运维工作中经常用到的一些知识总结（二）

最新推荐文章于 2024-10-27 14:47:40 发布

转载最新推荐文章于 2024-10-27 14:47:40 发布 · 280 阅读

0 ·

CC 4.0 BY-SA版权

原文链接：http://blog.51cto.com/bobo365/2125138

文章标签：

#运维 #数据库 #java

本文涵盖Linux系统管理的关键方面，包括screen会话管理、Docker容器操作、DenyHosts安全配置、代理服务器设置、PostgreSQL安装、用户管理、系统配置优化、安全加固措施、以及防火墙和iptables规则配置等。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

接上篇：
https://blog.51cto.com/bobo365/2125121

31、screen：

screen -S xxx
screen -r xxx
screen -D  -r ＜session-id>

-D -r 先踢掉前一用户，再登陆。

screen -X -S 31978 quit

32、Markdown基本语法

一级标题

二级标题

三级标题

四级标题

五级标题

六级标题

无序列表1

列表1
- 列表1.1
- 列表1.2
列表2
列表3

无序列表2

1
- 1
  - 1
  - 2
  - 3
- 2
- 3
2
3

有序列表

列表1
1. 列表1.1
2. 列表1.2
列表2
列表3

引用

FBI WARNING 一级引用

Warning here. 二级引用

Warning here too.三级引用

To-Do List

[x] 已完成项目1
- [x] 已完成事项1
- [x] 已完成事项2
[ ] 待办事项1
[ ] 待办事项2

表格

Item	Value	Qty
Comput	1600$	5
phone	12$	20

插入图片

BaiDu

插入链接

I am a url of Baidu.

粗体和斜体

This is 粗体
This is 斜体

分割线

第一段

第二段

第三段

代码框代码高亮

    while true:
        do echo "hehe";
    done

    for i in a b c
        do echo "Hehe2";
    done

代码框模式二

while true:<br/>do echo "hehe";<br/>done

33、docker复制文件至容器及进入容器：

docker cp /home/ok/mini.ok.com.cn.key 6f82d5f30f14:/root
wget -P ~ https://github.com/yeasy/docker_practice/raw/master/_local/.bashrc_docker;
echo "[ -f ~/.bashrc_docker ] && . ~/.bashrc_docker" >> ~/.bashrc; source ~/.bashrc

34、DenyHosts:

wget http://sourceforge.net/projects/denyhosts/files/denyhosts/2.6/DenyHosts-2.6.tar.gz

[root@www ~]# tar zxvf DenyHosts-2.6.tar.gz
[root@www ~]# cd DenyHosts-2.6
安装部署
[root@www DenyHosts-2.6]# yum install python -y
[root@www DenyHosts-2.6]# python setup.py install
准备好默认的配置文件
[root@www DenyHosts-2.6]# cd /usr/share/denyhosts/
[root@www denyhosts]# cp denyhosts.cfg-dist denyhosts.cfg
[root@www denyhosts]# cp daemon-control-dist daemon-control
编辑配置文件denyhosts.cfg

chown root daemon-control #添加root权限
chmod 700 daemon-control #修改为可执行文件
ln -s /usr/share/denyhosts/daemon-control /etc/init.d #对daemon-control进行软连接，方便管理

安装到这一步就完成了。
/etc/init.d/daemon-control start #启动denyhosts
chkconfig daemon-control on #将denghosts设成开机启动

35、代理：

export http_proxy=http://192.168.2.133:3188

[root@BOARD squid]# grep -vE "#|^$" squid.conf

acl SSL_ports port 443
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localnet
http_access allow localhost
http_access deny all
http_port 3188
coredump_dir /var/spool/squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

36、postgresql：

yum install https://download.postgresql.org/pub/repos/yum/9.3/redhat/rhel-7-x86_64/pgdg-redhat93-9.3-2.noarch.rpm
yum install postgresql93-server
/usr/pgsql-9.3/bin/postgresql93-setup initdb
systemctl enable postgresql-9.3
systemctl start postgresql-9.3

