1.克隆CentOS7

     1.

2.启动CentOS7克隆系统

    1.点未列出？-用户名，密码

3.网络适配器设置-VMware2

4.右键-打开终端

Linux基本安全加固：

       Centos的安装，基本设置。（本地化，软件，系统，用户的设置），安装的操作基本上都是差不多。

1.选择语言（选英语就对了）

2.可以选择GUI图形界面（工具根据自己的需求选择（程序开发类））

3.安装位置设置分区（有默认配置，也可以自己配置分区）

Ps: kdump是在系统崩溃、死锁或者死机的时候用来转储内存运行参数的一个工具和服务

cd /etc/sysconfig/network-scripts/

ls

vim ifcfg-eno1677772#

bootproto=static

ipv6=no

ipaddr=10.11.11.1

netmask=255.255.255.0

gateway=10.11.11.254

dns1=114.114.114.114

wq!

vim /etc/hostname

del

yum.sevenwin.org

wq!

vim /etc/hosts

10.11.11.1 yum yum.sevenwin.org

wq!

systemctl restart network.service

hostname查看

umount /dev/cdrom

mkdir /media/cdrom

mount /dev/cdrom /media/cdrom

cd /media/cdrom/pwd

// /media/cdrom/packages

ls

rpm -Uvh vsftpd  tabtab

cd /var/ftp/

ls

mkdir yum

cd yum

pwd

cp -rf /media/cdrom/* ./

system ctl start vsftpd.service

netstat -atpn

netstat -atpn|grep 21

vim /etc/vsftpd/vsftpd.conf

找到connect_from_port_20=YES

插入

pasv_enable=YES

pasv_min_prot=3001

pasv_max_prot=3100

wq!

systemctl restart vsftpd.service

netstat -atpn |frep vsftpd

17:35

配置本地Yum源：（Yellowdog Updater Modified）（原因）

    基于RPM包构建的软件更新机制

    可以自动解决RPM包安装的依赖关系

所有软件包由集中的YUM软件仓库提供

软件仓库的提供方式：

    FTP服务：ftp://.........

    HTTP服务：http://......

    本地目录：file:///............

RPM软件包的来源

    Red Hat发布的RPM包集合

    第三方组织发布的RPM包集合（EPEL源）

    用户自定义的RPM包集合

构建centos7安装光盘的本地yum源

先挂着光盘：umount /dev /cdrom   //先卸载，防止自动挂载

mkdir /xx   //创建挂载目录

mount /dev/cdrom /xx    //以只读方式挂载

 安装FTP服务：先进去挂载盘里面的/PACKAGES目录，然后通过rpm -uvh vsftpd-3..... 安装

可以创建一个共享目录来储存挂在盘里面的数据。

重启服务命令：systems start vsftpd.service //  service vsftpd start 都可以

可以在防火墙上允许添加FTP服务，并添加端口300-3100

账号的基本安全
     cp /etc/passwd /var/.bak/etc/    //欲修改，先备份
     vim /etc/passwd    //编辑帐号配置文件
     //可以被注释掉的用户：adm,lp,sync,shutdown,halt,operator,games,ftp …
     cp /etc/group /var/.bak/etc/
      vim /etc/group    //备份并编辑组帐号配置文件
     //可以被注释掉的组帐号：adm, lp, floppy, games, ftp … …
    最小的权限+最少的服务=最大的安全
    将非登录用户的Shell设为/sbin/nologin
    usermod -s /sbin/nologin lfy
    锁定一段时间内不使用的帐号
    usermod -L lfy
    tail -3 /etc/shadow
    给帐号、组帐号、帐号口令文件加上不可更改属性（加
    锁），从而防止非授权用户获得权限
    chattr +i /etc/passwd
    chattr +i /etc/shadow
    chattr +i /etc/group
    chattr +i /etc/gshadow //组帐号口令文件
    lsattr /etc/passwd /etc/shadow /etc/group
    /etc/gshadow
    ----i----------- /etc/passwd    //查看以上文件属性
    ----i----------- /etc/shadow
    ----i----------- /etc/group    /* 注意：执行以上权限修改之后，
    ----i----------- /etc/gshadow    就无法添加删除用户了 */
    chattr -i /etc/passwd    //通过这个命令解锁
    //将相关文件解锁后，便可以添加删除用户或修改密码了；操作完成后再锁定

