[步骤] GRUB2 Bootloader 密码的设置（openSUSE & SLES 版）

步骤一：生成密码的 GRUB2 密码的 SHA512 值

# grub2-mkpasswd-pbkdf2
Enter password: 
Reenter password: 
PBKDF2 hash of your password is 
grub.pbkdf2.sha512.10000.
B857B79D02FF55CA3A69B8485C1A4A427424630C804CC8A89134520A34E056D7882A778F6BC8AD856CB95DF8B99BE25F9FEAD899D826BB3915FB20BAD682D10A.4A1CF49B7F815A0578031CCA2CE98C66BDFBEAB0AE2721531BB54AFC6CFFA990FBD9062F41C006376C283B717FEC1BD9BB1AFB882AF91B5F4A812459D7974D1F

（补充：这里以生成 eternalcenter 的 GRUB2 SHA512 值为例）

（注意：grub.pbkdf2.sha512.10000……. 后面的一长串字母和数字其实是 1 行，这里因为是显示问题所以看上去是多行）

步骤二：创建 GRUB2 密码文件

# vim /etc/grub.d/40_custom

创建以下内容：

#!/bin/sh
exec tail -n +3 $0
# This file provides an easy way to add custom menu entries.  Simply type the
# menu entries you want to add after this comment.  Be careful not to change
# the 'exec tail' line above.
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.
B857B79D02FF55CA3A69B8485C1A4A427424630C804CC8A89134520A34E056D7882A778F6BC8AD856CB95DF8B99BE25F9FEAD899D826BB3915FB20BAD682D10A.4A1CF49B7F815A0578031CCA2CE98C66BDFBEAB0AE2721531BB54AFC6CFFA990FBD9062F41C006376C283B717FEC1BD9BB1AFB882AF91B5F4A812459D7974D1F
export superusers
set unrestricted_menu="y"
export unrestricted_menu

（
补充：
1) 登录用户 root
2) 登录密码 eternalcenter
3) 这里的 grub.pbkdf2.sha512.10000.B857B…… 是由步骤一生成的
）

（
注意：
1) password_pbkdf2 root 和 grub.pbkdf2.sha512.10000…… 其实是 1 行，中间只有 1 个空格，应该写成 password_pbkdf2 root grub.pbkdf2.sha512.10000……，这里因为是显示问题所以看上去是 2 行
2) password_pbkdf2 root grub.pbkdf2.sha512.10000……. 后面的一长串字母和数字其实是 1 行，从 export superusers 开始才是独立的 1 行，这里因为是显示问题所以看上去是多行
）

步骤三：修改 /etc/default/grub 参数

# vim /etc/default/grub

在这一行里：

GRUB_CMDLINE_LINUX_DEFAULT="......"

添加：

GRUB_CMDLINE_LINUX_DEFAULT="...... rd.shell=0 showopts LANG=C/g"

步骤四：让刚刚创建的 GRUB2 密码文件生效

# grub2-mkconfig -o /boot/grub2/grub.cfg

步骤五：测试 GRUB2 Bootloader 密码

5.1 重启系统

5.2 进入到 GRUB2 Bootloader 模式

当启动系统时，左下角出现以下内容时按下 “E” 键

    C: Command Line    E: Edit Entry

参考文献：

https://www.suse.com/support/kb/doc/?id=000019331

November 14, 2020November 22, 2024

[步骤] Linux snmp v1 和 snmp v2 的禁用

步骤一：修改 /etc/snmp/snmpd.conf 配置文件

# vim /etc/snmp/snmpd.conf

将以下内容：

......
group gpublic v1 ......
group gpublic v2c ......
......

修改为：

......
# group gpublic v1 ......
# group gpublic v2c ......
......

