Mark blog

CentOS7 引导顺序

UEFi或BIOS初始化,运行POST开机自检
选择启动设备
引导装载程序, centos7是grub2
加载装载程序的配置文件：
/etc/grub.d/
/etc/default/grub
/boot/grub2/grub.cfg
加载initramfs驱动模块
加载内核选项
内核初始化,centos7使用systemd代替init
执行initrd.target所有单元,包括挂载/etc/fstab
从initramfs根文件系统切换到磁盘根目录
systemd执行默认target配置,配置文件/etc/systemd/system/default.target

systemd执行sysinit.target初始化系统及basic.target准备操作系统
systemd启动multi-user.target下的本机与服务器服务
systemd执行multi-user.target下的/etc/rc.d/rc.local
Systemd执行multi-user.target下的getty.target及登录服务
systemd执行graphical需要的服务

设置内核参数

设置内核参数,只影响当次启动
启动时,在linux16行后添加systemd.unit=desired.target
systemd.unit=emergency.target
systemd.unit=rescue.target
rescue.target 比emergency 支持更多的功能,例如日志等
systemctl default 进入默认target

启动排错

文件系统损坏
先尝试自动修复,失败则进入emergency shell,提示用户修复
在/etc/fstab不存在对应的设备和UUID
等一段时间,如不可用,进入emergency shell
在/etc/fstab不存在对应挂载点
systemd 尝试创建挂载点,否则提示进入emergency shell.
在/etc/fstab不正确的挂载选项
提示进入emergency shell

破解CentOS7的root口令方法一

启动时任意键暂停启动
按e键进入编辑模式
将光标移动linux16开始的行,添加内核参数rd.break
按ctrl-x启动
mount –o remount,rw /sysroot
chroot /sysroot
passwd root
touch /.autorelabel
exit
reboot

破解CentOS7的root口令方法二

启动时任意键暂停启动
按e键进入编辑模式
将光标移动linux16开始的行,改为rw init=/sysroot/bin/sh
按ctrl-x启动
chroot /sysroot
passwd root
touch /.autorelabel
exit
reboot

修复GRUB2

GRUB”the Grand Unified Bootloader”
引导提示时可以使用命令行界面
可从文件系统引导
主要配置文件 /boot/grub2/grub.cfg
修复配置文件
grub2-mkconfig > /boot/grub2/grub.cfg
修复grub
grub2-install /dev/sda BIOS环境
grub2-install UEFI环境
调整默认启动内核
vim /etc/default/grub
GRUB_DEFAULT=0

systemd

POST –> Boot Sequence –> Bootloader –> kernel + initramfs(initrd) –> rootfs –> /sbin/init
init: CentOS 5: SysV init
CentOS 6: Upstart
CentOS 7: Systemd
Systemd：系统启动和服务器守护进程管理器,负责在系统启动或运行时,激活系统资源,服务器进程和其它进程
Systemd新特性：
系统引导时实现服务并行启动
按需启动守护进程
自动化的服务依赖关系管理
同时采用socket式与D-Bus总线式激活服务
系统状态快照

核心概念：unit
unit表示不同类型的systemd对象,通过配置文件进行标识和配置；文件中主要包含了系统服务、监听socket、保存的系统快照以及其它与init相关的信息
配置文件：
/usr/lib/systemd/system:每个服务最主要的启动脚本设置,类似于之前的/etc/init.d/
/run/systemd/system：系统执行过程中所产生的服务脚本,比上面目录优先运行
/etc/systemd/system：管理员建立的执行脚本,类似于/etc/rc.d/rcN.d/Sxx类的功能,比上面目录优先运行

Unit类型

Systemctl –t help 查看unit类型
Service unit: 文件扩展名为.service, 用于定义系统服务
Target unit: 文件扩展名为.target,用于模拟实现运行级别
Device unit: .device, 用于定义内核识别的设备
Mount unit: .mount, 定义文件系统挂载点
Socket unit: .socket, 用于标识进程间通信用的socket文件,也可在系统启动时,延迟启动服务,实现按需启动
Snapshot unit: .snapshot, 管理系统快照
Swap unit: .swap, 用于标识swap设备
Automount unit: .automount,文件系统的自动挂载点
Path unit: .path,用于定义文件系统中的一个文件或目录使用,常用于当文件系统变化时,延迟激活服务,如：spool 目录

特性

关键特性：
基于socket的激活机制：socket与服务程序分离
基于d-bus的激活机制：
基于device的激活机制：
基于path的激活机制：
系统快照：保存各unit的当前状态信息于持久存储设备中
向后兼容sysv init脚本
不兼容：
systemctl命令固定不变,不可扩展
非由systemd启动的服务,systemctl无法与之通信和控制

管理服务

管理系统服务：
CentOS 7: service unit
注意：能兼容早期的服务脚本
命令：systemctl COMMAND name.service
启动：service name start ==> systemctl start name.service
停止：service name stop ==> systemctl stop name.service
重启：service name restart ==> systemctl restart name.service
状态：service name status ==> systemctl status name.service

条件式重启：已启动才重启,否则不做操作

service name condrestart ==> systemctl try-restart name.service

重载或重启服务：先加载,再启动

systemctl reload-or-restart name.service

重载或条件式重启服务：

systemctl reload-or-try-restart name.service

禁止自动和手动启动：

systemctl mask name.service

取消禁止：

systemctl unmask name.service

服务查看

查看某服务当前激活与否的状态：

systemctl is-active name.service

查看所有已经激活的服务：

systemctl list-units --type|-t service

查看所有服务：

systemctl list-units --type service --all|-a

chkconfig命令的对应关系：

设定某服务开机自启：

chkconfig name on ==> systemctl enable name.service

设定某服务开机禁止启动：

chkconfig name off ==> systemctl disable name.service

查看所有服务的开机自启状态：
chkconfig –list ==> systemctl list-unit-files –type service

用来列出该服务在哪些运行级别下启用和禁用
chkconfig sshd –list ==>
ls /etc/systemd/system/*.wants/sshd.service

