1. 查看当前openssh版本

[root@centos7 ~]# ssh -V
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips  26 Jan 2017
[root@centos7 ~]# 

2. 下载安装包和依赖包

相关依赖: yum install perl perl-Test-Harness perl-Test-Simple

3. 安装zlib

下载:

zlib: wget http://www.zlib.net/zlib-1.2.12.tar.gz

解压:

tar -xzvf zlib-1.2.12.tar.gz

安装:

cd zlib-1.2.12
./configure --prefix=/usr/local/zlib
make
make test  # 这一步出错不要继续 # 看到ok字样表示成功
make install

4. 安装openssl

安装依赖:

yum install perl perl-Test-Harness perl-Test-Simple

下载:

wget https://www.openssl.org/source/openssl-1.1.1o.tar.gz

解压

tar -xzvf openssl-1.1.1o.tar.gz

安装:

cd openssl-1.1.1o
./config --prefix=/usr/local/openssl
make
make test
make install

常见问题:

BEGIN failed–compilation aborted at .././
Parse errors: No plan found in TAP output

原因: 没有安装步骤0中的依赖
解决: yum install perl perl-Test-Harness perl-Test-Simple

看到如下表示安装成功

5. openssh安装

依赖

yum install openssl-devel pam-devel

备份相关文件(删除源文件)

mv /etc/ssh{,.back}
mv /etc/pam.d/sshd{,.back}

下载

wget https://mirrors.aliyun.com/pub/OpenBSD/OpenSSH/portable/openssh-8.8p1.tar.gz

解压

tar -xzvf openssh-8.8p1.tar.gz

安装

cd openssh-8.8p1
./configure \
--prefix=/usr/local/openssh \
--with-zlib=/usr/local/zlib/ \
--sysconfdir=/etc/ssh \
--with-ssl-dir=/etc/ssh \
--with-pam \
--with-md5-passwords
make 
make tests
make install

make tests 这里时间较长
看到如下表示成功

安装完之后会有三个warning
修改相关文件权限
chmod 600 /etc/ssh/ssh_host_rsa_key
chmod 600 /etc/ssh/ssh_host_ecdsa_key
chmod 600 /etc/ssh/ssh_host_ed25519_key

注意: 安装完不可直接systemctl去重启sshd, 可能会造成服务器无法连接
请在有ssh之外远程到服务器上的权限再去升级ssh, 避免升级过程中导致ssh无法连接

修改sshd配置文件

编辑sshd配置文件: vim /etc/ssh/sshd_config
添加: PermitRootLogin yes

复制sshd的pam配置文件

cp openssh-8.8p1/contrib/redhat/sshd.pam /etc/pam.d/sshd

使用systemctl管理sshd

配置启动脚本
cp sshd.init /etc/init.d/sshd
修改sshd的service配置文件
vim /usr/lib/systemd/system/sshd.service

[Unit]
Description=OpenSSH server daemon
Documentation=man:sshd(8) man:sshd_config(5)
After=network.target sshd-keygen.service
Wants=sshd-keygen.service

[Service]
Type=forking
ExecStart=/etc/rc.d/init.d/sshd start
ExecStop=/etc/rc.d/init.d/sshd stop
Restart=/etc/rc.d/init.d/sshd stop
[Install]
WantedBy=multi-user.target

重载systemctl
systemctl daemon-reload

mv /usr/bin/ssh{,.back}
mv /usr/sbin/sshd{,.back}
ln -s /usr/local/openssh/sbin/sshd /usr/sbin/sshd
ln -s /usr/local/openssh/bin/ssh /usr/bin/ssh

重启sshd
systemctl restart sshd

启动报错

相关问题:
error: *** working libcrypto not found
解决: yum install openssl-devel

error: PAM headers not found
解决: yum install pam-devel

简洁点

1. press e add parameters rd.break
2. Ctrl + x
3. mount -o remount rw /sysroot
4. chroot /sysroot
5. passwd
6. touch /.autorelabel
7. exit && reboot

Linux下系统监视

System 系统

1. iostat 设备负载信息

命令 iostat 包含在软件包 sysstat里

第一份 iostat 报告显示自引导系统以来收集的统计信息。后续报告则涵盖上一份报告之后的时间。

[root@centos7 ~]# iostat
Linux 3.10.0-1160.62.1.el7.x86_64 (centos7.9) 	05/11/2022 	_x86_64_	(2 CPU)

avg-cpu:  %user   %nice %system %iowait  %steal   %idle
           0.13    0.00    0.30    0.02    0.00   99.55

Device:            tps    kB_read/s    kB_wrtn/s    kB_read    kB_wrtn
sda               1.70        23.68        17.60     336054     249741
sdb               0.06         1.82         7.55      25823     107131
dm-0              1.74        22.85        25.00     324293     354804
dm-1              0.01         0.16         0.00       2204          0

