notesstudy

Linux备忘

系统简介及注意事项

VMware安装虚机

创建虚机最小628M内存挂起==暂停(真实操作系统没有挂起)

真实机修改为硬盘启动 Boot->hard device

密码复杂性原则:8位以上大小写字母、数字、符号;不能是英文单词;不能是和用户相关的内容

swap应该分内存的2倍,但超过2G没有意义

/root/install.log:存储安装在系统中的软件包机器版本信息
/root/install.log.syslog:存储安装过程中留下的事件信息
/root/anaconda-ks.cfg:以Kickstart配置文件的格式记录安装过程中设置的选项信息

家目录root = /root
普通用户=/home/用户名

lo lookback 本机网卡

临时修改网卡
ipifconfig eth0 ...

注意事项

命令、文件、配置、用户名等全部都严格区分大小写

所有的内容都是以文件形式保存

不靠扩展名区分文件类型,靠文件属性,以下扩展名便于管理、约定俗成
压缩包:.gz .bz2 .tar.bz2 .tgz
二进制软件包:.rpm
网页文件:.html .php
脚本文件:.sh
配置文件:.conf

所有存储设备都必须挂载以后才能使用,包括硬盘、U盘、光盘

服务器管理和维护建议

Linux各个目录的作用boot、etc目录可以备份下
远程服务器不允许关机,只能重启
重启时应该关闭服务(大量数据访问突然断电容易烧坏硬盘)
不要在服务器访问高峰运行高负载命令
远程配置防火墙时不要把自己踢出服务器
指定合理的密码规范并定期更新
合理分配权限
定期备份重要数据和日志(etc、lib、var)

目录名 目录作用
/bin/ 存放系统命令的目录,普通用户和超级用户都可以执行。不过放在/bin下的命令在单用户模式下也可以执行
/sbin/ 保存和系统环境设置相关的命令,只有超级用户可以使用这些命令进行系统环境设置,但是有些命令可以允许普通用户查看
/usr/bin/ 存放系统命令的目录,普通用户和超级用户都可以执行。这些命令和系统启动无关,在单用户模式下不能执行
/usr/sbin 存放根文件系统不必要的系统管理命令,例如多数服务程序。只有超级用户可以使用。大家其实可以注意到Linux的系统,在所有“sbin”目录中保存的命令只有超级用户可以使用,“bin”目录中保存的命令所有用户都可以使用
/boot/ 系统启动目录,保存系统启动相关的文件,如内核文件和启动引导程序(grub)文件等
/dev/ 设备文件保存位置。我们已经说过Linux中所有内容以文件形式保存,包括硬件。那么这个目录就是用来保存所有硬件设备文件的
/etc/ 配置文件保存位置。系统内所有采用默认安装方式(rpm安装)的服务的配置文件全部都保存在这个目录当中,如用户账户和密码,服务的启动脚本,常用服务的配置文件等
/home/ 普通用户的家目录。建立每个用户时,每个用户要有一个默认登录位置,这个位置就是这个用户的家目录,所有普通用户的家目录就是在/home下建立一个和用户名相同的目录。如用户user1的家目录就是/home/user1
/lib/ 系统调用的函数库保存位置
/lost+found/ 当系统意外崩溃或机器意外关机,而产生一些文件碎片在这里。当系统启动的过程中fsck工具会检查这里,并修复已经损坏的文件系统。这个目录只在每个分区中出现,例如/lost+found就是根分区的备份恢复目录,/boot/lost+found就是/boot分区的备份恢复目录
/media/ 挂载目录。系统建议是用来挂载媒体设备的,例如软盘和光盘
/mnt/ 挂载目录,早期Linux中只有这一个挂载目录,并没有细分。现在这个目录系统建议挂载额外设备,如U盘、移动硬盘和其他操作系统的分区
/misc/ 挂载目录,系统建议用来挂载NFS服务的共享目录。只要是一个已经建立的空目录就可以作为挂载点,那么系统虽然准备了三个默认挂载目录,但到底在哪个目录挂载什么设备都由管理员自己决定。如/mnt/cdrom挂载光盘、/mnt/usb挂载U盘,都是可以的
/opt/ 第三方安装的软件保存位置。这个目录就是放置和安装其他软件的位置,手工安装的源码包软件都可以安装到这个目录中,不过我还是更加习惯把软件放置到/usr/local/目录中,也就是说/usr/local/目录也可用来装软件
/proc/ 虚拟文件系统,该目录中的数据并不保存到硬盘当中,而是保存到内存当中。主要保存系统的内核、进程、外部设备状态和网络状态等。如/proc/cpuinfo是保存CPU信息的,/proc/devices是保存设备驱动的列表的,/proc/filesystems是保存文件系统列表的,/proc/net是保存网络协议信息的
/sys/ 虚拟文件系统。和/proc目录相似,都是保存在内存当中的,主要是保存与内核相关信息的
/root/ 超级用户的家目录。直接在“/”下
/srv/ 服务数据目录。一些系统服务启动之后,可以在这个目录中保存所需的数据
/tmp/ 临时目录。系统存放临时文件的目录,该目录下所有用户都可以读写。不保存重要数据,最好每次开机都清空
/usr/ 系统软件资源目录。是“Unix Software Resource”的缩写,不是user的缩写。系统中安装的软件大多数保存在这里
/var/ 动态数据保存位置。主要保存缓存、日志以及软件运行所产生的文件

