0%

1. 查看当前openssh版本

[root@centos7 ~]# ssh -V
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017
[root@centos7 ~]#

2. 下载安装包和依赖包

相关依赖: yum install perl perl-Test-Harness perl-Test-Simple

3. 安装zlib

下载:

zlib: wget http://www.zlib.net/zlib-1.2.12.tar.gz

解压:

tar -xzvf zlib-1.2.12.tar.gz

安装:

cd zlib-1.2.12
./configure --prefix=/usr/local/zlib
make
make test # 这一步出错不要继续 # 看到ok字样表示成功
make install

images

4. 安装openssl

安装依赖:

yum install perl perl-Test-Harness perl-Test-Simple

下载:

wget https://www.openssl.org/source/openssl-1.1.1o.tar.gz

解压

tar -xzvf openssl-1.1.1o.tar.gz

安装:

cd openssl-1.1.1o
./config --prefix=/usr/local/openssl
make
make test
make install

常见问题:

BEGIN failed–compilation aborted at .././
Parse errors: No plan found in TAP output

原因: 没有安装步骤0中的依赖
解决: yum install perl perl-Test-Harness perl-Test-Simple

看到如下表示安装成功
images

5. openssh安装

依赖

yum install openssl-devel pam-devel

备份相关文件(删除源文件)

mv /etc/ssh{,.back}
mv /etc/pam.d/sshd{,.back}

下载

wget https://mirrors.aliyun.com/pub/OpenBSD/OpenSSH/portable/openssh-8.8p1.tar.gz

解压

tar -xzvf openssh-8.8p1.tar.gz

安装

cd openssh-8.8p1
./configure \
--prefix=/usr/local/openssh \
--with-zlib=/usr/local/zlib/ \
--sysconfdir=/etc/ssh \
--with-ssl-dir=/etc/ssh \
--with-pam \
--with-md5-passwords
make
make tests
make install

make tests 这里时间较长
看到如下表示成功
images

安装完之后会有三个warning
修改相关文件权限
chmod 600 /etc/ssh/ssh_host_rsa_key
chmod 600 /etc/ssh/ssh_host_ecdsa_key
chmod 600 /etc/ssh/ssh_host_ed25519_key

注意: 安装完不可直接systemctl去重启sshd, 可能会造成服务器无法连接
请在有ssh之外远程到服务器上的权限再去升级ssh, 避免升级过程中导致ssh无法连接

修改sshd配置文件

编辑sshd配置文件: vim /etc/ssh/sshd_config
添加: PermitRootLogin yes

复制sshd的pam配置文件

cp openssh-8.8p1/contrib/redhat/sshd.pam /etc/pam.d/sshd

使用systemctl管理sshd

配置启动脚本
cp sshd.init /etc/init.d/sshd
修改sshd的service配置文件
vim /usr/lib/systemd/system/sshd.service

[Unit]
Description=OpenSSH server daemon
Documentation=man:sshd(8) man:sshd_config(5)
After=network.target sshd-keygen.service
Wants=sshd-keygen.service

[Service]
Type=forking
ExecStart=/etc/rc.d/init.d/sshd start
ExecStop=/etc/rc.d/init.d/sshd stop
Restart=/etc/rc.d/init.d/sshd stop
[Install]
WantedBy=multi-user.target

重载systemctl
systemctl daemon-reload

mv /usr/bin/ssh{,.back}
mv /usr/sbin/sshd{,.back}
ln -s /usr/local/openssh/sbin/sshd /usr/sbin/sshd
ln -s /usr/local/openssh/bin/ssh /usr/bin/ssh

重启sshd
systemctl restart sshd

启动报错

相关问题:
error: *** working libcrypto not found
解决: yum install openssl-devel

error: PAM headers not found
解决: yum install pam-devel

Linux下系统监视

System 系统

1. iostat 设备负载信息

命令 iostat 包含在软件包 sysstat
image.png

NOTE:
查询哪个软件包提供哪个command yum whatprovides COMMAND
查询哪个软件包提供哪个文件 yum whatprovides FILE

