刘元林的博客

摘要：本文总结了Linux系统中获取root权限的多种方法，包括使用su、sudo、ssh等常规方式，以及利用find、awk、python、less等命令的特殊提权技巧。每种方法都标注了前提条件、作用说明和补充说明，如需要root密码、sudo权限或SUID权限等。这些方法涵盖登录式和非登录式root shell访问，涉及环境变量继承问题。文章仅聚焦提权技术，未涉及防护措施，后续将补充相关防御内容。（149字）

Solaris系统提供多种awk实现：/usr/bin/oawk（原始AWK）、/usr/bin/awk（默认链接）、/usr/bin/nawk（增强版）和/usr/xpg4/bin/awk（POSIX兼容）。主要差异体现在正则表达式、转义序列、大文件支持等特性上。其中xpg4版本完全符合POSIX标准，支持UTF-8和大文件处理，是开发新脚本的首选。建议：新项目使用nawk或xpg4/awk，跨平台脚本优先选择xpg4/awk，大文件处理必须用xpg4/awk，遗留脚本明确指定oawk。可通过修改软链接调

容器主机网络关键内核参数设置指南 在运行Overlay网络（如VXLAN、IPIP、Geneve）的容器主机（K8s/Docker节点）上，必须保持以下内核参数开启，否则可能导致跨主机网络中断： IP转发（net.ipv4.ip_forward=1）：禁用将导致隧道失效，容器无法跨节点通信。 ICMP重定向（accept_redirects=1）：关闭会导致路由黑洞，影响Overlay网关的下一跳更新。 VXLAN/IPIP支持：需开放UDP端口（8472/4789）并启用accept_local=1（部分

本文介绍了将openEuler系统转换为华为云欧拉操作系统(HCEOS)的方法。HCEOS是基于openEuler构建的云操作系统，文章详细说明了通过替换YUM源、加载GPG密钥、升级系统包等步骤实现系统转换的过程。特别强调了在转换过程中需要注意GRUB引导修复的关键步骤，包括如何创建正确的引导配置文件，以及在引导失败时如何通过GRUB命令行手动引导系统。文章提供了完整的操作流程和可能的错误解决方案，对于需要在openEuler基础上构建HCEOS环境的用户具有实用指导意义。

摘要： AppArmor是Linux内核的安全模块，提供强制访问控制。通过aa-status可查看状态（强制/宽容模式）。配置文件位于/etc/apparmor.d/，支持动态生成（aa-genprof）和日志更新（aa-logprof）。内核集成方式分为模块或编译内置，用户空间通过apparmor.service管理策略加载。核心区别在于内核实时拦截（dmesg日志）与用户态策略管理（systemctl控制）。操作命令包括模式切换（aa-enforce/complain）、策略重载（apparmor_pa

麒麟KYSEC安全机制简介 KYSEC是麒麟操作系统基于kysec安全标记实现的安全保护机制，主要对执行程序、脚本文件、共享库和内核模块四类文件进行保护。系统提供三种安全模式：强制模式（阻止违规）、警告模式（弹出授权框）和软模式（仅记录审计）。管理员可通过GUI界面或命令行工具进行配置管理，包括查看/设置安全状态(getstatus/setstatus)、查询安全标记(kysec_get)和配置安全标记(kysec_set)等操作。该机制要求所有外来文件必须添加到白名单才能执行，并对白名单文件实施防篡改保护

摘要：Solaris系统涉及ICMP重定向的两个关键参数：ip_ignore_redirects（控制接收）和ip_send_redirects（控制发送）。前者防止路由欺骗建议设为1，后者防止资源滥用建议设为0。现代网络环境中ICMP重定向价值降低，CERT/CC建议面向互联网系统必须禁用该功能。配置时需注意：ignore_redirects是"不接收他人指令"，send_redirects是"不向他人发送指令"。（98字）

