非常全面的Linux知識點總結
$1 我的Linux需求
Linux博大精深。我只在此討論一些我對線上Linux機器維護人員的基本需求,比如裝機,加硬碟,配網路。只討論CentOS 6,或者類似的RHEL,當然Ubuntu也可以此類推,但是一些新特性不予討論,因為我不懂,比如CentOS 7的xfs不予討論,並不是說xfs不好,而是以目前我的Linux水平需要更新很多xfs的知識,駕馭需要時間。CentOS 7將ifconfig,netstat等原來常用的命令也幹掉了,用ip,lsof替換是更加好的工具,但是大部分的線上機器都應該還沒有更新到CentOS 7。下面我們以CentOS 6作為基礎,談我認為最基本的4點。
$1.1 最小化安裝
CentOS有一個minimal版本,相對於標準版去掉了很多Service,比如Network Manager,安裝最小版本以後的網路配置是需要admin進行寫配置檔案的。我個人認為這樣是比較好的,因為這樣才能知道Linux核心真正關心的是哪些配置檔案,直達核心。一些必要的監控工具,完全可以通過yum install來完成。作為線上機器,還是最小化安裝,做到能不開的服務就不開,能關掉的埠就關掉,這樣既能將寶貴的硬體資源留下來給應用程式,也能夠做到更加的安全。
$1.2 足夠安全
除了將能關的埠關掉,能不用的服務關掉以外,安全還需要做到特定的服務只能訪問特定的內容。哪怕是root賬戶,不能訪問的檔案和資料夾還是不能訪問,更加不能操作。開啟SELinux以後,能夠做到在不修改SELinux的情況下,指定的服務只能訪問指定的資源。對於ssh要做到關閉賬戶密碼登入,只能通過祕鑰登入,這樣在保證祕鑰不被盜用的情況下是最安全的。
$1.3 資源按需排程
我們經常會遇到這樣一個問題,假設將磁碟sda掛載到/var目錄,但是由於log太多或者上傳的檔案等等其他因素將硬碟吃光了,再建立一塊sdb磁碟就無法掛載到/var目錄了,其實Linux自帶的lvm已經解決了這個問題,並且CentOS預設就是用lvm來管理磁碟的。我們需要學會如何格式化一塊硬碟為lvm,然後掛載到對應目錄,在空間被吃光前能夠新增一塊硬碟就自動擴容。
$1.4 網路監控
Linux本地要利用好net_filter,也就是iptables,來規劃服務哪些網路流量,拋棄哪些網路流量。以及在進行組網的時候需要用router來進行閘道器的建立,在遇到網路問題的時候通過netstat來檢視網路訪問異常。網路這塊內容很多很雜,各種引數,TCP/IP協議棧等等,但是往往問題還就是出在網路這塊,所以要給與高度的關注。
$2 Linux的理念與基礎
小談幾點我對Linux的認識。
$2.1 Linux的檔案系統
Linux將所有的事物都看成檔案,這一點人盡皆知。我想說的是,除了傳統的ext檔案系統,Linux在抽象不同的資源的時候其實有各種不同的檔案系統,都是從需求和使用出發,比如proc檔案系統就是針對程式的抽象,使得修改對應程式的值就可以直接改變程式的行為。再比如,對於遠端ssh登入的pts裝置,Linux有對應的devpts檔案系統。看下面表哥的type一欄。
| file_system | dir | type | options | dump | pass |
|---|---|---|---|---|---|
| /dev/mapper/VolGroup-lv_root | / | ext4 | defaults | 1 | 1 |
| UUID=xxx | /boot | ext4 | defaults | 1 | 2 |
| /dev/mapper/VolGroup-lv_swap | swap | swap | defaults | 0 | 0 |
| tmpfs | /dev/shm | tmpfs | defaults | 0 | 0 |
| devpts | /dev/pt | devpts | gid=5,mod=620 | 0 | 0 |
| sysfs | /sys | sysfs | defaults | 0 | 0 |
| proc | /proc | proc | defaults | 0 | 0 |
$2.2 Linux的許可權管理
Linux的-rwxrwxrwx許可權管理也可謂人盡皆知,其實Linux自己也意識到了這樣的許可權管理所帶來的一些侷限性。首先rwx的許可權管理是基於使用者和組的,並且只是大致的分為owner|group|other這三類,無法再作更加細粒度的劃分。有鑑於此,Linux目前預設是有ACL(Access Control List)管理的,所謂ACL就是能夠提供更加細粒度的使用者和組管理,比如可以明確哪個user可以有什麼樣的許可權。如下示例
getfacl abc # file: abc # owner: someone # group: someone user::rw- user:johny:r-x group::r-- mask::r-x other::r--
而SELinux提供了不基於使用者與組的許可權管理,SELinux是基於應用程式的,什麼樣的應用程式可以使用什麼資源,對於這些資源這個應用程式能幹嘛,這個就是SELinux的管理方式。
$2.3 Linux上的Service