第一份 iostat 报告显示自引导系统以来收集的统计信息。后续报告则涵盖上一份报告之后的时间。

[root@centos7 ~]# iostat
Linux 3.10.0-1160.62.1.el7.x86_64 (centos7.9) 05/11/2022 _x86_64_ (2 CPU)

avg-cpu: %user %nice %system %iowait %steal %idle
0.13 0.00 0.30 0.02 0.00 99.55

Device: tps kB_read/s kB_wrtn/s kB_read kB_wrtn
sda 1.70 23.68 17.60 336054 249741
sdb 0.06 1.82 7.55 25823 107131
dm-0 1.74 22.85 25.00 324293 354804
dm-1 0.01 0.16 0.00 2204 0

Pid 进程

Network 网络

Member 内存

Hardware 硬件

File and File system 文件和文件系统

Users 用户

Others 其他

内容转自:https://cloud.tencent.com/developer/article/1568077

一、进程状态

  • D:uninterruptible sleep (usually IO)
  • R:running or runnable (on run queue)
  • S:interruptible sleep (waiting for an event to complete)
  • T:stopped by job control signal
  • t:stopped by debugger during the tracing
  • W:paging (not valid since the 2.6.xx kernel)
  • X:dead (should never be seen)
  • Z:defunct (“zombie”) process, terminated but not - reaped by its parent
Read more »

在当下, Linux 服务器的安全问题越来越频发,服务器被恶意入侵,业务数据被恶意删除和加密以及服务器被劫持作为 DDos 肉鸡等.为了增强 Linux 服务器的安全性,给大家推荐一款开源的防病毒软件 ClamAV,并附上相关安装配置步骤供参考.
关于 ClamAV 的更多详情, 参考 ClamAV 文档

Read more »

LVM是逻辑卷管理(Logical Volume Manager)的简称,它是Linux环境下对磁盘分区进行管理的一种机制。LVM通过在硬盘和文件系统之间添加一个逻辑层,来为文件系统屏蔽下层硬盘分区布局,提高硬盘分区管理的灵活性,

名词解释

  • 物理存储介质(The physical media):指系统的物理存储设备,如硬盘,系统中为/dev/hda/dev/sda/dev/vda等等,是存储系统最低层的存储单元。

NOTE: /dev/sda/dev/sda1是有区别的。 /dev/sda 表示整个sda整个硬盘, /dev/sda1表示的是硬盘上的一个分区。
好比你的电脑是256的固态, 然后划分成C, D两个盘。 sda指固态, sda1指C盘, sda2指D盘。

  • PV: 物理卷(Physical Volume):指硬盘分区或从逻辑上与磁盘分区具有同样功能的设备(如RAID), 是LVM的基本存储逻辑块。物理卷包括一个特殊的标签,该标签默认存放在第二个 512 字节扇区,但也可以将标签放在最开始的四个扇区之一。该标签包含物理卷的随机唯一识别符(UUID),记录块设备的大小和LVM元数据在设备中的存储位置。

  • VG: 卷组(Volume Group):由物理卷组成,屏蔽了底层物理卷细节。可在卷组上创建一个或多个逻辑卷且不用考虑具体的物理卷信息。

  • LV: 逻辑卷(Logical Volume):卷组不能直接用,需要划分成逻辑卷才能使用。逻辑卷可以格式化成不同的文件系统,挂载后直接使用。

  • PE: 物理块(Physical Extent):物理卷以大小相等的“块”为单位存储,块的大小与卷组中逻辑卷块的大小相同。

  • LE: 逻辑块(Logical Extent,):逻辑卷以“块”为单位存储,在一卷组中的所有逻辑卷的块大小是相同的

lvm图解

使用LVM管理硬盘的基本过程如下:

  • 1.将硬盘创建为物理卷
  • 2.将多个物理卷组合成卷组
  • 3.在卷组中创建逻辑卷
  • 4.在逻辑卷之上创建文件系统
    通过LVM管理硬盘之后,文件系统不再受限于硬盘的大小,可以分布在多个硬盘上,也可以动态扩容。