查看服务是否开机自启：
systemctl is-enabled name.service

其它命令：
查看服务的依赖关系：
systemctl list-dependencies name.service

杀掉进程：
systemctl kill unitname

服务状态

systemctl list-unit-files –type service –all显示状态
loaded:Unit配置文件已处理
active(running):一次或多次持续处理的运行
active(exited):成功完成一次性的配置
active(waiting):运行中,等待一个事件
inactive:不运行
enabled:开机启动
disabled:开机不启动
static:开机不启动,但可被另一个启用的服务激活

systemctl

显示所有单元状态
systemctl 或 systemctl list-units
只显示服务单元的状态
systemctl –type=service
显示sshd服务单元
systemctl –l status sshd.service
验证sshd服务当前是否活动
systemctl is-active sshd
启动,停止和重启sshd服务
systemctl start sshd.service
systemctl stop sshd.service
systemctl restart sshd.service

重新加载配置
systemctl reload sshd.service
列出活动状态的所有服务单元
systemctl list-units –type=service
列出所有服务单元
systemctl list-units –type=service –all
查看服务单元的启用和禁用状态
systemctl list-unit-files –type=service
列出失败的服务
systemctl –failed –type=service

列出依赖的单元
systemctl list-dependencies sshd
验证sshd服务是否开机启动
systemctl is-enabled sshd
禁用network,使之不能自动启动,但手动可以
systemctl disable network
启用network
systemctl enable network
禁用network,使之不能手动或自动启动
systemctl mask network
启用network
systemctl unmask network

service unit文件格式

/etc/systemd/system：系统管理员和用户使用/usr/lib/systemd/system：发行版打包者使用
以 “#” 开头的行后面的内容会被认为是注释
相关布尔值,1、yes、on、true 都是开启,0、no、off、false 都是关闭
时间单位默认是秒,所以要用毫秒（ms）分钟（m）等须显式说明
service unit file文件通常由三部分组成：
[Unit]：定义与Unit类型无关的通用选项；用于提供unit的描述信息、unit行为及依赖关系等
[Service]：与特定类型相关的专用选项；此处为Service类型
[Install]：定义由”systemctl enable”以及”systemctl disable”命令在实现服务启用或禁用时用到的一些选项

Unit段的常用选项：
Description：描述信息
After：定义unit的启动次序,表示当前unit应该晚于哪些unit启动,其功能与Before相反
Requires：依赖到的其它units,强依赖,被依赖的units无法激活时,当前unit也无法激活
Wants：依赖到的其它units,弱依赖
Conflicts：定义units间的冲突关系

Service段的常用选项：
Type：定义影响ExecStart及相关参数的功能的unit进程启动类型
• simple：默认值,这个daemon主要由ExecStart接的指令串来启动,启动后常驻于内存中
• forking：由ExecStart启动的程序透过spawns延伸出其他子程序来作为此daemon的主要服务.原生父程序在启动结束后就会终止
• oneshot：与simple类似,不过这个程序在工作完毕后就结束了,不会常驻在内存中
• dbus：与simple类似,但这个daemon必须要在取得一个D-Bus的名称后,才会继续运作.因此通常也要同时设定BusNname= 才行
• notify：在启动完成后会发送一个通知消息.还需要配合 NotifyAccess 来让Systemd 接收消息
• idle：与simple类似,要执行这个daemon必须要所有的工作都顺利执行完毕后才会执行.这类的daemon通常是开机到最后才执行即可的服务

EnvironmentFile：环境配置文件
ExecStart：指明启动unit要运行命令或脚本的绝对路径
ExecStartPre： ExecStart前运行
ExecStartPost： ExecStart后运行
ExecStop：指明停止unit要运行的命令或脚本
Restart：当设定Restart=1 时,则当次daemon服务意外终止后,会再次自动启动此服务

Install段的常用选项：
• Alias：别名,可使用systemctl command Alias.service
• RequiredBy：被哪些units所依赖,强依赖
• WantedBy：被哪些units所依赖,弱依赖
• Also：安装本服务的时候还要安装别的相关服务
注意：对于新创建的unit文件,或者修改了的unit文件,要通知systemd重载此配置文件,而后可以选择重启
systemctl daemon-reload

服务Unit文件示例:

vim /etc/systemd/system/bak.service
[Unit]
Description=backup /etc
Requires=atd.service
[Service]
Type=simple
ExecStart=/bin/bash -c “echo /testdir/bak.sh|at now”
[Install]
WantedBy=multi-user.target
systemctl daemon-reload
systemctl start bak

运行级别

target units：
unit配置文件：.target
ls /usr/lib/systemd/system/*.target
systemctl list-unit-files –type target –all
运行级别：
0 ==> runlevel0.target, poweroff.target
1 ==> runlevel1.target, rescue.target
2 ==> runlevel2.target, multi-user.target
3 ==> runlevel3.target, multi-user.target
4 ==> runlevel4.target, multi-user.target
5 ==> runlevel5.target, graphical.target
6 ==> runlevel6.target, reboot.target
查看依赖性：
systemctl list-dependencies graphical.target

级别切换：init N ==> systemctl isolate name.target
systemctl isolate multi-user.target
注：只有/lib/systemd/system/*.target文件中AllowIsolate=yes 才能切换(修改文件需执行systemctl daemon-reload才能生效)
查看target：
runlevel :who -r
systemctl list-units –type target
获取默认运行级别：
/etc/inittab ==> systemctl get-default
修改默认级别：
/etc/inittab ==> systemctl set-default name.target
systemctl set-default multi-user.target
ls –l /etc/systemd/system/default.target

其他命令

切换至紧急救援模式：
systemctl rescue
切换至emergency模式：
systemctl emergency
其它常用命令：
传统命令init,poweroff,halt,reboot都成为
systemctl的软链接
关机：systemctl halt、systemctl poweroff
重启：systemctl reboot
挂起：systemctl suspend
休眠：systemctl hibernate
休眠并挂起：systemctl hybrid-sleep

