RHSCA红帽认证系统管理员

一、掌握内容

1、能够管理文件、目录、文档以及命令行环境

2、能够使用分区、LVM逻辑卷来管理本地存储

3、能够安装、更新、维护、配置系统与核心服务

4、能够熟练创建、修改、删除用户与用户组，并要会使用LDAP进行集中目录身份认证

5、能够熟练配置防火墙以及SELinux来保障系统安全

二、练习题

1、破解root密码（Linux 7系列）

在菜单界面按e键
删除console=ttyS0,1152200n8，Linux16末尾增加 rd.break
按Ctrl+x进行重启
mount -o remount,rw /sysroot //挂载根目录为读写模式
chroot /sysroot    //将根目录切换为/sysroot
echo 'redhat' | passwd --stdin root  //修改密码
touch /.autorelabel //如果之前系统启用了selinux，需进行selinux标签验证,即允许你修改密码，否则将无法正常启动系统
exit
reboot

2、配置IPv4网络

可以使用NetworkManger对网络进行配置

hostnamectl set-hostname desktop0.example.com  //设置主机名
nmcli conntection show //查看网络配置
nmcli connection modify "System eth0" ipv4.address "172.25.0.10/24 172.25.0.254"ipv4.dns "172.24.254.254" ipv4.method manual connection.autoconnect yes //手工配置网卡"System eth0"的IP、网关、dns
nmcli connection up "System eth0"  //启动网卡

nmcli connection show "System eth0" | grep ipv4
route -n  //查看路由信息
host classroom.example.com

3、配置SELINUX使其工作在enforcing模式下

Kernel 2.6 时代，那时候引入了一个新的安全系统，用以提供访问控制安全策略的机制。这个系统就是 Security Enhanced Linux (SELinux)，它是由美国国家安全局（NSA）贡献的，它为 Linux 内核子系统引入了一个健壮的强制控制访问Mandatory Access Control架构。
当一个主体Subject（如一个程序）尝试访问一个目标Object（如一个文件），SELinux 安全服务器SELinux Security Server（在内核中）从策略数据库Policy Database中运行一个检查。基于当前的模式mode，如果 SELinux 安全服务器授予权限，该主体就能够访问该目标。如果 SELinux 安全服务器拒绝了权限，就会在 /var/log/messages 中记录一条拒绝信息。

getenforce  //检查SELinux的模式
setenforce 1  //临时更改SELinux策略强制执行

vim /etc/selinux/config
selinux=enforcing  //SELinux策略强制执行，基于SELinux策略规则授予或拒绝主体对目标的访问

4、为您的系统配置一个默认的软件仓库

yum仓库（也称yum源）用于存放各种rpm的软件包以及软件包之间的依赖关系（repodata目录）

vim /etc/yum.repos.d/base.repo
[base]  //定义软件源的名称，可以自定义，同时在该服务器上所有repo文件中是唯一的。注意：方括号里面不能有空格，不要有特殊符号（自定义）
name=local //仓库描述,可以不写
baseurl=http://classroom.example.com/content //指定yum仓库的路径（重要）,若路径为本地文件夹可表示为file:///mnt，file://表示本地仓库。（本地文件为光盘，则挂载方法：mount -t iso9660 /dev/cdrom /mnt/ ）（本地文件ISO文件，则挂载方法：mount -o loop /tmp/redhah7.iso  /mnt/）
gpgcheck=0 //表示启用该仓库,1表示启用；0表示不启用
enabled=1 //不用校验仓库里软件包的签名，0表示不校验；1表示校验

yum clean all //清空之前的yum列表缓存
yum makecache //创建新的缓存
yum repolist //列出已配置的软件仓库
yum list   //列出仓库里的所有软件包

5、调整逻辑卷的大小

物理卷（Physical Volume,PV）：就是指硬盘分区，也可以是整个硬盘或已创建的软RAID，是LVM的基本存储设备。
卷组（Volume Group,VG）：是由一个或多个物理卷所组成的存储池，在卷组上能创建一个或多个逻辑卷。
逻辑卷（Logical Volume,LV）：类似于非LVM系统中的硬盘分区，它建立在卷组之上，是一个标准的块设备，在逻辑卷之上可以建立文件系统。
三者的关系：如果把PV比作地球的一个板块，VG则是一个地球，因为地球是由多个板块组成的，那么在地球上划分一个区域并标记为亚洲，则亚洲就相当于一个LV。
卷组的大小是由多个PE组成，而逻辑卷的大小是把卷组中的PE放到逻辑卷中。