SELinux安全机制

Security-Enhanced Linux
美国NSA国家安全局主导开发,一套增强Linux系统安全的强制访问控制体系
集成到Linux内核(2.6及以上)中运行
SELinux体系针对用户、进程、目录和文件提供了预设的保护策略,以及管理工具

运行模式及切换

运行模式:
enforcing:强制
permissive:宽松
disabled:彻底禁用

查看运行模式:getenforce
临时立即生效强制变宽松:setenforce 0
临时立即生效宽松变强制:setenforce 1
永久生效需重启系统:vim /etc/selinux/config SELINUX=disabled

# 安装2个排错软件包(yum provides "semanage")
dnf -y install policycoreutils-pyton-utils
# 查找现在允许的端口:
semanage port -l | grep http
# 增加需要放通的端口82(删除用-d):
semanage port -a -t http_port_t -p tcp 82

防火墙

防火墙有两种:firewalld(系统自带;底层调用的依然是iptables)、iptables

预设安全区域

  • 根据所在的网络场所区分,预设保护规则集
    • – public:进允许访问本机的sshd等少数几个服务(sshd、dhcp)
    • – trusted:允许任何访问
    • – block:阻塞任何来访请求(虽拒绝,但会给回应)
    • – drop:丢弃任何来访的数据包(直接丢弃,无回应)
  • 防火墙判定原则
    • 查看客户端请求中来源IP地址,查看自己所有区域中规则,哪个区域中有该源IP地址规则,则进入该区域
    • 如果所有区域都没找到,则进入默认区域(默认情况为public)
  • iptables规则链包括下表
    链名 作用
    INPUT链 进入本地主机防火墙内部的数据包会应用此链中的规则
    OUTPUT链 从本地主机经过防火墙发出的数据包会应用此链中的规则
    FORWARD链 需要iptables转发的数据包会应用此链中的规则
    PREROUTING链 到达本机并在路由转发前的数据包会应用此链中的规则,用于目的地址转换(DNAT),针对主机外到达防火墙的报文,所有的数据包进来的时候都会优先由PREROUTING链处理
    POSTROUTING链 路由之后需要离开本机的数据包会应用此链中的规则,用于源地址转换(SNAT),主机内的报文要从防火墙出去,需要经过POSTROUTING链进行处理
  • iptables内置了4个表如下:(表Tables是多个链的集合)
    表名 作用 优先级 是否常用
    Raw表 可以让数据包跳过链接跟踪和NAT 1
    Mangle表 修改数据包中的内容,如TTL、Qos等 2
    Nat表 实现网络地址转换 3 *
    Filter表 iptables默认使用的表,实现包过滤功能 4 *