内核编译

单内核体系设计、但充分借鉴了微内核设计体系的优点,为内核引入模块化机制
内核组成部分：
kernel: 内核核心,一般为bzImage,通常在/boot目录下,名称为vmlinuzVERSION-RELEASE
kernel object: 内核对象,一般放置于
/lib/modules/VERSION-RELEASE/

\[]:N

\[M]:M

\[*]:Y

辅助文件：

1
2
3

ramdisk
initrd
initramfs

内核版本

运行中的内核：
uname命令：
uname - print system information
uname [OPTION]…
-n: 显示节点名称
-r: 显示VERSION-RELEASE
-a:显示所有信息

内核模块命令

lsmod命令：
显示由核心已经装载的内核模块
显示的内容来自于: /proc/modules文件
modinfo命令：
显示模块的详细描述信息
modinfo [ -k kernel ][ modulename|filename… ]
-n: 只显示模块文件路径
-p: 显示模块参数
-a: author
-d: description
-l: license
lsmod |grep xfs:modinfo xfs

内核模块管理

modprobe命令：
装载或卸载内核模块
modprobe [ -C config-file ][ modulename ][ module parame-ters… ]

配置文件：/etc/modprobe.conf, /etc/modprobe.d/*.conf

modprobe [ -r ] modulename…

depmod命令：
内核模块依赖关系文件及系统信息映射文件的生成工具
装载或卸载内核模块：
insmod命令：指定模块文件,不自动解决依赖模块
insmod [ filename ][ module options… ]
insmod `modinfo –n exportfs`
lnsmod `modinfo –n xfs`
rmmod命令：卸载模块
rmmod [ modulename ]
rmmod xfs
rmmod exportfs

编译内核

前提：
(1) 准备好开发环境
(2) 获取目标主机上硬件设备的相关信息
(3) 获取目标主机系统功能的相关信息
例如:需要启用相应的文件系统
(4) 获取内核源代码包
www.kernel.org

开发环境准备

包组(CentOS 6)：
Server Platform Development
Development Tools
目标主机硬件设备相关信息：
CPU：
cat /proc/cpuinfo
x86info -a
lscpu

硬件设备

PCI设备：
lspci
-v
-vv
lsusb
-v
-vv
lsblk 块设备
了解全部硬件设备信息
hal-device:CentOS6

内核编译安装系统

安装开发包组
下载源码文件
.config：准备文本配置文件
make menuconfig：配置内核选项
make [-j #]
make modules_install：安装模块
make install ：安装内核相关文件
安装bzImage为/boot/vmlinuz-VERSION-RELEASE
生成initramfs文件
编辑grub的配置文件

编译安装内核示例

tar xf linux-3.10.67.tar.xz -C /usr/src
cd /usr/src
ln -sv linux-3.10.67 linux
cd /usr/src/linux
cp /boot/config-$(uname -r) ./.config
make help
make menuconfig
make -j 2
make modules_install
make install
reboot

编译内核

(1) 配置内核选项
支持”更新”模式进行配置：make help
(a) make config：基于命令行以遍历的方式配置内核中可配置的每个选项
(b) make menuconfig：基于curses的文本窗口界面
(c) make gconfig：基于GTK (GNOME）环境窗口界面
(d) make xconfig：基于QT(KDE)环境的窗口界面
支持”全新配置”模式进行配置
(a) make defconfig：基于内核为目标平台提供的”默认”配置进行配置
(b) make allyesconfig: 所有选项均回答为”yes”
(c) make allnoconfig: 所有选项均回答为”no”

(2) 编译
全编译:make [-j #]
编译内核的一部分功能：
(a) 只编译某子目录中的相关代码
cd /usr/src/linux
make dir/
(b) 只编译一个特定的模块
cd /usr/src/linux
make dir/file.ko
例如：只为e1000编译驱动：
make drivers/net/ethernet/intel/e1000/e1000.ko

如何交叉编译内核：
编译的目标平台与当前平台不相同
make ARCH=arch_name
要获取特定目标平台的使用帮助
make ARCH=arch_name help
make ARCH=arm help

内核编译

在已经执行过编译操作的内核源码树做重新编译
需要事先清理操作：
make clean：清理大多数编译生成的文件,但会保留config文件等
make mrproper: 清理所有编译生成的文件、config及某些备份文件
make distclean：mrproper、patches以及编辑器备份文件

卸载内核

删除/lib/modules/目录下不需要的内核库文件
删除/usr/src/linux/目录下不需要的内核源码
删除/boot目录下启动的内核和内核映像文件
更改grub的配置文件,删除不需要的内核启动列表

SSH

ssh: secure shell, protocol, 22/tcp, 安全的远程登录
具体的软件实现:
OpenSSH: ssh协议的开源实现,CentOS默认安装
dropbear:另一个开源实现
SSH协议版本
v1: 基于CRC-32做MAC,不安全；man-in-middle
v2:双方主机协议选择安全的MAC方式
基于DH算法做密钥交换,基于RSA或DSA实现身份认证
两种方式的用户登录认证:
基于password
基于key

Openssh 软件组成

OpenSSH介绍
相关包:
openssh
openssh-clients
openssh-server
工具:
基于C/S结构
Client: ssh, scp, sftp,slogin
Windows客户端:
xshell, putty, securecrt, sshsecureshellclient
Server: sshd

ssh客户端

客户端组件:
ssh, 配置文件:/etc/ssh/ssh_config
Host PATTERN
StrictHostKeyChecking no 首次登录不显示检查提示
格式:ssh [user@]host [COMMAND]
ssh [-l user] host [COMMAND]
常见选项
-p port:远程服务器监听的端口
-b:指定连接的源IP
-v:调试模式
-C:压缩方式
-X:支持x11转发
-t:强制伪tty分配
ssh -t remoteserver1 ssh remoteserver2

允许实现对远程系统经验证地加密安全访问
当用户远程连接ssh服务器时,会复制ssh服务器/etc/ssh/ssh_host*key.pub (CentOS7默认是ssh_host_ecdsa_key.pub)文件中的公钥到客户机的~./ssh/know_hosts中.下次连接时,会自动匹配相应私钥,不能匹配,将拒绝连接

ssh服务登录验证

ssh服务登录验证方式:
用户/口令
基于密钥
基于用户和口令登录验证
1 客户端发起ssh请求,服务器会把自己的公钥发送给用户
2 用户会根据服务器发来的公钥对密码进行加密
3 加密后的信息回传给服务器,服务器用自己的私钥解密,如果密码正确,则用户登录成功

