selinux

简介 Teleport是一款简单易用的开源堡垒机系统，具有小巧、易用的特点，支持 RDP/SSH/SFTP/Telnet 协议的远程连接和审计管理。 Teleport由两大部分构成： 1)跳板核心服务 2)WEB操作界面 Teleport非常小巧且极易安装部署，由于Teleport内建了所需的脚本引擎、WEB服务等模块，因此不需要额外安装其他的库或者模块，整个系统的安装与部署非常方便 特点 1、极易部署，简洁设计，小巧灵活，无额外依赖 2、安全增强，配置远程主机仅可被teleport服务器连接，可有效降低嗅探、扫描、暴力破解等***风险 3、单点登录，只需登录teleport服务器，即可一键连接您的任意远程主机，无需记忆每台远程主机的密码 4、按需授权，可以授权指定运维人员访问指定的远程主机，也可回收授权 5、运维审计，对远程主机的操作均有详细记录，支持操作记录录像、回放，可轻松完成审计工作 前期准备 准备三台Centos7虚拟机，配置IP地址和Hostname，同步系统时间，关闭防火墙和selinux，修改IP地址和hostname映射 ip hostname role 192.168.29.133 jumpserver 跳板机 192.168.29.132 master 服务器 192.168.29.138 bak 服务器

1 、挂载系统 ISO 镜像，配置本地 YUM 源 2 、安装 oracle 系统依赖包 yum install -y binutils-* compat-libstdc++-33-* elfutils-libelf-* gcc-* glibc-* glibc-common-* glibc-devel-* glibc-headers-* ksh-* libaio-* libgcc-* libstdc++-* make-* sysstat-* unixODBC-* unixODBC-devel-* compat-* libXi-* sysstat-* 3 、关闭防火墙及 selinux 并重启生效 3.1 、关闭防火墙： iptables 、 firewalld 3.2 、关闭 selinux 3.3 重启 reboot 4 、修改主机名、配置 IP 地址 4.1 、修改主机名 4.2 、配置固定 IP 地址 5 、创建用户及用户组 groupadd oinstall groupadd dba useradd -g oinstall -G dba -m oracle echo oracle | passwd --stdin oracle 6 、创建 oracle 数据库安装目录 mkdir -p /u01/app/oracle/product/11.2.0/db_1 chown -R

简介 puppet是一种Linux、Unix、windows平台的集中配置管理系统，使用自有的puppet描述语言，可管理配置文件、用户、cron任务、软件包、系统服务等。puppet把这些系统实体称之为资源，puppet的设计目标是简化对这些资源的管理以及妥善处理资源间的依赖关系。 puppet采用C/S星状的结构，所有的客户端和一个或几个服务器交互。每个客户端周期的（默认半个小时）向服务器发送请求，获得其最新的配置信息，保证和该配置信息同步。每个puppet客户端每半小时(可以设置)连接一次服务器端, 下载最新的配置文件,并且严格按照配置文件来配置客户端. 配置完成以后,puppet客户端可以反馈给服务器端一个消息. 如果出错,也会给服务器端反馈一个消息。 工作流程 puppet客户端首先会连接到puppet服务器端,并且通过facter工具把客户端的基本配置信息发送给服务器端. 服务器端通过分析客户端的主机名,通过node 定义,找到该主机的配置代码,然后编译配置代码,把编译好的配置代码发回客户端,客户端执行代码完成配置.并且把代码执行情况反馈给puppet服务器端. 常用资源 常见的资源有notify（调试与输出）,file（配置文件）,package（软件安装）,service（服务管理）,exec（执行命令）,cron（定时脚本）,user(用户),group(用户组)

安装docker的时候遇到以下问题 [root@sm-docker249 yum.repos.d]# yum install docker-ce docker-ce-cli containerd.io Loaded plugins: fastestmirror, langpacks docker-ce-nightly | 3.5 kB 00:00 docker-ce-stable | 3.5 kB 00:00 docker-ce-test | 3.5 kB 00:00 (1/4): docker-ce-test/x86_64/primary_db | 115 kB 00:00 (2/4): docker-ce-nightly/x86_64/updateinfo | 55 B 00:00 (3/4): docker-ce-test/x86_64/updateinfo | 55 B 00:00 (4/4): docker-ce-nightly/x86_64/primary_db | 166 kB 00:00 Loading mirror speeds from cached hostfile Resolving Dependencies --> Running transaction check ---> Package containerd.io.x86_64 0:1.2.13-3

修改ssh默认端口 1 . 登录服务器，打开sshd_config文件 [root@centos ~]# vim /etc/ssh/sshd_config 1 2 . 找到#Port 22，默认是注释掉的，先把前面的#号去掉，再插入一行设置成你想要的端口号，注意不要跟现有端口号重复 ...... # If you want to change the port on a SELinux system, you have to tell # SELinux about this change. # semanage port -a -t ssh_port_t -p tcp #PORTNUMBER Port 22 Port 10022 ..... SSH默认监听端口是22，如果你不强制说明别的端口，”Port 22”注不注释都是开放22访问端口。上面我保留了22端口，防止之后因为各种权限和配置问题，导致连22端口都不能访问了，那就尴尬了。等一切都ok了，再关闭22端口。 Ok，继续，我增加了10022端口，大家修改端口时候最好挑10000~65535之间的端口号，10000以下容易被系统或一些特殊软件占用，或是以后新应用准备占用该端口的时候，却被你先占用了，导致软件无法运行。 3 . 重启SSH服务，最好也重启下服务器 systemctl restart sshd shutdown

