第四周LINUX 学习笔记

时间:2022-12-08 09:52:30

内核编译丶sed丶awk

Linux:单内核
    模块化:动态
      /lib/modules
      lsmod,modinfo,modprobe,insmod,,modprobe -r ,rmmod
      dep文件:模块的依赖关系
      sysbols:符号映射
    depmod:用来生成模块依赖关系
         kernel文件夹下
            arch:架构
            crypto:加密模块
            drivers:驱动
            fs:文件系统
               有两部分组成
            kernel:内核调试模块
            lib:内核本身通用库
            mm:
            net:网络协议的实现
               netfilter:软件防火墙
               openvswith:虚拟机
               sunrpc:
            sound:声音

CentOS6:
           与官方kernel可能不一样
    
        src.rpm
           源码rpm包+specs文件
           步骤:
             1.创建mockbuild用户
             2.切换至mockbuild用户,而后安装src.rpm包
             3.rpmbuild -bb|-ba ~/rpmbuild/SPECS/package_name.spec
             4.制作完成的rpm包:位于/root/rpmbuild/RPMS/x86_64中

/usr/src,/usr/local/src

编译内核:
       可能需要的模块不多,红帽或者centos为了使版本更通用,
       y:编译进核心
       m:编译成模块
       make config
       make allyesconfig
       make allnoconfig

make menuconfig

建议将/boot/下的config文件拷贝到当前目录下,叫.config
       
       make kconfig(KDE桌面环境,并且安装了qt开发环境)

make gconfig(Gnome桌面环境,并且安装gtk开发环境)

第二步:编译
      make -j #
    第三步:安装模块
      make modules_install
    第四步:安装内核
      make install
    第五步:检查。测试
      grub.conf中是否已经有新内核配置项
      重启系统并启用新内核

安装一个新桌面:
   screen命令:
      screen:打开一个新的screen
      隐藏:ctrl+a,d
      重新打开隐藏的screen:
         显示个screen ID: screen -ls
         重新打开 screen -r Screen_ID

查看硬件信息:
    lspci
    hal-device
    lspcmcia
    lscpu
    lsdiff
    lsusb
    lsdlk
    dmidecode:查看BIOS,

RHEL src.rpm
  补充:http://ftp.redhat.com/pub/redhat/linux/enterprise

编译安装新内核:
1.获取内核编码,解压至/usr/src
  tar xf linux-3.13.5.tar.xz -C /usr/src
  ln -sv /usr/src/linux-3.13.5 /usr/src/linux-
2.配置内核特性
  cp /boot/config-* /usr/src/linux/.config
  make menuconfig
3.编译内核
   make [-j #]
      最多为cpu物理核心总数的两倍
4.安装内核模块
   make modules_install
5.安装内核
   make install
6.验证并测试
  cat /boot/grub/grub.conf
  重启系统并应用新系统

二次编译如何做清理操作:
     make clean:只清理编译生成的文件,但不删除配置文件.config
     make mrproper:删除编译生成的文件和.config
     make distclean:重置源代码树
将编译的文件放置于源码不同的路径:
    mkdir /path/to/somewhere
    cd  /path/to/somewhere
    ./configure --ksource=/usr/src/linux

如何实现内核的部分编译:
   1.只编译某子目录下的相关代码:
      cd /usr/src/linux
      make 子目录文件

make SUBDIR=arch/
      make drivers/net/
   2.只编译部分模块
      make M=path/to/dir/

make M=drivers/net/
   3.只编译某一个模块
      make path/to/dir/module_name.ko

make drivers/net/e1000/e1000.ko
   4.将编译后的结果放置于别的目录中
      make O=/path/to/somewhere

如何实现交叉编译
    make ARCH=架构

以arm为例:

make ARCH=arm 默认编译文件

树莓派

内核参数的查看与配置:
   /proc/sys/
      kernel net vm fs
   配置参数:
      echo "string" > /proc/sys/path/to/some_parameter
      echo 1 > /proc/sys/net.ipv4/icmp_echo_ignore_all
     sysctl -w
     上面也可写成
     sysctl -w net.ipv4.icmp_echo_ignore_all=1
   查看参数:
     sysctl -a
    配置文件:
     /etc/sysctl.conf

net.ipv4.ip_forward ip转发
     kernel.hostname 主机名
     net.ipv4.icmp_echo_ignore_all ping功能
     vm.drop_caches 清除缓存
     sysctl -p 重读配置文件