图解基于用户口令登录验证

基于密钥的登录方式

1 首先在客户端生成一对密钥(ssh-keygen)
2 并将客户端的公钥ssh-copy-id 拷贝到服务端
3 当客户端再次发送一个连接请求,包括ip、用户名
4 服务端得到客户端的请求后,会到authorized_keys中查找,如果有响应的IP和用户,就会随机生成一个字符串,例如:acdf
5 服务端将使用客户端拷贝过来的公钥进行加密,然后发送给客户端
6 得到服务端发来的消息后,客户端会使用私钥进行解密,然后将解密后的字符串发送给服务端
7服务端接受到客户端发来的字符串后,跟之前的字符串进行对比,如果一致,就允许免密码登录

图解基于密钥的登录方式

基于key认证

基于密钥的认证:

(1) 在客户端生成密钥对

ssh-keygen -t rsa [-P '']\[-f “~/.ssh/id_rsa"]

(2) 把公钥文件传输至远程服务器对应用户的家目录

ssh-copy-id [-i [identity_file]]\[user@]host

(3) 测试

(4) 在SecureCRT或Xshell实现基于key验证:

在SecureCRT工具—>创建公钥—>生成Identity.pub文件转化为openssh兼容格式(适合SecureCRT,Xshell不需要转化格式),并复制到需登录主机上相应文件authorized_keys中,注意权限必须为600,在需登录的ssh

主机上执行:

ssh-keygen -i -f Identity.pub >> .ssh/authorized_keys

(5)重设私钥口令:

ssh-keygen –p

(6)验证代理(authentication agent)保密解密后的密钥

• 这样口令就只需要输入一次
• 在GNOME中,代理被自动提供给root用户
• 否则运行ssh-agent bash

(7)钥匙通过命令添加给代理

ssh-add

scp命令

scp [options] SRC… DEST/
两种方式:
scp [options][user@]host:/sourcefile /destpath
scp [options] /sourcefile [user@]host:/destpath
常用选项:
-C 压缩数据流
-r 递归复制
-p 保持原文件的属性信息
-q 静默模式
-P PORT 指明remote host的监听的端口

rsync命令

基于ssh和rsh服务实现高效率的远程系统之间复制文件(增量更新)
使用安全的shell连接做为传输方式
• rsync –av /etc server1:/tmp 复制目录和目录下文件
• rsync –av /etc/ server1:/tmp 只复制目录下文件
比scp更快,只复制不同的文件
选项:
-n 模拟复制过程
-v 显示详细过程
-r 递归复制目录树
-p 保留权限
-t 保留时间戳
-g 保留组信息
-o 保留所有者信息
-l 将软链接文件本身进行复制(默认)
-L 将软链接文件指向的文件复制
-a 存档,相当于–rlptgoD,但不保留ACL(-A)和SELinux属性(-X)

sftp命令

交互式文件传输工具
用法和传统的ftp工具相似
利用ssh服务实现安全的文件上传和下载
使用ls cd mkdir rmdir pwd get put等指令,可用？或help获取帮助信息
sftp [user@]host
sftp> help

pssh工具

pssh是一个python编写可以在多台服务器上执行命令的工具,也可实现文件复制
选项如下:
–version:查看版本
-h:主机文件列表,内容格式”[user@]host[:port]”
-H:主机字符串,内容格式”[user@]host[:port]”
-A:手动输入密码模式
-i:每个服务器内部处理信息输出
-l:登录使用的用户名
-p:并发的线程数【可选】
-o:输出的文件目录【可选】
-e:错误输入文件【可选】
-t:TIMEOUT 超时时间设置,0无限制【可选】
-O:SSH的选项
-P:打印出服务器返回信息
-v:详细模式

pssh示例

通过pssh批量关闭seLinux

pssh -H root@192.168.1.10 -i “sed -i “s/SELINUX=enforcing/SELINUX=disabled/“ /etc/selinux/config”

批量发送指令:
pssh -H root@192.168.1.10 -i setenforce 0
pssh -H xuewb@192.168.1.10 -i hostname
当不支持ssh的key认证时,通过 -A选项,使用密码认证批量执行指令
pssh -H xuewb@192.168.1.10 -A -i hostname
将标准错误和标准正确重定向都保存至/app目录下
pssh -H 192.168.1.10 -o /app -e /app -i “hostname”

PSCP.PSSH

pscp.pssh功能是将本地文件批量复制到远程主机
pscp [-vAr][-h hosts_file] [-H [user@]host[:port]][-l user] [-p par][-o outdir] [-e errdir][-t timeout] [-O options][-x args] [-X arg] local remote

Pscp-pssh选项
-v 显示复制过程
-r 递归复制目录
将本地curl.sh 复制到/app/目录
pscp.pssh -H 192.168.1.10 /root/test/curl.sh /app/
pscp.pssh -h host.txt /root/test/curl.sh /app/
将本地多个文件批量复制到/app/目录
pscp.pssh -H 192.168.1.10 /root/f1.sh /root/f2.sh /app/
将本地目录批量复制到/app/目录
pscp.pssh -H 192.168.1.10 -r /root/test/ /app/

PSLURP

pslurp功能是将远程主机的文件批量复制到本地
pslurp [-vAr][-h hosts_file] [-H [user@]host[:port]][-l user] [-p par][-o outdir] [-e errdir][-t timeout][-O options][-x args][-X arg][-L localdir]

remote local(本地名)
Pslurp选项
-L 指定从远程主机下载到本机的存储的目录,local是下载到本地后的名称
-r 递归复制目录
批量下载目标服务器的passwd文件至/app下,并更名为user
pslurp -H 192.168.1.10 -L /app/ /etc/passwd user

SSH端口转发

本地转发:

-L localport:remotehost:remotehostport sshserver

选项:
-f 后台启用
-N 不打开远程shell,处于等待状态
-g 启用网关功能
示例
ssh –L 9527:telnetsrv:23 -N sshsrv
telnet 127.0.0.1 9527
当访问本机的9527的端口时,被加密后转发到sshsrv的ssh服务,再解密被转发到telnetsrv:23
data <- -> localhost:9527 <- -> localhost:XXXXX <- -> sshsrv:22 <- -> sshsrv:YYYYY <- -> telnetsrv:23

远程转发:

-R sshserverport:remotehost:remotehostport sshserver

示例:
ssh –R 9527:telnetsrv:23 –N sshsrv
让sshsrv侦听9527端口的访问,如有访问,就加密后通过ssh服务转发请求到本机ssh客户端,再由本机解密后转发到telnetsrv:23
Data <- -> sshsrv:9527 <- -> sshsrv:22 <- -> localhost:XXXXX <- -> localhost:YYYYY <- -> telnetsrv:23

动态端口转发:

当用firefox访问internet时,本机的1080端口做为代理服务器,firefox的访问请求被转发到sshserver上,由sshserver替之访问internet
ssh -D 1080 root@sshserver
在本机firefox设置代理socket proxy:127.0.0.1:1080
curl –socks5 127.0.0.1:1080 http://www.qq.com

X 协议转发

所有图形化应用程序都是X客户程序
• 能够通过tcp/ip连接远程X服务器
• 数据没有加密机,但是它通过ssh连接隧道安全进行
ssh -X user@remotehost gedit
remotehost主机上的gedit工具,将会显示在本机的X服务器上传输的数据将通过ssh连接加密

ssh服务器

服务器端:sshd, 配置文件: /etc/ssh/sshd_config
常用参数:
Port
ListenAddress ip
LoginGraceTime 2m
PermitRootLogin yes
StrictModes yes 检查.ssh/文件的所有者,权限等
MaxAuthTries 6
MaxSessions 10 同一个连接最大会话
PubkeyAuthentication yes
PermitEmptyPasswords no
PasswordAuthentication yes

GatewayPorts no

ClientAliveInterval:单位:秒

ClientAliveCountMax:默认3

UseDNS yes

GSSAPIAuthentication yes 提高速度可改为no

MaxStartups 未认证连接最大值,默认值10

Banner /path/file

限制可登录用户的办法:

    AllowUsers user1 user2 user3

        DenyUsers

        AllowGroups

        DenyGroups    

ssh服务的最佳实践

建议使用非默认端口
禁止使用protocol version 1
限制可登录用户
设定空闲会话超时时长
利用防火墙设置ssh访问策略
仅监听特定的IP地址
基于口令认证时,使用强密码策略
tr -dc A-Za-z0-9_ < /dev/urandom | head -c 30| xargs
使用基于密钥的认证
禁止使用空密码
禁止root用户直接登录
限制ssh的访问频度和并发在线数
经常分析日志

编译安装dropbear示例

ssh协议的另一个实现:dropbear
源码编译安装:
• 1、安装开发包组:yum groupinstall “Development tools”
• 2、下载dropbear-2017.75.tar.bz2
• 3、tar xf dropbear-2017.75.tar.bz2
• 4、less INSTALL README
• 5、./configure
• 6、make PROGRAMS=”dropbear dbclient dropbearkey dropbearconvert scp”
• 7、make PROGRAMS=”dropbear dbclient dropbearkey dropbearconvert scp” install

启动ssh服务:
• 8、ls /usr/local/sbin/ /usr/local/bin/
• 9、/usr/local/sbin/dropbear -h
• 10、mkdir /etc/dropbear
• 11、dropbearkey -t rsa -f /etc/dropbear/dropbear_rsa_host_key -s 2048
• 12、dropbearkey -t dss -f /etc/dropbear/dropbear_dsa_host_key
• 13、运行dropbear:

1
2

dropbear -p :2222 -F –E 	#前台运行
dropbear -p :2222 		#后台运行

客户端访问:
• 14、ssh -p 2222 root@127.0.0.1
• 15、dbclient -p 2222 root@127.0.0.1

CA和证书

PKI: Public Key Infrastructure
签证机构:CA(Certificate Authority)
注册机构:RA
证书吊销列表:CRL
证书存取库:
X.509:定义了证书的结构以及认证协议标准
版本号

序列号

签名算法

颁发者

有效期限

主体名称

主体公钥

CRL分发点

扩展信息

发行者签名

证书获取

证书类型:
证书授权机构的证书
服务器
用户证书
获取证书两种方法:
• 使用证书授权机构
生成签名请求(csr)
将csr发送给CA
从CA处接收签名
• 自签名的证书
自已签发自己的公钥

安全协议

SSL: Secure Socket Layer,TLS: Transport Layer Security
1995:SSL 2.0 Netscape
1996: SSL 3.0
1999: TLS 1.0
2006: TLS 1.1 IETF(Internet工程任务组) RFC 4346
2008:TLS 1.2 当前使用
2015: TLS 1.3
功能:机密性,认证,完整性,重放保护
两阶段协议,分为握手阶段和应用阶段
握手阶段(协商阶段):客户端和服务器端认证对方身份(依赖于PKI体系,利用数字证书进行身份认证),并协商通信中使用的安全参数、密码套件以及主密钥.后续通信使用的所有密钥都是通过MasterSecret生成.
应用阶段:在握手阶段完成后进入,在应用阶段通信双方使用握手阶段协商好的密钥进行安全通信

SSL/TLS图解

SSL/TLS

Handshake协议:包括协商安全参数和密码套件、服务器身份认证(客户端身份认证可选)、密钥交换
ChangeCipherSpec 协议:一条消息表明握手协议已经完成
Alert 协议:对握手协议中一些异常的错误提醒,分为fatal和warning两个级别,fatal类型错误会直接中断SSL链接,而Warning级别的错误SSL链接仍可继续,只是会给出错误警告
Record 协议:包括对消息的分段、压缩、消息认证和完整性保护、加密等
HTTPS 协议:就是“HTTP 协议”和“SSL/TLS 协议”的组合.HTTP over SSL”或“HTTP over TLS”,对http协议的文本数据进行加密处理后,成为二进制形式传输

HTTPS结构

HTTPS工作过程

OpenSSL

OpenSSL:开源项目
三个组件:
openssl: 多用途的命令行工具,包openssl
libcrypto: 加密算法库,包openssl-libs
libssl:加密模块应用库,实现了ssl及tls,包nss
openssl命令:
两种运行模式:交互模式和批处理模式
openssl version:程序版本号
标准命令、消息摘要命令、加密命令
标准命令:
enc, ca, req, …

openssl命令

对称加密:
工具:openssl enc, gpg
算法:3des, aes, blowfish, twofish
enc命令:
帮助:man enc
加密:
openssl enc -e -des3 -a -salt -in testfile -out testfile.cipher
解密:
openssl enc -d -des3 -a -salt –in testfile.cipher
-out testfile
openssl ?

