linux随手笔记(Centos为主)

用户管理
1、用户管理配置文件
用户数据文件：/etc/passwd
[root@CentOS-Test software]# grep test /etc/passwd
test:x:500:500:test:/home/test:/bin/bash

用户账号包含的信息：
test:用户名，用户登录时使用的　　用户名 　　x:密码位 500：UID,　用户标识号 500:缺省组标识号
test:注释性描述，例如存放用户全名等信息
/home/test:用户的宿主目录
/bin/bash:用户使用的shell，默认为bash
-----------------------------------------------------------------------------------------------
linux用户账号的分类：
分为三种：超级用户(root,UID=0) 具有一切操作权限
普通用户(UID500-65536) 操作权限受到限制
伪用户(缺省用户)：(UID 1-499)假用户或虚拟用户
注意：用户的UID的取值，除0外，其它值不允许用户取相同的值，伪用户与系统和程序服务相关：bin、daemon、shutdown、halt等，任何Linux系统默认都有这些伪用户，伪用户没有登录密码和宿主目录
每个用户都至少属于一个用户组，每个用户组可以包括多个用户，同一用户组的用户享有该组共有的权限
-----------------------------------------------------------------------------------------------
用户口令文件：/etc/shadow 保存了用户口令等重要信息，该文件只有root用户可以读写
用户组文件：/etc/group
用户组密码文件：/etc/gshadow
用户配置文件：/etc/login.defs /etc/default/useradd
新用户信息文件：/etc/skel
登录信息：/etc/motd
-----------------------------------------------------------------------------------------------
如何阅读Apache访问日志：
这只是一系列日志条目，每行记录一个条目。每个条目的每条信息由一个空格分隔。特别是在所谓的“组合”格式，这意味着它包含以下信息，按顺序：

远程主机（客户端IP地址）
用户身份，或短划线，如果没有（经常不使用）
用户名，通过HTTP认证，或破折号如果不使用
Apache收到HTTP请求的时间戳
来自客户端的实际请求本身
Apache响应请求返回状态码
引荐者标题或短划线（如果不使用）（换句话说，他们是否点击另一个网站上的URL来访问您的网站）
用户代理（包含关于请求者的浏览器/ OS /等的信息）
所以，如果你要解析访问日志，你首先将它标记为一行，然后用空格标记为一系列条目。或者，换一种方式来考虑一下，将Apache访问日志导入到Excel并在那里查看将会非常简单。
-----------------------------------------------------------------------------------------------
后门chrootkit安装检查：
[opop@opop2 chkrootkit-0.52]# mkdir chrootkit
[opop@opop2 chkrootkit-0.52]# cd chrootkit/
[opop@opop2 chkrootkit-0.52]# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
[opop@opop2 chkrootkit-0.52]# tar zxvf chkrootkit.tar.gz
[opop@opop2 chkrootkit-0.52]# cd chkrootkit-0.50/
[opop@opop2 chkrootkit-0.52]# yum install -y glibc-static
[opop@opop2 chkrootkit-0.52]# make
[opop@opop2 chkrootkit-0.52]# ./chkrootkit
[opop@opop2 chkrootkit-0.52]# ./chkrootkit
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
//注：后面是not infected则表明没有后门
-----------------------------------------------------------------------------------------------
修复升级命令：
yum -y install yum-downloadonly
yum -y install bash-4.1.2-33.el6_7.1.x86_64.rpm
完成后做了如下措施：
1.修改了系统账号密码。
2.修改了sshd端口为2220
3.修改nginx用户nologin。
-----------------------------------------------------------------------------------------------
centos 6 字符界面到图形化需安装的东西：
yum groupinstall "X Windows System" "Desktop"
yum groupinstall "Chinese Support"

centos 7 字符界面到图形化所需安装的东西：

yum groupinstall "GNOME Desktop" "Graphical Administration Tools"

systemctl get-default    　　# 获取当前模式

systemctl set-default graphical.target    　　# 设置开机为图形界面

systemctl set-default multi-user.target    　 # 设置开机为字符界面

-----------------------------------------------------------------------------------------------
/var/log/messages中的信息：
Mar 17 12:38:53 localhost kernel: __ratelimit: 1 callbacks suppressed
Mar 17 12:39:33 localhost kernel: __ratelimit: 1 callbacks suppressed
Mar 17 12:40:39 localhost kernel: __ratelimit: 2 callbacks suppressed
Mar 17 12:40:58 localhost kernel: __ratelimit: 6 callbacks suppressed
解析：Linux有一种避免DoS攻击的机制- 关于日志 - 称为速率限制。每个由内核（包括它的模块）记录的消息，包括printk（），都会被检查是否允许通过这种机制实际打印。
可以通过调整文件/ proc / sys / kernel / printk_ratelimit和/ proc/sys/kernel/printk_ratelimit_burst来配置限制。
这些文件的值默认是5和10，这意味着：每5秒允许10条消息。超出此范围会使内核丢弃该消息并打印出“ratelimit N：callbacks suppress”之类的内容
要禁用此机制并允许记录每条消息，只需将间隔设置为0即可：
vim /etc/sysctl.conf
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.lo.accept_source_route = 0
net.ipv4.conf.eth0.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.all.rp_filter = 1
# net.core.message_cost = 0 # 关闭此机制并允许记录每条消息，但是一旦关闭ratelimit，系统就可能存在被日志攻击的风险。
kernel.printk_ratelimit = 25 # 调大一点
kernel.printk_ratelimit_burst = 150 # 调大一点
释上两句：
// [root@gateway ~]# cat /proc/sys/kernel/printk_ratelimit
// 5
// [root@gateway ~]# cat /proc/sys/kernel/printk_ratelimit_burst
// 10
-----------------------------------------------------------------------------------------------
定时任务：
service crond start 　　　　     //启动服务
service crond stop 　　　　     //关闭服务
service crond restart 　　　　 //重启服务
service crond reload　　　　  //重新载入配置
service crond status 　　　　  //查看服务状态
/var/spool/cron/ 这个目录下存放的是每个用户包括root的crontab任务，每个任务以创建者的名字命名，
比如tom建的crontab任务对应的文件就是/var/spool/cron/tom。一般一个用户最多只有一个crontab文件。