Pid 进程

Network 网络

Member 内存

Hardware 硬件

File and File system 文件和文件系统

Users 用户

Others 其他

内容转自:https://cloud.tencent.com/developer/article/1568077

一、进程状态

• D：uninterruptible sleep (usually IO)
• R：running or runnable (on run queue)
• S：interruptible sleep (waiting for an event to complete)
• T：stopped by job control signal
• t：stopped by debugger during the tracing
• W：paging (not valid since the 2.6.xx kernel)
• X：dead (should never be seen)
• Z：defunct (“zombie”) process, terminated but not - reaped by its parent

在当下, Linux 服务器的安全问题越来越频发,服务器被恶意入侵,业务数据被恶意删除和加密以及服务器被劫持作为 DDos 肉鸡等.为了增强 Linux 服务器的安全性,给大家推荐一款开源的防病毒软件 ClamAV,并附上相关安装配置步骤供参考.
关于 ClamAV 的更多详情, 参考 ClamAV 文档

LVM是逻辑卷管理（Logical Volume Manager）的简称，它是Linux环境下对磁盘分区进行管理的一种机制。LVM通过在硬盘和文件系统之间添加一个逻辑层，来为文件系统屏蔽下层硬盘分区布局，提高硬盘分区管理的灵活性，

名词解释

• 物理存储介质（The physical media）：指系统的物理存储设备，如硬盘，系统中为/dev/hda、/dev/sda、/dev/vda等等，是存储系统最低层的存储单元。

• PV: 物理卷（Physical Volume）：指硬盘分区或从逻辑上与磁盘分区具有同样功能的设备(如RAID), 是LVM的基本存储逻辑块。物理卷包括一个特殊的标签，该标签默认存放在第二个 512 字节扇区，但也可以将标签放在最开始的四个扇区之一。该标签包含物理卷的随机唯一识别符（UUID），记录块设备的大小和LVM元数据在设备中的存储位置。

• VG: 卷组（Volume Group）：由物理卷组成，屏蔽了底层物理卷细节。可在卷组上创建一个或多个逻辑卷且不用考虑具体的物理卷信息。

• LV: 逻辑卷（Logical Volume）：卷组不能直接用，需要划分成逻辑卷才能使用。逻辑卷可以格式化成不同的文件系统，挂载后直接使用。

• PE: 物理块（Physical Extent）：物理卷以大小相等的“块”为单位存储，块的大小与卷组中逻辑卷块的大小相同。

• LE: 逻辑块（Logical Extent，）：逻辑卷以“块”为单位存储，在一卷组中的所有逻辑卷的块大小是相同的

使用LVM管理硬盘的基本过程如下：

• 1.将硬盘创建为物理卷
• 2.将多个物理卷组合成卷组
• 3.在卷组中创建逻辑卷
• 4.在逻辑卷之上创建文件系统
  通过LVM管理硬盘之后，文件系统不再受限于硬盘的大小，可以分布在多个硬盘上，也可以动态扩容。

情形一: 根目录扩容

• 0: 格式化磁盘并修改分区格式
  fdisk /dev/sdb [n, p, 1, size, t, 8e, w]

• 1: 创建 PV
  pvcreate /dev/sdb

• 2: 扩展 VG
  vgextend centos /dev/sdb1

• 3: 扩展LV
  lvextend -l +100%FREE /dev/centos/root

• 4: 刷新
  xfs_growfs /dev/centos/root

• 确认文件系统格式和挂载点
  df -Thl

lsblk
  

环境介绍

server : debian 9 腾讯云主机 124.xxx.xxx.xxx (公网可以被访问的主机)
client : centos minimal 7.9 (VMware) 192.168.128.7 (需要被内网穿透的主机)

1. 根据自己的版本下载 frp (server和client都要下载)
   https://github.com/fatedier/frp/releases

2. 解压
   tar -zxvf frp_0.39.1_linux_amd64.tar.gz

官方文档

Elasticsearch 是一个分布式的免费开源搜索和分析引擎，适用于包括文本、数字、地理空间、结构化和非结构化数据等在内的所有类型的数据。 Elasticsearch 在Apache Lucene 的基础上开发而成，由Elasticsearch N.V. （即现在的Elastic）于2010 年首次发布。
官方文档https://www.elastic.co/guide/en/elastic-stack/index.html

搭建环境: CentOS7.9(vm) ; ElasticSearch5.6.7 ; Java1.8.0_321
值得说一下, 不同的方式安装会遇到不同的问题, 这里我们采用两种方式 : rpm 和 tar两种方式安装

一 、rpm 包部署方式

Java环境 安装

1. 下载jdk
   选择合适的版本下载(需要登陆Oracle) : https://www.oracle.com/java/technologies/downloads/
   这里我们选择 rpm 包
   

2. win下上传至 centos7
   scp jdk-8u321-linux-x64.rpm root@192.168.8.132:/root
   

3. 安装
   rpm -ivh jdk-8u321-linux-x64.rpm

4. 配置Java环境
   刚安装完成后会有个临时java环境, 将其永久生效
   编辑文件 vim /etc/profile
   文件末尾添加如下:
   export JAVA_HOME=/usr/bin/
export PATH=$JAVA_HOME/:$PATH

