手机版
你好,游客 登录 注册 搜索
背景:
阅读新闻

RHEL 7--RHCE培训笔记

[日期:2016-10-13] 来源:Linux社区  作者:Linux [字体: ]

RHEL 7--RHCE培训笔记

中文输入:

# yum  -y  install“ibus-table-chinese*”“cjk*”“*pinyin*”

# reboot

# Settings -----> Region & Language -----> Input Sources -----> Chinese(Intelligent Pinyin)

一、Systemd相关管理(禁用或者恢复服务、杀死等)

[root@server0 ~]#  systemctl  mask  服务名(禁用该服务)

[root@server0 ~]#  systemctl  unmask  服务名(不禁用/恢复该服务)

[root@server0 ~]#  systemctl  kill  服务名(杀死该服务)

[root@server0 ~]#  systemctl  is-active  服务名(查看该服务是否启动)

[root@server0 ~]#  systemctl  is-failed  服务名(查看该服务是否失败)

[root@server0 ~]#  systemctl  reenable  服务名(重新设置该服务开机启动)

二、Firewall防火墙设置

图形化配置命令:firewall-config

终端配置命令:firewall-cmd

(1)图形配置解释

Configuration:Runtime/Permanent(临时/永久,注意选择永久)

Zone:默认区域,缺省使用public

Services:预设的一些服务,勾选代表允许

Ports:设置端口

Masquerading:NAT伪装技术

Port  Forwarding:端口转发

ICMP  Filter:ICMP过滤

Rich  Rules:复规则

Interfaces:接口

(2)命令行配置

[root@server0 ~]#  firewall-cmd  --permanent  --add-service=服务名(新添加一条永久的允许服务规则)

[root@server0 ~]#  firewall-cmd  --permanent  --add-rich-rule  "rule family=ipv4 source address=“IP地址”service name=服务名  reject"(新添加一条永久规则,拒绝这个网段访问服务)

[root@server0 ~]#  firewall-cmd  --permanent  --list-all(查看所有当前的永久规则)

三、Samba配置

[root@server0 ~]#  yum  -y  install  samba  samba-client  cifs-utils(安装所需软件包)

[root@server0 ~]#  smbpasswd  -a  用户名(添加samba用户)

[root@server0 ~]#  pdbedit  -L(查看samba用户列表)

[root@server0 ~]#  vim  /etc/samba/smb.conf(编辑samba配置文件)

valid  users  =  用户名,@组名(可以访问的用户;只读)

write  list  =  用户名,@组名(可以写入的用户)

hosts  allow  =  网段(只允许某个网段访问)

[root@server0 ~]#  systemctl  enable  smb  nmb(开机自启samba服务)

[root@server0 ~]#  systemctl  restart  smb  nmb(重启samba服务)

[root@server0 ~]#  firewall-cmd  --permanent  --add-service=samba(配置防火墙,允许samba服务)

[root@server0 ~]#  firewall-cmd  --reload(重新加载防火墙配置)

[root@server0 ~]#  vim  /etc/fstab

挂载参数:

credentials=密码与用户存储的位置(文件中存储username、password)

multiuser(多用户挂载)

sec=ntlmssp(安全选项)

[ldapuser1@desktop0 ~]$  cifscreds  add  samba服务器名(重新从samba服务器获得自己的访问凭据)

四、SElinux配置(SElinux使用selinux用户、角色、类型和级别控制进程访问资源)

1、了解Selinux

1)DAC:指用户访问资源的控制,即权限

MAC:Selinux标签,限制进程访问资源,进程归用户所有;当用户调用进程去访问资源(file)时,检查Selinux安全标签,匹配了才能访问

Selinux属性的格式:user:role:type:level

2)Selinux用户:不同于系统用户,Selinux用户使用selinux策略的一部分,和系统用户有映射关系;一个用户对应一个selinux映射;semanage查看关系semanage  user  -l

3)角色role:用户空间,进程的访问范围标记,如object_r

4)类型或者安全上下文:资源的标记,如admin_home_t

5)安全级别:s0最常用

[root@server0 ~]#  ls  -Zld  文件/目录(查看文件/目录的Selinux属性)

[root@server0 ~]#  ps  -eZ  |  grep  服务名(查看服务进程的Selinux属性)

[root@server0 ~]#  id  -Z(当前用户的selinux设置)