查看防火墙规则列表

… … … firewall … … … ∞
# 检查是否安装
rpm -q firewalld
# 安装、启动
dnf clean all ; dnf -y install firewalld
systemctl start firewalld
# 查看当前区域规则(默认public)
firewall-cmd --list-all
# 查看各个区域规则
firewall-cmd --list-all --zone=trusted
                        --zone=block
                        --zone=drop
# 查看默认区域
firewall-cmd --get-default-zone
# 默认public区域时,放行、移除http协议
dnf -y install httpd;systemctl start httpd;访问ip(默认80端口)
firewall-cmd --add-service=http # 永久生效加 --permanent
firewall-cmd --list-all | grep services # 可以看到services(协议)的值多了http
# 移除放行的http协议
firewall-cmd --remove-service=http
# 放行、移除端口
firewall-cmd --add-port=80/tcp # 永久生效加 --permanent
firewall-cmd --list-all | grep ports
firewall-cmd --remove-port=80/tcp

命令(command)

common命令

命令格式:命令 [-选项] [参数]

说明:个别命令使用不遵循此格式当有多个选项是,可以写在一起简化选项与完整选项 -a==–all

目录处理命令

… … … ls … … … ∞
# 英文原意 list;所在路径 /bin/ls;执行权限 all
ls -a 查看全部
ls -l 长格式显示 long
ls -h 带单位显示
ls -d 显示当前目录本身
ls -i 显示文件对应i节点
ls -ldZ 显示SELinux访问权限
ls -Zld /var/www/html
ls -ldZ /webdev
… … … mkdir … … … ∞
# 英文原意 make directories;所在路径 /bin/mkdir;执行权限 all
mkdir -p 递归创建
mkdir *1 *2 *3 同时创建多个目录
-m 指定权限,不指定m就按默认umask
mkdir -m 750 /test
… … … rmdir … … … ∞
# 英文原意 remove empty directories;所在路径 /bin/rmdir;执行权限 all
rmdir /test 删除空目录
… … … cd … … … ∞
# 英文原意 change directory;所在路径 shell内置;执行权限 all
cd .. 回到上一级目录
… … … pwd … … … ∞
# 英文原意 print working directory;所在路径 /bin/pwd;执行权限 all
pwd 显示当前目录
… … … cp … … … ∞
# 英文原意 copy;所在路径 /bin/cp;执行权限 all
cp [src1] [src2] [src3] [des] 把src123复制到des
cp -rpcp -r 复制目录
cp -p 保留文件属性
cp /test /root/test1 复制test并改名为test1
- a 该选项通常在拷贝目录时使用。它保留链接、文件属性,并递归地拷贝目录,其作用等于dpR选项的组合。(复制的时候要保留文件属性用-a,不然会导致服务无法应用等问题,例如原文件拥有者为Oracle,直接cp后文件拥有者变为root,会导致数据库服务器无法使用,可以使用chown
改文件拥有者,或者复制的时候直接用cp -a命令)
- d 拷贝时保留链接。
- f 删除已经存在的目标文件而不提示。
- i 和f选项相反,在覆盖目标文件之前将给出提示要求用户确认。回答y时目标文件将被覆盖,是交互式拷贝。
- p 此时cp除复制源文件的内容外,还将把其修改时间和访问权限也复制到新文件中。
- r 若给出的源文件是一目录文件,此时cp将递归复制该目录下所有的子目录和文件。此时目标文件必须为一个目录名。
- l 不作拷贝,只是链接文件。
… … … mv … … … ∞
# 英文原意 move;所在路径 /bin/mv;执行权限 all
mv [源文件或目录1] [源文件或目录2] [目标目录] 剪切文件、改名
… … … rm … … … ∞
# 英文原意 remove;所在路径 /bin/rm;执行权限 all
rm -r [文件或目录] 删除目录
rm -f 强制执行