单向加密:
工具:md5sum, sha1sum, sha224sum,sha256sum… openssl dgst
dgst命令:
帮助:man dgst
openssl dgst -md5 [-hex默认] /PATH/SOMEFILE
openssl dgst -md5 testfile
md5sum /PATH/TO/SOMEFILE
MAC:

Message Authentication Code,单向加密的一种延伸应用,用于实现网络通信中保证所传输数据的完整性机制
CBC-MAC
HMAC:使用md5或sha1算法

生成用户密码:
passwd命令:
帮助:man sslpasswd
openssl passwd -1 -salt SALT(最多8位)
openssl passwd -1 –salt centos
生成随机数:
帮助:man sslrand
openssl rand -base64|-hex NUM
NUM: 表示字节数；-hex时,每个字符为十六进制,相当于4位二进制,出现的字符数为NUM*2

公钥加密:
算法:RSA, ELGamal
工具:gpg, openssl rsautl(man rsautl)
数字签名:
算法:RSA, DSA, ELGamal
密钥交换:
算法:dh
DSA: Digital Signature Algorithm
DSS:Digital Signature Standard
RSA:

生成密钥对:

​ man genrsa

生成私钥:
openssl genrsa -out /PATH/TO/PRIVATEKEY.FILE NUM_BITS
(umask 077; openssl genrsa –out test.key –des 2048)
openssl rsa -in test.key –out test2.key 将加密key解密
从私钥中提取出公钥
openssl rsa -in PRIVATEKEYFILE –pubout –out PUBLICKEYFILE
openssl rsa –in test.key –pubout –out test.key.pub
随机数生成器:伪随机数字
键盘和鼠标,块设备中断
/dev/random:仅从熵池返回随机数；随机数用尽,阻塞
/dev/urandom:从熵池返回随机数；随机数用尽,会利用软件生成伪随机数,非阻塞

OpenSSL 的几个简单使用

PKI:Public Key Infrastructure
CA
RA
CRL
证书存取库
建立私有CA:
OpenCA
openssl
证书申请及签署步骤:
1、生成申请请求
2、RA核验
3、CA签署
4、获取证书

创建CA和申请证书

创建私有CA:
openssl的配置文件:/etc/pki/tls/openssl.cnf
三种策略:匹配、支持和可选
匹配指要求申请填写的信息跟CA设置信息必须一致,支持指必须填写这项申请信息,可选指可有可无

1.创建所需要的文件

1
2

touch /etc/pki/CA/index.txt 生成证书索引数据库文件
echo 01 > /etc/pki/CA/serial 指定第一个颁发证书的序列号

2.CA自签证书

生成私钥
cd /etc/pki/CA/
(umask 066; openssl genrsa -out etc/pki/CA/private/cakey.pem 2048)

生成自签名证书
openssl req -new -x509 –key
/etc/pki/CA/private/cakey.pem -days 7300 -out
/etc/pki/CA/cacert.pem
-new: 生成新证书签署请求
-x509: 专用于CA生成自签证书
-key: 生成请求时用到的私钥文件
-days n: 证书的有效期限
-out /PATH/TO/SOMECERTFILE: 证书的保存路径

3.颁发证书

在需要使用证书的主机生成证书请求
给web服务器生成私钥
(umask 066; openssl genrsa -out /etc/pki/tls/private/test.key 2048)
生成证书申请文件
openssl req -new -key /etc/pki/tls/private/test.key -days 365 -out etc/pki/tls/test.csr
将证书请求文件传输给CA
CA签署证书,并将证书颁发给请求者
openssl ca -in /tmp/test.csr –out
/etc/pki/CA/certs/test.crt -days 365
注意:默认国家,省,公司名称三项必须和CA一致

查看证书中的信息:
openssl x509 -in /PATH/FROM/CERT_FILE -noout - text|issuer|subject|serial|dates
openssl ca -status SERIAL 查看指定编号的证书状态

4.吊销证书

在客户端获取要吊销的证书的serial
openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial - subject
在CA上,根据客户提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致,
吊销证书:
openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem
指定第一个吊销证书的编号,注意:第一次更新证书吊销列表前,才需要执行
echo 01 > /etc/pki/CA/crlnumber
更新证书吊销列表
openssl ca -gencrl -out /etc/pki/CA/crl.pem
查看crl文件:
openssl crl -in /etc/pki/CA/crl.pem -noout -text

关于安全,首先要介绍以下墨菲定律:

墨菲定律:一种心理学效应,是由爱德华·墨菲(Edward A. Murphy)提出的,原话:如果有两种或两种以上的方式去做某件事情,而其中一种选择方式将导致灾难,则必定有人会做出这种选择
主要内容:
任何事都没有表面看起来那么简单
所有的事都会比你预计的时间长
会出错的事总会出错
如果你担心某种情况发生,那么它就更有可能发生

安全机制

信息安全防护的目标
保密性 Confidentiality
完整性 Integrity
可用性 Usability
可控制性 Controlability
不可否认性 Non-repudiation
安全防护环节
物理安全:各种设备/主机、机房环境
系统安全:主机或设备的操作系统
应用安全:各种网络服务、应用程序
网络安全:对网络访问的控制、防火墙规则
数据安全:信息的备份与恢复、加密解密
管理安全:各种保障性的规范、流程、方法