/etc/fstab 文件包含了如下字段，通过空格或 Tab 分隔：
<file system> <dir> <type> <options> <dump> <pass>
<file systems> - 要挂载的分区或存储设备.
<dir> - <file systems>的挂载位置。
<type> - 要挂载设备或是分区的文件系统类型，支持许多种不同的文件系统：ext2, ext3, ext4, reiserfs, xfs, jfs, smbfs, iso9660, vfat, ntfs, swap 及 auto。 设置成auto类型，mount 命令会猜测使用的文件系统类型，对 CDROM 和 DVD 等移动设备是非常有用的。
<options> - 挂载时使用的参数，注意有些mount 参数是特定文件系统才有的。一些比较常用的参数有：
auto - 在启动时或键入了 mount -a 命令时自动挂载。
noauto - 只在你的命令下被挂载。
exec - 允许执行此分区的二进制文件。
noexec - 不允许执行此文件系统上的二进制文件。
ro - 以只读模式挂载文件系统。
rw - 以读写模式挂载文件系统。
user - 允许任意用户挂载此文件系统，若无显示定义，隐含启用 noexec, nosuid, nodev 参数。
users - 允许所有 users 组中的用户挂载文件系统.
nouser - 只能被 root 挂载。
owner - 允许设备所有者挂载.
sync - I/O 同步进行。
async - I/O 异步进行。
dev - 解析文件系统上的块特殊设备。
nodev - 不解析文件系统上的块特殊设备。
suid - 允许 suid 操作和设定 sgid 位。这一参数通常用于一些特殊任务，使一般用户运行程序时临时提升权限。
nosuid - 禁止 suid 操作和设定 sgid 位。
noatime - 不更新文件系统上 inode 访问记录，可以提升性能(参见 atime 参数)。
nodiratime - 不更新文件系统上的目录 inode 访问记录，可以提升性能(参见 atime 参数)。
relatime - 实时更新 inode access 记录。只有在记录中的访问时间早于当前访问才会被更新。（与 noatime 相似，但不会打断如 mutt 或其它程序探测文件在上次访问后是否被修改的进程。），可以提升性能(参见 atime 参数)。
flush - vfat 的选项，更频繁的刷新数据，复制对话框或进度条在全部数据都写入后才消失。
defaults - 使用文件系统的默认挂载参数，例如 ext4 的默认参数为:rw, suid, dev, exec, auto, nouser, async.
<dump> dump 工具通过它决定何时作备份. dump 会检查其内容，并用数字来决定是否对这个文件系统进行备份。 允许的数字是 0 和 1 。0 表示忽略， 1 则进行备份。大部分的用户是没有安装 dump 的 ，对他们而言 应设为 0。
<pass> fsck 读取 的数值来决定需要检查的文件系统的检查顺序。允许的数字是0, 1, 和2。 根目录应当获得最高的优先权 1, 其它所有需要被检查的设备设置为 2. 0 表示设备不会被 fsck 所检查。

lsblk  //查看磁盘
fdisk /dev/vdb   //管理磁盘vdb
n   //添加一个分区
p   //设为主分区
1   //设置为第一个分区
+1G  //设置分区大小
t   //查看分区类型
8e （LVM类型） //选择LVM类型
w    //保存配置
partprobe /dev/vdb  //通知内核所做的更新

pvcreate /dev/vdb1  //将vdb1创建物理卷
vgcreate vg0 /dev/vdb1  //将物理卷vdb1添加到卷组，并命名为vg0
lvcrete -n vo -L 100M vg0  //从卷组vg0中创建逻辑卷，命名为v0，设置大小为100M
mkfs.ext4 /dev/vg0/vo //对逻辑卷v0进行格式为ext4格式
mkdir /mnt/vo
vi /etc/fstab  //用来存放文件系统的静态信息的文件
/dev/vg0/vo  /mnt/vo  ext4  defaults  0  0   //将逻辑卷v0挂载到/mnt/vo目录下，格式为ext4，使用文件系统的默认挂载参数，忽略dump工具做备份，设备不会被 fsck 所检查
mount -a //将/etc/fstab的所有内容重新加载。
lvextend -L +200M /dev/vg0/vo  //逻辑卷v0从卷组vg0中扩容200M
resize2fs /dev/vg0/vo  //调整ext2\ext3\ext4文件系统的大小
或：直接 lvextend -r -L +200M /dev/vg0/vo //-r表示扩容后调整文件系统大小