硬件设备:设备文件
    2.4-:2W+

udev:用户空间程序

kenrel硬件探测过程在根文件系统挂载前就已经结束,启动udev daemon程序,要求内核重新探测硬件信息,并输出/sys目录,
    由此udevadmin工具就可以根据/sys目录中硬件信息给每个硬件创建设备文件了

udev rules:udev规则文件,用于定义udev如何创建设备文件的
      /etc/udev/rules.d/

kernel+initramfs(根文件系统所在设备的设备驱动模块)-->devtmps(用于在内核初始化时为基本设备创建设备文件的临时文件系统)

如何手动创建设备文件
    mknod
       mknod [option] ...NAME YTPE [MAJOR MINOR]
       MAJOR:主设备号,表示设备类型
       MINOR:同一设备的不同文件

选项:
         -m MODE:指定权限

例子
         mknod -m 660 /dev/testdev b 100 0

sed初级使用
   stream editor
一次只读一行,只处理一行,不对源文件做处理,至输出到屏幕上
模式空间
是一个行编辑器

格式
   sed[options] "script" FILE....

选项:
   -n:静默模式,不输出模式空间内的内容;默认打印空间模式的内容
   -r:扩展的正则表达式
   -f 文件:指定sed脚本文件
   -e 'script' -e 'script' :指定多个编辑指令
   -i : 直接编辑原文件
编辑命令:
    d:删除
    p: 打印
    i  \:在被指定到的行前面插入文本
    a  \:在被指定的行的下面插入文本
    \n:换行
    r 文件:在指定位置把另外一个文件的内容插入
    w 文件:将符合条件的所有行保存至指定文件中
    =:显示符号条件的行的行号
    s///:查找条件可以使用模式,但是要替换的内容不行

地址定界:自定义的起始行到结束行
  startline,endline
   1,3
   /pat1/,/pat2/
   /pattern/

用法:sed [options] 'addr1[,addr2]编辑命令' FILE...
       sed [options] "addr1[,addr2]编辑命令" FILE...   变量替换使用双引号
      
 正则表达式:
     基本的
        字符:
           .
           []
           [^]
        次数
           *
           \?
           \{m,n\}
         锚定:
           ^
           $
           \<,\b
           \>,\b
         分组:
          \(\)
         引用:
          \1,\2,……
     扩展:
        字符:
           .
           []
           [^]
        次数
           *
           ?
           {m,n}
           +
         锚定:
           ^
           $
           \<,\b
           \>,\b
         或:
           a|b
         分组:
          \(\)
         引用:
          \1,\2,……
    sed '地址定界s@查找条件@替换文件@'
       修饰符:
          g:global,全局替换
          i:ignore-case,不区分字符大小写

awk命令:
   awk:报告生成工具
       把文件中读取带的每一行的每个字段分别进行格式化,而后进行显示:

支持使用变量、条件判断、循环、数组

awk --> new awk --> nawk

GNU awk --> gawk

选项:
    -F:切割符
    $0:整行
    $1,$2.....:位置参数

用法格式:
     awk [options] 'script' FILE...
     awk [options] '/pattern/{action}' FILE...

action: print $1,$2

模式:
       地址定界:/pat1/,/pat2/ 一个范围
                /pattern/ 被匹配到的行
                experssion 表达式
                   >,>=,<,<=,==,!=,~(模式匹配)
        BEGIN:执行前操作
        END:执行后的收尾  操作

awk的常用四种分隔符:
      输入:
          行分隔符
          字段分隔符
      输出:
          行分隔符
          字段分隔符
 
  awk的内置变量
    NF:最后一个字段
    FS: 指定输入分隔符 在BEGIN中定义,指定时要使用""
    默认为空白
    OFS:输出时指定的分隔符,在BEGIN中定义,指定时要使用"",默认为空白

安装丶bash丢失丶dhcp丶pxelinux

anaconda:fedora,Linux的安装程序

anaconda:将安装分成两个阶段
    安装前配置阶段
        键盘类型
        安装过程中的语言
        支持的语言
        时区
        选择要使用的磁盘设备
        分区格式化
        选择要安装的程序包
        管理员密码
        是否使用iptables
        是否启用selinux
    安装阶段
        在目标磁盘上根文件系统
        将选定的程序包安装至目标磁盘