Solaris10创建用户默认不创建家目录和bash环境。补救方法：1）使用useradd -m -d指定目录创建；2）对已有用户：a)usermod -s修改shell为bash，b)手动创建家目录并设置权限，c)从/etc/skel复制配置文件，d)创建.bashrc设置提示符。注意Solaris默认家目录在/export/home/而非/home/。典型问题表现为"-bash-3.2$"提示符，通过配置.bashrc可解决。两种方案：删除重建或手动补全环境文件。

摘要：文章描述了在SUSE Linux 15 SP1系统上安装sudo时，因依赖包升级导致openssh服务不兼容的问题。安装过程中升级了glibc等核心库，但未正确检测到与旧版openssh的冲突，导致ssh连接异常。解决方案是将整个系统从SP1升级至SP7版本，通过挂载SP7 ISO镜像、创建本地源并执行zypper dup升级操作。升级完成后系统恢复正常，验证显示版本已更新为SUSE 15 SP7。该案例表明部分系统升级可能导致关键服务中断，建议保持系统版本一致性。（149字）

本文介绍了在Solaris系统中限制root远程登录的三种方法：1）禁用telnet服务，改用更安全的ssh；2）通过sshd_config设置PermitRootLogin为no；3）在/etc/default/login中配置CONSOLE=/dev/console。实验表明，最有效的方法是保持/etc/user_attr中root角色的type=role设置。若要允许root登录，需反向操作：取消角色设置、修改sshd配置、并启用telnet服务。文章还提供了相关服务的启停命令，为Solaris系统管

本总结的写作目的，不是如何在银河麒麟上装Docker，也不是抱怨一通；开源生态来自于开源社区，不管做什么事都为了更加通用。不会将所有事情大包大揽，例如：Ubuntu不可能出Docker安装指南，这本指南只能Docker自己出。第一时间找要安装软件官网就对了。为了使用更丝滑、更易用，会将一些事情特化（包办到产品中）；第一时间要去咨询售后或者官方支持中心（文档中心）查找解决方案，而不是习惯性使用通用方式去做。

Ubuntu版本采用"形容词+动物名"的双词命名规则，两个单词首字母相同并按字母顺序循环（如24.10版Oracular Oriole）。版本号为年份.月份格式，LTS版本每两年4月发布一次，提供5年支持；非LTS版本支持期仅9个月。当前LTS版本包括24.04 Noble Numbat（支持至2029年）和22.04 Jammy Jellyfish（支持至2027年）。可通过终端命令lsb_release -a查询系统版本。

摘要：Linux系统中限制su命令权限通常需检查/etc/pam.d/su文件，主要配置为"auth required pam_wheel.so use_uid group=用户组名"。Redhat和Debian系列中，su-l文件会引用su的配置，而SUSE系统则采用独立配置且早期版本缺失su-l文件。su用于限制用户名切换，su-l则限制带环境变量的登录式切换（su -）。root用户默认不受限制，可通过pam_rootok.so模块实现。不同发行版的差异主要体现在配置文件的组织方式

在SUSE官网注册后可下载ISO并获取6个月试用激活码。通过命令SUSEConnect -r [激活码]进行系统注册和激活，包括SLES 15.7及多个模块（如基础系统、服务器应用、Python3等）。最后使用SUSEConnect -status查看激活状态，显示系统已成功注册，有效期至2025年8月30日。整个流程完成试用版系统的激活与验证。

摘要：本文记录了SUSE Linux最小化安装后遇到的基础工具缺失问题及解决方案。主要步骤包括：1) 挂载ISO镜像配置本地zypper源；2) 安装NetworkManager及其tui组件；3) 解决DNS配置不生效问题；4) 通过rpm直接安装缺失的ssh、ping、vi等基础工具。文章详细说明了网络配置过程中遇到的典型问题及调试方法，特别指出SUSE 15 SP7版本中nmtui被独立拆分的新变化，为最小化安装后的系统配置提供了实用参考。