Linux上的Service組織得非常清晰,/etc/init.d/裡面包含了所有的Service啟動指令碼,對應的二進位制檔案在/usr/bin 、 /usr/sbin 、 /usr/local/bin等目錄下,一般而言配置檔案在/etc/app_name下,還有一個chkconfig的工具來管理各個runlevel下需要啟動的Service。這樣的約定俗成使得管理員在配置和使用的時候非常方便。Linux標準的Service都會將log記錄到/var/log/messages中,使得系統管理員不需要翻閱各種log,直接在/var/log/messages中就可以找到絕大部分的log來判斷當前系統是否正常。更甚者,syslogd被rsyslogd替換以後,可以將/var/log/messages中的內容通過UDP傳送到遠端用專業的log分析工具進行分析。我們需要學習Linux上Service的這些優秀的程式設計習慣和技巧。
$3 磁碟
根據$1中的需求,下面是我記錄的一些基本的磁碟操作。
df -lah檢視磁碟的使用情況fdisk -l檢視插入到磁碟驅動器中的硬碟; sd(a,b,c)(1,2,3),其中a是第一塊磁碟,b是第二塊磁碟,1,2,3表示磁碟上的主分割槽,最多4個。用fdisk從磁碟建立分割槽並且格式化。- LVM(logical volume manager),主要就是滿足加硬碟就能直接寫資料的功能,而不會出現磁碟滿了,新的磁碟只能掛載其他目錄的情況。lvm有幾個概念,VG, PV。將磁碟lvm格式化,建立PV, 建立VG,將建立的PV加入VG,然後在VG中建立lvm,然後就可以動態增加大小了。注意,將磁碟格式化為lvm,但是lv的格式化需要用ext,然後才能mount上去。參考這篇文章CentOS 6 卷組掛載硬碟教程
mount -t type(ext4|nfs) /dev/sdxn /path/dir來掛載。如果要重啟生效,必須將掛載資訊寫入到/etc/fstab- 磁碟IO效率(IOPS)需要用
vmstat,top等工具來檢視。和效能相關的調優和監控留待後續文章詳述。
$4 網路
網路的坑很多,需要把網路搞通沒個3,4年很難。下面從網路的配置檔案著手,簡單理一下網路方面的內容。網路最難的方面應該是如何搭建一個合理的高效的區域網或者都會網路,這個需要有專業的網路知識。
$4.1 配置檔案
/etc/hosts私有IP對應主機名/etc/resolv.confnameserver DNS的IP/etc/sysconfig/network其中NETWORKING=要不要有網路,HOSTNAME=主機名,NETWORKING_IPV6=支援ipv6否/etc/sysconfig/network-scripts/ifcfg-xxx其中DEVICE=網路卡代號,BOOTPROTO=是否使用dhcp,HWADDR,IPADDR,NETMASK,ONBOOT,GATEWAY
$4.2 與網路有關的一些命令
router -n檢視路由的命令,特別是要看帶G的,表示gateway,而帶U的表示up。netstat -anp檢視所有啟動的tcp,udp,unix stream的應用程式,以及他們的狀態,具體可以參考TCP/IP,JavaSocket簡單分析一文。
$5 安全
$5.1 PAM
PAM只需要簡單瞭解就行,是一個可插拔的認證模組。我的理解是:開發Linux的極客們搞出來的可複用的一個元件。舉個例子,現在有一個app,想要驗證當前的登入使用者是否有許可權操作某個目錄,那麼在PAM裡面有現成的模組,app只需要include這個模組,給出一個配置檔案,就可以了。有一個非常好的關於PAM的視訊教程,請看這裡
- PAM是應用程式用來進行身份驗證的。早期的身份驗證和應用程式本身耦合,後來把身份驗證單獨抽出來,通過PAM來進行管理
/etc/pam.d/xxx是能用pam來進行管理的應用程式PAM設定,在安裝應用程式的時候安裝。/etc/security/mmm,/lib/security/pam_mmm是一套。
$5.2 SELinux
SELinux也有一個非常好的視訊教程,請看這裡
getenforce來檢視SELinux是否被啟用/etc/sysconfig/selinux enforcing啟用SELinux- SELinux對“執行程式”配置和檢查其是否有許可權操作“物件”(檔案系統),而普通的ACL(rwx)就是根據檔案所屬owner及其組來判斷。SELinux是看可執行檔案的type和目錄檔案的type是否相容,來決定可執行檔案是否能操作資源
$5.3 防火牆
下面是學習時候的一些摘錄。特別一點,要開啟核心引數net.ipv4.ip_forward=1,在/etc/sysctl.conf檔案中,用sysctl -p來儲存。所謂ip_forward指的是核心提供的從一個iface到另外一個iface的IP包轉發,比如將IP包從192.168.1.10的eth0轉發到10.0.0.123的eth1上。防火牆配置是需要專業技能的。
- tcp_wrapper需要libwrap.so的支援,可執行檔案在
ldd bin_file出來沒有libwrap.so的,都不能用tcp_wrapper - iptables是按照規則進行短路判斷的,即 滿足條件1->執行action1->結束
- iptables-save來更加清晰的檢視
- 先刪掉全部規則,然後新增,比較簡單。新增的時候,先新增策略,再新增細部規則。一般來講,我們需要關注的是filter這個表的INPUT與OUTPUT
- iptables -A(I) INPUT(OUTPUT,FORWARD) -i(o) iface -p tcp(ump,imp,all) -s (!)source -d dest -j ACCEPT(REJECT,DROP), 還支援的引數 —dport —sport