如何启动安装过程
  MBR:bootloader,本身可启动的安装光盘
  网络启动安装过程
  可移动设备,便携式设备

简装光盘:只有isolinux,能够启动安装过程的

anaconda的配置文件称为kickstat

安装前配置阶段:
     配置的选项:
          必选项:
          可选项:

kickstart文件的组成部分:
    命令段:用于配置系统
        install
        firewall
        part
        lvm
    软件包:指定要安装的程序包及程序包组
    %packages 标识
      @Base:使用@指定包组
      lftp:直接写程序包名
      tree:
      每行一个  
    注意:在程序包前加-,不安装相关包
     %end :软件包结束
    脚本段:
       %pre:安装过程开始前的预备脚本
            所能执行的操作较小,它是一个首先得环境,因为其是仅有简装版的shell环境
       %post:所有的软件完成之后执行的脚本
            此时,具有完整意义上的shell环境,但并非所有命令都安装,先确保所有的程序包已经安装

以光盘为例:
     MBR-->bootloader,isolinux/
     安装树:

noparport:不探测硬件

启动安装界面时,boot提示符后,可以向安装内核传递许多的配置参数,用于指定安装过程的特性
boot:
   test:文本安装界面
   graphical:图形安装界面
   askmethod:提示用户指定安装方法,让用户选择使用的安装树
   asknetword:提示用户在安装过程中使用网络功能,并提示用户配置网络地址
   dd:提示用户指定一个驱动程序所在的设备
   ks=:指定一个安装过程使用的kickstart文件
      ks={http|https}://<sevrer>/<path>
      ks=cdrom:/<path>
      ks=nfs:<server>:/<path>
    repo=:指定安装树位置
        repo=ftp://<path>
        repo={http|https}://<path>
        repo=nfs:<path>
    ip:
    netmask:
    gateway:
    dns:
    noipv6:

http://172.16.0.1/centos6.X86_64.cfg

成长是用来发现自己的过去是多么的操蛋

CentOS:
     kickstart文件:命令段、软件包段、脚本段

selinux限制进程的访问,
     permissive 记录到日志

创建光盘映像

mkisofs:-R -J -T -v --no-emul-boot --boot-load-size 4 --boot-info-table -V "Centos 6.5 X86_64 boot(可改)" -b isolinux/isolinux.bin -c isolinux/boot.cat -o /root/centos6.5.boot.iso(可改) linuxiso/
   
     光盘中的背景图片
     640*480

dhcp server:告诉客户端到某一位置找一tftp server,向此tftp server要一个文件

pxe:安装方式

创建kickstart文件的方式:
        1,复制模板/root/anaconda-ks.cfg。而后使用vim编辑配置
        2.使用system-config-kiskstart来生成,建议使用/root/anaconda-ks.cfg 模板生成

ksvalidator 检查kiskstart文件的配置是否存在问题

系统故障排除之:bash程序文件损坏
1.启动紧急救援模式
2.获取到bash的rpm包:
   mkdir /media
   mount -r /dev/dvd /media
   rpm -ivh bash-*.rpm --replacepkgs --root=/mnt/sysimage/
 紧急救援模式:启动了一个工作于光盘上的linux

arp

dhcp和pxe

DHCP:动态地址配置协议
  前身bootp:分配出去以后,将绑定
  leases,地址租约,地址池

Dynamic Host Configuration Protocol

C/S 模式
   Server:DHCP Server(运行dhcp服务)
     UDP服务:67
   Client:DHCP Client(运行dhcp程序)
     UDP服务:68
   udp:适合发送较小的数据报文,且对时效性要求较高

A:DHCP DISCOVER
  S:DHCP OFFER(ip/netmask)
  A:DHCP REQUEST(确认使用)
  S:DHCP ACK

50%:DHCP REQUEST
      75%:DHCP REQUEST
         87.5%:DHCP REQUEST

DHCP DISCOVER

DHCP :
     IP,NETMASK,GATEWAY,DNS,NTP SERVER,WINS SERVER,File

DHCP Client:
       169.254.X.X
        本地地址
  有两个进程
     一个dhcpd
     一个dhcrelay,中继

dhcpd.conf大致可以分为四个区域:
    定义dhcpd自身的工作属性:
       log-facilify:日志facilify
    全局地址跟拍属性:options打头
      option router
    子网配置:
        通常每个作用域通过一个subnet定义
         subnet NETWORK_ADDR netmask NETMASK {