步骤二：让修改的 /etc/snmp/snmpd.conf 配置文件生效

# systemctl restart snmpd

October 24, 2020November 22, 2024

[步骤] Linux 周期性计划任务 cron 的设置

步骤一：进入周期任务计划的文件

1.1 案例一：直接进入周期任务计划的文件

# crontab -e

1.2 案例二：以某一个用户的身份进入周期任务计划的文件

# crontab -u root -e

（补充：这里以使用 root 用户的身份进入周期任务计划的文件为例）

步骤二：设置周期任务计划

2.1 设置周期任务计划的格式

<what minute> <what hour> <day of the month> <what month> <day of the week> <command>

（
补充：
1) 当以上内容是 1 个星号 “*” 时，代表任意时刻都会执行
2) 当在某一个时刻执行时，可以直接写入对应的数字，例如：0，代表在 0 时执行
3) 当同时在多个时刻执行时，可以直接写入多个对应的数字，例如：0,15,30，代表在 0 时、15 时、30 时都会执行
4) 当每隔一段时间就执行时，可以在星号 “*” 后面添加斜杠和间隔的数字，例如：*/5，代表每隔 5 就会执行 1 次
5) 当是执行 /sbin 下的命令时，需要使用命令的全路径
6) 有些特殊符号不会在此地起作用，例如：$(<command>)
）

2.2 设置周期任务计划的案例

2.2.1 案例一

0 1 * * * curl eternalcenter.com

（补充：此案例会在每天 1 点 0 时访问一次 eternalcenter.com）

2.2.2 案例二

*/5 * * * * curl eternalcenter.com

（补充：此案例会每过 5 分钟访问一次 eternalcenter.com）

2.2.3 案例三

0 0 1,5,10,15 /sbin/reboot

（补充：此案例会在每个月的 1 号 5 号 10 号 15 号的 0 点 0 分重启系统）

步骤三：显示已设置的周期任务计划

3.1 案例一：显示本用户已设置的周期任务计划

# crontab -l

3.2 案例二：以某 1 个用户的身份进入周期任务计划的文件

# crontab -u root -l

（补充：这里以显示 root 用户已设置的周期任务计划为例）

补充：# crontab -e 命令编辑文件的所在位置

如果是 Rocky Linux & RHEL

/var/spool/cron/

如果是 openSUSE & SLES

/var/spool/cron/tabs/

August 6, 2020November 22, 2024

[步骤] Linux 密码的安全（设置密码复杂度和加密算法）（CentOS Linux 8 & RHEL 8 版）

步骤一：设置密码必须包含大小写字母等策略

# vim /etc/security/pwquality.conf

将部分内容修改如下：

......
minlen = 15
......
dcredit = -1
......
ucredit = -1
......
lcredit = -1
......
ocredit = -1
......
dictcheck = 1
......
usercheck = 1
......

（
补充：这里以
1) 密码最小长度为 15 个字符（minlen = 15）
2) 密码必须包含数字的个数（dcredit = -1）
3) 密码必须包含大写字母的个数（ucredit = -1）
4) 密码必须包含小写字母的个数（lcredit = -1）
5) 密码必须包含特殊字符的个数（ocredit = -1）
6) 密码不能包含字典（dictcheck = 1）
7) 密码不能包含用户（usercheck = 1）
为例
）

步骤二：设置新密码不能和旧密码重复的策略以及加密算法

2.1 配置 authselect 自定义认证

2.1.1 检查是否选择了 authselect 自定义认证

# authselect current | awk 'NR == 1 {print $3}' | grep custom/
custom/password-policy

（
补充：
（1）如果这条命令里没有输出则代表没有选择自定义认证
（2）从这里的输出结果可以看出这里选择的自定义认证是 custom/password-policy
）

2.1.2 如果 authselect 自定义认证存在

2.1.2.1 修改 /etc/authselect/custom/password-policy/system-auth 配置文件

# vim /etc/authselect/custom/password-policy/system-auth

将以下内容：

......
password    requisite     pam_pwquality.so ......
......
password    sufficient    pam_unix.so ......
......

修改为：

...... 
password    requisite     pam_pwhistory.so try_first_pass local_users_only enforce-for-root remember=5 use_authtok ......
......
password    sufficient    pam_unix.so sha512 shadow try_first_pass use_authtok remember=24 use_authtok ......
......

（
补充：这里以
1) 新密码不能和前 5 个旧密码重复
2) 使用 SHA512 哈希算法加密密码
为例
）

2.1.2.2 修改 /etc/authselect/custom/password-policy/password-auth 配置文件

# vim /etc/authselect/custom/password-policy/password-auth

将以下内容：

......
password    requisite     pam_pwquality.so ......
......
password    sufficient    pam_unix.so ......
......

