ssh服务 公钥在/etc/ssh中,第一次连接就会把对方的公钥下载到此文件中cat /etc/ssh/ssh_hosts_pub=known _hosts
修改客户端的配置文件:/etc/ssh/ssh_config strickhostkeychecking 改成no(修改客户端配置文件不需重启)
lstab:可查看其他机器访问我的机器登陆失败的次数
基于key验证:1,生成公钥私钥对:ssh-keygen
2,把公钥拷到对方机器上:ssh-copy-id -i +对方的ip地址
再去对方机器上看一下ls .ssh,里边有公钥就是拷贝成功,
3,此时在本机连接对方机器,是不需要属密码的,直接连接
*私钥不能丢失,防止私钥丢失,给私钥加密
私钥加密:ssh-keygen ,在第二步输入设置私钥密码,
此时在本机连接对方机器需要输入私钥的密码,
为了方便不输入私钥密码,可以临时让程序记住:ssh-agent bash ssh-add
scp远程复制格式:scp /etc/redhat-release 10.0.0.154:/date(前边是源,后边是目标)
scp复制缺点:如果其中有文件发生了变化,重新复制的话,会把所有的文件再复制一遍,不会把发生变化的文件单独复制,效率比较低
rsync rsync -av /data 对方机器ip地址:/data 复制目录和目录下的文件
rsync -av /data/ 对方机器ip地址:/data 复制目录下的文件
禁止某一台机器连接本机:iptables -A INPUT -s 禁止机器的ip地址 -j REHECT
不想登陆的时候敲yes,把/etc/ssh/ssh_config文件中的StrictHosttkeychecking ask改成no
ip {1..254}匹配需要很长世间,所以放在后台并行执行会很快
ssh服务器配置:配置文件/etc/ssh/sshd_config
sshpass
把密码直接跟:sshpass -p密码 -o stricthostkeychecking=no 对方ip
把密码写到文件中:echo 密码 > pass.txt
sshpass -f pass.txt ssh [email protected]
把密码设成变量:export SSHPASS=123456
sshpass -e ssh [email protected]
sudo 作用:实现授权
sudo的配置文件是/etc/sudoers 权限是440
visudo -c:检查语法的
PAM pam的模块文件在/etc/lib64/security/*.so
pam的模块相关配置文件:/etc/security,不是每个模块都有配置文件,
pam的配置文件格式:由4列组成
type:模块的类型 auth:验证身份相关的
account:验证账户的有效性
password:修改密码,检查机制
session:登陆期间的控制
control:控制性 required:一票否决
requisite:一票否决,不执行下边的程序
rufficient:一票通过
optional:可选的
module-path:路径(写文件名就行)
argentments:参数
改shell类型: 1,chsh -s /bin/csh 用户名
2,usermod -s /bin/csh 用户名
pkill:把终端上其他的人踢出去,pkill -9 -t pts/1
pgrep:是搜素进程的,
简单的pam的文件直接加参数就ok,复杂的就写配置文件,配置文件写在/etc/security下
如果某一项功能受限了,是因为此文件中有account required pam,nologin.so
nologin:是不想让普通用户登录,有利于维护,新的用户就登陆不进来了
limits: 让用户使用的资源受到限制,默认情况已经影响到用户的使用资源
查询谁调用了limits模块:grep pam_limits .so *
控制用户打开的文件个数,打开进程数 1,写到配置文件里
2,临时生效(ulimit)
Ulimit -a:可查目前被限制的
-n:可临时修改打开的文件的个数
-u:可临时修改打开的进程的个数
时间服务 ntp:同步机制是逐渐同步
chrony:chrony同步的快是因为/etc/chrony.conf文件中iburst起到快速同步的效果
chronyc -n sources -v 显示同步时间的情况 *代表连接上已同步,-n:是把名称转换为数字
配置服务器的配置文件:在/etc/chrony.conf中
server ntp.aliyun.com iburst
server ntp1.aliyun.com iburst
allow 10.0.0.0/24 (允许10.0.0.0这个网段同步,允许所有人就是10.0.0.0/24)
local stratum 10 (10代表本地服务器)要打开,本来是被#掉的
设置local stratum 10 是因为如果本机连不上网络同步不了时间,否还可以能链接到本地同步时间的请求,是有用本机的时间和其他服务器同步
配置客户端
让其他机器和局域网中的时间同步,在/etc/chrony.conf中改文件 server 10.0.0.154 iburst
timedatectl:可以改时区和时间
改时区的方法 1,timedatectl set-tiemzon +要改的时区
2,删除软连接:rm -f /etc/locltime
再建一个软连接:ln -s ../usr/share/zone /etc/localtime
查看selinux的状态 sestatus
getenforce