selinux

PXE+kickstart 无人值守安装操作系统 企业数据中心中，服务器一般都较多，假如新购买一百台服务器装系统及初始化，对于咱运维工程师来说，如果按照一台台安装工作量巨大，所以掌握kickstart无人值守系统是必须的 一、kickstart框架 二、安装准备 2.1 kickstart 服务器说明 系统：centos7.8 内存：2G cpu：1核 网卡eth33：192.168.197.128 /24 2.2 关闭selinux setenforce 0 #临时关闭SELinux sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config #永久关闭SELinux（重启生效） systemctl stop firewalld.service #临时关闭防火墙 systemctl disable firewalld.service #永久关闭防火墙 2.3 syslinux安装 syslinux 是引导加载程序，是一个小型的linux系统 yum install syslinux syslinux-devel -y 安装完成后，在/usr/share/syslinux中会有pexlinux.0 ，用来引导系统 2.4 httpd+dhcp+tftp+Xinetd 服务安装 yum install

前言 ipvsadm是Linux虚拟服务器的 管理命令 ，是用于设置、维护和检查Linux内核中虚拟服务器列表的命令。Linux虚拟服务器可用于基于两个或更多个节点的集群 构建可扩展的网络服务 。群集的活动节点将服务请求重定向到真正执行服务的服务器主机上。支持TCP和UDP协议，支持三咱数据包转发方法（NAT、隧道、直接路径）以及 八种负载均衡算法 （轮询、加权轮询、最少连接、加权最少连接、基于位置的最小连接，基于位置的最小连接与复制，目标散列和源散列）。 keepalived是一个 类似于layer3, 4 & 5交换机制的软件 ，也就是我们平时说的第3层、第4层和第5层交换。Keepalived的作用是检测服务器的状态，如果有一台web服务器宕机，或工作出现故障，Keepalived将检测到，并将有故障的服务器从系统中剔除，同时使用其他服务器代替该服务器的工作，当服务器工作正常后Keepalived自动将服务器加入到服务器群中，这些工作全部自动完成，不需要人工干涉，需要人工做的只是修复故障的服务器。 LVS集群搭建 1 环境准备 主机名 主机 IP 备注 lb03 172.16.7.15 01.Cent0S7.4系统 02.防止干扰暂时防火墙firewall和Selinux关闭 03.web03和web04只安装web服务，并满足 curl http://10.0.0.17

前言 在使用阿里云和腾讯云的redis 可以减少很大的维护量。但是在我们的业务场景中遇到了一个情况，阿里和腾讯的redis均不支持外网访问。 因此，正好帮人解决一个问题，就拿出来分享一下。 阿呆的故事 阿呆是从事编程工作半年，一直使用阿里云和腾讯云。公司在要在全球部署服务器，由于运维成本高等问题，将所有服务采用了私有云+公有云的模式。 redis就架在了公有云上，结果在部署到全球5个地区的时候，全球5个地区都无法访问北京的redis。 阿呆的分析 阿呆的分析： 防火墙 公有云的规则 selinux 阿呆解禁了公有云上的安全组规则，失败； 后来几次打听才了解到redis不让外网访问。 阿呆的解决办法 使用转发方式 自建redis server 由于redis 要求可靠性很高，转发可能会影响到性能，阿呆放弃了这种方式。 自建redis吧，自建redis，可是阿呆发现依然不行。同样，放行了所有的网络通信还是不行。 阿呆惆怅了 突然的发现 阿呆修改配置文件，远程调试，内网访问，N种办法后，阿呆去楼下点了支烟，看了看外面的云朵，阿呆有些想妈妈了。 突然灵感突现，会不会是IP地址的问题呢，阿呆打开一看，redis server的配置文件中： bind 127.0.0.1 阿呆加上公网IP，可还是失败，服务都没办法启动了。 算了，不加了试试，注释掉bind 127.0.0.1。启动成功

安装前的准备工作 （1） 解决安装Nagios的依赖关系： Nagios基本组件的运行依赖于httpd、gcc和gd。可以通过以下命令来检查nagios所依赖的rpm包是否已经完全安装： # yum -y install httpd gcc glibc glibc-common *gd* php php-mysql mysql mysql-server mysql-devel （2）所需要安装组件： 服务端所用的安装包为 nagios nagios-plugins ndoutils(非必须) linux客户端 nrpe windows客户端 NSClient++ （3） 进行selinux设置，或者关闭selinux 开始搭建： (1)添加nagios运行所需要的用户和组： # groupadd nagcmd # useradd -m nagios # usermod -a -G nagcmd nagios 把apache加入到nagcmd组，以便于在通过web Interface操作nagios时能够具有足够的权限： # usermod -a -G nagcmd apache 2、编译安装nagios： # tar zxf nagios-3.3.1.tar.gz # cd nagios-3.3.1 # ./configure --with-command-group=nagcmd

1、环境初始化配置： yum install -y vim net-tools bind-utils lrzsz wget sysstat iotop iftop nc setenforce 0 sed -i 's#^SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config getenforce systemctl disable firewalld systemctl stop firewalld cp /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo wget -P /etc/yum.repos.d/ http://mirrors.aliyun.com/repo/epel-7.repo yum clean all yum makecache yum -y install gcc yum -y install gcc-c++ 2、docker 安装： yum remove docker \ docker-client \ docker-client

#!/bin/bash #Author:jack wang br/>#Work:安装初始化 #Phone-num:1888888888 #QQ-mail:2891133555@qq.com #Date:2020-08-12 #Version:2.0 #* ** RED="\033[5;31m" GREEN="\033[32m" WHITE="\033[37m" YELLOW="\033[5;33m" END="\033[0m" 颜色标识 echo -e "${WHITE}本程序仅为centos{6,7,8}版本提供如下服务： \n1，关闭selinux； \n2，关闭防火墙； \n3，修改网卡名； \n4，修改主机名； \n5，安装基础软件包; \n6，q|Q退出。 \n${END}" D_SE() { egrep "^SELINUX=Enforcing" /etc/selinux/config if [ $? -ge 0 ];then sed -i "/^SELINUX=/s/Enforcing/disabled/g" /etc/selinux/config fi echo -e "${GREEN}SELINUX is disabled now!${END}\n" } #关闭selinux D_FI() { Version=$(echo uname -r | awk -F "."

