linux學習筆記8

虛擬賬號的配置獨立

由於了區分vip用戶和普通用戶的功能，全部對每一個用戶進行獨立設置。

 

 

man5 vsftpd.conf

/config

 

vim /etc/vsftpd/vsftpd.conf

#anon_upload_enable=YES     將此條註釋，即爲拒絕全部用戶

 

user_config_dir=/etc/vsftpd/user-conf

 

mkdir -p /etc/vsftpd/user-conf

 

vim /etc/vsftpd/user-conf/westos1

anon_upload_enable=YES

 

westos1是VIP！！！！！能夠上傳文件

westos2，爲普通用戶

 

 

注意~~

 

 

550 服務自己不能

553 本地文件系統

530 密碼，沒有重啓服務,selinux

    黑名單(/etc/vsftpd/ftpusers/etc/vsftp/user_list)

 

 

複製是新建：在新目錄下按照新目錄的屬性（安全上下文，權限等）

移動是重命名：保留原目錄的屬性

 

 

/ftpdir/westos1         家目錄不能有寫權限

 

chmod 775 /ftpdir/westos1/pub

chgrp ftp /ftpdir/westos1/pub

 

別忘了關selinux！！！

 

selinux

 

查看安全上下文

 

ls -Z

 

 

？爲沒有加載，一般在selinux處於disable下，建立的文件，上下文會是這種狀況。

 

 

 

 

 

不一樣目錄有不一樣的安全上下文

 

ps axZ |grep vsftpd     查看vsftp進程的上下文信息:

touch /mnt/file

mv /mnt/file

lftp localhost

ls -Z /var/ftp/pub

 

如果強行移動/mnt 下的文件，到/var/ftp/pub下，使用lftp訪問時，會由於上下文標籤的不一樣而訪問不到。

 

刷新上下文標籤：

方法一：chcon -t public_content_t(只讀)/var/ftp/pub -R（推薦）

方法二：restorecon /var/ftp/pub*

 

刷新文件的上下文

 

刷新目錄的上下文

 

將匿名用戶lftp家目錄改成/ftpdir

 

vim /etc/vsftpd/vsftpd.conf

anon_enable=YES

anon_root=/ftpdir

 

chcon   -t  public_content_t    /ftpdir/    -R

用chcon刷新的上下文標籤，在重啓selinux以後會失效。

 

要想永久改變上下文標籤，用semanage！！

 

semanage fcontext -a -t public_content_t'/ftpdir(./*)?'

semanage fcontext -l | grep ftpdir

 

 

 

將要修改的信息，加入semanage fcontext   列表後，重啓selinux便可生效，但還要去/etc/sysconfig/selinux 中，先修改成disable   ，再修改成enforce，很麻煩~

 

因此咱們用      restorecon-RvvF /ftpdir        重載列表的讀取！

 

-R遞歸

vv顯示目錄和子目錄配置詳細信息

F flush

 

 

 

semanage fcontext -d -t public_content_t'/ftpdir(./*)?'    刪除

 

 

一般狀況下selinux會屏蔽服務自己功能（危險），和對文件執行（讀寫）。

 

 

下面這張截圖，說明匿名用戶不能上傳文件，是selinux在做怪~~~

 

當設置 setenforce 0時,selinux處於警告狀態

只須要開啓/etc/vsftpd/vsftpd.conf 中的anon_upload_enable=yes

就能夠上傳文件

 

當設置 setenforce 1時,selinux處於強制管理狀態，就不能上傳文件。

 

getseboot -a | grep ftp 查看selinux 對ftp的所有管理

 

 

其中 ，ftpd_full_access ，是對ftp的總管理

 

 

還須要設置：

getsebool -P ftpd_anon_write on

-P permanent

才能夠完成文件的上傳。

 

 

系統的恢復

本實驗實驗恢復環境爲光盤模式，虛擬機和修復使用的光盤均爲rhel7.0

 

 

修復模式啓動時，狀態如圖

 

 

 

在使用時，須要先掛載光盤。而後進入Packages，就能獲得你想要的東西啦~

 

 

1.系統啓動流程

 

 

 

