System Operation (系统操作) – Page 22

March 5, 2021July 9, 2023

[步骤] Linux su 命令白名单的设置（通过指定的组实现）

步骤一：设置只有属于某个组的用户才能使用 su 命令

CentOS & RHEL 设置只有属于某个组的用户才能使用 su 命令

# sed -i '/auth.*include.*common-auth/a     auth     required       pam_wheel.so use_uid' /etc/pam.d/su

（
补充：
1) 这里以设置只有 wheel 才能使用 su 命令为例
2) 如果要指定另 1 个特定的组例如 canusesu 可以使用 su 命令，则命令为：

# sed -i '/auth.*include.*common-auth/a     auth     required       pam_wheel.so use_uid group=canusesu' /etc/pam.d/su

）

openSUSE & SUSE 设置只有属于某个组的用户才能使用 su 命令

# sed -i '/auth.*include.*common-auth/a     auth     required       pam_wheel.so use_uid' /etc/pam.d/su
# sed -i '/auth.*include.*common-auth/a     auth     required       pam_wheel.so use_uid' /etc/pam.d/su-l

（
补充：
1) 这里以设置只能 wheel 才能使用 su 命令为例
2) 如果要指定另 1 个特定的组例如 canusesu 可以使用 su 命令，则命令为：

# sed -i '/auth.*include.*common-auth/a     auth     required       pam_wheel.so use_uid group=canusesu' /etc/pam.d/su
# sed -i '/auth.*include.*common-auth/a     auth     required       pam_wheel.so use_uid group=canusesu' /etc/pam.d/su-l

）

步骤二：将需要使用 su 命令的用户添加到可以使用 su 命令的组里

# usermod -a -G wheel eternalcenter

（补充：这里以给用户 eternalcenter 添加附属组的方式将用户 eternalcenter 添加到 wheel 附属组为例）

步骤三：确保 /etc/group 配置文件中使用 su 命令的用户已添加到可以使用 su 命令的组里

# cat /etc/group | grep wheel
wheel:x:10:eternalcenter,root

（补充：这里以显示 eternalcenter 用户和 root 用户以添加附属组的方式添加到 wheel 组里为例）

步骤四：验证 su 命令白名单

4.1 以其他普通用户的身份使用 su 命令切换到其他用户

（步骤略）

（补充：就算密码正确也会显示 su: Authentication failure）

4.2 以在可以使用 su 命令的组里用户的身份使用 su 命令切换到其他用户

# su - eternalcenter
$ su - root

March 4, 2021July 9, 2023

[内容] Linux BIOS 和 EFI 的区分（系统安装时启动分区种类的显示）

内容一：判断 Linux 是 BIOS 还是 EFI 的方法

# ls -ld /sys/firmware/efi

（补充：如果 /sys/firmware/efi 目录存在，则代表系统是 EFI，否则系统是 BIOS）

内容二：判断 Linux 是 BIOS 还是 EFI 的脚本

# [ -d /sys/firmware/efi ] && echo UEFI || echo BIOS

February 4, 2021July 9, 2023

[实验] Linux SSH 内网穿透

步骤一：规划拓扑

1.1 服务器列表

客户端电脑
外网服务器
内网服务器

1.2 拓扑图

客户端电脑外网服务器内网服务器

1.3 拓扑图简介

内网服务器建立到外网服务器的 SSH 通道
客户端电脑通过 SSH 外网服务器连接到内网服务器
内网服务器就算没有公网 IP 地址也能被 SSH 上

步骤二：系统环境要求

1) 所有服务器的系统都需要是 Linux 版本
2) 所有服务器都要关闭防火墙
3) 内网服务器要能够 ping 通外网服务器
4) 客户端电脑要能够 ping 通外网服务器

