这一周复习RH134书籍。这本书籍花了点时间,虽然前期有基础,其中很多细节还是第一次接触到。但是对于存储方面的知识在实际中没有接触,虚拟化上也没有实践过,只能走马观花看看,下面的知识点也不总结存储方面的知识了。
后面的几个章节启动过程、防火墙、podman容器等等以前笔者测试实践过,算是复习了一下并把一些细节熟悉了一下 。
1、转移文本中含有多个字符时,可以多次使用转义字符或采用单引号。
2、命令行循环:for host in host{1,2,3};do echo $host;done 。
3、exit可使用0-255之间的整数参数来退出,如果不指定任何参数,则脚本自动退出并将最后执行命令的参数退出状态传递给父进程 。
4、test测试命令等同于 [ ] 。
5、正则表达式 ,^dog搜索开头,dog$搜索结尾,d.g搜索除换行符之外的任何单个字符,d[odf]g约束的或者搜索,*表示没有或者一个或者多个字符。
6、at从标准输入读取要执行的命令,atq和at -l检查待处理作业。watch atq每隔两秒更新一次atq的输出,实时监视延迟作业的队列。
7、crontab -r删除当前用户的所有作业,crontab filename删除所有作业并从文件中读取任务,如果没有指定文件则从stdin 。超级用户crontab -u管理其他用户的任务。
8、/etc/cron.d/0hourly调用run-parts执行/etc/cron.hourly中的脚本,守护进程crond调用/etc/anacrontab配置中执行cron.daily、cron.weekly、cron.monthly。/var/spool/anacron有任务执行的时间戳防止系统关闭或者休眠导致任务跳过。
9、systemd timer,修改定时器单元配置后,使用systemctl daemon-reload重载,systemctl enable --now 激活定时器 。
10、systemd-tmpfiles --clean清理临时文件,具体可参考文章-Linux管理临时文件tmpfiles 。
11、tuned守护进程管理调优配置文件来优化系统性能。tuned根据服务启动时或者选择新调优配置文件时应用系统设置(静态),tuned也可以监视系统活动动态调整 。tuned-adm active显示当前配置,tuned-adm list累出全部配置,tuned-adm profile 更换配置,tuned-adm recommen 推荐配置,tuned-adm off关闭调优。web控制台也可以设置。
12、nice级别优先级范围-20(最高)—19(最低),默认进程继承父进程的优先级,默认为0。普通用户只能提高自己进程的nice级别,不能降低。top可显示进程NI和PR值,nice的-20对应系统内部priority值的0,19对应39 。ps也可以指定nice列 。
13、使用nice后默认 nice优先级为0,nice -n可以指定优先级。非特权用户只能在0的基础上提高nice值。renice -n更改现有进程的nice级别 。
14、访问控制列表acl可以要求多个指定用户和组以不同的权限积来访问文件。权限字符串后面的+表示该文件上存在若干条目的扩展ACL结构,getfacl可以查看具体的条目。如果使用chmod更改具有ACL权限的组权限。则不会更改组所有者权限,而是更改ACL掩码 。ACL掩码表示为所有指定用户、组所有者和指导组提供的最大权限。
15、setfacl添加、删除、修改文件和目录的标准acl。setfacl -m u:name:rX file ,name
为空表示文件所有者。setfacl -m g:name:rw file ,name为空表示组所有者。setfacl -m o::- file ,设置其他权限 。setfacl -m m::rw file,设置掩码为rw。多个条目使用逗号分隔。setfacl -x为删除条目。setfacl -b会删除所有条目 。
16、使用getfacl作为输入,getfacl file-a | setfacl --set-file=- file-b 。-表示指定使用stdin 。
17、控制文件夹的默认ACL,setfacl命令一样,只是以d:开头或者命令行使用-d选项 。默认ACL不会对目录实施访问控制权限,而是提供ACL权限继承 。stefacl -k 删除单个默认ACL,stefacl -k dicrection删除所有默认ACL。
18、getenforce获取selinux模式,setenforce设置。具体参考笔者的文章-Linux安全增强模块SELinux实践 。-Z可查看上下文信息 。