$6 工具
$6.1 CPU
top特別注意loadps aux和ps -ef特別注意程式狀態vmstat 1表示每秒採集一次sar -u 1檢視所有cpu相關的執行時間
$6.2 Memory
freevmstat 1注意其中的swap ram block之間的關係sar -r 1記憶體使用率sar -W 1檢視swap,查詢是否由於記憶體不足產生大量記憶體交換
$6.3 IO
lsof -i:port查詢哪個程式佔用了這個埠號lsof -u username使用者開啟的檔案lsof -p pid程式開啟的檔案
雜項
關於安裝好系統之後的執行指令碼,這邊有一個參考
#!/bin/bash
#################################################
# author huachao
# date 2015-12-09
# email i@huachao.me
# web blog.huachao.me
#################################################
flagFile="/root/centos6-init.executed"
precheck(){
if [[ "$(whoami)" != "root" ]]; then
echo "please run this script as root ." >&2
exit 1
fi
if [ -f "$flagFile" ]; then
echo "this script had been executed, please do not execute again!!" >&2
exit 1
fi
echo -e "\033[31m WARNING! THIS SCRIPT WILL \033[0m\n"
echo -e "\033[31m *1 update the system; \033[0m\n"
echo -e "\033[31m *2 setup security permissions; \033[0m\n"
echo -e "\033[31m *3 stop irrelevant services; \033[0m\n"
echo -e "\033[31m *4 reconfig kernel parameters; \033[0m\n"
echo -e "\033[31m *5 setup timezone and sync time periodically; \033[0m\n"
echo -e "\033[31m *6 setup tcp_wrapper and netfilter firewall; \033[0m\n"
echo -e "\033[31m *7 setup vsftpd; \033[0m\n"
sleep 5
}
yum_update(){
yum -y update
#update system at 5:40pm daily
echo "40 3 * * * root yum -y update && yum clean packages" >> /etc/crontab
}
permission_config(){
#chattr +i /etc/shadow
#chattr +i /etc/passwd
}
selinux(){
sed -i 's/SELINUX=disabled/SELINUX=enforcing/g' /etc/sysconfig/selinux
setenforce 1
}
stop_services(){
for server in `chkconfig --list |grep 3:on|awk '{print $1}'`
do
chkconfig --level 3 $server off
done
for server in crond network rsyslog sshd iptables
do
chkconfig --level 3 $server on
done
}
limits_config(){
cat >> /etc/security/limits.conf <<EOF
* soft nproc 65535
* hard nproc 65535
* soft nofile 65535
* hard nofile 65535
EOF
echo "ulimit -SH 65535" >> /etc/rc.local
}
sysctl_config(){
sed -i 's/net.ipv4.tcp_syncookies.*$/net.ipv4.tcp_syncookies = 1/g' /etc/sysctl.conf
sed -i 's/net.ipv4.ip_forward.*$/net.ipv4.ip_forward = 1/g' /etc/sysctl.conf
cat >> /etc/sysctl.conf <<EOF
net.ipv4.tcp_max_syn_backlog = 65536
net.core.netdev_max_backlog = 32768
net.core.somaxconn = 32768
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_mem = 94500000 915000000 927000000