37、linux中临时禁用用户

a.在/etc/passwd文件中找到禁用用户所在行，在该行首添加

/etc/passwd
#user1:x:500:500::/home/user1:/bin/bash

b.在/etc/shadow 文件中找到禁用用户所在行,在第二个字段（密码加密字段）前添加！或者*

/etc/shadow 一般该文为只读属性，不建议修改
user1:*$1$HsYY3Xxn$iDxguvDB8vsSeM3VjxKbq/:14817:0:99999:7:::

c、锁定账号 newuser1

#usermod -L newuser1

d、解除对 newuser1 的锁定

#usermod -U newuser1

38、新机配置：

a、更换yum源：

cp -R /etc/yum.repos.d /etc/yum.repos.d.bak 
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo

yum -y install epel-release
yum clean all
yum makecache

b、文件数限制

ulimit -SHn 655350

more /etc/security/limits.conf

*       soft    nofile  655350
*       hard    nofile  655350
*       soft    nproc   655350
*       hard    nproc   655350

c、系统参数优化

more /etc/sysctl.conf

vm.swappiness = 0
net.ipv4.neigh.default.gc_stale_time=120
net.ipv4.conf.all.rp_filter=0
net.ipv4.conf.default.rp_filter=0
net.ipv4.conf.default.arp_announce = 2
net.ipv4.conf.all.arp_announce=2
net.ipv4.tcp_max_tw_buckets = 5000
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_synack_retries = 2
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
net.ipv4.conf.lo.arp_announce=2
kernel.sem = 250 32000 100 10000
fs.file-max = 655536
vm.overcommit_memory = 1
net.core.somaxconn = 1024
net.ipv4.tcp_fin_timeout = 30

sysctl -p

d、selinux

查看SELinux状态：

A、/usr/sbin/sestatus -v ##如果SELinux status参数为enabled即为开启状态

SELinux status: enabled

B、getenforce ##也可以用这个命令检查

关闭SELinux：
临时关闭（不用重启机器）：
setenforce 0 ##设置SELinux 成为permissive模式
##setenforce 1 设置SELinux 成为enforcing模式
修改配置文件需要重启机器：
修改/etc/selinux/config 文件
将SELINUX=enforcing改为SELINUX=disabled
重启机器即可

e、安装常用软件

yum install -y net-tools vim lrzsz tree screen lsof tcpdump wget ntpdate

f、更改时区

cp /usr/share/zoneinfo/Asia/Shanghai  /etc/localtime

39、VUE：

nuxt build
nuxt start
npm run generate

40、redis导入导出

导出，密码前面要加一个冒号

redis-dump -u :password@xxx.xxx.xxx.xxx:6379 > redis.json

导入

cat redis.json | redis-load -u :password@localhost

yum install ruby rubygems ruby-devel openssl*

gem sources --remove https://rubygems.org/   
gem sources -a https://gems.ruby-china.org/    
gem sources -u 

gem sources -l
gem update --system
gem install redis-dump

gem install -n /usr/local/bin redis-dump --pre
pod setup

41、内核版本升级：

yum uodate kernel

42、安全加固：

检查项: 系统crontab权限设置
加固建议: 依次执行：

rm -f /etc/cron.deny 
rm -f /etc/at.deny 
touch /etc/cron.allow 
touch /etc/at.allow 
chmod 0600 /etc/cron.allow 
chmod 0600 /etc/at.allow

检查项: 禁止主机进行路由转发
加固建议: 执行

sysctl -w net.ipv4.ip_forward=0,

再查看/etc/sysctl.conf中是否存在net.ipv4.ip_forward=0，不存在则添加
检查项: 禁止转发ICMP重定向报文
加固建议: 执行

sysctl -w net.ipv4.conf.all.send_redirects=0,

再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.send_redirects=0，不存在则添加
检查项: 禁止转发ICMP重定向报文
加固建议: 执行

sysctl -w net.ipv4.conf.default.send_redirects=0,

再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.send_redirects=0，不存在则添加
检查项: 禁止包含源路由的ip包
加固建议: 执行

sysctl -w net.ipv4.conf.default.accept_redirects=0,

再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.accept_redirects=0，不存在则添加
检查项: 禁止转发安全ICMP重定向报文
加固建议: 执行

sysctl -w net.ipv4.conf.all.secure_redirects=0,

再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.secure_redirects=0，不存在则添加
检查项: 禁止转发安全ICMP重定向报文
加固建议: 执行

