实习总结

湖北省调安全加固

• 设置ssh免密登入

#  生成私钥
ssh-keygen  -t  rsa

#  发送公钥至节点
ssh-copy-id  node2

• 禁用Root用户直接登录

# 打开sshd_config文件
sudo vi /etc/ssh/sshd_config

# 查找并修改以下配置
PermitRootLogin no

• SSH安全升级

rpm -Uvh *.rpm

• 提权漏洞修复

漏洞影响的 Linux 内核版本涉及：

3.15 ≤ linux kernel < 6.1.76

6.2 ≤ linux kernel < 6.6.15

6.7 ≤ linux kernel < 6.7.3 linux

kernel = 6.8-rc1

临时解决方法

禁用用户命名空间克隆功能，从而阻止利用该漏洞进行提权攻击

echo "user.max_user_namespaces=0" >/etc/sysctl.d/userns.conf

sysctl -p /etc/sysctl.d/userns.conf

宜昌地调数据库扩容

1. 备份数据

2. 添加新lun和lvm

3. 恢复数据

lun的全称是logical unit number，也就是逻辑单元号。每个target下都可以有多个lun device，我们通常简称lun device为lun。这样就可以说每个设备的描述就有原来的target x变成target x lun y

Lun和ISCSI的关系

lun可以看作是磁盘，iSCSI是传输这个磁盘的工具，每个Lun可以通过iSCSI传输到不同的地方，Lun 设备可以通过 iSCSI 协议在网络上访问

NFS和Lun+iSCSI的关系

• NFS
  • 操作主要用于文件级的操作，如挂载，创建、删除文件和目录
  • 通常用于简单的共享场景，属于NAS（网络附加存储）
• ISCSI
  • 可以对这块虚拟硬盘进行格式化、分区、创建文件系统等操作，完全像操作真实硬盘一样
  • 通常用于较高 I/O 性能的场景，如数据库存储等，属于SAN（存储区域网络）