2、设置文件的Selinux属性中安全上下文(type)

1)临时设置

[root@server0 ~]#  chcon  -R(递归处理所有的文件及子目录) -t(设置指定类型的目标安全环境)类型(如samba_share_t)

[root@server0 ~]#  restorecon  -F(强制)-v(详细)-R(递归)(还原Selinux属性)

2)永久生效

查询命令的提供包:yum  provides  semanage

语法:semanage  fcontext  -(a|d|m)文件(-a表示增加、-d删除、-l显示、-m修改;注意,文件、目录使用绝对路径)

[root@server0 ~]#  semanage  fcontext  -a  -t  samba_share_t  '/smb1(/.*)(匹配目录下的所有内容)'(案例)

[root@server0 ~]#  restorecon  -F(强制)-v(详细)-R(递归)(还原Selinux属性)

[root@server0 ~]# semanage  fcontext -l(显示所有的Selinux属性)

3、复制、移动对selinux规则的影响

移动:移动时selinux属性不变,覆盖时会覆盖selinux属性

复制:复制时使用目标selinux的属性,覆盖的selinux属性不变

注意:对比移动和复制,复制更有利于保持selinux属性、推荐使用

4、tar打包备份与selinux ;特殊selinux  type :file_t ,default_t ,user_tmp_t

1)tar打包时默认selinux丢失,使用“—selinux  --xattrs”

tar  -zcvf  /tmp/test-sel.tar.gz  /var/www/html  --selinux

2)特殊type:

file_t:文件没有selinux属性

default_t:文件或目录的selinux与file_context配置文件定义模式不匹配

两种类型文件,设置了selinux属性的进程都不能访问

user_tmp_t:用户的临时文件,所有进程都可以访问

五、NFS配置

1、简单的NFS

[root@server0 ~]#  yum  -y  install  nfs-utils(NFS软件包,包括客户端)

[root@server0 ~]#  vim  /etc/exports(NFS配置文件)

/共享目录网段/子网掩码(选项;如-ro,sync)

nfs-server.service(提供简单的NFS共享,服务端使用)

nfs-secure-server.service(提供基于KerBeros的安全认证共享,服务端使用)

nfs-secure.service(客户端使用KerBeros认证,客户端使用)

2、基于KerBeros的安全NFS

服务器:

[root@server0 ~]#  wget  http://classroom.example.com/pub/keytabs/server0.keytab  -O  /etc/krb5.keytab(从服务器下载用于安全认证的keytab文件,下载后名称和位置必须在此)

[root@server0 ~]#  vim  /etc/sysconfig/nfs(NFS全局配置文件)

# Optional arguments passed to rpc.nfsd. See rpc.nfsd(8)

RPCNFSDARGS="-V 4.2"(定义NFS使用的协议版本4.2提供共享)

[root@server0 ~]#  vim  /etc/exports(NFS配置文件)

/共享目录网段/子网掩码(ro,sec=krb5p)(添加sec=krb5,以支持Krb5共享;安全选项有krb5、krb5i、krb5p,建议使用krb5p。客户端必须使用相同的安全选项)

[root@server0 ~]#  systemctl  enable  nfs-secure-server.service(启动KerBeros安全认证共享服务)

[root@server0 ~]#  systemctl  restart  nfs-secure-server.service

[root@server0 ~]#  systemctl  restart  nfs-server.service

客户端:

[root@desktop0 ~]#  wget  http://classroom.example.com/pub/keytabs/server0.keytab  -O  /etc/krb5.keytab(下载用于安全认证的keytab文件)

[root@desktop0 ~]#  systemctl  enable  nfs-secure.service

[root@desktop0 ~]#  systemctl  restart  nfs-secure.service

[root@desktop0 ~]#  mkdir  /nfs2

[root@desktop0 ~]#  vim  /etc/fstab

server0:/nfs2  /mnt/nfs2      nfs    defaults,v4.2(表示使用的NFS版本),sec=krb5p(使用的安全选项;必须与服务器设置相同)        0 0

[ldapuser5@desktop0 ~]$  kinit(获得kerberos的凭据)

Password for ldapuser5@EXAMPLE.COM: (Kerberos密码)

六、链路聚合配置(多块网卡绑定,实现故障切换;需有两块网卡以上)

命令行配置:

[root@server0 ~]#  nmcli  connection  add  type  team(逻辑设备)、team-slave(Team中包含的真实设备)con-name  (设备名)  ifname  team0(设备类型)  config  '{"runner"(属性名):{"name"(子属性

名):"activebackup"(子属性值)}}'(定义Team的方式;可man  teamd.conf有案例文件)添加逻辑设备

[root@server0 ~]#  nmcli  connection  add  type  team  con-name  team0  ifname  team0  config  '{"runner":{"name":"activebackup"}}'(Team案例)

[root@server0 ~]#  nmcli  connection  modify  team0  ipv4.addresses "TCP/IP信息"(设置Team的IP信息)

[root@server0 ~]#  nmcli  connection  modify  team0  ipv4.method  m(设置为静态)

[root@server0 ~]#  nmcli  connection  add  type  team-slave  con-name  设备名  ifname  网卡设备  master  逻辑设备名(添加Team中所需要包含的真实设备)

[root@server0 ~]#  nmcli  connection  add  type  team-slave  con-name  team-eth1  ifname  eno1  master  team0(添加设备案例)

[root@server0 ~]#  teamdctl  team设备名  state(查看Team的状态信息)

图形化配置:

[root@server0 ~]#  nm-connection-editor --> add --> team -->注意选择开机自启动 --> 配置完成后nmcli  connection  up  配置文件名

七、Firewalld端口转发配置

图形化配置:

firewall-config --> Configuration(Permanent)--> Port Forwaring --> Add --> Port/Port Range(源端口)--> Forward to another port(转发到目标主机端口)--> IP address(目标主机)--> Port / Port Ramge(目标断

端口)--> Options(Reload Firewalld)(Rich Rule可以针对源地址做限制)

命令行配置:

[root@server0 ~]#  firewall-cmd  --permanent  --add-rich-rules  “rule family=“ipv4”source  address=“源地址”forward-port port=“源端口”protocol=“tcp”to-port=“目标端口””

[root@server0 ~]#  nc  -l  端口号(开启本地一个端口号)

八、IPV6的配置

[root@server0 ~]#

[root@server0 ~]#

[root@server0 ~]#

[root@server0 ~]#

九、POSTFIX邮件(配置只发送不接收)

/usr/share/doc/postfix-2.10.1/README_FILES/STANDARD_CONFIGURATION_README(POSTFIX邮件案例文件)

[root@server0 ~]#  vim  /etc/postfix/main.cf(POSTFIX主配置文件)(Ctrl + v进入可视化模式,d可快速删除)(配置文件中有多个相同名的名时,以最后一条生效)

myhostname = 主机名

myorigin = $mydomain(伪装,邮件的落款)

relayhost = $mydomain | [地址](发送出去的邮件,转发的主机)

inet_interfaces = loopback-only(监听的接口)

mydestination =(决定了邮件的工作范围,空代表不收)

local_transport = error:local mail delivery is disabled(邮件错误信息的提示内容,内容可自定义)

十、ISCSI配置

服务器:

[root@server0 ~]#  yum  -y  install  targetcli(文本模式的target配置文件)

[root@server0 ~]#  systemctl  enable  target.service

[root@server0 ~]#  systemctl  restart  target.service

[root@server0 ~]#  targetcli

/> ls

o- / ......................................................................................................................... [...]

  o- backstores .............................................................................................................. [...]

  | o- block .................................................................................................. [Storage Objects: 0](块设备做共享)

  | o- fileio ................................................................................................. [Storage Objects: 0](文件做共享)

  | o- pscsi .................................................................................................. [Storage Objects: 0]

  | o- ramdisk ................................................................................................ [Storage Objects: 0]

  o- iscsi ............................................................................................................ [Targets: 0]

  |    o- acls .......................................................................................................... [ACLs: 0](允许访问的IQN)

  |    o- luns .......................................................................................................... [LUNs: 0](将IQN和共享设备/文件做关联)

  |    o- portals .................................................................................................... [Portals: 0](设置IQN/进程监听的端口)

  o- loopback ......................................................................................................... [Targets: 0]

/> /backstores/block/  create  ISCSI设备名  /dev/设备名(创建一个块设备)

/> /iscsi/ create IQN名(创建设备的IQN)

/> /iscsi/IQN名/tpg1/acls/  create  允许的IQN(设置允许访问的IQN)