    
   帐号口令的安全设置
    设置密码有效期与最短长度限制
   要求用户下次登录时修改密码
    vim /etc/login.defs    //只适用于新建帐号
    //修改以下配置
    PASS_MAX_DAYS 90    //密码使用最长天数改为90天
    PASS_MIN_DAYS 0    //密码最短使用天数
    PASS_MIN_LEN    8    //密码最短长度改为8，必要情况下改为14
    PASS_WARN_AGE 7    //改换口令提醒天数
 
    chage -M 30 likui    //修改已存在帐号的密码有效期
    chage -d 0 likui    //强制在下次登录时更改密码
 
    命令历史限制
         减少记录的命令条数
         注销时自动清空历史命令记录
        vim /etc/profile
        //修改下面环境变量的值
        HISTSIZE=50
        vim ~/.bash_logout
        //添加下面两行
        history -c
        clear

pxe远程安装

统一，高效，标准，安全

安装Kickstart

添加BOOT分区，根分区20480系统类型

网络配置跳过预安装脚本

保存到ROOT目录下

打开anaconda-ks.cfg软件包信息复制再编辑ks文件

配置防火墙

终端自动注销
  闲置600秒后自动注销
    vim ~/.bash_profile
    //在行尾添加下面的环境变量
    export TMOUT=600
    
    使用su命令切换用户
  用途及用法
   用途：Substitute User，切换用户
  格式：su - 目标用户
  密码验证
   root → 任意用户， 不验证密码                        普通用户 → 其他用户，验证目标用户的密码
    su - root
    密码：
    whoami
    root

    限制使用su命令的用户
 启用pam_wheel认证模块
 将允许使用su命令的用户加入wheel组

    vim /etc/pam.d/su
    //找到下面行，将“#”号删掉
    #auth    required    pam_wheel.so use_uid
    gpasswd -a likui wheel
    正在将用户“ceshi”加入到“wheel”组中
    
    使用sudo机制提升权限
     用途及用法
    用途：以其他用户身份（如root）执行授权的命令
     用法：sudo 授权命令
    密码验证
     初次执行sudo命令时，验证当前用户的密码
     不需验证目标用户的密码

    sudo -u likui /bin/touch /tmp/test
    ll /tmp

    -rw-r--r--. 1 likui likui      0 5月  31 10:51 test15:55 test
    
    使用sudo机制提升权限
    配置sudo授权
     visudo 或者 vim /etc/sudoers
     记录格式：用户    主机名列表=命令程序列表

    [root@localhost ~]# vim /etc/sudoers
    root    ALL=(ALL)    ALL
    %wheel ALL=(ALL)    ALL
    [likui@localhost 桌面]$ sudo ifconfig
    
    使用sudo机制提升权限
 配置sudo授权
 例：将likui加入/etc/sudoers，授权

  vim /etc/sudoers
    likui    localhost=/sbin/*,!/sbin/ifconfig,!/sbin/route
    Cmnd_Alias    PKGTOOLS=/bin/rpm,/usr/bin/yum
    User_Alias    LUSERS=likui,ligui,liwei
    Host_Alias    LHOSTS=localhost,host1,host2
    LUSERS    LHOSTS=PKGTOOLS
 sudo /sbin/ifconfig
    对不起，用户 likui 无权以 root 的身份在 localhost 上执行 /sbin/ifconfig。
 sudo /sbin/ip addr
 sudo -l

利用PXE远程装机服务批量部署Linux

1、安装并配置DHCP服务器

2、安装tftp-server与syslinux，并配置

3、安装kickstart，并配置自动化安装步骤

4、配置防火墙，并进行测试

cluster 群集 

多台主机 对外表现一个整体

类型  负载均衡 load balancer 一起干

         高可用 微软叫故障转移群 一主多备 轮班

         高性能运算 

keeplived 

为 lvs 和 ha设计的一款健康检查公具

==重置root密码

CentOS 7与之前的版本不同，当忘记root密码，并采用GRUB2为启动器时，将无法通过单用户模式重置root密码。

下面将介绍如何重置CentOS 7的root密码。

1. 启动系统，并在GRUB2启动屏显时，按下e键进入编辑模式。

2. 进入后，找到“linux16”开头的地方，按“end”键到最后，输入“rd.break”，按“ctrl+x”进入。

3. 输入“mount -o remount,rw /sysroot/”命令，重新挂载系统分区

4. 再输入“chroot /sysroot/”命令，改变根

5. 修改“root”密码

6. 如果之前系统启用了selinux，必须运行“touch /.autorelabel”命令，否则将无法正常启动系统

7. 然后按“Ctrl+d”退出

8. 输入“reboot”命令重启，修改结束

==为GRUB2菜单加上防编辑密码

以防止一些恶意者像刚才一样修改root密码的行为

1. 在终端下用“grub2-mkpasswd-pbkdf2”命令生成加密口令

2. 复制如下部分“grub.pbkdf2.sha512.10000.D……”

