RHEL3复习点和RHEL4知识点补充(以RHEL4为基础)
补充部分是参考JACKSON兄和SUDDENLY5171兄的总结大作!链接在此:
http://www.linuxsir.org/bbs/showthread.php?t=200208
===========[ TROUBLESHOOTING ]=================
1.各重要命令与文件的RPM包出处表。(RHEL4版)
2.Troubleshooting 补充:
1. MBR损坏。 实验可以将头446字节mess up掉,然后练习修复。( 注:请不要在自己的机子上实验这个!!!后果自负!!!)
然后rescue修复。主引导扇区一共512字节,剩下的是分区表。我曾经把分区表都删过,修复方法似乎只有一个,就是你得记得你上次分区的大小和次序,重新分区,不格式化!!还能找回原来的东西。
2. 补充几个出错信息:
1.当/etc/passwd丢失时,将会看到大量的服务无法启动,因为大多数的服务都有自己的UID。可以看到LOGIN 界面,但无法LOGIN。从RESCUE模式修复,但是无法完全修复,因为许多UID是服务器安装时加入的,最初的/etc/passwd并没有那些UID。
2.当ifup, ifdown丢失时,将给出execvp错误,方法是进RESCUE, 重装initscripts包。
3.QUOTA
改变quota的宽限时限。
4.LVM,RAID (这个在RHEL4中有很大的改动!)
e2fsadm命令取消,改为ext2online. 只能无损增加,无法减少。有个ext2resize命令,但RHEL4缺省没有安装,而且不再binary包中,要自己从src中编译。
增加的方法是:
无须卸载文件系统。
RAIDTOOLS包被取消,改为mdadm. 创建方法为:
这里的例子是创建一个RAID5,所以-l5,要创建其他形式的RAID,参见mdadm的manpage. -v表示verbose mode.
创建mdadm.conf文件:
编辑/etc/mdadm.conf文件,将device行改为以space分割,也就是说将=,和“,”都去掉,变为space。因为如果直接使用,重启后会报语法错误。
管理RAID:
============[ Installation and Configuration ] =========
5.Apache
RHEL4中Apache加了mysql和ldap模块。其中如果mysql模块被选中安装后将自动生效,也就是说apache将以mysql为backend数据库进行授权的管理,.htaccess的功能被替代,而不能生效。
6.Samba
补充几个有用的samba命令。
#从samba服务器上备份共享下的目录。
#从备份的机器上还原备份。
#Login samba服务器
#List
#check if a host/ip has access to a samba server.
#smbpasswd
7.POP3, POP3S, IMAP, IMAPS
In RHEL4, dovecot提供了这些服务,具体配置:
编辑/etc/dovecot.conf文件,在protocals=一行,加入你需要的(或是考试要求的服务)。缺省的ports:
imap: 143
imaps: 993
pop3: 110
pop3s: 995
ssl_cert_file and ssl_key_file,可以看到dovecot是拿什么文件来做ssl认证的,可以自己创建新的pem文件。
我将disable_plaintext_auth 配置为 no
我将auth_mechanisms配置为plain.
auth_userdb=passwd. 也就是说缺省为所有local user 都能登录。
在auth_passdb=pam项后可增加对pop3配置文件。(缺省没有,要自己建立)
/etc/pam.d/pop3文件内容如:
我用了pam_listfile.so模块,当然也可以用pam_access.so模块来限定。
这些服务也可以由inetd和xinetd来守护,具体做法请看:
http://wiki.dovecot.org/moin.cgi/InetdInstall
测试: telnet host 110
然后输入: user username
pass password
如果LOGIN成功,会有提示。
8.各种服务的user base和host base 安全配置补充:
NIS: 可以实现userbase和hostbase,方法:
userbase - 在/etc/pam.d/system-auth中加入:
然后在nis.deny文件中加入你要block的用户,一行一个。
Hostbase - 将securenets文件由/usr/share/doc/ypserv-2.13考到/var/yp目录下,编辑。格式为: netmask network
portmap: 得用iptables或tcp_wrapper做hostbase, userbase应该是没有了。
NFS: Don't use “no_root_squash”. Use root_squash or all_squash.
Telnet: hosts.deny和hosts.allow做hostbase。或用xinetd做superserver控制。RHEL4上的telnet无法配合pam_access.so做userbase控制,怀疑是没有将pam编译进去?!