情形一: 根目录扩容

  • 0: 格式化磁盘并修改分区格式
    fdisk /dev/sdb [n, p, 1, size, t, 8e, w]

  • 1: 创建 PV
    pvcreate /dev/sdb

  • 2: 扩展 VG
    vgextend centos /dev/sdb1

  • 3: 扩展LV
    lvextend -l +100%FREE /dev/centos/root

  • 4: 刷新
    xfs_growfs /dev/centos/root

NOTE:
P.S 如果碰到 xfs 提示 xfs_growfs: /dev/centos/root is not a mounted XFS filesystem
因为不同的文件格式刷新的方式不同。
对于 xfs : xfs_growfs + 挂载点
对于 ext2/3/4: resize2fs + 挂载点

  • 确认文件系统格式和挂载点
    df -Thl
    df -Thl
    lsblk
    lsblk

环境介绍

server : debian 9 腾讯云主机 124.xxx.xxx.xxx (公网可以被访问的主机)
client : centos minimal 7.9 (VMware) 192.168.128.7 (需要被内网穿透的主机)

  1. 根据自己的版本下载 frp (server和client都要下载)
    https://github.com/fatedier/frp/releases

  2. 解压
    tar -zxvf frp_0.39.1_linux_amd64.tar.gz

官方文档

Read more »

Elasticsearch 是一个分布式的免费开源搜索和分析引擎,适用于包括文本、数字、地理空间、结构化和非结构化数据等在内的所有类型的数据。 Elasticsearch 在Apache Lucene 的基础上开发而成,由Elasticsearch N.V. (即现在的Elastic)于2010 年首次发布。
官方文档https://www.elastic.co/guide/en/elastic-stack/index.html

搭建环境: CentOS7.9(vm) ; ElasticSearch5.6.7 ; Java1.8.0_321
值得说一下, 不同的方式安装会遇到不同的问题, 这里我们采用两种方式 : rpm 和 tar两种方式安装

一 、rpm 包部署方式

Java环境 安装

  1. 下载jdk
    选择合适的版本下载(需要登陆Oracle) : https://www.oracle.com/java/technologies/downloads/
    这里我们选择 rpm 包
    image.png

  2. win下上传至 centos7
    scp jdk-8u321-linux-x64.rpm root@192.168.8.132:/root
    image.png

  3. 安装
    rpm -ivh jdk-8u321-linux-x64.rpm

  4. 配置Java环境
    刚安装完成后会有个临时java环境, 将其永久生效
    编辑文件 vim /etc/profile
    文件末尾添加如下:
    export JAVA_HOME=/usr/bin/
    export PATH=$JAVA_HOME/:$PATH

其实并不需要$CLASSPTAH , 我们后面在说
5) 验证Java环境
java -version OR javac
看到有输出就OK了
image.png

ElasticSearch 安装

较新版本的ElasticSearch 会自带Java环境. 注意下载合适的版本

  1. 下载ElasticSearch
    https://www.elastic.co/cn/downloads/past-releases/elasticsearch-5-6-7
    image.png

  2. 上传到centos7
    scp elasticsearch-5.6.7.rpm root@192.168.132:/root

  3. 安装 ElasticSearch
    rpm -ivh elasticsearch-5.6.7.rpm

  4. 使用 systemd 管理 elasticsearch
    systemctl daemon-reload
    systemctl enable elasticsearch-service

  5. 运行 elasticsearch
    systemctl start elasticsearch

  6. 测试运行
    curl localhost:9200
    看到如下输入表示成功运行
    image.png

P.S

  • 这里使用 systemctl start elasticsearch 并不是使用root用户去运行的.
    使用 htop 看一下可以看到实际运行的用户就是 elasticsearch
    image.png

  • 可能遇到 no java in(/usr/local…)等问题
    如果使用的是tar安装的配置的java环境, 那么 elasticsearch的运行用户是没有java环境的.