3. 编辑“/boot/grub2/grub.cfg”

4. 作如下修改

在第一个“menuentry……”前

添加“set superusers=“username””

添加“password_pbkdf2 username grub.pbkdf2.sha… …”

5. 保存，退出，并测试

=====系统的恢复

==修复MBR

MBR（Master Boot Record主引导记录）：硬盘的0柱面、0磁头、1扇区称为主引导扇区。其中446Byte是bootloader，64Byte为Partition table，剩下的2Byte为magicnumber。

1. 先进行备份，再破坏

dd if=/dev/sda of=/root/mbr.bak count=1 bs=512 #使用dd命令，将sda的mbr进行备份

dd if=/dev/zero of=/dev/sda count=1 bs=446 #再用zero设备生成446字节的“0”写入mbr

if:input from/of:output from

重启后发现系统已坏

2. 装入系统安装光盘，在光盘引导界面选择“Troubleshooting”

3. 选择救援模式“Rescue a CentOS system”

4. 装选择“Contunue”，以rw模式挂载分区

5. 进入救援模式

6. 使用grub2-install命令重建bootloader，再使用sync写入硬盘，reboot重启系统

grub2-install --root directory=/mnt/sysimage /dev/sda

sync

reboot

7. 验证，重启后无错误，grub正常运行

==修复grub

grub配置文件丢失，开机后会直接进入grub界面，显示为grub>。由于GRUB2的配置文件极其复杂，所以一定要作好备份

1. 先备份再破坏

cd ~

mkdir grub.bak

chmod 600 grub.bak

cp -rf /boot/grub2/* ./grub.bak

2. 重启系统后，进入“grub>”状态，输入以下命令设置启动参数，并启动：

grub>insmod xfs

grub>set root=‘hd0,1’

grub>linux16 /vmlinuz-3.10.0-229.el7.x86_64

root=/dev/mapper/centos-root

grub>initrd16 /initramfs-3.10.0-229.el7.x86_64.img

grub>boot

3. 启运成功后，以“root”身份登录，还原配置

cp -rf ./grub.bak /boot/grub2/*

4. 重启，测试，成功修复

linux安全基础

配置yum源的原因：基于RPM包构建；2、自动解决RPM包依赖关系；3、所有软件包由集中的yum软件仓库提供。

提供方式：

FTP服务：FTP：//，HTTP服务:http://，本地目录:file://

rpm软件包的来源：1、REDhat发布的RPM包集合；2、第三方组织发布的RPM包集合；3、用户自定义的RPM包集合

构建centos7安装光盘的本地yum源

先挂着光盘：umount /dev/cdrom   //先卸载，防止自动挂载

mkdir /xx   //创建挂载目录

mount /dev/cdrom /xx    //以只读方式挂载

 安装FTP服务：先进去挂载盘里面的/PACKAGES目录，然后通过rpm -uvh vsftpd-3..... 安装

可以创建一个共享目录来储存挂在盘里面的数据。

重启服务命令：systemctl start vsftpd.service //  service vsftpd start 都可以

可以在防火墙上允许添加FTP服务，并添加端口300-3100

vi /etc/vsftpd/vsftpd.conf 

pasv_enables=yes;pasv_min_port=3001;pasv_max_port=3100

设置SELinux规则：

setsebool allow_ftpd_full_access 1

setsebool httpd_enable_ftp_server 1

 配置源：vi /etc/yum.repos.d/

baseurl=ftp://ip/yum

enabled=1

gpgcheck=1

systemctl [command] [unit]

【command】

systemctl status unit，服务的几种常见状态：

YUM:Yellowdog Updater Modified:是基于RPM包【RPM：RPM Package Manager（RPM软件包管理器）的缩写 ， 一种用于互联网下载包的打包及安装工具，它包含在某些Linux分发版中。 】的的软件更新机制可以自动解决RPM包安装的依赖关系，所有软件包由集中的YUM软件仓库提供。