/etc/crontab 这个文件负责安排由系统管理员制定的维护系统以及其他任务的crontab
/etc/crontab 中的 MAILTO=root是说，当 /etc/crontab 这个档案中的例行性命令发生错误时，会将错误讯息或者是屏幕显示的讯息传给谁？由于 root 并无法再用户端收信，
因此，默认是root，当然也可以设置成其他的用户(不建议设置成其他用户)

/etc/crontab 中有示例(在最下面一行)，分别代表：
原：    *    *    *   *    *    user-name    command to be executed
代表：分  时 日 月 周        用户名              被执行的命令

分的取值范围：0-59
时的取值范围：0-23
日的取值范围：1-31
月的取值范围：1-12
周的取值范围：0-6(周日可以用0或7来表示)
用户名：可以指定以哪个用户的名义来执行"后面"的命令
被执行的命令：计划任务中要执行的命令

除了数字还有几个个特殊的符号就是: " ,   /  -  "
 , (逗号)代表所有的取值范围内的数字，" , "分开几个离散的数字。
 /  (根号)代表每的意思, /5表示每5个单位，
 -  代表从某个数字到某个数字
----------------------------------
crontab  -l 在标准输出上显示当前的crontab
crontab  -r 删除当前的crontab文件。
crontab  -e 使用VISUAL或者EDITOR环境变量所指的编辑器编辑当前的crontab文件。当结束编辑离开时，编辑后的文件将自动安装。
----------------------------------
典型：
*  1  *  *  *  root  run-parts   /kkkk/opop/
释：run-parts代表后面接的/kkkk/opop是一个目录(目录内有可执行文件)，
也就是说每个小时系统会以root身份去/kkkk/opop/这个目录下执行所有可执行的文件
----------------------------------
权限：
crontab权限问题到/etc下一看，文件cron.allow和cron.deny是否存在
用法：
1、如果两个文件都不存在，则只有root用户才能使用crontab命令。
2、如果cron.allow存在但cron.deny不存在，则只有列在cron.allow文件里的用户才能使用crontab命令，如果root用户也不在里面，则root用户也不能使用crontab。
3、如果cron.allow不存在, cron.deny存在，则只有列在cron.deny文件里面的用户不能使用crontab命令，其它用户都能使用。
4、如果两个文件都存在，则列在cron.allow文件中而且没有列在cron.deny中的用户可以使用crontab。
5、如果两个文件中都有同一个用户，以cron.allow文件里面是否有该用户为准，如果cron.allow中有该用户，则可以使用crontab命令。
附：
AIX 中普通用户默认都有 crontab 权限，如果要限制用户使用 crontab ,就需要编辑/var/adm/cron/cron.deny
HP-UNIX 中默认普通用户没crontab 权限 ，要想放开普通用户的crontab 权限可以自己写
----------------------------------
创建cron脚本
第一步：写cron脚本文件并赋可执行权限，命名为opop.sh：
内容为：
15,30,45,59   *   *   *   *   echo  "xgmtest....." >> xgmtest.txt            #表示每隔15分钟，执行打印一次命令
第二步：添加定时任务。执行命令 crontab opop.sh
第三步："crontab -l" 查看定时任务是否成功或者检测/var/spool/cron下是否生成对应cron脚本
注意：这操作是直接替换该用户下的crontab，而不是新增
----------------------------------
/etc/crontab 中写任务的示例：
每天早上6点整:(以linux系统时间为准)
0 6 * * * root echo "Good morning." >> /tmp/test.txt
//注意单纯echo在屏幕上看不到任何输出，因为cron把任何输出都email到root的信箱了。
----------------------
每两个小时：
0 */2 * * * root echo "Good morning." >> /tmp/test.txt
----------------------
晚上11点到早上8点之间每两个小时和早上八点:
0 23-7/2,8 * * * root echo "Good morning." >> /tmp/test.txt
----------------------
每个月的4号和每个礼拜的礼拜一到礼拜三的早上11点:
0 11 4 * 1-3 root echo "Good morning." >> /tmp/test.txt
----------------------
每小时执行/etc/cron.hourly内的所有脚本:
0 */1 * * * root run-parts /etc/cron.hourly
每天的凌晨3点整执行/etc/cron.hourly内的所有脚本:
0 3 */1 * * root run-parts /etc/cron.hourly
注意: 如果去掉 "run-parts" 这个参数的话，后面就可以写要运行的某个脚本名，而不是文件夹名
----------------------
每周一，三，五的下午3:00整重新启动系统，3：00时间到了后会延长5分钟后重启：
00 15 * * 1，3，5 shutdown -r +5
----------------------
每小时的10分，40分ping一次192.168.0.49这台机器：
10,40 */1 * * * root /bin/ping -c 3 192.168.0.49
每天早晨三点二十分ping 192.168.0.50和看下根下的文件：(每个命令用 ; 号隔开)
20 3 * * * (ping 192.168.0.50;ls /)
----------------------

-----------------------------------------------------------------------------------------------