}
    主机配置:
      通常为某特定MAC地址固定的分配一个地址
         host ‘HOST ID’ {
           hardware ethernet 08:00:07:26:c0:a5; MAC地址
  fixed-address IP; ip地址
         }
日志服务的配置文件:/etc/rsyslog.conf

文件详解:
ption domain-name "example.org"; 搜索域
option domain-name-servers ns1.example.org, ns2.example.org; 全局默认网关
default-lease-time 600;默认租约期限
max-lease-time 7200;最长租约期限
#ddns-update-style none;动态dns
og-facility local7;日志反动地址
subnet 10.254.239.0 netmask 255.255.255.224 {
  range 10.254.239.10 10.254.239.20; 地址池
  option routers rtr-239-0-1.example.org, rtr-239-0-2.example.org; 提供的网关
}

subnet 10.254.239.32 netmask 255.255.255.224 {
  range dynamic-bootp 10.254.239.40 10.254.239.60;向bootp提供服务
  option broadcast-address 10.254.239.31;广播地址
  option routers rtr-239-32-1.example.org;
}
subnet 10.5.5.0 netmask 255.255.255.224 {
  range 10.5.5.26 10.5.5.30;
  option domain-name-servers ns1.internal.example.org;
  option domain-name "internal.example.org";
  option routers 10.5.5.1;默认网关
  option broadcast-address 10.5.5.31;广播地址
  default-lease-time 600;
  max-lease-time 7200;
}

host fantasia {
  hardware ethernet 08:00:07:26:c0:a5; MAC地址
  fixed-address fantasia.fugue.com; ip地址
}
class "foo" {
  match if substring (option vendor-class-identifier, 0, 4) = "SUNW";
}定义函数,用来定义特定系统分配特定的地址

/var/lib/dhcpd有配置文件

dhcilent -d etho:/客户端重新获取dhcp地址

总结:dhcp dhcpd /etc/dhcp/dhcpd.conf /etc/rc.d/init/dhcpd /var/lib/dhcp,udp:67,68

PXE:Preboot Execution Environment,启动前的执行环境
    
    Client:网卡要支持网络引导

tftp Trivial FTP:简单文件传输协议,高效传输小文件(udp:69)
   瞬时(非独立)守护进程:他们无需定义在运行级别下,只需要一次性的定义xinetd的运行级别
   独立(standalone)守护进程:能自我管理,无需xinted提供箭头服务的进程

超级守护进程:xinetd
   为那些极少接收用户请求的服务,专门提供监听功能
     tftp:udp:69
     
   瞬时守护进程基于xinetd的配置文件:/etc/xinted.d/Service_name
   独立守护进程:能自我管理,无须xinetd提供监听服务的进程
 
   chkconfig xinetd on
   service xinetd start

chkconfig Service_name on
   service xinetd restart

Linux上的tftp:
    服务器:tftp-server
    客户端:tftp
在dhcp添加
    next-server ip地址
    filename="pxelinux.0"

配置步骤:
前提:需要安装apache服务器,并启动httpd服务!
 mkdir /media/cdrom
 mount -r /dev/dvd /media/cdrom
 vi /etc/yum.repo.d/
1.配置DHCP服务器
yum -y install dhcp
vim /etc/dhcp/dhcpd.conf
自定义subnet{
    ...
    next-server
    filename ""
}
 service dhcpd restart
 tail -f /var/log/boot.log
2配置tftp-server
yum -y install xinetd tftp-server tftp
chkconfig xinetd on
chkconfig tftp on
service xinetd start
3准备安装树
mkdir /var/www/html/centos6
mount --bind /media/cdrom /var/www/html/centos6
service httpd start
4.准备tftpboot下的文件
yum -y install syslinux
cp /media/cdrom/images/pxeboot/{vmlinuz,initrd.img} /var/lib/tftpboot/
cp /media/cdrom/isolinux/{boot.msg,vesamenu.c32,splash.jpg} /var/lib/tftpboot/
cp /usr/share/syslinux/pxelinux.0 /var/lib/tftpboot
mkdir /var/lib/tftpboot/pxelinux.cfg
cp /media/cdrom/isolinux/isolinux.cfg /var/lib/tftpboot/pxelinux.cfg/default

5.提供kickstart文件
注意:url及repo后的路径要修改为可用安装树的路径;
url --url=http://192.168.48.128/centos6
repo --name="CentOS-6.5"  --baseurl=http://192.168.48.128/centos6
编辑好kickstart文件后保存至/var/www/html目录下;假设为ks.cfg