软件仓库的提供方式：FTP服务，HTTP服务，本地目录。

RPM软件包的来源：官方发布、第三方发布、用户自定义

配置时 使用超级管理员登录：未列出中：用户名：root，MIMA

1、配置IP地址：cd /etc/sysconfig/network-scripts/

ls

查看本地网卡的配置文件，用vim打开。

（1）修改BOOTROT="static"

（2）IPV6INIT="no",……"no"

（3）IPADDR=10.11.11 .1

NETMASK=255.255.255.0

GATEWAT=10.11.11.254

（只为了生成默认路由）

=====配置本地YUM源

==centOS修改ip地址：

cd /etc/sysconfig/network-scripts/

vim ifcfg-网卡名

修改默认网络配置如下：

TYPE="Ethernet" 有线网络连接

BOOTPROTO="static" 静态地址

DEFROUTE="yes"

PEERDNS="yes"

PEERROUTES="yes"

IPV4_FAILURE_FATAL="no"

IPV6INIT="no" 关闭IPV6

IPV6_AUTOCONF="no"

IPV6_DEFROUTE="no"

IPV6_PEERDNS="no"

IPV6_PEERROUTES="no"

IPV6_FAILURE_FATAL="no"

NAME="网卡名"

UUID="UUID"

DEVICE="设备名"

ONBOOT="yes" 启动启动

IPADDR=定义IP 地址

NETMASK=255.255.255.0 子网掩码

GETEWAY=网关地址

DNS1=默认dns服务器

==设置主机名

vim /etc/hostname

==设置hosts文件

vim /etc/hosts

==重启网络服务

systemctl restart network.service

ifconfig

==配置本地yum源

1、挂载安装光盘

unmount /dev/cdrom

mkdir /media/cdrom

mount /dev/cdrom /media/cdrom

以只读方式挂载

==安装ftp服务器

rpm -ivh vsftpd-

按TAB键自动补全

rpm -uvh 软件包名 更新

==配置ftp服务

cd /var/ftp/

mkdir yum

cd yum

cp -rf /media/cdrom/* ./

#将光盘中的文件复制到目录中

systemctl start vsftpd.service #启动ftp服务

vim /etc/vsftpd/vsftpd.conf

在connect_from_port_20=YES后添加

pasv_enable=YES

pasv_min_port=3001

pasv_max_port=3100

保存退出

systemctl restart vsftpd.service

==设置SELinux规则

setsebool allow ftpd_full_access 1

setsebool httpd_enable_ftp_server 1

systemctl restart vsftpd.service

==设置防火墙规则

允许端口

==配置yum源

cd /etc/yum.repos.d/

mkdir old

mv * old

cp old CentOS-Base.repo ./

vim CentOS-Base.repo

修改

baseurl=ftp://地址

退出

清理缓存+更新

#作为本地

baseurl=file:///var/ftp/yum

==使用yum源

centos 7 安装准备：

1、虚拟机式安装

centos 7 安装镜像

VMware Workstations

一步一步完成设置

2、双系统式安装

一个超4G U盘

软件：UltraISo Easy BCD

centos 7镜像文件

关键：压缩出一个空白卷，根据自己的需求分区吧！如果有相关经验就自己分，没有就选择自动分区。

一步一步完成设置

CentOS安装过程：

选择语言—时间日期—安装源及安装位置—主机名—KDUMP—网络—root帐号

localectl命令可以在系统安装完成后修改相应配置

localectl status

localectl set-locale LANG=zh_HK.utf8

localectl list-keymaps

localectl set-keymap us

https://blog.csdn.net/solaraceboy/article/details/78816515

标准分区：标准分区可以包含文件系统或交换空间，也能提供一个容器，用于软件RAID和LVM物理卷。

逻辑卷（LVM）：创建一个LVM分区自动生成一个LVM逻辑卷。 LVM可以在使用物理磁盘时，提高性能。
LVM精简配置：使用自动精简配置，你可以管理的自由空间，被称为精简池，它可以根据需要由应用程序时，可以分配给设备任意数量的存储池。所需的存储空间具有成本效益的分配时，薄池可以动态地扩展。
BTRFS：Btrfs是一个具有几个设备相同的特征的文件系统。它能够处理和管理多个文件，大文件和大体积比的ext2，ext3和ext4文件系统。