服务器安全问题，一直是大多数站长很关心却完全不知道该如何解决的。要不就是完全不设防的状态存着侥幸心理在“裸奔”，要不就是花钱让别人帮忙维护，还要确保找的人足够可靠。其实系统本身带有大量的安全工具和安全机制，只要合理的设置并利用他们，就可以防御大部分基础的攻击。比如selinux、snort和honeynet。 统一集中化管理工具 大多数互联网公司来说，服务器的数量相对较大，很多单机的工具就不太合适。这时候可以使用统一集中化的管理工具，有效的简化多台服务器的系统管理工作。Windows下可以用域，linux下可以用ldap，或者像Puppet、Func之类的工具。类似于木马一样，每一台服务器都装一个agent。 最小权限访问控制策略 比如网络访问控制，Windows可以使用IPSec、linux可以使用IPTABLES。针对游戏服务器，那么除了游戏端口，什么都不要让普通用户访问。而web应用就只开放80/443。文件权限控制，不要什么都777，对应在WIndows平台下，不要什么都是Everyone完全控制。 补丁与反病毒 这是大家都比较信赖的方案，但补丁防不住0day漏洞，杀毒软件也可以用免杀绕过（虽然在HIPS的围剿中正越来越难）。补丁和反病毒软件是一个基础必备却并不能依赖的方案。Windows下可以用WSUS进行补丁的部署，Linux下需要通过统一集中化管理工具来推送。

一、FTP server 1、简介 名词解释：FTP（File Transfer Protocol，文件传输协议） 是 TCP/IP 协议组中应用层的协议之一。 logo： 作用 ： 提供文件共享服务，互联网上多的媒体资源和软件资源。绝大部分都是通过FTP服务器传递。 软件包：vsftp 2、基础 控制端口 command 21/tcp 数据端口 data 20/tcp 3、FTP Server 默认配置 ① 安装vsftp [root@localhost ~]# yum -y install vsftpd //安装vsftp程序 请提前准备好YUM源 ② 准备分发的文件 [root@localhost ~]# touch /var/ftp/abc.txt 注释：FTP服务器的主目录：“/var/ftp/”，是FTP程序分享内容的本机目录。 ③ 启动服务 [root@localhost ~]# systemctl start vsftpd [root@localhost ~]# systemctl enable vsftpd ④ 关闭防火墙 # systemctl stop firewalld # systemctl disable firewalld # setenforce 0 # vim /etc/selinux/config 修改内容为：SELINUX=disabled

1.什么是云计算 1：什么是云计算？ 云计算是通过虚拟化技术去实现的，它是一种按量付费的模式！ 2：为什么要用云计算？ 小公司：1年，20人+，500w，招一个运维，15k，(10台*1.5w，托管IDC机房，8k/年,带宽 100M，5个公网ip， 10k/月), 买10台云主机，600*10=6000 大公司：举行活动，加集群，把闲置时间出租，超卖（kvm） 16G，kvm，64G（ksm），金牌用户（200w+/月） 3:云计算有哪些功能？虚拟机的管理平台（计费） kvm：1000宿主机（agent），虚拟出2w虚拟机， 虚拟机的详细情况：硬件资源，ip情况统计？ 虚拟机管理平台：每台虚拟机的管理，都用数据库来统计 4：云计算的服务类型 IAAS 基础设施即服务 ECS云主机 自己部署环境，自己管理代码和数据 infrastructure as an service PAAS(docker) 平台即服务 提供软件的运行环境，java ，python,go, c#,nodejs 自己管理代码和数据 platfrom as an service SAAS 软件即服务 企业邮箱，cdn,rds software as an service openstack实现的是云计算IAAS，开源的云计算平台，apache 2.0，阿里云（飞天云平台） 2.openstack （soa架构）

和内核交互 netlink netlink 内核和用户进程交互 用户空间用的是 socket ，内核空间用的是内部 API 和一个模块。 向下兼容。 面向数据包的应用。即 SOCK_RAW and SOCK_DGRAM 函数原型 #include <asm/types.h> #include <sys/socket.h> #include <linux/netlink.h> netlink_socket = socket(AF_NETLINK, socket_type, netlink_family); socket_type SOCK_RAW and SOCK_DGRAM 对于 netlink 都是一样的。 netlink_family 选择内核模块或者说 netlink 组 NETLINK_ROUTE 接收路由信息，更新链接信息，更新路由表，网络邻居，排队规则，拥塞等等。 NETLINK_SELINUX linux 事件通知 NETLINK_AUDIT 审计模块，用于检测统计内核的操作，比如杀死进程，退出等。 aditctl NETLINK_CONNECTOR 内核链接器 5.2 版本及以前 略 netlink 包协议栈 一个或多个头部 struct nlmsghdr struct nlmsghdr { __u32 nlmsg_len; /* Length of message