文件处理命令

… … … touch … … … ∞
# 所在路径 /bin/touch;执行权限 all
touch test1 test2 创建空文件test1和test2
touch "test1 test2" 创建一个叫"test1 test2"的空文件(不建议这么用)
… … … cat … … … ∞
# 所在路径 /bin/cat;执行权限 all
cat -n 显示行号
… … … nl … … … ∞
从第一行开始显示文件内容,并显示行号
##### `… … … tac … … … ∞`
```bash
# 所在路径 /usr/bin/tac;执行权限 all
tac 反向显示文件内容(上下颠倒)不支持-n参数
… … … more … … … ∞
# 所在路径 /bin/more;执行权限 all
more 分页显示文件内容
(空格)or(f)翻页
(Enter)换行
(q)or(Q)退出
… … … less … … … ∞
# 所在路径 /usr/bin/less;执行权限 all
less 分页显示文件内容
(空格)or(f)翻页
(pageup)向上翻页
(↑)(↓)向上下翻1行
(Enter)换行
(q)or(Q)退出
… … … head … … … ∞
# 所在路径 /usr/bin/head;执行权限 all
head 默认显示文件前10行
head -n 20 显示文件前20行
… … … tail … … … ∞
# 所在路径 /usr/bin/tail;执行权限 alltail 默认显示后10行
tail -n 指定行数
tail -f 动态显示文件末尾内容

链接命令

… … … ln … … … ∞
# 英文原意 link;所在路径 /bin/ln;执行权限 all
ln -s [源文件] [目标文件] 创建软链接
ln -s /etc/issue /tmp/issue.soft 创建issue的软链接文件
ln /etc/issue /tmp/issue.hard 创建issue的硬链接文件
# 软链接 == 快捷方式;文件权限全部为777(rwxrwxrwx);可跨分区
# 硬链接 == cp -p + 同步更新;i节点也相同;源文件丢失硬链接依然可以访问;硬链接不能跨分区;不可以针对目录使用
# 1个文件一定有1个i节点,但是1个i节点不一定只对应1个文件,比如硬链接

权限管理命令

默认权限644,不具有可执行权限
谁创建的文件谁就是文件的所有者;所属组就是文件创建者的缺省组

… … … umask … … … ∞
# 英文原意 the user file-creation mask;所在路径 shell内置;执行权限 all
# 缺省创建的文件不能有x权限
umask 权限掩码,实际值=777-显示值
umask -S 以rwx形式显示新建文件缺省权限
umask 023 修改新建文件默认权限为rwxrx-r--
# 永久修改 /etc/login.defs UMASK
… … … chmod … … … ∞
# 英文原意 change the permissions mode of a file;所在路径 /bin/chmod; 执行权限 all
chmod [{ugoa}{+-=}{rwx}] [文件或目录] 改变文件或目录的权限
 [mode=421] [文件或目录]chmod -R 递归修改
chmod u+x test.txt 所属用户增加执行权限
chmod g+w,o-r test.txt 所属组增加写权限,其他人减读权限
chmod g=rwx test.txt 所属组改为rwx权限
chmod 640 test.txt 修改所属用户为读写、所属组为读、其他无权限
chmod -R 777 /test 递归修改目录及以下文件的全部权限
# 目录的rx权限一定是并存的
# 目录的w权限,对目录及以下内容有w权限;即使普通用户没有文件的w权限,但所在目录有权限,即可删除
chmod +x /usr/bin/kubectl
… … … chown … … … ∞
# 英文原意 change file ownership;所在路径 /bin/chown;执行权限 root
chown [用户] [文件或目录] 改变文件或目录的所有者
useradd jade 添加名为jade的用户
chown jade test.txt 改变test.txt的所有者为jade
# 在root下才能执行
… … … chgrp … … … ∞
# 英文原意 change file group ownership;所在路径 /bin/chgrp;执行权限 all
chgrp [用户组] [文件或目录]
groupadd jadegroup 添加名为jadegroup的组
chgrp jadegroup test.txt 改变test.txt文件的所属组为jadegroup
… … … chcon … … … ∞
getenforce查看SELinux是打开模式情况下
ls -Zld /var/www/html/ 可以看到对应的标签
chcon -R -t httpd_sys_content_t /webdev
ls -Zld /webdev

