步骤一:修改 /ETC/DEFAULT/GRUB 配置文件
# vim /etc/default/grub在这一行里:
GRUB_CMDLINE_LINUX="......"添加:
GRUB_CMDLINE_LINUX="...... systemd.default_timeout_start_sec=500s"步骤二:使刚刚的修改生效
# grub2-mkconfig -o /boot/grub2/grub.cfg[步骤] Linux page_owner 排查工具的使用 (记录内存的使用情况)
正文:
步骤一:查看 page_owner 是否开启
1.1 通过 dmesg 命令查看 page_owner 是否开启
# dmesg | grep page_owner
[ 1.149165] page_owner is disabled(补充:当显示此类信息时则 page_owner 没有开启)
1.2 通过 /sys/kernel/debug/ 目录查看 page_ownerr 是否开启
# ls -l /sys/kernel/debug/page_owner
ls: cannot access /sys/kernel/debug/page_owner: No such file or directory.(补充:当 /sys/kernel/debug/page_owner 文件不存在时则 page_owner 没有开启)
步骤二:开启 page_owner
2.1 开启 page_owner
# grubby --args="page_owner=on" --update-kernel=0(注意:开启 page_owner 会额外占用一定量的内存)
2.2 重启系统
# reboot2.3 确认 page_owner 已经开启
2.3.1 通过 dmesg 命令确认 page_owner 是否开启
# dmesg | grep page_owner
[ 0.000000] Command line: BOOT_IMAGE=(hd0,gpt2)/vmlinuz-4.18.0-425.19.2.el8_7.x86_64 root=/dev/mapper/rootvg-rootlv ro ipv6.disable=1 audit=1 audit_backlog_limit=8192 crashkernel=auto resume=/dev/mapper/rootvg-swaplv rd.lvm.lv=rootvg/rootlv rd.lvm.lv=rootvg/swaplv rhgb quiet rd.shell=0 page_owner=on
[ 0.000000] Kernel command line: BOOT_IMAGE=(hd0,gpt2)/vmlinuz-4.18.0-425.19.2.el8_7.x86_64 root=/dev/mapper/rootvg-rootlv ro ipv6.disable=1 audit=1 audit_backlog_limit=8192 crashkernel=auto resume=/dev/mapper/rootvg-swaplv rd.lvm.lv=rootvg/rootlv rd.lvm.lv=rootvg/swaplv rhgb quiet rd.shell=0 page_owner=o(补充:当显示此类信息时则 page_owner 已经开启)
2.3.2 通过 /sys/kernel/debug/ 目录确认 page_ownerr 是否开启
# ls -l /sys/kernel/debug/page_owner
-r--------. 1 root root 0 Apr 13 14:36 /sys/kernel/debug/page_owner(补充:当 /sys/kernel/debug/page_owner 文件存在时则 page_owner 已经开启)
步骤三:分析 page_owner 产生的记录
3.1 导出 page_owner 产生的记录
# cat /sys/kernel/debug/page_owner > page_owner_full.txt(补充:这里以将 page_owner 产生的记录导出到名为 page_owner_full.txt 文件为例)
(
注意:
1) 此命令会产生体积很巨大的文件
2) 此命令会持续执行直到手动取消
3) 可以通过同时按下 “ctrl” 键和 “C” 键或者使用 kill 命令取消
4) 如果内存变化较快则可以让此命令多执行一会,反之则可以少执行一会
)
3.2 解析 page_owner 产生的记录
# page_owner_sort page_owner_full.txt sorted_page_owner.txt
loaded 42903
sorting ....