其实并不需要$CLASSPTAH , 我们后面在说
5) 验证Java环境
java -version OR javac
看到有输出就OK了

ElasticSearch 安装

较新版本的ElasticSearch 会自带Java环境. 注意下载合适的版本

1. 下载ElasticSearch
   https://www.elastic.co/cn/downloads/past-releases/elasticsearch-5-6-7
   

2. 上传到centos7
   scp elasticsearch-5.6.7.rpm root@192.168.132:/root

3. 安装 ElasticSearch
   rpm -ivh elasticsearch-5.6.7.rpm

4. 使用 systemd 管理 elasticsearch
   systemctl daemon-reload
systemctl enable elasticsearch-service

5. 运行 elasticsearch
   systemctl start elasticsearch

6. 测试运行
   curl localhost:9200
   看到如下输入表示成功运行
   

P.S

• 这里使用 systemctl start elasticsearch 并不是使用root用户去运行的.
  使用 htop 看一下可以看到实际运行的用户就是 elasticsearch
  

• 可能遇到 no java in(/usr/local…)等问题
  如果使用的是tar安装的配置的java环境, 那么 elasticsearch的运行用户是没有java环境的.

建议 Java 和 elasticsearch 保持相同安装方式. 都使用 rpm 包或者 tar包.

二、tar 包部署方式

1. Java 和 elasticsearch 下载
   Java 下载
   elasticsearch 下载

2. 解压
   tar -zxvf /*tar

3. 为 elasticsearch 创建用户
   groupadd es
useradd es -g es
passwd es
   上述操作在 root 用户下完成
   (如果不创建密码的话, 该用户没有bash权限的, 影响下面调用java环境)

4. 配置java环境
   编辑文件 vim /etc/profile
   文件末尾追加:
   export JAVA_HOME=/jdk解压目录/jdk1.8.0_321/bin
export PATH=$JAVA_HOME/:$PATH

• 上述操作是为root用户添加了Java环境

为es 用户添加环境
编辑文件 vim /home/es/.bash_profile
文件末尾追加:
export JAVA_HOME=/jdk解压目录/jdk1.8.0_321/bin
export PATH=$JAVA_HOME/:$PATH

5. 使用 es 用户 启动 elasticsearch
   su es
./elasticsearch安装目录/bin/elasticsearch

相关文档:
elasticsearch5.6.7 https://www.elastic.co/guide/en/elasticsearch/reference/5.6/rpm.html
systemd https://yo.zgserver.com/systemd-19.html
####### 有问题可留言…

常见报错以及相关解决办法

1. 安装完readonlyrest重启elasticsearch报错

• elasticsearch.yml里关掉xpack
  xpace.security.enabled: false
  

2. elasticsearch-plugin安装插件或者操作提示could not find java in JAVA_HOME at xxxxxx

• 即使是root权限, 安装插件的时候也加上sudo
  

引言

从Cent7以后，iptables服务的启动脚本已被忽略。请使用firewalld来取代iptables服务。

在RHEL7里，默认是使用firewalld来管理netfilter子系统，不过底层调用的命令仍然是iptables。
firewalld是iptables的前端控制器，用于实现持久的网络流量规则。它提供命令行和图形界面。

firewalld 与 iptables的比较：

• firewalld可以动态修改单条规则，动态管理规则集，允许更新规则而不破坏现有会话和连接。而iptables，在修改了规则后必须得全部刷新才可以生效；
• firewalld使用区域和服务而不是链式规则；
• firewalld默认是拒绝的，需要设置以后才能放行。而iptables默认是允许的，需要拒绝的才去限制；
• firewalld自身并不具备防火墙的功能，而是和iptables一样需要通过内核的netfilter来实现。也就是说，firewalld和iptables一样，它们的作用都用于维护规则，而真正使用规则干活的是内核的netfilter。只不过firewalld和iptables的结果以及使用方法不一样！

firewalld是iptables的一个封装，可以让你更容易地管理iptables规则。它并不是iptables的替代品，虽然iptables命令仍可用于firewalld，但建议firewalld时仅使用firewalld命令。

安装

1. 关闭 firewalld
   systemctr disable firewalld
systemctl stop firewalld

2. 安装 iptalbes
   yum install iptables iptables-services

3. 启用 iptables
   systemctl enable iptables
systemctl start iptables

4. 备份 iptables
   cp /etc/sysconfig/iptables /etc/sysconfig/iptables-backup

相关实例

1. 查看当前规则
   iptables -L -n -v --line-number

2. 开启 80 端口
   iptables -I INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

3. 对指定网段开启80端口
   iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT

4. 删除某条规则
   iptables -D INPUT 1
iptables -D FORWARD 1

5. 指定某段ip地址
   先禁用80端口所有访问权, 在开启指定ip段的80端口访问权
   iptables -I INPUT -p tcp --dport 80 -j DROP
iptables - I INPUT -m iprange --src-range 192.168.1.200-192.168.1-210 -p tcp --dport 80 -j ACCEPT

6. 保存更改
   记得在centos6 的时候 只需要 iptables-save即可
   但是在centos7 需要 iptables-save > /etc/sysconfig/iptables
   然后重启iptables systemctl restart iptables

暂时更新到这….
2022/2/17