首页 > 代码库 > RHEL 7--RHCE笔记
RHEL 7--RHCE笔记
中文输入:
# yum -y install“ibus-table-chinese*”“cjk*”“*pinyin*”
# reboot
# Settings -----> Region & Language -----> Input Sources -----> Chinese(Intelligent Pinyin)
一、Systemd相关管理(禁用或者恢复服务、杀死等)
[root@server0 ~]# systemctl mask 服务名(禁用该服务)
[root@server0 ~]# systemctl unmask 服务名(不禁用/恢复该服务)
[root@server0 ~]# systemctl kill 服务名(杀死该服务)
[root@server0 ~]# systemctl is-active 服务名(查看该服务是否启动)
[root@server0 ~]# systemctl is-failed 服务名(查看该服务是否失败)
[root@server0 ~]# systemctl reenable 服务名(重新设置该服务开机启动)
二、Firewall防火墙设置
图形化配置命令:firewall-config
终端配置命令:firewall-cmd
(1)图形配置解释
Configuration:Runtime/Permanent(临时/永久,注意选择永久)
Zone:默认区域,缺省使用public
Services:预设的一些服务,勾选代表允许
Ports:设置端口
Masquerading:NAT伪装技术
Port Forwarding:端口转发
ICMP Filter:ICMP过滤
Rich Rules:复规则
Interfaces:接口
(2)命令行配置
[root@server0 ~]# firewall-cmd --permanent --add-service=服务名(新添加一条永久的允许服务规则)
[root@server0 ~]# firewall-cmd --permanent --add-rich-rule "rule family=ipv4 source address=“IP地址”service name=服务名 reject"(新添加一条永久规则,拒绝这个网段访问服务)
[root@server0 ~]# firewall-cmd --permanent --list-all(查看所有当前的永久规则)
三、Samba配置
[root@server0 ~]# yum -y install samba samba-client cifs-utils(安装所需软件包)
[root@server0 ~]# smbpasswd -a 用户名(添加samba用户)
[root@server0 ~]# pdbedit -L(查看samba用户列表)
[root@server0 ~]# vim /etc/samba/smb.conf(编辑samba配置文件)
valid users = 用户名,@组名(可以访问的用户;只读)
write list = 用户名,@组名(可以写入的用户)
hosts allow = 网段(只允许某个网段访问)
[root@server0 ~]# systemctl enable smb nmb(开机自启samba服务)
[root@server0 ~]# systemctl restart smb nmb(重启samba服务)
[root@server0 ~]# firewall-cmd --permanent --add-service=samba(配置防火墙,允许samba服务)
[root@server0 ~]# firewall-cmd --reload(重新加载防火墙配置)
[root@server0 ~]# vim /etc/fstab
挂载参数:
credentials=密码与用户存储的位置(文件中存储username、password)
multiuser(多用户挂载)
sec=ntlmssp(安全选项)
[ldapuser1@desktop0 ~]$ cifscreds add samba服务器名(重新从samba服务器获得自己的访问凭据)
四、SElinux配置(SElinux使用selinux用户、角色、类型和级别控制进程访问资源)
1、了解Selinux
1)DAC:指用户访问资源的控制,即权限
MAC:Selinux标签,限制进程访问资源,进程归用户所有;当用户调用进程去访问资源(file)时,检查Selinux安全标签,匹配了才能访问
Selinux属性的格式:user:role:type:level
2)Selinux用户:不同于系统用户,Selinux用户使用selinux策略的一部分,和系统用户有映射关系;一个用户对应一个selinux映射;semanage查看关系semanage user -l
3)角色role:用户空间,进程的访问范围标记,如object_r
4)类型或者安全上下文:资源的标记,如admin_home_t
5)安全级别:s0最常用
[root@server0 ~]# ls -Zld 文件/目录(查看文件/目录的Selinux属性)
[root@server0 ~]# ps -eZ | grep 服务名(查看服务进程的Selinux属性)
[root@server0 ~]# id -Z(当前用户的selinux设置)