XFS：XFS是一个支持的文件系统多达16艾字节（约16万TB）一个高度可扩展，高性能的文件系统中，文件多达8个艾字节（约800万太字节），和目录结构包含数千万条目。 XFS支持元数据日志，这有利于更快的崩溃恢复。 XFS文件系统也可以进行碎片整理和调整，同时安装并激活。这个文件系统是默认选择，并强烈推荐。一个XFS分区支持的最大大小为500 TB。
EXT4：ext4文件系统是基于ext3文件系统，并采用了多项改进。这些措施包括对更大文件系统和更大的文件，磁盘空间，对子目录的目录中的数量没有限制，更快的文件系统检查速度更快，更有效地分配支持，更强大的日志记录。
EXT3：ext3文件系统是基于ext2文件系统上，它有一个主要优点。使用文件系统减少花费的时间恢复崩溃后的文件系统，因为没有必要通过每次碰撞发生时运行fsck实用程序来检查元数据的一致性的文件系统。
EXT2：ext2文件系统支持标准Unix文件类型，包括普通文件，目录或符号链接。它还提供了分派长文件名，最多255个字符的能力。
VFAT：VFAT文件系统是Linux文件系统与FAT文件系统上的Microsoft Windows长文件名兼容。
swap：交换分区被用于支持虚拟内存。换句话说，数据被写入到交换分区的时候没有足够的内存来存储您的系统正在处理的数据。
BIOS boot：需要有一个GUID分区表（GPT）在BIOS中的系统引导设备一个非常小的分区。
EFI系统分区：需要有一个GUID分区表（GPT）在UEFI系统引导装置一个小分区。

配置网络：

vi /etc/sysconfig/network-scripts

IPADDR

NETMASK/PREFIX

GATEWAY

DNS1

配置主机名，重启网络服务：

vi /etc/hostname

vi /etc/hosts

systemctl restart network.service

ifconfig

hostname

挂载光盘：

umount /dev/cdrom

mount /dev/cdrom /media/cdrom

cd /media/cdrom/Packages

rpm -Uvp vsftpd-3.0.2-9.el7.x86_64.rpm

cd /var/ftp

mkdir yum

cd yum

cp -rf /media/cdrom/* ./

启动FTP服务：

systemctl start vsftpd

netstat -atpn |grep 21

配置SElinux、防火墙策略：

selinux是 2.6 版本的 Linux 系统内核中提供的强制访问控制(MAC）系统

配置本地YUM源：

kill -9 $(cat /var/run/yum.pid)

课程讲解了Linux centos的安装。

删除不用的硬件，选择适合的网络连接方式。

linux基本安全加固

    1. kdump是在系统崩溃、死锁或者死机的时候用来转储内存运行参数的一个工具和服务

     2.自定义vmnet2

=====利用PXE远程安装服务批量装机
==安装并配置DHCP服务器
yum -y install dhcp
cd /user/share/doc/dhcp-4.2.5/
cp dhcpd.conf.example /etc/dhcp/dhcpd.conf
vim /etc/dhcp/dhcpd.conf
default-lease-time 600;
max-lease-time 7200;
log-facility local7;
subnet 网段 netmask 子网掩码 {
range 开始ip 结束ip;
option routers 路由;
option broadcast-address ;
default-lease-time 600;
max-lease-time 7200;
next-server 服务器ip; #指定引导服务器
filename "pxelinux.0"; #指定引导文件
}
重启服务 systemctl restart dhcpd
==安装tftp-Server与syslinux
#tftp用于发布
#syslinux用于引导
yum -y intall tftp-server
yum -y install syslinux
==配置tftp
vim /etc/xinetd.d/tftp
将其中的
disable=yes
改为
disable=no
保存退出
systemctl start xinetd
==拷贝引导文件
cd /var/lib/tftpboot
cp /user/share/syslinux/pxelinux.0 ./
cp /var/ftp/yum/isolinux/vmlinuz ./
cp /var/ftp/yum/isolinux/initrd.img ./
cp /var/ftp/yum/isolinux/vesamenu.c32 ./
cp /var/ftp/yum/isolinux/boot.msg ./
==获取编辑启动菜单
mkdir /var/lib/tftpboot/pxelinux.cfg
cp /vaar/ftp/yum/isolinux/isolinux.cfg pxelinux.cfg/default
vim ./pxelinux.cfg/default
找到"label linux"行，在此行前添加：
label centos
menu label ^Install CentOS 7.1
menu default
kernel vmlinuz
append initrd=initrd.img inst.stage2=ftp://ip/yum inst.ks=ftp://ip/ks.cfg quiet
删除"menu label Test this⋯⋯"后边的"menu default" 行删除
保存退出
==配置自动安装脚本
yum -y install system-config-kickstart
system-config-kickstart