6)配置引导程序能自动加载kickstart文件。
编辑/var/lib/tftpboot/pxelinux.cfg/default
在label为linux项的append一行后附加:
    ks=http://192.168.48.128/ks.cfg

SELinxu:Secure Enhenced Linux

获取selinux的当前状态:
getenforce
临时启用或禁用
setenfoce 0|1

永久启用:/etc/sysconfig/selinux
      /etc/selinux/config

SELINUX={enforcing|permissove|disabled}

ls -Z:查看
 mac:强制访问控制

Openssl丶ssh丶脚本信息捕获

passwd:
   加密方式:
       对称加密、公钥加密、单向加密
    加密、解密
    明文:plaintext,cleartext -->密文 -->

对称加密:
       加密算法+口令
          明文 --> 密文

字典攻击
          加密方,解密方使用同一个口令
          DES(56bits):数据加密标准
          3DES
          AES(128bits):高级加密标准
          Blowfish
          Twofish
          IDEA
          RC6
          CAST5
          Serpent
          特性:
          1.加密/解密使用统一口令
          2.将原文分割成固定大小的数据块,对这些块进行加密
            ECB,CBC

1.口令传输
          2.密钥太多

密钥交换:
        用户认证:
        数据完整性:

密钥交换(IKE:Inernet Key Exchange):DH算法

非对称加密:公开公钥,私钥私有,只有一组密钥对(公钥和私钥组成)才能对消息进行加密和解密,公钥和私钥都能进行加密或者解密。公钥一般来加密数据,私钥一般来签名数据。
      加密算法:RSA,EIGmal,DSA
      1.密钥交换
      2.用户身份认证
    单向加密:
     抽取数据特征码:
       MD5,SHA1,SHA512,CRC-32(循环冗余校验码)
      1.完整性,

消息认证算法:MAC(Message Authenntication Codes)
        CBC-MAC
        HMAC

雪崩效应
        定长输出:
使用私钥钥来加密特征码(保留数据的完整性)和数据(保证数据的来源)再将两者进行对称加密(速度快),接着再用对方的公钥来加密密码(保证安全性)

PKI:Pubile key Infrastucture 公钥基础设施

openssl gpg

openssl:套件,开源程序
     libcrypto:通用功能的加密库
     libssl:用于实现TLX/SSL的功能
     openssl:多功能命令工具
         生成密钥,创建数字证书,手动加密解密数据
 加密解密技术常用的功能及算法:
   对称加密:
     工具:gpg openssl enc
     加密:openssl enc -des3 -a -salt -in /ets/fstab -out /tmp/fstab.cipher
     解密:openssl enc -d -dec3 -a -salt -in /tmp/fstab.cipher  -out 文件

单向加密:
     特性:One-Way
           Collision-free:
     算法
      md5:128bits
      sha1:160bits
      sha512:512bits
     工具:sha1sum,md5sum,openssl dgst
      openssl dgst [-md5|-md4|-md2|-sha1|-sha|-mdc2|-ripemd160|-dss1][-out filename] /path/to/somefile
   MAC:信息摘要码,单向加密的延伸应用
       应用:用于实现在网络通信中保证所传输的数据完整性
       机制:
           CBC-MAC
           HMAC:使用md5和sha1算法
   用户认证:每一个用户的密码即使是相同的,他们的加密方式也不同,因为是不同用户。可以指定-salt string 即可生成相同的加密
       工具:passwd openssl passwd
 
    公钥加密:公钥加密,私钥解密
       密钥对:
          公钥:pkey
          私钥:skey

算法:RSA,EIGamal

工具:gpg openssl rsautl

数字签名:私钥加密,公钥解密
       算法:RSA,EIGamal,DSA

DSA:Digital Signature Algorithm
       DSS: Digital Signature standard
    密钥交换:IKE
       算法:DH(Diffie-Hellman),公钥加密

数字证书:
    第三方机构使用一种安全的方式把公钥分发出去
       证书格式:x509,pkcs家族
         x509格式:
           公钥和有效期限:
           持有者的个人合法身份信息;(主机名),所以输入主机名所对应的IP地址,有可能会访问不到。
           证书的使用方式
           CA的信息
           CA的数字签名