摘要：本文介绍如何使用lftp客户端实现FTP显式加密传输（FTPS）。通过安装lftp并配置/etc/lftp.conf文件，设置强制SSL/TLS加密和证书验证选项，可实现安全的文件上传下载。关键配置包括：设置初始保护模式、强制SSL加密、保护数据连接以及选择性关闭证书验证（仅限测试环境）。与普通ftp命令不同，lftp支持完整的FTPS协议，确保传输安全性。文末详细解释了各配置参数的作用，强调生产环境应保持证书验证开启。

摘要：本文介绍了vsftpd服务的安装与配置方法。通过yum/dnf工具安装vsftpd后，需修改配置文件（/etc/vsftpd/vsftpd.conf）开启本地用户访问、限制用户主目录（chroot）、配置SSL加密等。关键配置包括：chroot_local_user=YES、ssl_enable=YES、设置被动模式端口范围（30000-30999）。还需配置防火墙开放端口，并设置SELinux的ftpd_full_access权限。最后通过systemctl重启服务完成部署。文章还提示了使用WinS

摘要：本文针对项目现场服务器使用Dropbear SSH服务导致合规检查不合格的问题展开分析。Dropbear作为轻量级SSH服务器，具有体积小、资源占用少的特点，适合嵌入式设备使用，但功能较OpenSSH更简单，缺少SFTP支持、会话保持等特性。文章详细介绍了Dropbear的安装配置方法，包括通过yum安装、参数配置、密钥生成等步骤，并提供了从OpenSSH切换到Dropbear的操作指南。最终建议用户改回使用功能更完善的OpenSSH，以满足合规要求和实际管理需求。（149字）

为 SFTP 用户设置目录结构：（如果有多个用户用来访问sftp，那么需要为每个用户都创建一个/var/sftp/username目录）通过上述步骤，可以确保 SFTP 用户只能访问其授权的目录，并且无法通过 SSH 登录系统。登录成功后，只能在访问自己的文件目录，且根目录下只有读权限，files目录下具有读写权限。强制用户进入 SFTP 模式，禁止通过 SSH 登录到交互式 shell。禁用 TCP 转发，防止用户通过 SSH 隧道转发 TCP 流量。表示用户名），防止用户访问授权目录之外的内容。

功能：通过与系统字典和规则集对照来检查密码强度，防止用户设置弱密码，如包含字典单词、与旧密码相似度过高、过短等。适用场景：适用于需要对密码进行基础强度检查的 Linux 系统，尤其在使用传统 UNIX 密码加密方式时较为常用，但也可与 md5 加密结合使用。特点能检查密码是否为字典单词。提供多种规则检查，如是否为回文、是否只是旧密码改变大小写、与旧密码相似度、密码长度等。可通过参数灵活配置检查规则，如允许的最小长度、字符种类限制等。对于 root 用户默认不强制限制，可通过参数修改。配置举例。

示例 5：提取每行的第一个和第三个词，以及第二到第四个词: "line1 column1 column2 column3。示例 5：提取每行的第一个和第三个词，以及第二到第四个词: #line4 column1 column2。示例 5：提取每行的第一个和第三个词，以及第二到第四个词: line2 column1。示例 5：提取每行的第一个和第三个词，以及第二到第四个词: line3 column1。示例 4：提取每行的第一个词，并跳过之后的所有词 "line1。

在 Linux 系统中，last和lastb命令是两个非常有用的工具，用于追踪用户登录和登出的历史记录。这两个命令可以帮助系统管理员了解用户的活动情况，以及系统的重启和关机事件。本文将详细介绍这两个命令的使用方法和选项。

在《检查SSH安全配置-sshd服务端未认证连接最大并发量配置》中我们简略地阐述了“MaxStartups参数”在SSH安全配置中的意义。但是，并未对该参数做详细说明。为啥没有详细说明呢？因为俺也没弄明白！我们先看一下sshd_config的man文档是如何介绍该参数的。指定SSH守护进程未认证的最大并发连接数。额外的连接将被丢弃，直到身份验证成功或连接的LoginGraceTime过期。默认值是10:30:100。