Kubespray 是 Kubernetes incubator 中的项目，目标是提供 Production Ready Kubernetes 部署方案，该项目基础是通过 Ansible Playbook 来定义系统与 Kubernetes 集群部署的任务，具有以下几个特点： l 可以部署在 AWS, GCE, Azure, OpenStack 以及裸机上 . l 部署 High Available Kubernetes 集群 . l 可组合性 (Composable) ，可自行选择 Network Plugin (flannel, calico, canal, weave) 来部署 . l 支持多种 Linux distributions(CoreOS, Debian Jessie, Ubuntu 16.04, CentOS/RHEL7). GitHub 地址： https://github.com/kubernetes-sigs/kubespray 环境准备 1 ）所以的主机都需要关闭 selinux ，执行的命令如下： setenforce 0 sed -i --follow-symlinks 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/sysconfig/selinux 2 ）防火墙（可选）和网络设置，所有的主机都执行以下命令

Docker从1.13版本之后采用时间线的方式作为版本号，分为社区版CE和企业版EE。 社区版是免费提供给个人开发者和小型团体使用的，企业版会提供额外的收费服务，比如经过官方测试认证过的基础设施、容器、插件等。 社区版按照stable和edge两种方式发布，每个季度更新stable版本，如17.06，17.09；每个月份更新edge版本，如17.09，17.10。 一、安装docker 1、Docker 要求 CentOS 系统的内核版本高于 3.10 ，查看本页面的前提条件来验证你的CentOS 版本是否支持 Docker 。 通过 uname -r 命令查看你当前的内核版本 $ uname -r 2、使用 root 权限登录 Centos。确保 yum 包更新到最新。 $ sudo yum update 3、卸载旧版本(如果安装过旧版本的话) $ sudo yum remove docker docker - common docker - selinux docker -engine 4、安装需要的软件包， yum-util 提供yum-config-manager功能， 另外两个是devicemapper驱动依赖的 $ sudo yum install -y yum -utils device-mapper-persistent-data lvm2 5、设置yum源 $

1.NFS：网络文件系统，用于在linux和unix或linux之间实现目录共享;监听在tcp/udp的2049端口，它是运行在应用层的协议。 2.NFS的优点：可以节省本地存储空间、可以减少移动介质的使用及可以进行备份上传。 3.NFS的缺点：不能用在linux和windows之间共享文件。 4.NFS的架构：C/S架构，即一个服务端，一个或多个客户端 5.NFS工作机制： nfs是基于rpc（远程过程调用协议）协议来实现网络文件共享的。 nfs服务器运行着四个进程： nfsd：nfs的守护进程，监听tcp/udp的2049端口上 mountd：用于验证客户端是否在允许访问的客户端列表中 idmapd：用于实现将访问用户集中映射为nfsnobody portmapper：rpc服务，监听在tcp/udp的111端口上，用于管理远程过程调用（远程过程调用：访问远程主机上的服务程序）。 6.NFS的简单工作流程：客户端发起一个请求指令给内核，内核通过nfs模块知道要去远端nfs主机上去查找，内核将请求指令封装成rpc请求通过tcp的111端口发送到远端nfs主机的tcp111端口上。客户端需要依据远端nfs主机的rpc服务进程告知给其的mountd端口号进行身份验证。验证完，客户端持令牌去找nfs进程，请求服务。服务端的nfsd进程发起本地系统调用

KVM全称"Kernel-based Virtual Machine",即基于内核的虚拟机，在linux内启用kvm需要硬件，内核和软件(qemu)支持，这篇文章教你如何配置并安装KVM虚拟机. 检查硬件和系统的兼容性 检查硬件虚拟化: LC_ALL=C lscpu | grep Virtualization 这行代码其中 LC_ALL=C为设置输出语言用，lscpu输出CPU信息，在输出的CPU信息里面查找“Virtualization”(虚拟化),输出结果如果有"AMD-V"(AMD CPU) 或者"VT-X"(Intel CPU),则说明你的电脑硬件支持并且已开启虚拟化，可以下一步 那如果没有显示以上两种呢，就进入BIOS(或者UEFI)找到虚拟化/virtualization/VT-X/AMD-V一般来说是这四个名字里面任意一个，当然，如果你的班子BIOS里面是virtualization里面有vt-x和vt-d两个的话，就两个都开。然后，理论上你就能继续了，除非，你的硬件 根本不支持虚拟化(除非厂家手动阉割,现在一般不会有这问题,博主的本本一开始买来BIOS里面就是没有AMD-V的，后来就是靠BIOS更新加上的)。 举个例子：博主linux上的显示是: Virtualization: AMD-V 则证明该电脑支持AMD 的虚拟化技术 检查系统是否支持 lsmod |

SELinux yum install -y httpd /etc/init.d/httpd start vim /etc/sysconfig/selinux 将 disabled 改为 permissive 然后一定要 reboot 之后才生效 这个实验一定要开启 httpd 同时 selinux 一定不能是 disabled [root@server7 ~]# mkdir /happy [root@server7 ~]# touch /happy/zhouqi [root@server7 ~]# ls -Zd /happy/ drwxr-xr-x. root root system_u:object_r:default_t:s0 /happy/ [root@server7 ~]# ls -Z /happy/ -rw-r--r--. root root system_u:object_r:default_t:s0 zhouqi yum install -y policycoreutils.x86_64 policycoreutils-python.x86_64 semanage 命令需要 policycoreutils-python.x86_64 这个软件包是这个软件包的一部分 restorecon 命令需要 policycoreutils.x86_64 这个软件包