etc

一、本文接着上文继续进行node1节点的添加 因为有许多和上次相同的步骤，故此处通过脚本来执行 #停止firewalld服务 systemctl stop firewalld && systemctl disable firewalld #关闭selinux sed -i 's/^SELINUX=enforing$/SELINUX=disabled' /etc/selinux/config && setenforce 0 #关闭swap设置 swapoff -a yes | cp /etc/fstab /etc/fstab_bak cat /etc/fstab_bak |grep -v swap > /etc/fstab #解决流量路径不正确问题 cat <<EOF > /etc/sysctl.d/k8s.conf vm.swappiness = 0 net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-call-iptables = 1 net.ipv4.ip_forward = 1 EOF #使配置生效 modprobe br_netfilter sysctl -p /etc/sysctl.d/k8s.conf #更改hosts文件 cat >> /etc/hosts <<EOF 192.168.0.1

jdk配置安装： 0 获取下载地址：http://www.oracle.com/technetwork/java/javase/downloads/jdk9-downloads-3848520.html 允许协议--F12打开chrom的network--点击下载--copy发出请求的下载链接 1 wget http://download.oracle.com/otn-pub/java/jdk/8u77-b03/jdk-8u77-linux-x64.tar.gz?AuthParam=1459915745_19bf5d0994b8d6efc186ab03fd7e16de 下载jdk 2 tar xzf jdk-8u77-linux-x64.tar.gz 解压压缩包 3 在usr/local路径下建立文件夹development ，将解压的jdk-8u77-linux-x64 文件夹复制进来；得到路径：usr/local/development/jdk-8u77-linux-x64 4 配置环境变量： 在/etc/profile.d/文件夹下创建development.sh文件，将以下内容复制进去并保存 export JAVA_HOME=/usr/local/development/jdk-8u77-linux-x64 export JRE_HOME=$JAVA_HOME/jre

详细可以看：http://www.linuxidc.com/Linux/2013-12/94242.htm 所谓虚拟用户就是没有使用真实的帐户，只是通过映射到真实帐户和设置权限的目的。虚拟用户不能登录CentOS系统。 修改配置文件 打开/etc/vsftpd/vsftpd.conf，做如下配置 anonymous_enable=NO //设定不允许匿名访问 local_enable=YES //设定本地用户可以访问。注：如使用虚拟宿主用户，在该项目设定为NO的情况下所有虚拟用户将无法访问 chroot_list_enable=YES //使用户不能离开主目录 ascii_upload_enable=YES ascii_download_enable=YES //设定支持ASCII模式的上传和下载功能 pam_service_name=vsftpd //PAM认证文件名。PAM将根据/etc/pam.d/vsftpd进行认证 以下这些是关于vsftpd虚拟用户支持的重要配置项，默认vsftpd.conf中不包含这些设定项目，需要自己手动添加 guest_enable=YES //设定启用虚拟用户功能 guest_username=ftp //指定虚拟用户的宿主用户，CentOS中已经有内置的ftp用户了 user_config_dir=/etc/vsftpd/vuser_conf

Docker的安全性 Docker的安全性主要体现在如下几个方面： Docker容器的安全性这是指容器是否会危害到宿主机或其他容器； 镜像的安全性用户如何确保下载下来的镜像是可信的、未被篡改过的； Docker daemon的安全性如何确保发送给daemon的命令是由可信用户发起的。用户通过CLI或者REST API向daemon发送命令已完成对容器的各种操作，例如通过docker exec命令删除容器里的数据，因此需要保证client与daemon的连接时可信的。 Docker容器的安全性 容器的安全性问题的根源在于容器和宿主机共用内核，因此受攻击的面特别大，另外，如果容器里的应用导致Linux内核崩溃，那么毫无疑问，整个系统哥都会崩溃。这一点与虚拟机是不同的，虚拟机与宿主机的接口非常有限，而且虚拟机崩溃一般不会导致宿主机崩溃。 在共用内核的前提下，容器主要通过内核的Cgroup和Namespace这两大特性来达到容器隔离和资源限制的目的。目前Cgroup对系统资源的限制已经比较完善了，但Namespace的隔离还是不够完善，只有PID、mount、network、UTS、IPC和user这几种。而对于未隔离的内核资源，容器访问时也就会存在影响到宿主机及其他容器的风险。 比如，procfs里的很多接口都没有被隔离，因此通过procfs可以查询到整个系统的信息，例如系统的CPU