net.ipv4.tcp_max_orphans = 3276800
net.ipv4.ip_local_port_range = 1024 65535
EOF
sysctl -p
}
sshd_config(){
if [ ! -f "/root/.ssh/id_rsa.pub" ]; then
ssh-keygen -t rsa -P '' -f /root/.ssh/id_rsa
cat /root/.ssh/id_rsa.pub >> /root/.ssh/authorized_keys
chmod 600 /root/.ssh/authorized_keys
fi
#sed -i '/^#Port/s/#Port 22/Port 65535/g' /etc/ssh/sshd_config
sed -i '/^#UseDNS/s/#UseDNS no/UseDNS yes/g' /etc/ssh/sshd_config
#sed -i 's/#PermitRootLogin yes/PermitRootLogin no/g' /etc/ssh/sshd_config
sed -i 's/#PermitEmptyPasswords yes/PermitEmptyPasswords no/g' /etc/ssh/sshd_config
sed -i 's/PasswordAuthentication yes/PasswordAuthentication no/g' /etc/ssh/sshd_config
/etc/init.d/sshd restart
}
time_config(){
#timezone
echo "TZ='Asia/Shanghai'; export TZ" >> /etc/profile
# Update time
if [! -f "/usr/sbin/ntpdate"]; then
yum -y install ntpdate
fi
/usr/sbin/ntpdate pool.ntp.org
echo "30 3 * * * root (/usr/sbin/ntpdate pool.ntp.org && /sbin/hwclock -w) &> /dev/null" >> /etc/crontab
/sbin/service crond restart
}
iptables(){
cat > /etc/sysconfig/iptables << EOF
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:syn-flood - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p icmp -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
-A INPUT -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn-flood
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A syn-flood -p tcp -m limit --limit 3/sec --limit-burst 6 -j RETURN
-A syn-flood -j REJECT --reject-with icmp-port-unreachable
COMMIT
EOF
/sbin/service iptables restart
source /etc/profile
}
other(){
# initdefault
sed -i 's/^id:.*$/id:3:initdefault:/' /etc/inittab
/sbin/init q
# PS1
#echo 'PS1="\[\e[32m\][\[\e[35m\]\u\[\e[m\]@\[\e[36m\]\h \[\e[31m\]\w\[\e[32m\]]\[\e[36m\]$\[\e[m\]"' >> /etc/profile
# Wrong password five times locked 180s
sed -i '4a auth required pam_tally2.so deny=5 unlock_time=180' /etc/pam.d/system-auth
}
vsftpd_setup(){
yum -y install vsftpd
mv /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak
touch /etc/vsftpd/chroot_list
setsebool -P ftp_home_dir=1
cat >> /etc/vsftpd/vsftpd.conf <<EOF
# normal user settings
local_enable=YES
write_enable=YES
local_umask=022
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
local_max_rate=10000000
# anonymous settings
anonymous_enable=YES
no_anon_password=YES
anon_max_rate=1000000
data_connection_timeout=60