6、创建用户账号

Linux系统是一个多用户多任务的分时操作系统，任何一个要使用系统资源的用户，都必须首先向系统管理员申请一个账号，然后以这个账号的身份进入系统。
每个用户都有一个用户组，系统可以对一个用户组中的所有用户进行集中管理。
在Linux中，每个用户必须有一个主组。当创建账号时，系统会自动创建一个同名组作为该账户的主组。用户必须属于一个且只有一个主组。用户可以属于零个或者多个附加组。

• /etc/passwd：用户及其属性信息(名称、 UID、主组ID等）
• /etc/group：组及其属性信息
• /etc/shadow：用户密码及其相关属性
• /etc/gshadow：组密码及其相关属性

groupadd adminuser
useradd natasha -G adminuser  //添加用户，并加入附加组；产生一个主目录 /home/natasha，并更新/etc/group文件
useradd harry -G adminuser
useradd sarah -s /sbin/nologin //添加用户，拒绝该用户登录系统
echo "redhat" | passwd --stdin natasha //修改用户密码，或使用passwd 用户名
id natasha

7、配置/var/tmp/fstab的权限

cp /etc/fstab /var/tmp/fstab
ll /var/tmp/fstab
setfacl -m u:natasha:rw- /var/tmp/fstab  //-m 设置文件的ACL规则，u:natasha:rw-设置用户的读写执行权限
setfacl -m u:harry:--- /var/tmp/fstab
getfacl /var/tmp/fstab  //查看文件ACL权限

8、配置一个cron任务

crontab -u natasha -e  //编辑用户的定时任务
23 14 * * * /bin/echo hiya
crontab -u natasha -l  //查看用户的定时任务

9、创建一个共享目录

mkdir /home/admins
chgrp -R adminuser /home/admins 或：chown :adminuser /home/admins //chown user[:group] file
ll -d /home/admins
chmod g+w /home/admins 
Linux/Unix 的文件调用权限分为三级 : 文件拥有者、群组、其他, r=4，w=2，x=1, chmod [ugoa...][[+-=][rwxXst] file, u 表示该文件的拥有者，g 表示与该文件的拥有者属于同一个群体(group)者，o 表示其他以外的人，a 表示这三者皆是。X 表示只有当该文件是个子目录或者该文件已经被设定过为可执行
chmod g+s /home/admins //s 表示在文件执行时把进程的属主或组ID置为该文件的文件属主。
如：原来只有某用户可以执行httpd这条命令， u+s后其他用户都可享有文件属主的权限。
touch /home/admins/aa
ll /home/admins/aa

10、安装内核的升级

uname -r
firefox classroom.example.com
wget /http://classroom.example.com/content/rhel7.0/x86_64/errata/Packages/kernel-3.10.0-123.1.2.el7.x86_64.rpm
rpm -ivh kernel-3.10.0-123.1.2.el7.x86_64.rpm 
//rpm 
-i 安装软件包
--nodeps   不验证软件包的依赖
-v  可视化，提供更多的详细信息的输出
-h  显示安装进度
--force 强制安装，即使覆盖其他包的文件也要安装
-a 查询所有已经安装的软件包
-f 查询 文件所属于的软件包
-q 查询软件包（通常用来看下还未安装的软件包）
-l 显示软件包的文件列表
1、升级软件：执行rpm -Uvh rpm包名
2、反安装：执行rpm -e rpm包名
3、查询软件包的详细信息：执行rpm -qpi rpm包名
4、查询某个文件是属于那个rpm包的：执行rpm -qf rpm包名
5、查该软件包会向系统里面写入哪些文件：执行 rpm -qpl rpm包名
6、查看某个包是否被安装 rpm -qa | grep <moudle name>
查看启动条目 vi /boot/grub2/grub.conf