19、新文件通常从父目录继承其selinux上下文。移动的文件是原创建目录的上下文,cp -a复制保留上下文。更改上下文有命令包括:semanage fcontext、restorecon、chcon 。chron不会将更改保存到selinux上下文数据库中,首选方法是semanage fcontext 。restorecon可将当前上下文应用于文件 。
20、semanage fcontext -a添加,semanage fcontext -l列出、semanage fcontext -d删除。修改后规则后需要使用restorecon来应用 。
21、selinux布尔值是更改selinux策略行为的参数。getsebool累出布尔值及状态,setsebool设置,setsebool -P使得策略在重启后持久,semanage boolean -l报告布尔值是否持久即描述 。semanage boolean -l -C列出当前状态于默认不同的布尔。
22、estorecon可以改正不正确的上下文关系 。对于严苛限制性访问的另一个补救措施是调整布尔值,但是布尔值会对安全性造成广泛的影响。selinux可能存在策略漏洞。/var/log/audit/audit.log有关于selinux的审核消息 ,可以用来定位问题所在 。
23、parted管理分区,要在重启后自动挂载,需要在?/etc/fstab文件中添加条目,然后运行systemdctl daemon-reload 注册配置或者重启,文件中存在错误条目可能会导致计算机无法启动,在重启前mount命令测试验证是否有效。可以使用findmnt --verity命令来控制这个文件。
24、swap交换空间保存不活动的内存页来补充RAM,交换区位于磁盘上,比较慢,进程kwsapd0进程来控制,交换空间不是可持续的解决方案。parted创建分区并设置文件系统为linux-swap,每次启动都激活交换分区须在/etc/fstab文件中添加条目。
25、poweroff和reboot是systemctl同等命令的软链接。systemctl halt也可停止系统,与poweroff不同会让系统进入能手动关闭的状态 。
26、graphical.target包含multi-user.target,systemctl isolate可以切换到其他目标,systemctl set-default 设置默认目标。在启动时可以从启动加载器将system.unit=**.target选项附加在内核命令行中。 systemctl list-units --type=target --all可以列出可用目标。
27、启动加载器将rd.break选项附加在内核命令行中,以读写形式重新挂载/sysroot ,可以重置root密码 。
28、firewalld是一个动态防火墙管理器,是nftables框架的前端(使用nft命令)。配置防火墙可以有三种方法:1、直接编辑/etc/firewalld/中的配置文件;2、web控制台图形界面;3、firewall-cmd命令行工具。
29、selinux不仅对文件和进程进行标记,selinux策略还严格实施网络流量,其实一个方法就是标记网络端口。semanage port -l列出端口标记,一个端口标记可能会输出多次。semanage 可以分配、删除、修改端口标签 。
30、kickstart自动安装系统,kickstart generator可以生成kickstart文件。
31、yum module install virt 可以安装虚拟化工具。安装yum install cockpit-machines 以便为cockpit添加visual machines菜单 。cockpit在容器、虚拟化、防火墙等方面都可以可视化来配置。
32、容器参考文章-CentOS8的podman容器 。podman port -a查看所有的端口映射 。podman inspect检查容器镜像。-e选项可以将环境变量传递到容器内的进程 。容器额存储具有临时性,移除容器后内容消失 ,-v host_file:podman_file:Z设置永久储存位置,Z选项可以自动将selinux的container_file_t上下文类型应用到主机目录 。
33、用户服务作为非root用户启动启用时,该服务在通过文本或者图形化控制台或ssh打开第一个会话时开启,关闭最后一个会话时服务停止。此行为与系统服务不同 。可以运行loginctl enable_linger命令来更改次此行为, loginctl show-user username查看当前状态 。loginctl disable_linger 恢复 。
34、podman自启动问题参考docker/podman容器自启动设置。在大量是容器时,为了简化rootless容器的管理可以创建一个用于所有容器的专用账户 。podman generate systemd 在这个目录下创建用户的.servoice文件。也可以在/etc/systemd/system目录中创建系统服务 。
网友评论