idle_session_timeout=600
# ssl settings
#ssl_enable=YES
#allow_anon_ssl=NO
#force_local_data_ssl=YES
#force_local_logins_ssl=YES
#ssl_tlsv1=YES
#ssl_sslv2=NO
#ssl_sslv3=NO
#rsa_cert_file=/etc/vsftpd/vsftpd.pem
# server settings
max_clients=50
max_per_ip=5
use_localtime=YES
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=YES
pam_service_name=vsftpd
tcp_wrappers=YES
#banner_file=/etc/vsftpd/welcome.txt
dual_log_enable=YES
pasv_min_port=65400
pasv_max_port=65410
EOF
chkconfig --level 3 vsftpd on
service vsftpd restart
}
main(){
precheck
printf "\033[32m================%40s================\033[0m\n" "updating the system "
yum_update
printf "\033[32m================%40s================\033[0m\n" "re-config permission "
permission_config
printf "\033[32m================%40s================\033[0m\n" "enabling selinux "
selinux
printf "\033[32m================%40s================\033[0m\n" "stopping irrelevant services "
stop_services
printf "\033[32m================%40s================\033[0m\n" "/etc/security/limits.config "
limits_config
printf "\033[32m================%40s================\033[0m\n" "/etc/sysctl.conf "
sysctl_config
printf "\033[32m================%40s================\033[0m\n" "sshd re-configuring "
sshd_config
printf "\033[32m================%40s================\033[0m\n" "configuring time "
time_config
printf "\033[32m================%40s================\033[0m\n" "configuring firewall "
# iptables
printf "\033[32m================%40s================\033[0m\n" "someother stuff "
other
printf "\033[32m================%40s================\033[0m\n" "done! rebooting "
touch "$flagFile"
sleep 5
reboot
}
main
相關文章
- 知識點總結
- Linux之SSH協議知識點總結Linux協議
- Java 知識點總結Java
- django知識點總結Django
- iOS 知識點總結iOS
- MongoDB知識點總結MongoDB
- HDFS知識點總結
- HBase知識點總結
- jQuery 知識點總結jQuery
- Kafka知識點總結Kafka
- Tomcat 知識點總結Tomcat
- MySQL知識點總結MySql
- 前端知識點總結——Vue前端Vue
- 知識點漏缺總結
- 事務知識點總結
- HBase知識點集中總結
- 前端知識點總結——HTML前端HTML
- 前端知識點總結——DOM前端
- docker常用知識點總結Docker
- mysql 常用知識點總結MySql
- (5)FIFO知識點總結
- HTML-知識點總結HTML
- RabbitMQ 常用知識點總結MQ
- MySQL 索引知識點總結MySql索引
- 跨域知識點部分總結跨域
- Java基礎知識點總結Java
- java面試知識點總結Java面試
- 總結的小知識點(一)
- 筆試題知識點總結筆試
- 瀏覽器知識點總結瀏覽器
- HTTP協議知識點總結HTTP協議
- Vue學習知識點總結Vue
- 總結的Java知識點集合Java
- HTML5知識點總結HTML
- CSS知識點面試總結CSS面試
- 總結 MySQL 相關知識點MySql
- Java 面試知識點總結Java面試
- 散知識點總結(持更)
- Core Java 的知識點總結Java