Docker的安全性 Docker的安全性主要体现在如下几个方面： Docker容器的安全性这是指容器是否会危害到宿主机或其他容器； 镜像的安全性用户如何确保下载下来的镜像是可信的、未被篡改过的； Docker daemon的安全性如何确保发送给daemon的命令是由可信用户发起的。用户通过CLI或者REST API向daemon发送命令已完成对容器的各种操作，例如通过docker exec命令删除容器里的数据，因此需要保证client与daemon的连接时可信的。 Docker容器的安全性 容器的安全性问题的根源在于容器和宿主机共用内核，因此受攻击的面特别大，另外，如果容器里的应用导致Linux内核崩溃，那么毫无疑问，整个系统哥都会崩溃。这一点与虚拟机是不同的，虚拟机与宿主机的接口非常有限，而且虚拟机崩溃一般不会导致宿主机崩溃。 在共用内核的前提下，容器主要通过内核的Cgroup和Namespace这两大特性来达到容器隔离和资源限制的目的。目前Cgroup对系统资源的限制已经比较完善了，但Namespace的隔离还是不够完善，只有PID、mount、network、UTS、IPC和user这几种。而对于未隔离的内核资源，容器访问时也就会存在影响到宿主机及其他容器的风险。 比如，procfs里的很多接口都没有被隔离，因此通过procfs可以查询到整个系统的信息，例如系统的CPU

1：进入vim /etc/sysconfig/network-scripts目录 2：先编辑网卡的配置文件将里面的NAME DEVICE项修改为eth0 vim /etc/sysconfig/network-scripts/ifcfg-eno16777736 3：修改name和device值为eth0 4：重命名 mv ifcfg-eno16777736 ifcfg-eth0 5：修改/etc/default/grub文件 修改GRUB_CMDLINE_LINUX="crashkernel=auto rd.lvm.lv=centos/root rd.lvm.lv=centos/swap rhgb quiet " 为GRUB_CMDLINE_LINUX="crashkernel=auto rd.lvm.lv=centos/root rd.lvm.lv=centos/swap rhgb quiet net.ifnames=0 biosdevname=0" 6：运行命令grub2-mkconfig -o /boot/grub2/grub.cfg 来重新生成GRUB配置并更新内核参数 7：重启服务器 来源： https://www.cnblogs.com/feiyun126/p/7308030.html

1. 选择镜像 2. 安装CentOS7 3. 其他必要修改 注意：安装好后，没有ifconfig命令 3.1 主机名修改 [zhang@lnmp ~]$ cat /etc/hostname zhang 　　 3.2 网卡名修改 配置修改 我们在命令行中键入 #:vim /etc/default/grub命令来编辑环境变量值。 并在变量 GRUB_CMDLINE_LINU中加入 :net.ifnames=0来禁用新的命名规则 [root@docker01 ~]# cat /etc/default/grub GRUB_TIMEOUT=5 GRUB_DISTRIBUTOR="$(sed 's, release .*$,,g' /etc/system-release)" GRUB_DEFAULT=saved GRUB_DISABLE_SUBMENU=true GRUB_TERMINAL_OUTPUT="console" GRUB_CMDLINE_LINUX="net.ifnames=0 crashkernel=auto rhgb quiet" GRUB_DISABLE_RECOVERY="true" 　　 保存后需要重新生成 grub配置文件并更新内核参数，为此我们需要运行 #grub2-mkconfig -o /etc/grub2.cfg 如下图 修改网卡文件名