sysctl -w net.ipv4.conf.default.secure_redirects=0,

再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.secure_redirects=0，不存在则添加
检查项: 启用反转地址路径过滤
加固建议: 执行

sysctl -w net.ipv4.conf.all.rp_filter=1,

再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.rp_filter=1，不存在则添加
检查项: 启用反转地址路径过滤
加固建议: 执行

sysctl -w net.ipv4.conf.default.rp_filter=1,

再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.rp_filter=1，不存在则添加
检查项: 禁止ipv6路由广播
加固建议: 执行

sysctl -w net.ipv6.conf.all.accept_ra=0,

再查看/etc/sysctl.conf中是否存在net.ipv6.conf.all.accept_ra=0，不存在则添加
检查项: 禁止ipv6路由广播
加固建议: 执行

sysctl -w net.ipv6.conf.default.accept_ra=0,

再查看/etc/sysctl.conf中是否存在net.ipv6.conf.default.accept_ra=0，不存在则添加
检查项: 禁止ipv6路由重定向
加固建议: 执行

sysctl -w net.ipv6.conf.all.accept_redirects=0,

再查看/etc/sysctl.conf中是否存在net.ipv6.conf.all.accept_redirects=0，不存在则添加
检查项: 禁止ipv6路由重定向
加固建议: 执行

sysctl -w net.ipv6.conf.default.accept_redirects=0,

再查看/etc/sysctl.conf中是否存在net.ipv6.conf.default.accept_redirects=0，不存在则添加
检查项: 密码授权新密码与老密码不能重复
加固建议: 在/etc/pam.d/password-auth中添加：password sufficient pam_unix.so remember=3 ,remember的值表示此次设置密码与过去3次不同
检查项: 系统授权新密码与老密码不能重复
加固建议: 在/etc/pam.d/system-auth中添加：password sufficient pam_unix.so remember=3 ,remember的值表示此次设置密码与过去3次不同
检查项: rsyslog日志文件权限配置
加固建议: 在/etc/rsyslog.conf中添加：$FileCreateMode 0640
检查项: SSHD强制使用V2安全协议
加固建议: 在/etc/ssh/sshd_config中取消Protocol注释符号#
检查项: SSHD仅记录ssh用户登录活动
加固建议: 在/etc/ssh/sshd_config中取消LogLevel INFO注释符号#
检查项: SSHD仅记录ssh用户登录活动
加固建议: 在/etc/ssh/sshd_config中取消MaxAuthTries注释符号#，设置自定义最大密码尝试失败次数
检查项: 清理主机远程登录历史主机记录
加固建议: 在/etc/ssh/sshd_config中取消IgnoreRhosts yes注释符号#
检查项: 禁止主机认证登录
加固建议: 在/etc/ssh/sshd_config中取消HostbasedAuthentication no注释符号#
检查项: 禁止空密码用户登录
加固建议: 在/etc/ssh/sshd_config中取消PermitEmptyPasswords no注释符号#
检查项: 禁止用户修改环境变量
加固建议: 在/etc/ssh/sshd_config中取消PermitUserEnvironment no注释符号#
检查项: 设置输入密码间隔时间
加固建议: 在/etc/ssh/sshd_config中取消LoginGraceTime前注释符，同时设置输入密码时间间隔秒数
检查项: 设置用户密码最小长度
加固建议: 在/etc/security/pwquality.conf中取消minlen注释符号#，同时设置最小密码长度建议10位以上
检查项: 设置用户密码数字位数
加固建议: 在/etc/security/pwquality.conf中取消dcredit注释符号#，同时设置为负数建议-1最少包含1位数字
检查项: 设置用户密码大写字母位数
加固建议: 在/etc/security/pwquality.conf中取消ucredit注释符号#，同时设置为负数建议-1最少包含1位大写字母
检查项: 设置用户密码小写字母位数
加固建议: 在/etc/security/pwquality.conf中取消lcredit注释符号#，同时设置为负数建议-1最少包含1位小写字母
检查项: 设置用户密码特殊字符位数
加固建议: 在/etc/security/pwquality.conf中取消ocredit注释符号#，同时设置为负数建议-1最少包含1位特殊字符
检查项: 强制密码失效时间
加固建议: 在/etc/login.defs 设置强制密码失效时间，建议值365
检查项: 密码修改最小间隔时间
加固建议: 在/etc/login.defs 设置密码修改最小间隔时间，建议值7
检查项: 设置有密码账户不活动最大时间
加固建议: 使用如下命令设置有密码账户不活动最大时间值：useradd -D -f 90，建议值90
检查项: 检查/boot/grub2/grub.cfg文件ACL属性
加固建议: 执行：