culling(补充:这里以分析名为 page_owner_full.txt 的文件并将分析结果导入到 sorted_page_owner.txt 文件为例)
3.3 查看 page_owner 产生的记录
# less sorted_page_owner.txt
1 times:
Page allocated via order 0, mask 0x0(), pid 1, tgid 1 (swapper/0), ts 48952109 ns, free_ts 0 ns
PFN 4096 type Unmovable Block 8 type Unmovable Flags 0xfffffc0000100(slab|node=0|zone=1|lastcpupid=0x1fffff)
register_early_stack+0x28/0x60
init_page_owner+0x30/0x2d0
kernel_init_freeable+0x13c/0x232
kernel_init+0xa/0x108
1 times:
Page allocated via order 0, mask 0x0(), pid 1, tgid 1 (swapper/0), ts 48952566 ns, free_ts 0 ns
PFN 4097 type Unmovable Block 8 type Unmovable Flags 0xfffffc0000100(slab|node=0|zone=1|lastcpupid=0x1fffff)
register_early_stack+0x28/0x60
init_page_owner+0x30/0x2d0
kernel_init_freeable+0x13c/0x232
kernel_init+0xa/0x108
......(补充:这里以查看名为 sorted_page_owner.txt 文件里的分析结果为例)
步骤四:关闭 page_owner
4.1 开启 page_owner
# grubby --remove-args="page_owner=on" --update-kernel=0(注意:关闭 page_owner 会额外释放一定量的内存)
4.2 重启系统
# reboot4.3 确认 page_owner 已关闭
4.3.1 通过 dmesg 命令确认 page_owner 是否关闭
# dmesg | grep page_owner
[ 2.022585] page_owner is disabled(补充:当显示此类信息时则 page_owner 没有开启)
4.3.2 通过 /sys/kernel/debug/ 目录确认 page_ownerr 是否关闭
# ls -l /sys/kernel/debug/page_owner
ls: cannot access '/sys/kernel/debug/page_owner': No such file or directory(补充:当 /sys/kernel/debug/page_owner 文件不存在时则 page_owner 没有开启)
参考文献:
https://access.redhat.com/solutions/5609521
[排错] SLES 12 运行 yast lan 命令时,报错 “Details: Augeas parsing/serializing error: Iterated lens matched less than it should at /usr/share/augeas/lenses/dist/hosts.aug:23.12-.42:”
报错命令
# yast lan报错代码
Details: Augeas parsing/serializing error: Iterated lens matched less than it should at /usr/share/augeas/lenses/dist/hosts.aug:23.12-.42:分析
/etc/hosts 文件中最后 1 行没有以 “\n” 结尾
解决方法
# echo >> /etc/hosts参考文献
https://www.suse.com/zh-cn/support/kb/doc/?id=000019057
[步骤] Linux SSH 加密方式 (cipher) 、信息验证代码 (message authentication code) 和算法 (algorithm) 的设置 (Ciphers 参数、MACs 参数和 KexAlgorithms 参数的设置) (RHEL 8 版)
正文:
步骤一:确定 CRYPTO_POLICY 参数没有生效
# vim /etc/sysconfig/sshd确保部分内容如下:
......
# CRYPTO_POLICY=
......步骤二:在 /etc/crypto-policies/back-ends/opensshserver.config 配置文件中确认要使用的 Ciphers、MACs 和 KexAlgorithm 参数
2.1 备份 /etc/crypto-policies/back-ends/opensshserver.config 配置文件
# cp /etc/crypto-policies/back-ends/opensshserver.config /etc/crypto-policies/back-ends/opensshserver.config.backup2.2 修改 /etc/crypto-policies/back-ends/opensshserver.config 配置文件
# vim /etc/crypto-policies/back-ends/opensshserver.config添加需要使用的 SSH 算法 (algorithms) 和加密方式 (ciphers):
(内容略)
(注意:如果需要使用的 SSH 加密方式 (cipher) 、信息验证代码 (message authentication code) 和算法 (algorithm) ,已包含在其中了则可以不用添加)
2.3 显示目前正在被使用的 SSH 算法 (algorithms) 和加密方式 (ciphers)
# printf "%s\n" $(source /etc/crypto-policies/back-ends/opensshserver.config; echo $CRYPTO_POLICY) | cut -c3-
Ciphers=aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
MACs=hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
GSSAPIKexAlgorithms=gss-curve25519-sha256-,gss-nistp256-sha256-,gss-group14-sha256-,gss-group16-sha512-,gss-gex-sha1-,gss-group14-sha1-
KexAlgorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1