MaxStartups参数指到SSH守护进程的未经身份验证的最大并发连接数。

摘要：当SSH连接出现"no matching key exchange method found"错误时，可通过以下方法解决：1）Linux/Windows通用方法：使用ssh命令时添加"-o"选项指定密钥交换算法；2）Linux系统：修改/etc/ssh/ssh_config配置文件；3）Windows系统：在用户目录下的.ssh文件夹中创建config文件并添加相应配置。三种方法均可解决SSH密钥交换协议不匹配问题，其中Windows系统的配置路径为%userp

如下图，展示了所有的软件包，默认全选了。如无特殊要求，建议默认即可。我们下载ISO文件中没有包含SHA256.sig，这里不要再默认了，输入yes回车。长篇大论了很多，每一个章节都能看懂是干嘛的，连起来就容易晕。引导启动虚机之后如下图，按照提示一步步来就OK：配置主机名、选择接口（有dhcp的可以选择autoconf，而不是none）、DNS配置、配置root密码、启动sshd。磁盘分区自动完成之后，会让我们选择软件包集合，当然选择cd0，因为我们下载的ISO文件包含了软件包集合。直接干，有问题再回头查。

讲《》故事的时候，说好会另开一篇讲讲。我们先看看的man文档怎么介绍的。下面这些就好比人物的简介，甚是恼人；让人看得不明就里，反正“他大舅他二舅都是他舅”。可以直接跳到下面的环节，看如何使用的，直接参考就行了。

用 ScreenSaveTimeOut 会更直接地控制屏幕保护程序及其锁屏功能，它适用于多数情况下实现自动锁屏功能。inactivityTimeOutSecs 通常用于更复杂的会话管理配置，不是直接控制屏幕锁定的设置。

本教程将向您展示如何启用或禁用Windows 10和Windows 11中所有用户在指定的无活动秒后自动锁定计算机。当你锁定电脑时，它可以保护电脑免受未经授权的使用，当你需要离开电脑时，不想退出或关闭导致所有打开的东西都被关闭。当您锁定计算机时，默认情况下，您将被带到锁定屏幕，以便在准备继续您离开的地方时退出并登录。其他用户仍然可以从登录屏幕登录到他们的帐户。The Interactive logon: Machine inactivity limit security policy setting.(交互

今天同事突然发现机器上这个文件非常大，占用了不少空间，问问能不能删？答案：最好不要删！我笔记本16G内存+512G固态，关掉共享内存1天使用感受：浏览器异常卡死的情况出现多次。接下来我们先认识一下这个文件。 是 Windows 操作系统中的虚拟内存文件，也称为交换文件或页面文件。它在系统性能和稳定性方面起着重要作用。 是一个隐藏的系统文件，通常位于系统驱动器的根目录（例如 ）。它的主要功能是作为物理内存（RAM）的扩展，当物理内存不足时，Windows 会将一些不常用的数据从物理内存移到 中，从而释放物理

3、问问AI，百度搜搜，无果~~不过AI回答的一个可能原因提醒了我（无心插柳，踏破铁鞋）：因为之前的HVV，设置了防火墙策略，不允许访问互联网，我就设置了web代理。这里的突然肯定不是瞬间（大概率是上次可用，这次不可用，中间间隔了多长时间，不好说~_~）。收到同事的V，说是：182上的npm不知道咋突然坏了，查到这里了，不敢动了。查看RPM包可以看到，除了原生安装的1.0.2.k外，还安装了。版本，这么一来/usr/local/openssl就没必要了。2、在另外一台服务器上装了一个npm命令，OK的。