文件搜索命令

… … … find … … … ∞
详见四剑客之find节点
… … … locate … … … ∞
# 所在路径 /usr/bin/locate;执行权限 all
locate test.txt 在文件资料库中查找文件
# 维护的资料库在/var/lib/mlocate/mlocate.db;系统会定时更新资料库;资料库不包括/tmp;可节省系统资源
updatedb 手动更新文件资料库
locate -i Test.txt 不区分大小写
… … … which … … … ∞
# 所在路径 /usr/bin/which;执行权限 all
which 命令
which ls 搜索命令所在目录及别名信息
… … … whereis … … … ∞
# 所在路径 /usr/bin/whereis;执行权限 all
whereis ls 搜索ls所在目录及帮助文档路径
… … … grep … … … ∞
详见四剑客之grep节点
帮助命令
… … … man … … … ∞
# 英文原意 manual;所在路径 /usr/bin/man;执行权限 all
man [命令或配置文件]
man ls 查看ls命令的帮助信息
# 第一行NAME是命令作用;:/-l定位到对应参数
man services 查看配置文件的帮助;不能加绝对路径,直接加配置文件名
man 5 passwd 查看配置文件passwd的帮助;1 命令的帮助 5 配置文件的帮助
man date

类似man命令
whatis ls 获得命令的简短帮助信息
apropos 查看配置文件的简短帮助信息
info 等价man,支持跳转
命令 --help 列出命令主要选项
… … … help … … … ∞
# 所在路径 shell内置命令;执行权限 all
help 获得shell内置命令的帮助信息;找不到路径的命令就是shell内置命令
help umask 查看umask命令的帮助信息
help if

用户管理命令

… … … useradd … … … ∞
# 所在路径 /usr/sbin/useradd;执行权限 root
useradd jade 添加新用户
… … … passwd … … … ∞
# 所在路径 /usr/bin/passwd;执行权限 all
passwd jade 设置用户名密码
passwd 更改当前用户的密码
passwd --stdin testuser1
# root可以更改任何人的密码,普通用户只能改变自己的密码
… … … who … … … ∞
# 所在路径 /usr/bin/who;执行权限 all
who 查看登录用户信息
# tty 表示 本地终端;pts 表示 远程终端
… … … w … … … ∞
# 所在路径 /usr/bin/w;执行权限 all
w 查看登录用户详细信息
# IDLE 空闲时间;JCPU 累计占用cpu时间;PCPU 当前执行操作占用的cpu时间;WHAT 当前正在执行的命令
… … … compgen … … … ∞
# 查看用户
compgen -u # bash内置命令,查看所有用户

压缩解压命令

压缩格式 .gz .zip(不需要装对应软件、自带) .rar

… … … gzip/gunzip … … … ∞
# 英文原意 GNU zip/unzip;所在路径 /bin/gzip gunzip;执行权限 all
gzip 压缩后缀.gz
gunzip test.gz <==> gzip -d test.gz 解压缩.gz的压缩文件
# gzip只能压缩文件,不能压缩目录;压缩完不保留源文件
… … … tar … … … ∞
# 所在路径 /bin/tar;执行权限 all
tar [压缩后文件名] [目录]
-c 打包
-C 指定解包路径
-x 解包
-v 显示详细信息
-f 指定文件名,此选项要在其他选项的最后边
-z -j -J 压缩/解压缩,.gz .bz2 .xz格式
-t 显示包中的文件清单
-P 以绝对路径方式进行归档压缩

tar -zcf test.tar.gz mulu 打包压缩
tar -zxvf test.tar.gz 解压缩
tar -cf 打包
tar -xf  -C /tmp  解压到指定目录
压缩格式 扩展名 特点
gzip .gz 速度快,压缩比例低
bzip2 .bz2 速度中等,压缩比例中等
xz .xz 速度慢,压缩比例高
… … … zip/unzip … … … ∞
# 所在路径 /usr/bin/zip unzip;执行权限 all
zip [压缩后文件名] [文件/目录]-r 压缩目录
zip test.zip test 压缩文件
zip -r mulu.zip mulu 压缩目录
unzip test.zip 解压缩,不区分文件或目录
# 保留源文件;压缩比80%
… … … bzip2 … … … ∞
# 所在路径 /usr/bin/bzip2;执行权限 all
bzip2 [文件]
-k 产生压缩文件后保留源文件
bzip2 -k mulu 生成后缀.bz2打包压缩文件
tar -cjf mulu.tar.bz2 mulu 用tar压缩成bz2后缀文件