/> iscsi/IQN名/tpg1/luns/  create  /backstores/block/ISCSI设备名(将IQN和设备做关联)

/> /iscsi/IQN名/tpg1/portals  create  IP  3260(默认端口)(设备监听的端口)

/> saveconfig(保存配置)

/> exit(退出)

[root@server0 ~]#  firewall-cmd  --permanent  --add-port=3260/tcp

[root@server0 ~]#  firewall-cmd  --reload

客户端

[root@desktop0 ~]#  yum  -y  install  iscsi-initiator-utils  iscsi-initiator-utils-iscsiuio(客户端工具)

[root@desktop0 ~]#  vim  /etc/iscsi/initiatorname.iscsi (定义了IQN的配置文件)

InitiatorName=IQN(使用授权访问的IQN)

[root@desktop0 ~]#  systemctl  enable  iscsid

[root@desktop0 ~]#  systemctl  restart  iscsid

[root@desktop0 ~]#  iscsiadm  -m  discovery  -t  st  -p(不写为默认3260端口)  主机名(发现ISCSI,读取/var/lib/iscsi目录)

[root@desktop0 ~]#  systemctl  restart  iscsi(login发现的所有IQN)

[root@desktop0 ~]#  systemctl  enable  iscsi

[root@desktop0 ~]#  blkid(查看设备UUID)

[root@desktop0 ~]#  vim  /etc/fstab

_netdev(增加挂载选项,声明是一个网络设备)

十一、Shell脚本

(1)case语句格式

if  [  command  ];then

commands

elif  [  command2  ];then

commands

else  [  command3  ];then

commands

fi

(2)case语句格式

case  值  in

模式1)

command1

command2

command3

;;

模式2)

command1

command2

command3

;;

*)

command1

command2

command3

;;

esac

(3)for语句格式

for  变量  in  列表

do

循环体

done

(4)while语句格式

while  [  condition  ]  <==中括号内的状态就是判断式

do            <==do 是回圈的开始!

程序段落

done          <==done 是回圈的结束

[root@server0 ~]#  sh  -n  脚本(检测脚本语法是否有误)

[root@server0 ~]#  echo  -e  “内容”(启动解释反斜杠转义;如\n)

十二、Mariadb数据库

1) 安装Mariadb

[root@server0 ~]#  yum  -y  groupinstall  mariadb  mariadb-client(安装Mariadb数据库和客户端)

[root@server0 ~]#  systemctl  enable  mariadb.service

[root@server0 ~]#  systemctl  restart  mariadb.service

[root@server0 ~]#  firewall-cmd  --permanent  --add-service=mysql

[root@server0 ~]#  firewall-cmd  --reload

[root@server0 ~]#  firewall-cmd  --permanent  --list-all

[root@server0 ~]#  mysql_secure_installation(Mariadb数据库初始化设置、其中包括是否禁用匿名等)

[root@server0 ~]#  mysql  -u  root  -p  tianyun(登陆Mariadb)

MariaDB [(none)]>  create  database  数据库名;(创建数据库)

MariaDB [(none)]>  create table 数据库名.表名(字段1 类型 ,字段2 类型 not null ... ,primary key(字段名));    ##创建表,名称使用字母、_、数字,不要使用$、#、-等字符

MariaDB [(none)]>  show  databases;(查询所有数据库)

MariaDB [(none)]>  use  数据库名(进入数据库)

MariaDB [(none)]>  select  database();(返回当前数据库名字)

MariaDB [(none)]>  source  dump数据存放位置(导入数据到当前数据库)

MariaDB [Concats]>  grant  select/权限列表  on  数据库名.*/表名;*代表所有  to  用户@'172.25.0.%/网段;%代表所有'  identified  by  ‘密码’;

MariaDB [Concats]>  flush  privileges;(刷新权限)

MariaDB [Concats]>  select  *  from  表名  where  条件  and  字段  like(模糊匹配)“%14%(%代表多个字符;_表示匹配一个字符)”;(单表查询)

MariaDB [(none)]>  select  a.first_name,b.location  from  a,b  where  a.user_id=b.id  and  first_name=‘tianyun’  and  location=‘WA’;(多表查询,表间必须存在关联)

本文永久更新链接地址http://www.linuxidc.com/Linux/2016-10/135988.htm

linux
相关资讯      
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款