                            通電

                            ||

bios（主板上的只讀存儲中，basic input or outputsystem）

做用，硬件檢測，激活硬件

                             ||

grup系統引導（grub引導分爲兩個階段）

 

 

1）階段1 mbr （主引導記錄）主引導記錄在硬盤上的0磁道，一扇區，446個字節

*）dd if=/dev/zero of=/dev/vda bs=446count=1 能夠清空mbr

*)進入挽救模式，執行chroot /mnt/sysp_w_picpath切換到真實環境，

並執行grub2-install /dev/vda

 

 

 

2)階段2 grub文件引導階段（/boot/grub2/grub.cfg）

找到/boot分區

讀取/boot/grub2/grub.cfg

文件丟失，grub2-mkconfig > /boot/grub2/grub.cfg

 

手動引導流程

 

 

 

若是丟失的是windos的引導文件，則以下圖手動引導

 

 

        ||

啓動內核，只讀掛載/設備

檢測設備

對設備驅動進行初始化

進入系統初始化階段

內核丟失，從新安裝內核安裝包就能解決

rpm -ivh kernel-xxx.rpm –force

 

 

如今缺乏vmlinz-3.10.0.123.el7.x86_64

進入光盤的Packages

 

執行rpm2cpio kernel-3.10.0.123.el7.x86_64.rpm | cpio–id???????

 

 

 

 

獲得一個boot目錄。

執行 cp boot/vmlinz-3.10.0.123.el7.x86_64 /boot/vmlinz-3.10.0.123.el7.x86_64

修復完成~~~~

    ||

 

系統初始化階段

系統初始化階段加載initrd鏡像

 

開啓初始化進程systemd

開始selinux

加載內核參數

初始化系統時鐘，鍵盤，主機名稱

從新讀寫掛載/設備

激活raid,lvm

激活配額

啓動multi-user.target.wangs中的全部服務

開啓虛擬控制檯

啓動圖形

 

 

 

若是initrd鏡像不慎丟失

 

 

 

能夠用mkinitrd 命令,讓咱們來man 一下他的用法！

 

 

執行mkinitrd    /boot/initramfs-`username-r`.img   ``username -r`

 

修復完成~~~~

 

 

 

刪除整個boot分區，啓動如圖：

 

 

恢復如圖

1)內核丟失，從新安裝內核安裝包就能解決

rpm -ivh kernel-xxx.rpm –force

 

 

安裝完內核，/boot分區下出現了這麼多文件，但還缺乏/boot/grub2/grub.cfg!!！

 

 

恢復/boot/grub2/grub.cfg!!!!

grub2-mkconfig>/boot/grub2/grub.cfg

 

 

 

最後查看一下/boot分區裏的東西和原來是否是都同樣~~~

 

 

 

WOW，恢復大業完成！！！

 

 

開機服務自啓是什麼幺蛾子

系統初始化階段加載initrd鏡像，開啓初始化進程system

加載服務！！！

 

 

開機自啓服務，以sshd服務爲例

 

開機自啓是由於存在連接文件，etc/systemd/system/multi-user.target.wants/sshd.service

 

 

執行systemctl enable sshd，其實是執行

 

ln  -s  /usr/lib/systemd/system/sshd.service/etc/systemd/system/multi-user.target.wants/sshd.service

 

執行systemctl disable sshd，其實是執行

rm -rf/etc/systemd/system/multi-user.target.wants/sshd.service

 

 

 

defablt.target  爲開機系統啓動級別

系統初始化階段加載initrd鏡像，開啓初始化進程systemd

加載開機系統啓動級別！！！

 

默認狀況下

/etc/systemd/system/default.target

連接/usr/lib/systemd/system/graphical.target(圖形)

 

 

如今把它連接到reboot，系統就處於一直自啓狀態

 

ln -s  /usr/lib/systemd/system/reboot.target /etc/systemd/system/default.target

 

 

修復方法：

 

在開機時，press e以後編輯以下

linux16   .....rw rd.break

 

 

press Ctrl-x 進入一個shell，載chroot /sysroot 進入真實root分區

 

rm -rf /etc/systemd/system/default.target

ln  -s  /usr/lib/systemd/system/graphical.target

/etc/systemd/system/default.target

 

exit *2

若是忘記了root密碼怎麼辦？

系統初始化時，加載initrd鏡像時，認證密碼。

 