如果PermitRootLogin no和securetty都配置了，肯定也没毛病。如果要临时放开root远程访问就要一一拆除。securetty文件本身是登录设备白名单，不同版本操作系统下对ssh管控设备名不太一样：~]# who如上回显中pts/0就是一种终端设备：/etc/securetty值类型：①tty：终端 ②pts：伪终端 ③console：当前的控制台 ④vc：visual console虚拟控制台 ⑤vt：虚拟终端 ⑥hvc ⑦hvsi ⑧xvc等。

选择使用 pam_unix 还是 pam_pwhistory 的 remember 参数取决于你的具体需求。对于大多数简单的场景，pam_unix 的 remember 就足够了。然而，如果你需要更高级的密码策略或希望更好地控制密码历史记录，那么 pam_pwhistory 可能是一个更好的选择。

tmpfs类似于RamDisk（只能使用物理内存），使用虚拟内存（简称VM）子系统的页面存储文件。tmpfs完全依赖VM，遵循子系统的整体调度策略。说白了tmpfs跟普通进程差不多，使用的都是某种形式的虚拟内存，至于数据存储在物理内存中还是在交换分区中，全权交由VM子系统。定义： 是一个基于内存的文件系统，它在 RAM 中存储数据，因此访问速度非常快。用途： 通常用于存储临时文件，这些文件不需要永久保存，而且频繁读写。使用 可以减少对物理磁盘的磨损，并提高性能。示例路径：常见的 挂载点包括 、、 等。持

虚拟内存子系统通过将一部分虚拟地址映射到物理内存之外的地方（通常是磁盘），实现了对有限物理内存资源的有效扩展和管理。这种方式不仅增加了可用内存容量，还提供了内存保护机制和内存共享机制，从而增强了操作系统的稳定性和灵活性。

进一步定位发现/mnt/sysimage/usr/lib/下是空的。因为/etc/os-release只是/usr/lib/os-release文件的软链接。后面，随着定位深入，发现是是因为/usr/lib/下所有的文件均丢失导致的。但是，此时ssh启动失败，说是没找到/etc/sysconfig/sshd环境变量文件；在重新生成grub.cfg时，报错了：未找到/etc/os-release文件。此时，如果单单将/etc/os-release补齐，系统则可以正常引导启动，不再进入emergency模式，

该文件是由数据源提供的信息生成的。》中也有提及：Debian GNU/Linux 12 (bookworm)和Ubuntu 24.04.1 LTS是现阶段（2024年9月26日）两个发行版的最新版本。”章节，对于新版本或者“最小化安装”场景，可能不适应，故此本文做一下补充，就不在原有文章上做更新了。1、修改配置文件/etc/netplan/*.yaml（这里的文件名，不同版本可能不一样）在/etc/netplan/*.yaml中可能会提及：（但是，我发现。，可能在云环境下需要注意。

Debian GNU/Linux 12 (bookworm)和Ubuntu 24.04.1 LTS是现阶段（2024年9月26日）两个发行版的最新版本。Ubuntu Server版本默认就不带桌面（ubuntu-24.04-live-server-amd64.iso），这个默认就是最小化安装（安装包量：500左右）；Debian 虽带桌面了（debian-12.7.0-amd64-DVD-1.iso），但是在安装选择安装包阶段，可以选择是否要安装桌面。

9月 23 15:06:28 linshi-k8s sshd-session[3551]: userauth_pubkey: signature algorithm ssh-rsa not in PubkeyAcceptedAlgorithms [preauth]因升级openssh到9.8p1之后，PubkeyAcceptedAlgorithms中默认不包含ssh-rsa。-- Logs begin at 四 2024-08-15 16:32:13 CST. --突然无法通过证书认证登录Linux系统。

多半因为时间与mirror服务时间不一致导致。配置时间同步或者手动将时间校正到正确日期即可。1、修改/etc/systemd/timesyncd.conf配置文件。2024年 06月 14日 星期五 00:24:33 CST。2024年 09月 25日 星期三 12:32:49 CST。1、通过date命令发现确实是时间不正确。