HostKeyAlgorithms=ecdsa-sha2-nistp256,ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521,ecdsa-sha2-nistp521-cert-v01@openssh.com,ssh-ed25519,ssh-ed25519-cert-v01@openssh.com,rsa-sha2-256,rsa-sha2-256-cert-v01@openssh.com,rsa-sha2-512,rsa-sha2-512-cert-v01@openssh.com,ssh-rsa,ssh-rsa-cert-v01@openssh.com
PubkeyAcceptedKeyTypes=ecdsa-sha2-nistp256,ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521,ecdsa-sha2-nistp521-cert-v01@openssh.com,ssh-ed25519,ssh-ed25519-cert-v01@openssh.com,rsa-sha2-256,rsa-sha2-256-cert-v01@openssh.com,rsa-sha2-512,rsa-sha2-512-cert-v01@openssh.com,ssh-rsa,ssh-rsa-cert-v01@openssh.com
CASignatureAlgorithms=ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,ssh-ed25519,rsa-sha2-256,rsa-sha2-512,ssh-rsa(补充:这里以显示 RHEL 8 默认使用的 SSH 加密方式 (cipher)、信息验证代码 (message authentication code) 和算法 (algorithm) 为例)
步骤三:让在 /etc/crypto-policies/back-ends/opensshserver.config 配置文件中添加要使用的 SSH 加密方式 (cipher) 、信息验证代码 (message authentication code) 和算法 (algorithm) 生效
# systemctl restart sshd步骤四:测试 SSH 加密方式 (cipher) 、信息验证代码 (message authentication code) 和算法 (algorithm)
4.1 测试 SSH 加密方式 (cipher)
4.1.1 测试某个 SSH 加密方式 (cipher)
# ssh -vv -oCiphers=3des-cbc -oPort=22 192.168.0.1(补充:这里以测试 IP 地址是 192.168.0.1,端口号是 22,有没有启用 3des-cbc SSH 加密方式 (cipher) 为例)
4.1.2 测试多个 SSH 加密方式 (cipher)
# ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc -oPort=22 192.168.0.1(补充:这里以测试 IP 地址是 192.168.0.1,端口号是 22,有没有启用 3des-cbc、aes128-cbc、aes192-cbc 和 aes256-cbc SSH 加密方式 (cipher) 为例)
4.2 测试 SSH 信息验证代码 (message authentication code)
4.2.1 测试某个 SSH 信息验证代码 (message authentication code)
# ssh -vv -oMACs=hmac-md5 -oPort=22 192.168.0.1(补充:这里以测试 IP 地址是 192.168.0.1,端口号是 22,有没有启用 hmac-md5 SSH 信息验证代码 (message authentication code) 为例)
4.2.2 测试多个 SSH 信息验证代码 (message authentication code)
# ssh -vv -oMACs=hmac-md5,hmac-md5-96,hmac-sha1,hmac-sha1-96,hmac-md5-etm@openssh.com,hmac-md5-96-etm@openssh.com -oPort=22 192.168.0.1(补充:这里以测试 IP 地址是 192.168.0.1,端口号是 22,有没有启用 hmac-md5、hmac-md5-96、hmac-sha1、hmac-sha1-96、hmac-md5-etm@openssh.com 和 hmac-md5-96-etm@openssh.com SSH 信息验证代码 (message authentication code) 为例)
4.3 显示所有在使用的 SSH 加密方式 (cipher) 、信息验证代码 (message authentication code) 和算法 (algorithm)
4.3.1 使用 sshd 命令显示所有在使用的加密方式 (cipher) 、信息验证代码 (message authentication code)
# sshd -T | egrep -i "ciphers|macs|kexalgorithms"4.3.2 使用 nmap 命令显示所有在使用的 SSH 加密方式 (cipher) 、信息验证代码 (message authentication code) 和算法 (algorithm)
# nmap --script ssh2-enum-algos -sV -p 22 127.0.0.1(补充:这里以测试本地的 22 端口为例)
4.3.3 使用 nmap 命令显示所有在使用的 SSH 加密方式 (cipher) 、信息验证代码 (message authentication code) 和算法 (algorithm)
# ssh -vvv 127.0.0.1(补充:这里以测试本地的 22 端口为例)
参考文献:
https://access.redhat.com/solutions/4410591
https://access.redhat.com/solutions/4278651
[内容] Linux 功能的限制
正文:通过 /etc/security/access.conf 文件实现 Linux 功能使用的限制
# vim /etc/security/access.conf添加以下内容:
......
+ : root : LOCAL
+ : zhumingyu : ALL
+ : @cron : ALL
- : ALL : ALL(
补充:这里以
1) 允许 root 用户使用本地的所有功能
2) 允许 zhumingyu 用户使用所有功能
3) 允许 cron 功能被所有用户使用
4) 其它所有的功能或用户都被禁止
为例
)
补充:使 /etc/security/access.conf 文件的配置失效
# vim /etc/pam.d/crond将部分内容修改如下:
......
#account required pam_access.so
......