在開機時，press e以後編輯以下

linux16   .....rw rd.break

 

press Ctrl-x 進入一個shell，載chroot /sysroot 進入真實root分區

 

passwd

touch     /.autorelabel從新創建認證識別，更新新的密碼

exit *2

 

 

DNS

客戶端

vim /etc/resolv.conf

nameserver 172.25.254.130

服務器

yum install bind -y

 

如果裝完當即開啓服務，則會出現服務開啓緩慢

這是由於系統在捕捉加密字符

動動鼠標和鍵盤都會產生加密字符

 

cat /dev/random能夠查看已產生的加密字符

 

加密字符的key在/etc/rndc.key

 

 

未配置服務時的端口狀況：只有本地的53端口開着。

迴環接口（127.0.0.1）：本機服務之間的通訊

netstat -antulpe       |grep named查看name所佔的端口號

a all

n numeric？？？？

t tcp

u udp

l listening

p progress 進程

e extend    拓展

 

 

開始配置服務器！！！！！

 

對防火牆的設置

 

firewall-cmd --permanent --add-service=dns

firewall-cmd –reload

 

 

 

vim /etc/named.conf

11  listen=onport 53 {any};    設定端口開放，表示全部interface都開

17  allow-query{any;};回答全部人的提問

18  forwarders{172.25.254.250;};   緩存誰的答案

32  dnssec-validationno;   網絡上的網警。。。

 

 

 

 

 

檢驗

客戶端：dig www.taobao.com

 

第一次訪問很慢，但以後訪問都特別快！！！！！！！

 

 

@qq.com：域名

mail@qq.com:主機名

 

域名是DNS，A記錄文件

 

正向解析： 把域名變成ip

vim /etc/named.conf

 

11  listen=onport 53 {any};    設定端口開放，表示全部interface都開

17  allow-query{any;};回答全部人的提問

32  dnssec-validationno;   網絡上的網警。。。

 

在/etc/named.conf的末尾指引咱們去下一級文件： 

 

vim /etc/named.rfc1912.zones

 

cp -p /var/named/named.localhost/var/named/westos.com.zone

-p  將權限也一塊兒複製過來

 

vim /var/named/westos.com.zone  藍色的文件爲A記錄

 

文件裏不以.結尾，就以@結尾，@爲westos.com

 

輪詢機制

vim /var/named/westos.com.zone

 

效果爲172.25.254.101和172.25.254.102交替出現。

 

 

MX 用於名稱的郵件交換器（向何處發送電子郵件）

 

 

vim /var/named/westos.com.zone

westos.com.MX 1    172.25.254.100.

 

檢驗：

dig-t mxwestos.com

   

mail root@westos.com

crtl+d 結束輸入

 

 

mailq  能夠查看westos.com郵件交換器的IP！！！

 

 

CHAME     名稱至規範名稱（包含A/AAAA記錄的另外一個名詞）

 

vim /var/named/westos.com.zone

效果如圖：

 

反向解析

vim /etc/named.conf

設置同正向解析。

vim /etc/named.rfc1912.zones

cp -p /var/named/named.loopback/var/named/westos.comNaNr

 

vim /var/named/westos.comNaNr

 

驗證

 

 

 

雙向解析：不一樣ip訪問同一個地址，獲得不一樣的解析

本例爲：desktop：172.25.254.10， dig www.westos.com獲得的解析爲172.25.254.102

其餘用戶 dig www.westos.com  獲得的解析爲172.25.0.102

 

 

man 5 named.conf

/view

 

 

 

vim /etc/named.conf

 

cp –p /etc/named.rfc1912.zones     /etc/named.rfc1912.zones.inter

vim /etc/named.rfc1912.zones.inter

 

 

 

cp –p /var/named/westos.com.zone   /var/named/westos.com.zone.inter

vim /var/named/westos.com.zone.inter

 

 

驗證

desktop：172.25.254.10， dig www.westos.com獲得的解析爲172.25.254.102/101

 

其餘用戶 dig www.westos.com  獲得的解析爲172.25.0.102/101