2、设置文件的Selinux属性中安全上下文(type)
1)临时设置
[root@server0 ~]# chcon -R(递归处理所有的文件及子目录) -t(设置指定类型的目标安全环境)类型(如samba_share_t)
[root@server0 ~]# restorecon -F(强制)-v(详细)-R(递归)(还原Selinux属性)
2)永久生效
查询命令的提供包:yum provides semanage
语法:semanage fcontext -(a|d|m)文件(-a表示增加、-d删除、-l显示、-m修改;注意,文件、目录使用绝对路径)
[root@server0 ~]# semanage fcontext -a -t samba_share_t ‘/smb1(/.*)(匹配目录下的所有内容)‘(案例)
[root@server0 ~]# restorecon -F(强制)-v(详细)-R(递归)(还原Selinux属性)
[root@server0 ~]# semanage fcontext -l(显示所有的Selinux属性)
3、复制、移动对selinux规则的影响
移动:移动时selinux属性不变,覆盖时会覆盖selinux属性
复制:复制时使用目标selinux的属性,覆盖的selinux属性不变
注意:对比移动和复制,复制更有利于保持selinux属性、推荐使用
4、tar打包备份与selinux ;特殊selinux type :file_t ,default_t ,user_tmp_t
1)tar打包时默认selinux丢失,使用“—selinux --xattrs”
tar -zcvf /tmp/test-sel.tar.gz /var/www/html --selinux
2)特殊type:
file_t:文件没有selinux属性
default_t:文件或目录的selinux与file_context配置文件定义模式不匹配
两种类型文件,设置了selinux属性的进程都不能访问
user_tmp_t:用户的临时文件,所有进程都可以访问
五、NFS配置
1、简单的NFS
[root@server0 ~]# yum -y install nfs-utils(NFS软件包,包括客户端)
[root@server0 ~]# vim /etc/exports(NFS配置文件)
/共享目录网段/子网掩码(选项;如-ro,sync)
nfs-server.service(提供简单的NFS共享,服务端使用)
nfs-secure-server.service(提供基于KerBeros的安全认证共享,服务端使用)
nfs-secure.service(客户端使用KerBeros认证,客户端使用)
2、基于KerBeros的安全NFS
服务器:
[root@server0 ~]# wget http://classroom.example.com/pub/keytabs/server0.keytab -O /etc/krb5.keytab(从服务器下载用于安全认证的keytab文件,下载后名称和位置必须在此)
[root@server0 ~]# vim /etc/sysconfig/nfs(NFS全局配置文件)
# Optional arguments passed to rpc.nfsd. See rpc.nfsd(8)
RPCNFSDARGS="-V 4.2"(定义NFS使用的协议版本4.2提供共享)
[root@server0 ~]# vim /etc/exports(NFS配置文件)
/共享目录网段/子网掩码(ro,sec=krb5p)(添加sec=krb5,以支持Krb5共享;安全选项有krb5、krb5i、krb5p,建议使用krb5p。客户端必须使用相同的安全选项)
[root@server0 ~]# systemctl enable nfs-secure-server.service(启动KerBeros安全认证共享服务)
[root@server0 ~]# systemctl restart nfs-secure-server.service
[root@server0 ~]# systemctl restart nfs-server.service
客户端:
[root@desktop0 ~]# wget http://classroom.example.com/pub/keytabs/server0.keytab -O /etc/krb5.keytab(下载用于安全认证的keytab文件)
[root@desktop0 ~]# systemctl enable nfs-secure.service
[root@desktop0 ~]# systemctl restart nfs-secure.service
[root@desktop0 ~]# mkdir /nfs2
[root@desktop0 ~]# vim /etc/fstab
server0:/nfs2 /mnt/nfs2 nfs defaults,v4.2(表示使用的NFS版本),sec=krb5p(使用的安全选项;必须与服务器设置相同) 0 0
[ldapuser5@desktop0 ~]$ kinit(获得kerberos的凭据)
Password for ldapuser5@EXAMPLE.COM: (Kerberos密码)
六、链路聚合配置(多块网卡绑定,实现故障切换;需有两块网卡以上)
命令行配置:
[root@server0 ~]# nmcli connection add type team(逻辑设备)、team-slave(Team中包含的真实设备)con-name (设备名) ifname team0(设备类型) config ‘{"runner"(属性名):{"name"(子属性
名):"activebackup"(子属性值)}}‘(定义Team的方式;可man teamd.conf有案例文件)添加逻辑设备
[root@server0 ~]# nmcli connection add type team con-name team0 ifname team0 config ‘{"runner":{"name":"activebackup"}}‘(Team案例)
[root@server0 ~]# nmcli connection modify team0 ipv4.addresses "TCP/IP信息"(设置Team的IP信息)
[root@server0 ~]# nmcli connection modify team0 ipv4.method m(设置为静态)
[root@server0 ~]# nmcli connection add type team-slave con-name 设备名 ifname 网卡设备 master 逻辑设备名(添加Team中所需要包含的真实设备)
[root@server0 ~]# nmcli connection add type team-slave con-name team-eth1 ifname eno1 master team0(添加设备案例)
[root@server0 ~]# teamdctl team设备名 state(查看Team的状态信息)
图形化配置:
[root@server0 ~]# nm-connection-editor --> add --> team -->注意选择开机自启动 --> 配置完成后nmcli connection up 配置文件名
七、Firewalld端口转发配置
图形化配置:
firewall-config --> Configuration(Permanent)--> Port Forwaring --> Add --> Port/Port Range(源端口)--> Forward to another port(转发到目标主机端口)--> IP address(目标主机)--> Port / Port Ramge(目标断
端口)--> Options(Reload Firewalld)(Rich Rule可以针对源地址做限制)
命令行配置:
[root@server0 ~]# firewall-cmd --permanent --add-rich-rules “rule family=“ipv4”source address=“源地址”forward-port port=“源端口”protocol=“tcp”to-port=“目标端口””
[root@server0 ~]# nc -l 端口号(开启本地一个端口号)
八、IPV6的配置
[root@server0 ~]#
[root@server0 ~]#
[root@server0 ~]#
[root@server0 ~]#
九、POSTFIX邮件(配置只发送不接收)
/usr/share/doc/postfix-2.10.1/README_FILES/STANDARD_CONFIGURATION_README(POSTFIX邮件案例文件)
[root@server0 ~]# vim /etc/postfix/main.cf(POSTFIX主配置文件)(Ctrl + v进入可视化模式,d可快速删除)(配置文件中有多个相同名的名时,以最后一条生效)
myhostname = 主机名
myorigin = $mydomain(伪装,邮件的落款)
relayhost = $mydomain | [地址](发送出去的邮件,转发的主机)
inet_interfaces = loopback-only(监听的接口)
mydestination =(决定了邮件的工作范围,空代表不收)
local_transport = error:local mail delivery is disabled(邮件错误信息的提示内容,内容可自定义)
十、ISCSI配置
服务器:
[root@server0 ~]# yum -y install targetcli(文本模式的target配置文件)
[root@server0 ~]# systemctl enable target.service
[root@server0 ~]# systemctl restart target.service
[root@server0 ~]# targetcli
/> ls
o- / ......................................................................................................................... [...]
o- backstores .............................................................................................................. [...]
