System Operation Others （系统操作其它）

December 21, 2023December 21, 2023

Several situations of Linux automatically reboot without reboot logs in the /var/log/messages

Situation One

This Linux server is a virtual server. If we reboot it though its virtual software, there is no relevant logs in the /var/log/messages.

Situation Two

This Linux server is a member of a pacemaker cluster. If the pacemaker cluster software fences this server for protecting the whole cluster, there is no relate logs in the /var/log/messages.

Situation Three

This Linux server has critical problems in its system or hardware. Core panic of Linux and hardware problem both can reboot the system automatically without any reboot logs in the /var/log/messages.

December 9, 2023December 9, 2023

[步骤] Linux 关机前执行脚本

步骤一：创建要被管理的脚本

# vim /root/12456.sh

创建以下内容：

#!/bin/bash
for i in {1..5}
do
echo $i
done

（补充：这里以创建 /etc/root/for.sh 脚本为例）

步骤二：创建 systemctl 的管理文件

# vim /etc/systemd/system/12456.service

创建以下内容：

[Unit]
Description=12345
After=getty@tty1.service display-manager.service plymouth-start.service
Before=systemd-poweroff.service systemd-halt.service
DefaultDependencies=no

[Service]
ExecStart=/root/12456.sh
Type=forking

[Install]
WantedBy=poweroff.target
WantedBy=reboot.target
WantedBy=halt.target

（补充：这里以创建 /etc/systemd/system/12456.service 来管理 ExecStart=/root/12456.sh 为例）

步骤三：加载刚刚创建的 systemctl 管理文件

# systemctl daemon-reload

步骤四：给 systemctl 的管理文件添加执行权限

# chmod u+x /etc/systemd/system/12456.service

步骤五：设置关机前执行脚本

5.1 设置关闭系统前执行此脚本

# ln -s /usr/lib/systemd/system/12456.service /usr/lib/systemd/system/halt.target.wants/

5.2 设置关闭电源前执行此脚本

# ln -s /usr/lib/systemd/system/12456.service /usr/lib/systemd/system/poweroff.target.wants/

5.3 设置重启先执行此脚本

# ln -s /usr/lib/systemd/system/12456.service /usr/lib/systemd/system/reboot.target.wants/

July 8, 2023August 21, 2023

[内容] Linux 查看 auditd 日志的案例

案例一：查看文件创建记录

# /usr/sbin/ausearch --start $(date +\%m/\%d/\%Y -d "-1 month") -i --input-logs | egrep "/test/test.txt.*nametype=CREATE" | awk '{print $2,$3,$6}'

（补充：这里以查看 /test/test.txt 文件有没有被创建为例）

案例二：查看文件删除记录

# /usr/sbin/ausearch --start $(date +\%m/\%d/\%Y -d "-1 month") -i --input-logs | egrep "/test/test.txt.*nametype=DELETE" | awk '{print $2,$3,$6}'

（补充：这里以查看 /test/test.txt 文件有没有被删除为例）

案例三：查看文件有没有存在过

# /usr/sbin/ausearch --start $(date +\%m/\%d/\%Y -d "-1 month") -i --input-logs | egrep "/test/test.txt.*nametype=" | awk '{print $2,$3,$6}' | uniq

（补充：这里以查看 /test/test.txt 文件有没有存在过为例）

July 8, 2023July 9, 2023

[内容] Linux 查看系统日志的案例

案例一：查看用户创建记录

# cat /var/log/messages | grep -e /usr/sbin/useradd | grep ' ID='

案例二：查看用户删除记录

# cat /var/log/messages | grep -e /usr/sbin/userdel | grep ' ID='

May 20, 2023October 26, 2023

[内容] Linux SSH ecdsa 码的管理

内容一：SSH ecdsa 码介绍

1.1 什么是 ecdsa 码

ecdsa 是 SSH 服务为自己生成的唯一识别，通常一旦生成便不会改变

当 SSH 客户端访问 SSH 服务端时会尝试识别此 SSH 服务端（以此 SSH 服务端的 IP 地址或者域名为判断依据）的 SSH ecdsa 码：

如果当 SSH 客户端没有记录过此 SSH 服务端的 SSH ecdsa 码时，SSH 客户端会给出提示并让用户选择是否信任并记录此 SSH ecdsa 码

如果当 SSH 客户端记录过此 SSH 服务端的 SSH ecdsa 码且和过去的记录匹配时，SSH 客户端会直接 SSH 登录此 SSH 服务端

如果当 SSH 客户端记录过此 SSH 服务端的 SSH ecdsa 码且和过去的记录不一致时，SSH 客户端会给出提示此 IP 地址或者域名的 SSH ecdsa 码已发生改变，此时 SSH 客户端无法通过密码 SSH 登录 SSH 客户端，但是可以通过密码登录 SSH 客户端

1.2 SSH ecdsa 码存放位置

/etc/ssh/ssh_host_ecdsa_key.pub
/etc/ssh/ssh_host_ecdsa_key

内容二：管理 SSH ecdsa 码

2.1 查看 SSH 服务端的 SSH ecdsa 码

# ssh-keyscan -t ecdsa <SSH Server IP address>

或者：

# ssh-keyscan -t ecdsa <SSH Server IP domain>

2.2 将现在 SSH 服务端的 SSH ecdsa 码替换记录里的 SSH ecdsa 码

2.2.1 通过使用 ssh-keygen 命令将现在 SSH 服务端的 SSH ecdsa 码替换记录里的 SSH ecdsa 码

# ssh-keygen -R <SSH Server IP address>

或者：

# ssh-keygen -R <SSH Server IP domain>

2.2.2 通过修改 ~/.ssh/known_hosts 配置文件将现在 SSH 服务端的 SSH ecdsa 码替换记录里的 SSH ecdsa 码

# vim ~/.ssh/known_hosts

删除对应的记录：

（步骤略）

2.3 在本服务器上生成新的 SSH ecdsa 码

# ssh-keygen -t ecdsa -f ssh_host_ecdsa_key