Apache: 如果要做userdir, 可以在httpd.conf中加入directives:
user_list 是space 分隔的用户列表,控制哪些用户可以有自己的userdir,哪些不行。
FTP: upload的目录chmod为730,也就是说可以上传,不能浏览目录。
samba: RHEL4中samba除了可以用smb.conf和hosts.allow, hosts.deny只外,还可以用pam。
squid: RHEL4中squid已经可以通过pam做userbase级控制了。
sshd: RHEL4中还可以用pam来做userbase控制。
另外增加su和sudo的userbase级配置方法:
如果只要root和wheel组的成员才能su或是sudo, 在各自的pam文件中加入:
#root 永远都能。
#检查用户是不是在wheel组中。
#检查其他要求。
不过sudo我还是更偏向于在sudoers中配置。
9.GPG
#生成密匙
#显示密匙,公匙,私匙
#以ascii形式dump出公匙,私匙。
#导入key.file
# 加密生成signaure和公匙加密的文件。
#加密生成没有signaure的加密文件。
#加密生成signaure和symmetric形式的加密文件。
#加密生成没有signaure的symmetric加密文件。
#加密生成sig式的detachable文件。
#解密文件
#复核sig文件。
#删除密匙,私匙,私匙和公匙。
更多的用法请参看manpage.
[@more@]
补充部分是参考JACKSON兄和SUDDENLY5171兄的总结大作!链接在此:
http://www.linuxsir.org/bbs/showthread.php?t=200208
===========[ TROUBLESHOOTING ]=================
1.各重要命令与文件的RPM包出处表。(RHEL4版)
代码:
1. initscripts-7.93.11.EL-1 : /etc/inittab, /etc/rc*, /etc/sysconfig/*, /sbin/ifup,/sbin/ifdown,/sbin/redhat-support-check,/sbin/initlog, etc. 2.util-linux-2.12a-16.EL4.6 : /bin/mount, /bin/login, /bin/umount,/bin/kill, /etc/pam.d/login,/sbin/fdisk, etc. 3.filesystem-2.3.0-1 : /initrd, /proc, /root, etc. All filesystem related. 4.SysVinit-2.85-34 : /sbin/halt, /sbin/init, /sbin/poweroff, /sbin/reboot, /sbin/shutdown, /sbin/telinit, etc. 5.kernel-utils-2.4-13.1.48, kernel-devel-2.6.9-5.EL, kernel-2.6.9-5.EL, etc. All kernel related packages contain RHEL4 kernel and tools. 6.Setup-2.5.37-1.1 : /etc/aliases, /etc/bashrc, /etc/environment, /etc/exports, /etc/filesystems, /etc/group, /etc/passwd, /etc/hosts.allow, /etc/hosts.deny, /etc/profile, /etc/services, /etc/securetty, /etc/shells, /etc/printcap, /etc/inputrc, etc. 7.bash-3.0-19.2 : /bin/bash, /bin/sh, /etc/skel/*, etc. 8.rpm-4.3.3-7_nonptl and all rpm related packages contain rpm related binaries. 9.Grub-0.95-3.1 : /boot/grub/*, /sbin/grub*, /usr/share/grub/*, etc.
10. /etc/fstab 和 /boot/grub/grub.conf 或 menu.lst不属于任何一个包,是系统安装后产生的,所以必须手动修复!!
2.Troubleshooting 补充:
1. MBR损坏。 实验可以将头446字节mess up掉,然后练习修复。( 注:请不要在自己的机子上实验这个!!!后果自负!!!)
代码:
dd if=/dev/zero of=/dev/hda bs=446 count=1
2. 补充几个出错信息:
1.当/etc/passwd丢失时,将会看到大量的服务无法启动,因为大多数的服务都有自己的UID。可以看到LOGIN 界面,但无法LOGIN。从RESCUE模式修复,但是无法完全修复,因为许多UID是服务器安装时加入的,最初的/etc/passwd并没有那些UID。
2.当ifup, ifdown丢失时,将给出execvp错误,方法是进RESCUE, 重装initscripts包。
3.QUOTA
代码:
edquota -t
4.LVM,RAID (这个在RHEL4中有很大的改动!)