谁给CA发证:自签署证书
   用户
    1.生成一对密钥
    2.把所需信息和公钥按固定格式制作成证书申请
   CA机构
    1.自签证书
    2.签署证书
    3.传给用户
    4.维护吊销列表
    OpenCA
用openssl实现是有CA
配置文件/etc/pki/tls/openssl.cnf
命令:
谁给CA发证:自签署证书

用openssl实现私有CA:
            配置文件:/etc/pki/tls/openssl.cnf

生成密钥对儿:
            # (umask 077; openssl genrsa -out private/cakey.pem 2048)
            
            如果想查看公钥:
                # openssl rsa -in private/cakey.pem -pubout -text -noout

生成自签证书:
            # openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655

用openssl实现证书申请:

在主机上生成密钥,保存至应用此证书的服务的配置文件目录下, 例如:
            # mkdir /etc/httpd/ssl
            # cd /etc/httpd/ssl
            # (umask 077; openssl genrsa -out httpd.key 1024)

生成证书签署请求:
            # openssl req -new -key httpd.key -out httpd.csr

将请求文件发往CA;
                                               #  scp httpd.csr  192.168.48.128:/tmp/

CA签署证书:
        签署:
            # openssl ca -in /path/to/somefile.csr -out /path/to/somefile.crt -days DAYS

将证书传回请求者

吊销证书:
        # openssl ca -revoke /path/to/somefile.crt

speed 测试当前系统上的加密算法的性能
version: 版本
s_client ssl/tls client program 测试连接性的
rand:用来生成伪随机数字
   openssl rand -hex #

openssl:私有CA
  证书格式
         公钥和有效期限:
         持有者的个人合法身份信息;(主机名)
         证书的使用方式
         CA的信息
         CA的数字签名

对称加密:数据私密性
公钥加密:密钥交换(对方的公钥)、数据加密(对方的公钥)、身份认证(自己的私钥)
单向加密:hash码,only-way hash
openssl补充材料:

openssl中有如下后缀名的文件
        .key格式:私有的密钥
        .crt格式:证书文件,certificate的缩写
        .csr格式:证书签名请求(证书请求文件),含有公钥信息,certificate signing request的缩写
        .crl格式:证书吊销列表,Certificate Revocation List的缩写
        .pem格式:用于导出,导入证书时候的证书的格式,有证书开头,结尾的格式
        
        常用证书协议
        x509v3: IETF的证书标准
        x.500:目录的标准
        SCEP:  简单证书申请协议,用http来进行申请,数据有PKCS#7封装,数据其实格式也是PKCS#10的
        PKCS#7:  是封装数据的标准,可以放置证书和一些请求信息
        PKCS#10:  用于离线证书申请的证书申请的数据格式,注意数据包是使用PKCS#7封装这个数据
        PKCS#12:  用于一个单一文件中交换公共和私有对象,就是公钥,私钥和证书,这些信息进行打包,加密放在存储目录中,CISCO放在NVRAM中,用户可以导出,以防证书服务器挂掉可以进行相应恢复。思科是.p12,微软是.pfx

ssl:网景公司开发
 Secure Scocket Layer
  安全的套接字层

TLS:Transport Layer Security
    安全的传输层

远程登录:
 telnet

telnet服务:明文传输
   监听tcp协议的23号端口
   ss -tan |grep 23

禁止管理员直接登陆
      使用普通用户登录。而后su到管理员

ssh:Secure SHell
 监听tcp协议的22号端口
 /etc/services 解析库,进程<->端口
   ssh文本协议:字符通信

sshv1,sshv2
    由于sshv1是居于CRC-32做MAC,因此,不安全,建议勿用
    sshv2 基于双发主机协商选择最安全的MAC实现机制
       加密机制和MAC机制是双方协商选定
       基于DH实现密钥交换,基于RSA或DAS实现身份认证
       客户端通过检查服务端的主机密钥来判断是否与其进一步通信

