内网穿透的 SSH 密钥

4.1 进入到用户

（分别在内网服务器和外网服务器上执行以下步骤）

# su - <user for intranet penetration>

4.2 创建用于内 SSH 内网穿透的 SSH 密钥

（分别在内网服务器和外网服务器上执行以下步骤）

$ ssh-keygen

4.3 退出用户

（分别在内网服务器和外网服务器上执行以下步骤）

$ exit

步骤五：让内网服务器可以无密码访问外网服务器

5.1 进入到用户

（只在内网服务器上执行以下步骤）

# su - <user for intranet penetration>

5.2 将内网服务器的公钥拷贝到外网服务器

（只在内网服务器上执行以下步骤）

$ ssh-copy-id <IP address of Internet server>

5.3 退出用户

（只在内网服务器上执行以下步骤）

$ exit

步骤六：让外网服务器可以无密码访问自己

6.1 进入到用户

（只在外网服务器上执行以下步骤）

# su - <user for intranet penetration>

6.2 将内网服务器的公钥拷贝到外网服务器

（只在外网服务器上执行以下步骤）

$ ssh-copy-id 127.0.0.1

6.3 退出用户

（只在外网服务器上执行以下步骤）

$ exit

步骤七：实现内网服务器到外网服务器的 SSH 内网穿透

7.1 实现内网服务器到外网服务器的 SSH 通道

# su - <user for intranet penetration>
$ ssh -X -fCNR 11000:localhost:22 <IP address of Internet server>

（补充：这里以使用用于内网穿透的用户将内网服务器的 22 端口影射到外网服务器的 11000 端口为例）

（
注意：如果在内网服务器和外网服务器上创建的用于 SSH 内网穿透的用户名称不一样，则需要在最后 SSH 时添加上外网服务器上用于 SSH 的用户名

# su - <user for intranet penetration>
$ ssh -X -fCNR 11000:localhost:22 <user for intranet penetration>@<IP address of Internet server>

）

或者：

# ps -aux | grep -v grep | grep "11000:localhost:22 <IP address of Internet server>" &> /dev/null || su - <user for intranet penetration> -c 'ssh -X -fCNR 11000:localhost:22 <IP address of Internet server>'

（
注意：如果在内网服务器和外网服务器上创建的用于 SSH 内网穿透的用户名称不一样，则需要在最后 SSH 时添加上外网服务器上用于 SSH 的用户名

# ps -aux | grep -v grep | grep "11000:localhost:22 <IP address of Internet server>" &> /dev/null || su - <user for intranet penetration> -c 'ssh -X -fCNR 11000:localhost:22 <user for intranet penetration>@<IP address of Internet server>'

）

（补充：这里以使用用于内网穿透的用户将内网服务器的 22 端口影射到外网服务器的 11000 端口为例）

7.2 实现外网服务器 SSH 端口的影射

# su - <user for intranet penetration>
$ ssh -X -fCNL *:10000:localhost:11000 localhost

或者:

# ps -aux | grep -v grep | grep "*:10000:localhost:11000 localhost" || su - <user for intranet penetration> -c 'ssh -X -fCNL *:10000:localhost:11000 localhost'

（补充：这里以使用用于内网穿透的用户将外网服务器的 10000 端口影射到外网服务器的 11000 端口为例）

步骤八：客户端电脑使用 SSH 外网穿透

# ssh -p 10000 <user for intranet penetration>@<IP address of Internet server>

（补充：SSH 成功后，客户端电脑就可以直接 SSH 到内网服务器中了）