湖北省调新大楼

• RAID配置

首先进入BIOS，有些机器CTRL+R 或者CTRL+H进入RAID配置

进入RAID配置，选中“Clear Configuration”清除配置

清除配置后，选中“Create Virtual Drive”创建虚拟驱动器

选择raid0 或者raid1 raid5并选中磁盘，保存退出

• raid 0 两块磁盘合并在一起，1T+1T=2T存储空间，无备份功能
• raid 1 一块备份一块工作 实际1T存储空间，有备份功能

• raid 5 一块备份两块工作 实际2T存储空间，有备份功能

• 其他配置

##查看cpu型号，海光的cpu得用4.18内核
lscpu  

##启动或关闭图形网络服务
systemctl start/stop NetworkManager   

##网卡亮灯
ethtool -p 网卡名  

##可以查看网卡信息，如速率 Speed: 1000Mb/s 如果是未知Unknown!可能是未插网线或者网线有问题
ethtool  网卡名      

单用户模式

选择内核界面 按 e或者Tap键

在linux16最后处 添加init=/bin/sh

CTRL + X 进入单用户模式

##  获取读写权限
mount -o remount,rw /  

## 解决字符乱码问题
export LANG=C       

## 单用户模式下直接修改root密码
passwd root

## 单用户模式重置登录失败次数
/usr/sbin/pam_tally2 -u 用户 --reset
/usr/sbin/faillock --user 用户 --reset


## 单用户模式下重启
echo b > /proc/sysrq-trigger  

光驱设备（虚拟机的iso镜像也相当于光驱）插入机器时，机器识别到的是/dev/sr0

u盘插入机器时候，机器识别的是/dev/sd~之类的

固态硬盘插入机器，机器识别就不是sd~之类的了，而是/dev/nvme~

ps： 固态硬盘的虚拟机创建linux显示/dev/sda,/dev/sdb

是因为虚拟化平台（如VMware、VirtualBox、KVM等）通常会对底层硬件设备进行抽象化处理。

在创建虚拟机时，可以选择虚拟硬盘的接口类型（如IDE、SCSI、SATA、NVMe等）。如果选择的是

SCSI或SATA接口类型，那么在虚拟机中它们会被识别为/dev/sda、/dev/sdb等设备。

如果选择了NVMe作为接口类型，那么虚拟机中的设备会显示为/dev/nvme~。

总结来说，虚拟机中显示为/dev/sda、/dev/sdb通常是因为虚拟化平台的抽象处理，而与实际主机的硬盘类型（如SSD）无关。

HA高可用软件

• 构成

  • 集群信息层软件（corosync）
  • 集群资源管理器（pacemaker）
  • 管理接口工具（pcs）

• 详情

  • corosync可以对系统心跳信号进行检测，实现对运行状态的监测，并提提供集群基础结构，如通信和成员资格的服务
  • pacemaker对主机系统的上层应用，如达梦数据库、FTP、NFS等服务进行管理，同时提供资源转移的功能
  • pcs能够控制和配置corosync和pacemaker

• 配置要求

机器存在三块网卡，一块对外服务，两块做为心跳网卡，这两条线路作为心跳线用来监测对方的服务状态

• 大致步骤

1. 集群节点认证

2. 创建集群并启动

3. 创建VIP资源（虚拟IP资源）、磁盘资源、服务资源（如达梦、FTP等）和资源组

4. 配置资源约束判断规则并绑定资源组

5. 安装完毕、测试高可用性

   • 查看集群和节点状态 pcs status

   • 切机测试 pcs node standby/unstandby node1 ## 将node1设置为备用/正常状态，资源转移

   • 插拔网线看资源是否自动转移

ps: 假如没有VIP资源，资源还是可以自动转移，但是客户端必须知道新IP地址才能访问资源

制作Linux定制版

• 详细步骤：

1. 下载并准备所需定制的RPM包：

   • 确保所有需要的RPM包及其依赖关系已经下载到本地。

   • 可以使用yum downloader或dnf download命令来下载指定的RPM包及其依赖。

2. 挂载原ISO镜像：

   mkdir /mnt/iso
   mount -o loop /path/to/original.iso /mnt/iso
   

   • 这里的/mnt/iso是挂载目录，可以选择合适的目录路径。

3. 准备工作目录：

   • 将原ISO镜像的内容复制到工作目录：

   mkdir /mnt/iso_work
   rsync -av /mnt/iso/ /mnt/iso_work/
   umount /mnt/iso
   

4. 删除原来的RPM包并添加新的RPM包：

   • 进入工作目录：

   cd /mnt/iso_work/Packages/
   

   • 删除不需要的RPM包：

   rm -f <不需要的RPM包名>
   

   • 复制新的RPM包：

   cp /path/to/custom/rpms/*.rpm /mnt/iso_work/Packages/
   

5. 更新comps.xml文件并生成repodata包：

   • 编辑comps.xml文件，确保其中包含你添加的RPM包的信息。
   • 使用createrepo命令生成新的repodata：

   createrepo -g /mnt/iso_work/repodata/comps.xml /mnt/iso_work/
   

6. 生成新的ISO镜像：

   • 使用genisoimage或mkisofs命令生成新的ISO镜像：

   mkisofs -o /path/to/new.iso -b isolinux/isolinux.bin -c isolinux/boot.cat \
           -no-emul-boot -boot-load-size 4 -boot-info-table -R -J -v -T /mnt/iso_work/
   

• 引导修复

如果在安装引导时遇到问题，可以按照以下步骤修复引导：

1. 进入引导修复模式：

   • 在引导菜单选择安装选项时，按下e键（或有些系统是Tab键）进入编辑模式。

2. 修改LABEL指向：

   • 找到LABEL=CentOS\x207\x20x86_64部分，删除该LABEL行，替换为指向你的光盘驱动器路径，如/dev/sr0。

   • 完整示例：

     ~ hd:/dev/sr0 quiet
     

3. 保存并继续引导：

   • 按下Ctrl + X或Enter来继续引导。

作于2024年08月26日