安全

安全攻击: STRIDE
Spoofing 假冒
Tampering 篡改
Repudiation 否认
Information Disclosure 信息泄漏
Denial of Service 拒绝服务
Elevation of Privilege 提升权限

安全设计基本原则

使用成熟的安全系统
以小人之心度输入数据
外部系统是不安全的
最小授权
减少外部接口
缺省使用安全模式
安全不是似是而非
从STRIDE思考
在入口处检查
从管理上保护好你的系统

安全算法

常用安全技术
认证
授权
审计
安全通信
密码算法和协议
对称加密
公钥加密
单向加密
认证协议

对称加密算法

对称加密:加密和解密使用同一个密钥
DES:Data Encryption Standard,56bits
3DES:
AES:Advanced (128, 192, 256bits)
Blowfish,Twofish
IDEA,RC6,CAST5
特性:
1、加密、解密使用同一个密钥,效率高
2、将原始数据分割成固定大小的块,逐个进行加密
缺陷:
1、密钥过多
2、密钥分发
3、数据来源无法确认

非对称加密算法

公钥加密:密钥是成对出现
公钥:公开给所有人；public key
私钥:自己留存,必须保证其私密性；secret key
特点:用公钥加密数据,只能使用与之配对的私钥解密；反之亦然
功能:
数字签名:主要在于让接收方确认发送方身份
对称密钥交换:发送方用对方的公钥加密一个对称密钥后发送给对方
数据加密:适合加密较小数据
缺点:密钥长,加密解密效率低下
算法:
RSA(加密,数字签名)
DSA(数字签名)
ELGamal

非对称加密实现

基于一对公钥/密钥对
• 用密钥对中的一个加密,另一个解密
实现加密:
• 接收者
生成公钥/密钥对:P和S
公开公钥P,保密密钥S
• 发送者
使用接收者的公钥来加密消息M
将P(M)发送给接收者
• 接收者
使用密钥S来解密:M=S(P(M))

实现数字签名:
• 发送者
生成公钥/密钥对:P和S
公开公钥P,保密密钥S
使用密钥S来加密消息M
发送给接收者S(M)
• 接收者
使用发送者的公钥来解密M=P(S(M))
结合签名和加密
分离签名

单向散列

将任意数据缩小成固定大小的“指纹”
• 任意长度输入
• 固定长度输出
• 若修改数据,指纹也会改变(“不会产生冲突”)
• 无法从指纹中重新生成数据(“单向”)
功能:数据完整性
常见算法
md5: 128bits、sha1: 160bits、sha224、sha256、sha384、sha512
常用工具
• md5sum | sha1sum [ –check ] file
• openssl、gpg
• rpm -V

数字签名

密钥交换

密钥交换:IKE( Internet Key Exchange )

公钥加密: DH (Deffie-Hellman):生成会话密钥,由惠特菲尔德·迪菲(Bailey Whitfield Diffie)和马丁·赫尔曼(Martin Edward Hellman)在1976年发表 参看:https://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange

DH:

A: g,p 协商生成公开的整数g, 大素数p

B: g,p

A:生成隐私数据:a (a < p),计算得出g^a%p,发送给B

B:生成隐私数据:b,计算得出 g^b%p, 发送给A

A:计算得出[(g^b%p)^a]%p=g^ab%p,生成为密钥

B:计算得出[(g^a%p)^b]%p=g^ab%p,生成为密钥

应用程序: RPM

文件完整性的两种实施方式
被安装的文件
• MD5单向散列
• rpm –verify package_name (or -V)
发行的软件包文件
• GPG公钥签名
• rpm –import /etc/pki/rpm-gpg/RPM-GPG-KEY-redhat*
• rpm –checksig pakage_file_name (or -K)

使用 gpg 实现对称加密

对称加密file文件
gpg -c file
ls file.gpg
在另一台主机上解密file
gpg -o file -d file.gpg

使用 gpg 工具实现公钥加密

在hostB主机上用公钥加密,在hostA主机上解密

在hostA主机上生成公钥/私钥对
gpg –gen-key
在hostA主机上查看公钥
gpg –list-keys
在hostA主机上导出公钥到mark.pubkey
gpg -a –export -o mark.pubkey
从hostA主机上复制公钥文件到需加密的B主机上
scp mark.pubkey hostB:

在需加密数据的hostB主机上生成公钥/私钥对
gpg –list-keys
gpg –gen-key
在hostB主机上导入公钥
gpg –import mark.pubkey
gpg –list-keys
用从hostA主机导入的公钥,加密hostB主机的文件file,生成file.gpg
gpg -e -r mark file
file file.gpg

复制加密文件到hostA主机
scp fstab.gpg hostA:
在hostA主机解密文件
gpg -d file.gpg
gpg -o file -d file.gpg
删除公钥和私钥
gpg –delete-keys mark
gpg –delete-secret-keys mark

中间人攻击

awk控制语句

{ statements;… } 组合语句
if(condition) {statements;…}
if(condition) {statements;…} else {statements;…}
while(conditon) {statments;…}
do {statements;…} while(condition)
for(expr1;expr2;expr3) {statements;…}
break
continue
delete array[index]
delete array
exit

awk控制语句 if-else

语法:if(condition){statement;…}[else statement]
if(condition1){statement1}else if(condition2){statement2}
else{statement3}
使用场景:对awk取得的整行或某个字段做条件判断
例程:

1
2
3
4
5
6
7
8
9

awk -F: '{if($3>=1000)print $1,$3}' /etc/passwd
awk -F: '{if($NF=="/bin/bash") print $1}' /etc/passwd
awk '{if(NF>5) print $0}' /etc/fstab
awk -F: '{if($3>=1000) {printf "Common user: %s\n",$1} else {printf "root or Sysuser: %s\n",$1}}'
/etc/passwd
awk -F: '{if($3>=1000) printf "Common user: %s\n",$1; else printf "root or Sysuser: %s\n",$1}'
/etc/passwd
df -h|awk -F% '/^\/dev/{print $1}'|awk '$NF>=80{print $1,$5}‘
awk 'BEGIN{ test=100;if(test>90){print "very good“}else if(test>60){ print "good"}else{print "no pass"}}'

awk控制语句 while

while循环
语法:while(condition){statement;…}
条件“真”,进入循环；条件“假”,退出循环
使用场景:
对一行内的多个字段逐一类似处理时使用
对数组中的各元素逐一处理时使用
示例:

1
2
3
4

awk '/^[[:space:]]*linux16/{i=1;while(i<=NF)
{print $i,length($i); i++}}' /etc/grub2.cfg
awk ‘/^[[:space:]]*linux16/{i=1;while(i<=NF) {if(length($i)>=10) {print
$i,length($i)}; i++}}’ /etc/grub2.cfg

awk控制语句 do-while

do-while循环
语法:do {statement;…}while(condition)
意义:无论真假,至少执行一次循环体

例程:

1

awk 'BEGIN{ total=0;i=0;do{ total+=i;i++;}while(i<=100);print total}’

for循环
语法:for(expr1;expr2;expr3) {statement;…}
常见用法:
for(variable assignment;condition;iteration process)
{for-body}
特殊用法:能够遍历数组中的元素
语法:for(var in array) {for-body}

例程:

1
2

awk '/^[[:space:]]*linux16/{for(i=1;i<=NF;i++) {print $i,length($i)}}'
/etc/grub2.cfg

awk控制语句 switch

语法:switch(expression) {case VALUE1 or /REGEXP/: statement1; case
VALUE2 or /REGEXP2/: statement2; …; default: statementn}

break和continue
• awk ‘BEGIN{sum=0;for(i=1;i<=100;i++)
{if(i%2==0)continue;sum+=i}print sum}‘
• awk ‘BEGIN{sum=0;for(i=1;i<=100;i++)
{if(i==66)break;sum+=i}print sum}‘

awk控制语句 break continue

break [n]
continue [n]
next:
提前结束对本行处理而直接进入下一行处理(awk自身循环)
awk -F: ‘{if($3%2!=0) next; print $1,$3}’ /etc/passwd

性能比较

1
2
3
4

time (awk 'BEGIN{ total=0;for(i=0;i<=10000;i++){total+=i;};print total;}')
time(total=0;for i in {1..10000};do total=$(($total+i));done;echo $total)
time(for ((i=0;i<=10000;i++));do let total+=i;done;echo $total)
time(seq –s ”+” 10000|bc)

awk数组

关联数组:array[index-expression]
index-expression:
• (1) 可使用任意字符串；字符串要使用双引号括起来
• (2) 如果某数组元素事先不存在,在引用时,awk会自动创建此元素,并将其值
初始化为“空串”
• 若要判断数组中是否存在某元素,要使用“index in array”格式进行遍历

例程:

1
2
3
4
5

weekdays[“mon”]="Monday“
awk 'BEGIN{weekdays["mon"]="Monday";
weekdays["tue"]="Tuesday";print weekdays["mon"]}‘
awk ‘!arr[$0]++’ dupfile
awk '{!arr[$0]++;print $0, arr[$0]}' dupfile

若要遍历数组中的每个元素,要使用for循环
for(var in array) {for-body}
注意:var会遍历array的每个索引

例程:

1
2
3
4
5

awk 'BEGIN{weekdays["mon"]="Monday";weekdays["tue"]
="Tuesday";for(i in weekdays) {print weekdays[i]}}‘
netstat -tan | awk '/^tcp/{state[$NF]++}END
{for(i in state) { print i,state[i]}}'
awk '{ip[$1]++}END{for(i in ip) {print i,ip[i]}}' /var/log/httpd/access_log

awk函数

数值处理:
rand():返回0和1之间一个随机数
awk ‘BEGIN{srand(); for (i=1;i<=10;i++)print int(rand()*100) }’
字符串处理:
• length([s]):返回指定字符串的长度
• sub(r,s,[t]):对t字符串进行搜索r表示的模式匹配的内容,并将第一个匹配的内容替换为s
echo “2008:08:08 08:08:08” | awk ‘sub(/:/,“-“,$1)’
• gsub(r,s,[t]):对t字符串进行搜索r表示的模式匹配的内容,并全部替换为s所表示的内容
echo “2008:08:08 08:08:08” | awk ‘gsub(/:/,“-“,$0)’
• split(s,array,[r]):以r为分隔符,切割字符串s,并将切割后的结果保存至array所表示的数组中,
第一个索引值为1,第二个索引值为2,…
netstat -tan | awk ‘/^tcp>/{split($5,ip,”:”);count[ip[1]]++}
END{for (i in count) {print i,count[i]}}’

自定义函数

格式:
function name ( parameter, parameter, … ) {
statements
return expression
}
示例:
cat fun.awk
function max(v1,v2) {
v1>v2?var=v1:var=v2
return var
}
BEGIN{a=3;b=2;print max(a,b)}
awk –f fun.awk

awk中调用shell命令

system命令
空格是awk中的字符串连接符,如果system中需要使用awk中的变量可以使用
空格分隔,或者说除了awk的变量外其他一律用””引用起来.
awk BEGIN’{system(“hostname”) }’
awk ‘BEGIN{score=100; system(“echo your score is “ score) }

awk脚本

将awk程序写成脚本,直接调用或执行
示例:

1
2
3
4
5
6
7
8
9
10

cat f1.awk
	{if($3>=1000)print $1,$3}
awk -F: -f f1.awk /etc/passwd

cat f2.awk
	#!/bin/awk –f
	#this is a awk script
	{if($3>=1000)print $1,$3}
chmod +x f2.awk
f2.awk –F: /etc/passwd

向awk脚本传递参数

格式:
awkfile var=value var2=value2… Inputfile
注意:在BEGIN过程中不可用.直到首行输入完成以后,变量才可用.可以通过-v 参数,让awk在执行BEGIN之前得到变量的值.命令行中每一个指定的变量都需要一个-v参数
示例:
cat test.awk
#!/bin/awk –f
{if($3 >=min && $3<=max)print $1,$3}
chmod +x test.awk
test.awk -F: min=100 max=200 /etc/passwd