e2fsadm命令取消,改为ext2online. 只能无损增加,无法减少。有个ext2resize命令,但RHEL4缺省没有安装,而且不再binary包中,要自己从src中编译。
增加的方法是:
代码:
lvextend -L +sizes lvname; ext2online /path/to/lvname
RAIDTOOLS包被取消,改为mdadm. 创建方法为:
代码:
mdadm -C /dev/md0 -l5 --raid-devices= /dev/xx /dev/yy /dev/zz ... --spare-device= /dev/qq -v
创建mdadm.conf文件:
代码:
mdadm –--detail –--scan >/etc/mdadm.conf
管理RAID:
代码:
mdadm /dev/md0 -f /dev/xx -r /dev/xx -a /dev/nn -f set faulty, -r hot remove device, -a hot add device
============[ Installation and Configuration ] =========
5.Apache
RHEL4中Apache加了mysql和ldap模块。其中如果mysql模块被选中安装后将自动生效,也就是说apache将以mysql为backend数据库进行授权的管理,.htaccess的功能被替代,而不能生效。
6.Samba
补充几个有用的samba命令。
#从samba服务器上备份共享下的目录。
代码:
smbtar -s host -x share -d dir -u user -p passwd -t tarfile
代码:
smbtar -r -s host -x share -d dir -u user -p passwd -t tarfile
代码:
smbclient //host/share -U user
代码:
smbclient -L host -N (验证samba是否起了); smbtree
代码:
testparm /etc/samba/smb.conf host/ip
代码:
smbpasswd -a|-e|-d|-x user -a add -e enable -d disable -x delete
7.POP3, POP3S, IMAP, IMAPS
In RHEL4, dovecot提供了这些服务,具体配置:
编辑/etc/dovecot.conf文件,在protocals=一行,加入你需要的(或是考试要求的服务)。缺省的ports:
imap: 143
imaps: 993
pop3: 110
pop3s: 995
ssl_cert_file and ssl_key_file,可以看到dovecot是拿什么文件来做ssl认证的,可以自己创建新的pem文件。
我将disable_plaintext_auth 配置为 no
我将auth_mechanisms配置为plain.
auth_userdb=passwd. 也就是说缺省为所有local user 都能登录。
在auth_passdb=pam项后可增加对pop3配置文件。(缺省没有,要自己建立)
/etc/pam.d/pop3文件内容如:
代码:
auth required /lib/security/pam_stack.so service=system-auth auth required pam_unix.so auth required pam_listfile.so item=user sense=deny file=/etc/security/dovecot.deny onerr=fail account required /lib/security/pam_stack.so service=system-auth #account required pam_access.so account required pam_unix.so
这些服务也可以由inetd和xinetd来守护,具体做法请看:
http://wiki.dovecot.org/moin.cgi/InetdInstall
测试: telnet host 110
然后输入: user username
pass password
如果LOGIN成功,会有提示。
8.各种服务的user base和host base 安全配置补充:
NIS: 可以实现userbase和hostbase,方法:
userbase - 在/etc/pam.d/system-auth中加入:
代码:
auth required pam_listfile.so item=user sense=deny file=/path/to/nis.deny onerr=fail
Hostbase - 将securenets文件由/usr/share/doc/ypserv-2.13考到/var/yp目录下,编辑。格式为: netmask network
portmap: 得用iptables或tcp_wrapper做hostbase, userbase应该是没有了。
NFS: Don't use “no_root_squash”. Use root_squash or all_squash.
Telnet: hosts.deny和hosts.allow做hostbase。或用xinetd做superserver控制。RHEL4上的telnet无法配合pam_access.so做userbase控制,怀疑是没有将pam编译进去?!
Apache: 如果要做userdir, 可以在httpd.conf中加入directives:
代码:
UserDir enabled user_list UserDir disabled user_list
FTP: upload的目录chmod为730,也就是说可以上传,不能浏览目录。
samba: RHEL4中samba除了可以用smb.conf和hosts.allow, hosts.deny只外,还可以用pam。
squid: RHEL4中squid已经可以通过pam做userbase级控制了。
sshd: RHEL4中还可以用pam来做userbase控制。
另外增加su和sudo的userbase级配置方法:
如果只要root和wheel组的成员才能su或是sudo, 在各自的pam文件中加入:
#root 永远都能。
代码:
auth sufficient pam_rootok.so
代码:
auth required pam_wheel.so
代码:
auth required pam_unix.so
9.GPG
#生成密匙
代码:
gpg –gen-key
代码:
gpg --list-keys gpg --list-public-keys gpg –list-secret-keys
代码:
gpg --export -a userID >public.key gpg --export-secret-key -a userID>secret.key
代码:
gpg --import key.file
代码:
gpg -se -r userID file
代码:
gpg -e -r userID file
代码:
gpg -sc -r userID file
代码:
gpg -c -r userID file
代码:
gpg -b -r userID file
代码:
gpg [--decrypt] file
代码:
gpg --verify sig.file
代码:
gpg --delete-key userID gpg --delete-secret-key userID gpg --delete-secret-and-public-key userID
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/7507082/viewspace-859011/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/7507082/viewspace-859011/
![[20190211]简单测试端口是否打开.txt](/images/no-images.jpg)