11、绑定到外部验证服务器

需安装配置界面authconfig-gtk，安全进程sssd，krb5-workstationLDAP
yum install sssd authconfig-gtk.x86_64 krb5-workstation.x86_64 -y
打开图形配置界面 authconfig-gtk

配置：
用户账户数据库：User Account Database:LDAP
LDAP搜索域名：LDAP Search Base DN:dc=example,dc=com
LDAP服务器：LDAP Server:classroom.example.com
TLS加密连接选择：User TLS to encrypt connections:http://classroom.example.com/pub/example-ca.crt
验证方法选择：Authentication Method: LDAP password

检测设置是否成功：id ldapuser1

12、配置NTP

vi /etc/chrony.conf (或使用图形化话界面System-config-date)
添加时钟源
server classroom.example.com iburst
systemctl restart chronyd.service
chronyc sources -v （结果带*号即可）

13、配置autofs

通过 autofs 自动挂载 LDAP 用户的主目录通过 NFS 输出到 本地系统/home目录下

安装autofs驱动
yum install autofs -y
检查挂载服务器
showmount -e classroom.example.com
编辑主配置文件,设置本地的挂载点和其对应的配置文件
vi /etc/auto.master
/home/guests  /etc/auto.ldap  (本地挂载点父目录  配置文件)

cp /etc/auto.misc  /etc/auto.ldap
编辑配置文件，配置本地目录/home/guests下的ldapuser0可通过classroom.example.com:/home/guests/ldapuser0进行挂载，类型-fstype为nfs，可读写，版本v3
vi /etc/auto.ldap
ldapuser0  -fstype=nfs,rw,v3  classroom.example.com:/home/guests/ldapuser0

重启加开机启动autofs 
systemctl restart autofs.service
systemctl enable autofs.service

使用测试
su - ldapuser0
df -h

14、配置一个用户账号

添加用户iar，设置uid为3400
useradd -u 3400 iar
修改用户密码
echo "redhat" | passwd --stdin iar

15、添加一个swap分区

添加一个分区，设置为swap类型82
fdisk /dev/vdb
n
e
2
default
default
n
l
default
+500M
t
5
82
w
partprobe

将分区建成swap分区
mkswap /dev/vdb5

开机自动挂载
vi /etc/fstab
/dev/vdb5  swap   swap  defaults  0 0

swapon -av  挂载
swapon -s   查看状态

16、查找文件

id iar
mkdir /root/findresults
find / -user iar
固定格式 find  path [ -exec command ] {} \;
find / -user iar -exec cp -rfp {} /root/findresults \;
ls /root/findresults

17、查找一个字符串

grep seismic /usr/share/dict/words
grep seismic /usr/share/dict/words >/root/lines.txt

18、创建名为/root/backup.tar.bz2的备份文件

tar
-c: 建立压缩档案
-x：解压
-t：查看内容
-r：向压缩归档文件末尾追加文件
-u：更新原压缩包中的文件
-z：有gzip属性的
-j：有bz2属性的
-Z：有compress属性的
-v：显示所有过程
-O：将文件解开到标准输出
-f: 使用档案名字，切记，这个参数是最后一个参数，后面只能接档案名。

cd /usr/local
tar -cjvf /root/backup.tar.bz2 *
mkdir /test   或：tar -tf backup.tar.bz2 
tar -xjvf /root/backup.tar.bz2 -C /test/

19、创建一个逻辑卷

fdisk /dev/vdb
n
l

t
8e   //LVM
w
pvcreate /dev/vdb6  //物理卷创建
vgcreate datastore -s 16M /dev/vdb6  //以最小写入单位PE=16M创建卷组datastore
lvcreate -n database -l 50 datastore  //从卷组datastore创建50个PE的逻辑卷，命名为database
mkfs.ext3 /dev/datastore/database  //格式化
mkdir /mnt/database
vi /etc/fstab
/dev/datastore/database  /mnt/database  ext3  defaults  0 0

mount -a
df -h