chmod 0600 /boot/grub2/grub.cfg

检查项: 检查/etc/crontab文件ACL属性
加固建议: 执行：

chmod 0600 /etc/crontab

检查项: 检查/etc/cron.hourly文件ACL属性
加固建议: 执行：

chmod 0600 /etc/cron.hourly

检查项: 检查/etc/cron.daily文件ACL属性
加固建议: 执行：

chmod 0600 /etc/cron.daily

检查项: 检查/etc/cron.weekly 文件ACL属性
加固建议: 执行：

chmod 0600 /etc/cron.weekly

检查项: 检查/etc/cron.monthly 文件ACL属性
加固建议: 执行：

chmod 0600 /etc/cron.monthly

检查项: 检查/etc/cron.d 文件ACL属性
加固建议: 执行：

chmod 0600 /etc/cron.d

43、不允许root直接登录的服务器用普通用户免密登录：

跳板机操作：

su - ok
ssh-copy-id -i /home/ok/.ssh/id_rsa.pub -p 20002 ok@192.168.2.133

44、BIGDATA加固：

systemctl stop firewalld
systemctl disable firewalld
yum list all iptables*
yum install iptablesyum install iptables-services.x86_64 -y
systemctl start iptables
systemctl status iptables
systemctl enable iptables
iptables -F
iptables -X
iptables -Z
iptables -A INPUT -s 192.168.2.133/32 -j ACCEPT
iptables -A INPUT -s 192.168.2.134/32 -j ACCEPT
iptables -A INPUT -s 192.168.2.135/32 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport 18089,18080,18090,60010,50070,10002,8888,8889,11000,8088,19888 -s 192.168.2.136/32 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport 18089,18080,18090,60010,50070,10002,8888,8889,11000,8088,19888 -s 0.0.0.0/0 -j DROP
service iptables save

iptables -A INPUT -s 10.0.0.0/8 -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --dport 3306 -s 192.168.2.136/32 -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --dport 3306 -s 0.0.0.0/0 -j DROP

45、xtrabackup:

全量备份：

innobackupex --defaults-file=/etc/percona-server.conf.d/mysqld.cnf --user=root --password=ok --socket=/var/lib/mysql/mysql.sock /data/backup/

全量恢复：

方法1：

systemctl stop mysql
rm -rf /opt/percona-server/mysql/*
innobackupex --defaults-file=/etc/percona-server.conf.d/mysqld.cnf --copy-back --rsync /data/backup/2018-01-04_17-11-19/
chown -R mysql.mysql /opt/percona-server/mysql/
systemctl start mysql

方法2：

innobackupex --apply-log --use-memory=32M /data/backup/2018-01-04_17-11-19/
systemctl stop mysql
cp -a /data/backup/2018-01-04_17-11-19/* /opt/percona-server/mysql/
chown -R mysql.mysql /opt/percona-server/mysql/
systemctl start mysql

增量备份：

首先全量备份：

innobackupex --defaults-file=/etc/percona-server.conf.d/mysqld.cnf --user=root --password=ok --socket=/var/lib/mysql/mysql.sock --no-timestamp /data/backup/base_full
innobackupex --defaults-file=/etc/percona-server.conf.d/mysqld.cnf --user=root --password=ok --socket=/var/lib/mysql/mysql.sock --no-timestamp --incremental-basedir=/data/backup/base_full --incremental /data/backup/one_inc

全量恢复准备：

systemctl stop mysql
innobackupex --apply-log --use-memory=32M /data/backup/base_full/
innobackupex --apply-log --use-memory=32M --redo-only --incremental-dir=/data/backup/one_inc /data/backup/base_full/

正式恢复：

\cp -R /data/backup/base_full/* /opt/percona-server/mysql/
chown -R mysql.mysql /opt/percona-server/mysql/
systemctl start mysql

47、修改用户UID：

usermod -u 91 tomcat
groupmod -g 91 tomcat

转载于:https://blog.51cto.com/bobo365/2125138