0x00 前言 面试时发现关于 SUID 并不是很清楚，所以学习记录下 0x01 关于 SUID SUID（设置用户ID）是赋予文件的一种权限，它会出现在文件拥有者权限的执行位上，具有这种权限的文件会在其执行时，使调用者暂时获得该文件拥有者的权限。 那么，为什么要给Linux二进制文件设置这种权限呢？其实原因有很多，例如，程序ping需要root权限才能打开网络套接字，但执行该程序的用户通常都是由普通用户，来验证与其他主机的连通性。 但是，如果某些现有的二进制文件和实用程序具有SUID权限的话，就可以在执行时将权限提升为root。 如 passwd 的权限： 用户可以输入自己的密码或者不需要密码在root权限下执行命令，这可在设置文件 /etc/sudoers 中配置。 1.1 /etc/sudoers 语法 root ALL=(ALL) ALL root 用户可以从 ALL（任何）终端执行，充当ALL（任何）用户，并运行ALL（任何）命令。第一部分指定用户，第二部分指定可充当用户，第三部分指定 sudo 可运行的命令。 touhid ALL= /sbin/poweroff 输入 touchid 的密码，可以 sudo 执行 poweroff 命令。 touhid ALL = (root) NOPASSWD: /usr/bin/find 不输入密码,可以 sudo 执行 find

Heartbeat 3与 2.x的最大差别在于，3 按模块把的原来2.x 拆分为多个子项目，并且提供了一个cluster-glue的组件，专用于Local ResourceManager 的管理。即heartbeat + cluster-glue + resouce-agent 三部分： 引用 （1）hearbeat本身是整个集群的基础（cluster messaging layer），负责维护集群各节点的信息以及它们之前通信； （2）cluster-glue相当于一个中间层，可以将heartbeat和crm（pacemaker）联系起来，主要包含2个部分，LRM和STONITH； （3）resource-agent，就是各种的资源的ocf脚本，这些脚本将被LRM调用从而实现各种资源启动、停止、监控等等。 通过这三部分已可构成一套完整的HA集群系统。但是，这还不够，因为没有管理工具。 而原GUI 工具Cluster Resource Manager （简称CRM）也被拆分由另一独立项目Pacemaker 负责。Pacemaker 提供了多种用户接口： 引用 （1）crm shell 基于字符的管理方式； （2）一个使用Ajax Web配置方式的web konsole 窗口； （3）hb_gui ，即heartbeat gui 图形配置工具，这也是原来2.x的默认GUI 配置工具；

使用Heartbeat实现”双机热备”或者称为“双机互备” heartbeat的工作原理：heartbeat最核心的包含两个部分，心跳监測部分和资源接管部分，心跳监測能够通过网络链路和串口进行，并且支持冗余链路，它们之间相互发送报文来告诉对方自己当前的状态，假设在指定的时间内未受到对方发送的报文，那么就觉得对方失效，这时需启动资源接管模块来接管执行在对方主机上的资源或者服务。 heartbeat的两台主机分别为主节点和从节点。主节点在正常情况下占用资源并执行全部的服务，遇到故障时把资源交给从节点并由从节点执行服务 一、网络环境设定 每一个主机分别带有两块以太网卡，当中一块用于网络通信，还有一块用于心跳功能。两个节点的网络设置例如以下： node1: 主机名：srv5.localdomain ( NodeA ) eth0: 192.168.8.5 255.255.255.0 //对外IP地址 eth1: 192.168.9.5 255.255.255.0 //HA心跳使用地址 node2: 主机名：srv6.localdomain ( NodeB ) eth0: 192.168.8.6 255.255.255.0 //对外IP地址 eth1: 192.168.9.6 255.255.255.0 //HA心跳使用地址 vip： 192.168.8.100