| o- block .................................................................................................. [Storage Objects: 0](块设备做共享)
| o- fileio ................................................................................................. [Storage Objects: 0](文件做共享)
| o- pscsi .................................................................................................. [Storage Objects: 0]
| o- ramdisk ................................................................................................ [Storage Objects: 0]
o- iscsi ............................................................................................................ [Targets: 0]
| o- acls .......................................................................................................... [ACLs: 0](允许访问的IQN)
| o- luns .......................................................................................................... [LUNs: 0](将IQN和共享设备/文件做关联)
| o- portals .................................................................................................... [Portals: 0](设置IQN/进程监听的端口)
o- loopback ......................................................................................................... [Targets: 0]
/> /backstores/block/ create ISCSI设备名 /dev/设备名(创建一个块设备)
/> /iscsi/ create IQN名(创建设备的IQN)
/> /iscsi/IQN名/tpg1/acls/ create 允许的IQN(设置允许访问的IQN)
/> iscsi/IQN名/tpg1/luns/ create /backstores/block/ISCSI设备名(将IQN和设备做关联)
/> /iscsi/IQN名/tpg1/portals create IP 3260(默认端口)(设备监听的端口)
/> saveconfig(保存配置)
/> exit(退出)
[root@server0 ~]# firewall-cmd --permanent --add-port=3260/tcp
[root@server0 ~]# firewall-cmd --reload
客户端
[root@desktop0 ~]# yum -y install iscsi-initiator-utils iscsi-initiator-utils-iscsiuio(客户端工具)
[root@desktop0 ~]# vim /etc/iscsi/initiatorname.iscsi (定义了IQN的配置文件)
InitiatorName=IQN(使用授权访问的IQN)
[root@desktop0 ~]# systemctl enable iscsid
[root@desktop0 ~]# systemctl restart iscsid
[root@desktop0 ~]# iscsiadm -m discovery -t st -p(不写为默认3260端口) 主机名(发现ISCSI,读取/var/lib/iscsi目录)
[root@desktop0 ~]# systemctl restart iscsi(login发现的所有IQN)
[root@desktop0 ~]# systemctl enable iscsi
[root@desktop0 ~]# blkid(查看设备UUID)
[root@desktop0 ~]# vim /etc/fstab
_netdev(增加挂载选项,声明是一个网络设备)
十一、Shell脚本
(1)case语句格式
if [ command ];then
commands
elif [ command2 ];then
commands
else [ command3 ];then
commands
fi
(2)case语句格式
case 值 in
模式1)
command1
command2
command3
;;
模式2)
command1
command2
command3
;;
*)
command1
command2
command3
;;
esac
(3)for语句格式
for 变量 in 列表
do
循环体
done
(4)while语句格式
while [ condition ] <==中括号内的状态就是判断式
do <==do 是回圈的开始!
程序段落
done <==done 是回圈的结束
[root@server0 ~]# sh -n 脚本(检测脚本语法是否有误)
[root@server0 ~]# echo -e “内容”(启动解释反斜杠转义;如\n)
十二、Mariadb数据库
1) 安装Mariadb
[root@server0 ~]# yum -y groupinstall mariadb mariadb-client(安装Mariadb数据库和客户端)
[root@server0 ~]# systemctl enable mariadb.service
[root@server0 ~]# systemctl restart mariadb.service
[root@server0 ~]# firewall-cmd --permanent --add-service=mysql
[root@server0 ~]# firewall-cmd --reload
[root@server0 ~]# firewall-cmd --permanent --list-all
[root@server0 ~]# mysql_secure_installation(Mariadb数据库初始化设置、其中包括是否禁用匿名等)
[root@server0 ~]# mysql -u root -p tianyun(登陆Mariadb)
MariaDB [(none)]> create database 数据库名;(创建数据库)
MariaDB [(none)]> create table 数据库名.表名(字段1 类型 ,字段2 类型 not null ... ,primary key(字段名)); ##创建表,名称使用字母、_、数字,不要使用$、#、-等字符
MariaDB [(none)]> show databases;(查询所有数据库)
MariaDB [(none)]> use 数据库名(进入数据库)
MariaDB [(none)]> select database();(返回当前数据库名字)
MariaDB [(none)]> source dump数据存放位置(导入数据到当前数据库)
MariaDB [Concats]> grant select/权限列表 on 数据库名.*/表名;*代表所有 to 用户@‘172.25.0.%/网段;%代表所有‘ identified by ‘密码’;
MariaDB [Concats]> flush privileges;(刷新权限)
MariaDB [Concats]> select * from 表名 where 条件 and 字段 like(模糊匹配)“%14%(%代表多个字符;_表示匹配一个字符)”;(单表查询)
MariaDB [(none)]> select a.first_name,b.location from a,b where a.user_id=b.id and first_name=‘tianyun’ and location=‘WA’;(多表查询,表间必须存在关联)
本文出自 “Painting” 博客,请务必保留此出处http://painting.blog.51cto.com/10476797/1853399
RHEL 7--RHCE笔记