修改为：

...... 
password    requisite     pam_pwhistory.so try_first_pass local_users_only enforce-for-root remember=5 use_authtok ......
......
password    sufficient    pam_unix.so sha512 shadow try_first_pass use_authtok remember=24 use_authtok ......
......

（
补充：这里以
1) 新密码不能和前 5 个旧密码重复
2) 使用 SHA512 哈希算法加密密码
为例
）

2.1.3 如果 authselect 自定义认证不存在

2.1.3.1 生成新的 authselect 自定义认证

2.1.3.1.1 备份当前的 authselect 自定义认证

# authselect apply-changes -b --backup=sssd.backup

（补充：这里以创建 sssd.backup 备份文件为例）

2.1.3.1.2 创建新的 authselect 自定义认证

# authselect create-profile password-policy -b sssd --symlink-meta --symlink-pam

（补充：这里以生成名为 password-policy 的自定义认证为例）

2.1.3.1.3 选择新的 authselect 自定义认证

2.1.3.1.3.1 选择新的 authselect 自定义认证

# authselect select custom/password-policy with-sudo with-faillock without-nullok with-mkhomedir --force

（
补充：
1) 这里以选择名为 password-policy 的自定义认证为例
2) 这里设置了 with-sudo、with-faillock、without-nullok 和 with-mkhomedir 参数
）

（注意：使用了 with-mkhomedir 参数后，会提示需要开启 oddjobd）

2.1.3.1.3.2 满足选择新的 authselect 自定义认证时 with-mkhomedir 参数的要求

# dnf install oddjob ; systemctl enable --now oddjobd.service

2.1.3.1.4 显示当前选择的 authselect 自定义认证

# authselect current

（补充：这里以生成并选择名为 password-policy 的自定义认证为例）

2.1.3.2 修改 authselect 自定义认证

2.1.3.2.1 修改 /etc/authselect/custom/password-policy/system-auth 配置文件

# vim /etc/authselect/custom/password-policy/system-auth

将以下内容：

......
password    requisite     pam_pwquality.so ......
......
password    sufficient    pam_unix.so ......
......

修改为：

...... 
password    requisite     pam_pwhistory.so try_first_pass local_users_only enforce-for-root remember=5 use_authtok ......
......
password    sufficient    pam_unix.so sha512 shadow try_first_pass use_authtok remember=24 use_authtok ......
......

（
补充：这里以
1) 新密码不能和前 5 个旧密码重复
2) 使用 SHA512 哈希算法加密密码
为例
）

2.1.3.2.2 修改 /etc/authselect/custom/password-policy/password-auth 配置文件

# vim /etc/authselect/custom/password-policy/password-auth

将以下内容：

......
password    requisite     pam_pwquality.so ......
......
password    sufficient    pam_unix.so ......
......

修改为：

...... 
password    requisite     pam_pwhistory.so try_first_pass local_users_only enforce-for-root remember=5 use_authtok ......
......
password    sufficient    pam_unix.so sha512 shadow try_first_pass use_authtok remember=24 use_authtok ......
......

（
补充：这里以
1) 新密码不能和前 5 个旧密码重复
2) 使用 SHA512 哈希算法加密密码
为例
）

2.2 让配置的 authselect 自定义配置认证生效

# authselect apply-changes

（注意：此步骤会刷新 /etc/authselect/system-auth 配置文件和 /etc/authselect/password-auth 配置文件）

步骤三：设置加密算法

# vim /etc/login.defs

将以下内容：

......
ENCRYPT_METHOD ......
......

修改为：

......
ENCRYPT_METHOD SHA512
......

（补充：这里以使用 SHA512 哈希算法加密密码为例）

July 24, 2020November 22, 2024

[步骤] CentOS Linux & RHEL 系统的优化（通过 tuned 实现）

步骤一：系统环境要求

服务器系统要配置好可用的软件源

步骤二：安装 tuned 系统优化软件

# yum -y install tuned

步骤三：显示 tuned 推荐的优化模式

# tuned-adm recommend
virtual-guest

步骤四：切换至 tuned 推荐的优化模式

# tuned-adm profile virtual-guest

步骤五：显示当前的优化模式

# tuned-adm active
Current active profile: virtual-guest

补充：取消 tuned 系统优化的方法

# tuned-adm off