tar -xjf mulu.tar.bz2 解压

网络命令

… … … write … … … ∞
# 所在路径 /usr/bin/write;执行权限 all
write <用户名> 给用户发信息;ctrl+backspace删除;ctrl+d保存结束
# 所有用户登录在当前服务器才能互发信息,在线用户
… … … wall … … … ∞
# 英文原意 write all;所在路径 /usr/bin/wall;执行权限 all
wall [message] 发广播信息# 给当前在线的所有用户发信息
… … … mail … … … ∞
# 英文原意 write all;所在路径 /usr/bin/wall;执行权限 all
wall [message] 发广播信息# 给当前在线的所有用户发信息
… … … ping … … … ∞
# 所在路径 /bin/ping;执行权限 all
ping IP 测试网络连通性
-c 指定发送次数
# packet loss 丢包率
… … … telnet … … … ∞
telnet ip port
ctrl+]退出
… … … ifconfig … … … ∞
# 英文原意 interface configure;所在路径 /sbin/ifconfig;执行权限 root
ifconfig 网卡名称 IP信息
ifconfig 查看网卡信息;eth0 本地真实网卡信息;lo 本机通信测试用的
ifconfig eth0 11.0.1.6 设置网卡信息
… … … ip … … … ∞
# ip命令格式:
ip 选项 对象 命令
# 参数说明如下:
(1)选项(OPTIONS)OPTIONS是ip命令改变其输出内容的选项。所有的选项都是以-字符开头,分为长、短两种形式。常见的选项有:
-V,-Version 显示ip的版本信息
-s,-stats,-statistics 输出更为详尽的信息
-f,-family 强制使用指定的协议族,包括inet、inet6或link
-4 -family inet的简写,指定使用IPv4协议
-6 -fammily inet6的简写,指定使用IPv6协议
-0 -family link的简写
-o,-oneline 对每行记录都使用单行输出,回行用字符代替
-r,-resolve 显示主机时,使用主机域名
(2)对象
OBJECT是要用户获取信息的对象。常见的对象有:
Link:网卡信息
addr:address IP地址信息
neigh:neighbourARP信息
route:路由信息
netns:命名空间,rule IP策略
maddr:maddress 多播地址信息
mroute:多播路由信息
tumnel IP隧道
… … … last … … … ∞
# 所在路径 /usr/bin/last;执行权限 all
last 列出目前与过去登入系统的用户信息
… … … lastlog … … … ∞
# 所在路径 /usr/bin/lastlog;执行权限 all
lastlog 检查全部用户上次登录的时间
lastlog -u 502 检查特定用户上次登录时间
… … … traceroute … … … ∞
# 所在路径 /bin/traceroute;执行权限 all
traceroute www.sinna.com.cn 显示数据包到主机间的路径
… … … netstat … … … ∞
# 所在路径 /bin/netstat;执行权限 all
netstat [选项] 显示网络相关信息
-t TCP协议
-u UDP协议
-l 监听
-r 路由
-n 显示IP地址和端口号
netstat -tlun 查看本机监听的端口
netstat -an 查看本机所有的网络连接
netstat -rn 查看本机路由表
# ss和netstat效率对比
time netstat -at
time ss
… … … ss … … … ∞
#获取socket统计信息,显示更多更详细的TCP连接状态的信息,且比netstat更快速高效
ss -antpl
-n --numeric 不解析服务名称
-r --resolve 解析主机名
-l --listening 显示监听状态的套接字(sockets)
-a --all 显示所有套接字
-o --options 显示计时器信息
-e --extended 显示详细的套接字(socket)的内存使用情况
-p --processed 显示使用套接字的进程
-i --info 显示tcp内部信息
-s --summary 显示套接字(socket)使用概况
-4 --IPv4 仅显示IPv4的套接字
-6
-0 --packet 显示PACKET套接字
-t --tcp 仅显示TCP套接字
-u --udp 仅显示UDP套接字
-d --dccp 仅显示DCCP套接字
-w --raw 仅显示RAW套接字
-x --Unix 仅显示Unix套接字
-f --family=FAMILY显示FAMILY类型的套接字,FAMILY可选Unix、inet、inet6、link、netlink
-A --query=QUERY, --socket=QUERY