步骤三：创建用于 SSH 内网穿透的用户

3.1 创建用于 SSH 内网穿透的用户

（分别在内网服务器和外网服务器上执行以下步骤）

# useradd <user for intranet penetration>

3.2 给用于 SSH 内网穿透的用户设置密码

（分别在内网服务器和外网服务器上执行以下步骤）

# passwd <user for intranet penetration>

步骤四：创建用于内 SSH 内网穿透的 SSH 密钥

4.1 进入到用户

（分别在内网服务器和外网服务器上执行以下步骤）

# su - <user for intranet penetration>

4.2 创建用于内 SSH 内网穿透的 SSH 密钥

（分别在内网服务器和外网服务器上执行以下步骤）

$ ssh-keygen

4.3 退出用户

（分别在内网服务器和外网服务器上执行以下步骤）

$ exit

步骤五：让内网服务器可以无密码访问外网服务器

5.1 进入到用户

（只在内网服务器上执行以下步骤）

# su - <user for intranet penetration>

5.2 将内网服务器的公钥拷贝到外网服务器

（只在内网服务器上执行以下步骤）

$ ssh-copy-id <IP address of Internet server>

5.3 退出用户

（只在内网服务器上执行以下步骤）

$ exit

步骤六：让外网服务器可以无密码访问自己

6.1 进入到用户

（只在外网服务器上执行以下步骤）

# su - <user for intranet penetration>

6.2 将内网服务器的公钥拷贝到外网服务器

（只在外网服务器上执行以下步骤）

$ ssh-copy-id 127.0.0.1

6.3 退出用户

（只在外网服务器上执行以下步骤）

$ exit

步骤七：实现内网服务器到外网服务器的 SSH 内网穿透

7.1 实现内网服务器到外网服务器的 SSH 通道

# su - <user for intranet penetration>
$ ssh -X -fCNR 11000:localhost:22 <IP address of Internet server>

（补充：这里以使用用于内网穿透的用户将内网服务器的 22 端口影射到外网服务器的 11000 端口为例）

（
注意：如果在内网服务器和外网服务器上创建的用于 SSH 内网穿透的用户名称不一样，则需要在最后 SSH 时添加上外网服务器上用于 SSH 的用户名

# su - <user for intranet penetration>
$ ssh -X -fCNR 11000:localhost:22 <user for intranet penetration>@<IP address of Internet server>

）

或者：

# ps -aux | grep -v grep | grep "11000:localhost:22 <IP address of Internet server>" &> /dev/null || su - <user for intranet penetration> -c 'ssh -X -fCNR 11000:localhost:22 <IP address of Internet server>'

（
注意：如果在内网服务器和外网服务器上创建的用于 SSH 内网穿透的用户名称不一样，则需要在最后 SSH 时添加上外网服务器上用于 SSH 的用户名

# ps -aux | grep -v grep | grep "11000:localhost:22 <IP address of Internet server>" &> /dev/null || su - <user for intranet penetration> -c 'ssh -X -fCNR 11000:localhost:22 <user for intranet penetration>@<IP address of Internet server>'

）

（补充：这里以使用用于内网穿透的用户将内网服务器的 22 端口影射到外网服务器的 11000 端口为例）

7.2 实现外网服务器 SSH 端口的影射

# su - <user for intranet penetration>
$ ssh -X -fCNL *:10000:localhost:11000 localhost

或者:

# ps -aux | grep -v grep | grep "*:10000:localhost:11000 localhost" || su - <user for intranet penetration> -c 'ssh -X -fCNL *:10000:localhost:11000 localhost'

（补充：这里以使用用于内网穿透的用户将外网服务器的 10000 端口影射到外网服务器的 11000 端口为例）

步骤八：客户端电脑使用 SSH 外网穿透

# ssh -p 10000 <user for intranet penetration>@<IP address of Internet server>

（补充：SSH 成功后，客户端电脑就可以直接 SSH 到内网服务器中了）

January 15, 2021July 9, 2023

[命令] Linux 命令 convert （转换图片文件）

内容一：convert 命令的使用格式

# convert <input options> <output file name> <output options> <output file name>

内容二：convert 命令的使用案例

2.1 案例一：直接转换某一个文件

# convert "a.png" "a.png.jpg"

（补充：这里以将 a.png 转换成 a.png.jpg 为例）

2.2 案例二：转换当前目录下的所有文件

# ls -1 *.png | xargs -n 1 bash -c 'convert "$0" "${0%.png}.jpg"'

（补充：这里以将当前目录下的所有 *.png 文件转换成 *.png.jpg 文件）

January 15, 2021July 9, 2023

[命令] Linux 命令 sshpass （密码非交互式 ssh）（转载）

sshpass的安装使用
 
1：sshpass下载与安装
     yum安装：

    yum install sshpass

     若yum安装不上，则用下面方法

        https://sourceforge.net/projects/sshpass/files/
          or
        https://pan.baidu.com/s/1pLNxeLd
         or
        wget http://sourceforge.net/projects/sshpass/files/latest/download -O sshpass.tar.gz



 
2：下载后，解压，安装

      

        tar -zxvf sshpass-1.06.tar.gz
        cd sshpass-1.06
        ./configure
        make
        make install


3：使用命令

         

    sshpass -p 123456 scp /home/file.txt root@10.0.0.37:/home/copy



      后面这个是 “Are you sure you want to continue connecting (yes/no)”使得这个自动接受，若不加，则成功不了
 
4：脚本

    复制代码

          #!/bin/bash
            password=123456
            user=root
            ip=10.0.0.37
            file=/home/file.txt
           sshpass -p $password scp file $user@$ip:/home/copy/


————————————————
版权声明：本文为CSDN博主「totoroKing」的原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/qq_30553235/article/details/78711491

注明：所有转载内容皆直接从被转载文章网页的标题和内容的文本中复制而来