OpenSSH(C/S)
   Server:监听tcp22
   Client:程序
 windows客户端:xmanager(xshell)、SecureCRT、putty、sshshellcilent

openssh客户端组件:
    ssh
       ssh Username@HOST [command]
       ssh -l Username HOST [command]
          -p port:指定要连入端口

ssh认证机制:
       基于口令
       基于密钥
          客户端在本地生成一对密钥
          客户端将公钥复制到服务器,要登陆的用户的家目录下的隐藏目录.ssh中的一个名为authorized_keys或authorized_keys2中
       配置过程:
         1.生成密钥对,客户端
            ssh-key -t rsa
             生成的密钥默认保存至当前家目录下的.ssh下的id_rsa,公钥在id_rsa.pub
          文件中
          2.复制密钥至远程主机:
             ssh-copy-id -i 公钥文件 登陆用户@远程ip地址
    scp:类cp命令,基于ssh协议跨主机复制
       scp SRC1 SRC2 .... DEST
       分两种情况:
         1.源文件在本机,目标为远程
         scp /path/to/somefile ....  Username@HOST:/path/to/somewhere
         2.源文件在远程,目标在本机
          scp Username@HOST:/path/to/somefile /path/to/somewhere

-r当源文件为目录,以实现递归复制
         -p:保留源文件的复制及修改时间戳,以及权限
         -q:静默模式
         -P PORT:指定服务器端口

sftp:是基于ssh的ftp协议
     只要OpenSSH的服务器端有以下项,则代表支持sftp
     Subsystem    sftp    /usr/libexec/openssh/sftp-server

用法: sftp[username@]HOST

服务器端:sshd
   配置文件 /etc/ssh/sshd_config
   服务脚本 /etc/rc.d/init.d/sshd
   脚本配置文件:/etc/sysconfig/sshd

查看config文件的帮助
       man sshd_config
       ListernAddress 当前主机的监听地址
       Protocol 协议版本
       # HostKeys for protocol version 2
       #HostKey /etc/ssh/ssh_host_rsa_key
       #HostKey /etc/ssh/ssh_host_dsa_key
       验证主机的公钥
       #KeyRegenerationInterval 1h  密钥的使用时间
       #ServerKeyBits 1024 密钥长度
       #LogLevel INFO 日志级别
       #LoginGraceTime 2m 登陆宽限期
       #PermitRootLogin yes root是否可以登录
       #StrictModes yes 严格模式,家目录 属主 属组
       #MaxAuthTries 6 最多可以承受的次数
       #MaxSessions 10
       最大的连接数
       PasswordAuthentication yes 是否使用用户名和密码的方式
       Kerberos集中认证管理
       X11Forwarding yes 是否转发图形窗口
       AllowUsers user1 user2
       用户白名单
       Allowgroups 组白名单
       DenyUser 用户黑名单
 
用户登录信息获取
  lastlog:显示用户最近一次的登录信息,成功的 /var/log/wtmp
  lastb:显示用户登录的信息,并尝试失败的 /var/log/btmp
  用户成功登陆的日志信息
  last

使用ssh的最佳方式
1)only use ssh protocol 2
2)limit users SSh access
    Allowusers root vivek jerry
    白名单
    denyUser saroj anjali foo
    黑名单
3)configure  Idle Log out timeout Interval 配置空闲超时长。
    ClientAliveCountMax 300
    ClientAliveInterval  0
4)Firwall SSH Port # 22
    使用iptables设置ssh服务安全访问策略
5)change ssh port and Limit IP binding
    port 300
    Listaddress 192.168.1.5
    ListenAddress 202.54.1.5
    勿使用默认22端口
6)use Strong SSH passwords and passphrase  
    genpasswd(){
        local 1=$1
            [ "$1" == "" ]&& 1=20
            tr -dc A-Za-z0-9_</dev/urandom | head -c ${1} | xargs
    }
使用足够长足够复杂的密码,且定期更换。
7)use Public key Based AUthentication
使用公钥认证。
8)disable Empty password
9)thwart ssh crakers (Brute  Force attack)
google:ssh best practice
10)rate-limit incoming port # 22 COnnections
限制ssh访问频度
11)use log analyzer
    记录好日志,经常做日志分析。

总结:ssh,scp.sftp,sshd
      ssh /etc/ssh/ssh_config
      sshd /etc/ssh/sshd_config

bash编程的信号捕获
  trap 陷阱
  trap ‘command’ signal
  kill -l
  KILL无法捕捉

信号捕捉用于:在中途中止时做一些清理操

第四周LINUX 学习笔记的更多相关文章

  1. Linux 学习笔记

    Linux学习笔记 请切换web视图查看,表格比较大,方法:视图>>web板式视图 博客园不能粘贴图片吗 http://wenku.baidu.com/view/bda1c3067fd53 ...

  2. linux学习笔记2-linux的常用命令

    第一篇博客:linux学习笔记1-ubuntu的安装与基本设置 之中,已经介绍了如何安装linux操作系统,以及一些基本的设置修改. 本篇博客主要介绍linux中的一些常用的终端命令 ======== ...