建议 Java 和 elasticsearch 保持相同安装方式. 都使用 rpm 包或者 tar包.

二、tar 包部署方式

  1. Java 和 elasticsearch 下载
    Java 下载
    elasticsearch 下载

  2. 解压
    tar -zxvf /*tar

  3. 为 elasticsearch 创建用户
    groupadd es
    useradd es -g es
    passwd es
    上述操作在 root 用户下完成
    (如果不创建密码的话, 该用户没有bash权限的, 影响下面调用java环境)

  4. 配置java环境
    编辑文件 vim /etc/profile
    文件末尾追加:
    export JAVA_HOME=/jdk解压目录/jdk1.8.0_321/bin
    export PATH=$JAVA_HOME/:$PATH

  • 上述操作是为root用户添加了Java环境

为es 用户添加环境
编辑文件 vim /home/es/.bash_profile
文件末尾追加:
export JAVA_HOME=/jdk解压目录/jdk1.8.0_321/bin
export PATH=$JAVA_HOME/:$PATH

  1. 使用 es 用户 启动 elasticsearch
    su es
    ./elasticsearch安装目录/bin/elasticsearch

相关文档:
elasticsearch5.6.7 https://www.elastic.co/guide/en/elasticsearch/reference/5.6/rpm.html
systemd https://yo.zgserver.com/systemd-19.html
####### 有问题可留言…

常见报错以及相关解决办法

1. 安装完readonlyrest重启elasticsearch报错

  • elasticsearch.yml里关掉xpack
    xpace.security.enabled: false
    images

2. elasticsearch-plugin安装插件或者操作提示could not find java in JAVA_HOME at xxxxxx

  • 即使是root权限, 安装插件的时候也加上sudo
    images

引言

从Cent7以后,iptables服务的启动脚本已被忽略。请使用firewalld来取代iptables服务。

在RHEL7里,默认是使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables。
firewalld是iptables的前端控制器,用于实现持久的网络流量规则。它提供命令行和图形界面。

firewalld 与 iptables的比较:

  • firewalld可以动态修改单条规则,动态管理规则集,允许更新规则而不破坏现有会话和连接。而iptables,在修改了规则后必须得全部刷新才可以生效;
  • firewalld使用区域和服务而不是链式规则;
  • firewalld默认是拒绝的,需要设置以后才能放行。而iptables默认是允许的,需要拒绝的才去限制;
  • firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter来实现。也就是说,firewalld和iptables一样,它们的作用都用于维护规则,而真正使用规则干活的是内核的netfilter。只不过firewalld和iptables的结果以及使用方法不一样!

firewalld是iptables的一个封装,可以让你更容易地管理iptables规则。它并不是iptables的替代品,虽然iptables命令仍可用于firewalld,但建议firewalld时仅使用firewalld命令。

安装

  1. 关闭 firewalld
    systemctr disable firewalld
    systemctl stop firewalld

  2. 安装 iptalbes
    yum install iptables iptables-services

  3. 启用 iptables
    systemctl enable iptables
    systemctl start iptables

  4. 备份 iptables
    cp /etc/sysconfig/iptables /etc/sysconfig/iptables-backup

相关实例

  1. 查看当前规则
    iptables -L -n -v --line-number

  2. 开启 80 端口
    iptables -I INPUT -p tcp --dport 80 -j ACCEPT
    iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

  3. 对指定网段开启80端口
    iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT

  4. 删除某条规则
    iptables -D INPUT 1
    iptables -D FORWARD 1

  5. 指定某段ip地址
    先禁用80端口所有访问权, 在开启指定ip段的80端口访问权
    iptables -I INPUT -p tcp --dport 80 -j DROP
    iptables - I INPUT -m iprange --src-range 192.168.1.200-192.168.1-210 -p tcp --dport 80 -j ACCEPT

  6. 保存更改
    记得在centos6 的时候 只需要 iptables-save即可
    但是在centos7 需要 iptables-save > /etc/sysconfig/iptables
    然后重启iptables systemctl restart iptables

暂时更新到这….
2022/2/17