  3. Linux学习笔记(一)2015&period;4&period;13

    研究生由单片机转Linux学习 首先安装VMware虚拟机,用的是VMware 10.0 在VMware 10.0上安装视频上推荐的Red Hat Linux 5 安装后正式进入Linux学习 笔记1 ...

  4. 20160127 linux 学习笔记

    Linux学习笔记第一天 Linux基本介绍 Linux的起源和发展: 简单说linux是一种操作系统,可以安装在包括服务器.个人电脑,乃至PDA.手机.打印机等各类设备中. 起源: Linux起源于 ...

  5. linux —— 学习笔记(汇总)

    笔记目录:一.系统知识 和 基本概念                    二.常用操作                   三.系统管理(内存.设备.服务等管理)                   ...

  6. Linux学习笔记-林耐斯Notes-Linux就该这么学

    Linux学习笔记... 参考的优秀Linux网站: http://www.w3cschool.cn/linux/ http://www.linuxeye.com/ http://linux.vbir ...

  7. Linux~学习笔记目录索引

    回到占占推荐博客索引 本篇文章是对自己学习Linux及在它的环境下部署工具的一个总结,以方便自己查阅,也给他人一个帮助,本文章同时会不断的更新,欢迎大家订阅! 本目录包括的内容会包括linux基础命令 ...

  8. deepin linux学习笔记(四)进不去图形界面怎么办?

    目录 deepin linux学习笔记(四)进不去图形界面怎么办? 前言 更换成lxde桌面 进不去图形界面怎么办? 总结 deepin linux学习笔记(四)进不去图形界面怎么办? 前言 生命不息 ...

  9. deepin linux 学习笔记(二)——文本编辑器

    目录 deepin linux 学习笔记(二)--文本编辑器 前言 nano 小巧的命令行编辑器 通用 编辑 定位 排版 配置 vim 思路独特的超级编辑器 命令模式 插入模式 底线模式(末行模式) ...

随机推荐

  1. &lbrack;转&rsqb;Null value was assigned to a property of primitive type setter of&quot&semi;原因及解决方法

    原文地址:http://blog.csdn.net/kevinzhangfei/article/details/6995316 在action请求数据的过程中报出"Null value wa ...

  2. 使用github和hexo搭建博客

    title: How to build your blog by Hexo in github Welcome to huihuang's blog,you will find what you ex ...

  3. iOS 渐变提示。Labe自动换行

    UILabel *noticeLabel = [[UILabel alloc]init]; noticeLabel.text = @"当前账号已失效果,已清除当前账号已失效果,已清除当前账号 ...

  4. 第11章 Windows线程池(2)&lowbar;Win2008及以上的新线程池

    11.2 Win2008以上的新线程池 (1)传统线程池的优缺点: ①传统Windows线程池调用简单,使用方便(有时只需调用一个API即可) ②这种简单也带来负面问题,如接口过于简单,无法更多去控制 ...

  5. Python 正则表达式指南 zz

    zz http://www.cnblogs.com/huxi/archive/2010/07/04/1771073.html 1. 正则表达式基础 1.1. 简单介绍 正则表达式并不是Python的一 ...

  6. ubuntu vi上下左右键无法使用?

    使用vm安装ubuntu出现vi上下左右键无法正常使用. 执行以下两句就可以了 $sudo apt-get remove vim-common    $sudo apt-get install vim

  7. CSS3 圆形时钟式网页进度条

    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/ ...

  8. 异步文件上传组件 Uploader

    Uploader是非常强大的异步文件上传组件,支持ajax.iframe.flash三套方案,实现浏览器的全兼容,调用非常简单,内置多套主题支持 和常用插件,比如验证.图片预览.进度条等,广泛应用于淘 ...

  9. C&num;中Thread&period;Join&lpar;&rpar;的理解

    最近在项目中使用多线程,但是对多线程的一些用法和概念还有有些模棱两可,为了搞清楚查阅了一写资料,写下这篇日志加深理解吧. Thread.Join()在MSDN中的解释很模糊:Blocks the ca ...

  10. Ubuntu下搜狗输入法突然无法输入中文

    百度了很久的,后面看到这个帖子,找到解决办法.引用:http://blog.csdn.net/kiss_the_sky/article/details/62238529 删除配置文件,重启搜狗 ubu ...