QUERY:={all| inet| tcp| udp | raw | unix | packet | netlink } [QUERY]
-D --diag=FILE将原始TCP套接字信息转储到文件
-F --filter=FILE从文件中都去过滤信息
FLITER:=[ stateTCP-STATE ] [ EXPRESSION ]
… … … setup … … … ∞
# 所在路径 /usr/bin/setup;执行权限 all
setup 配置网络 # redhat专有,图形化界面设置
service network restart # 设置后重启网络
… … … mount … … … ∞
# 所在路径 /bin/mount;执行权限 all
mount [-t 文件系统] 设备文件名 挂载点
mount -t iso9660 /dev/sr0或cdrom /mnt/cdrom/
umount /dev/sr0

关机重启命令

… … … shudown … … … ∞
# 所在路径 //;执行权限
shutdown [选项] 时间
-c 取消前一个关机命令
-h 关机
-r 重启
shutdown -h now 现在关机
shutdown -h 20:30 下午八点半关机
# 其他关机命令
halt
poweroff # 相当于直接断电
init 0
# 其他重启命令
init 6
reboot

系统运行级别
0 关机
1 单用户
2 不完全多用户,不含NFS服务
3 完全多用户
4 未分配
5 图形界面
6 重启
查看系统运行级别
cat /etc/inittab
runlevel

logout or ctrl+d 退出登录

四剑客之sed

… … … sed … … … ∞

# 轻量级流编辑器-数据的增删改查替换sed
sed [选项] '[动作]' 文件名
选项:
-n:只输出经过sed处理的行,不修改
-e:允许对输入数据 应用多条sed命令
-i:sed的修改结果直接修改到文件动作:
a \:追加,在当前行后添加1行或多行;多行时除最后一行外,每行末需要用\代表数据未完结
c \:行替换,用c后面的字符串替换原数据行;替换多行时除最后一行外,每行末需要用\代表数据未完结
i \:插入,在当前行前添加1行或多行;多行时除最后一行外,每行末需要用\代表数据未完结
d:删除,删除指定的行
p:打印,输出指定的行
s:字串替换,格式“行范围s/旧字串/新字串/g”

# 查看文件的第2行
sed -n '2p' testfile.txt

# 删除第2行到第4行的数据,但不修改文件本身
sed '2,4d' testfile.txt

# 在第2行后追加hello
sed '2a hello' testfile.txt

# 在第二行前插入两行数据
sed '2i hello \world' testfile.txt

# 数据替换
sed '2c tihuan' testfile.txt

# 字符串替换
# 替换第3行的old为new并写入
sed '3s/old/new/g' testfile.txt
# 同时替换old1 old2为空
sed -e 's/old1//g;s/old2//g' testfile.txt
# 找到expr开头的行,左花括号后插入job字段
sed -i '/expr/s/{/{job!~\\"k8s-(.*)-prometheus\\"/g' grafana.txt

四剑客之awk字符截取

… … … cut … … … ∞

cut [选项] 文件名
-f n:提取第n列
-d 分隔符:按照指定分隔符分隔列
# 仅限制表符、分隔符,空格不适用
# 根据:分隔提取第1、3列
cut -d ":" -f 1,3 testfile.txt 
错误示例:df -h | cut -d " " -f 5  提取出来的是空格

… … … printf … … … ∞

printf '输出类型输出格式' 输出内容
输出类型:
%ns:输出字符串(n指代输出几个字符)
%ni:输出整数(n指代输出几个数字)
%m.nf:输出浮点数(m、n是数字,指代输出的整数位数和小数位数,如%8.2f代表共输出8位,6位整数2位小数)
输出格式:
\a:输出警告声音
\b:输出退格键
\f:清屏
\n:换行
\r:回车
\t:水平输出Tab键
\v:垂直输出Tab键

print:会在每个输出后自动加入1个换行符,linux默认没有print
printf:是标准格式输出命令,并不会自动加入换行符,需手工加入换行符

… … … awk … … … ∞

awk '条件1{动作1} 条件2{动作2}…' 文件名
条件(Pattern):一般用关系表达式作为条件,如>、>=、<=
动作(Action):格式化输出;流程控制语句

# 处理文本,将文本按照指定的格式输出
# 数据过滤 数据处理 数据统计
NF 最后一列
NR 行号 从1开始,新的文件延续上面的计数,新文件不从1开始
FNR 读取文件的记录数(行号),从1开始,新的文件重新从1开始计数
FS 输入字段分隔符,默认是空格
OFS 输出字段分隔符 默认也是空格
RS 输入行分隔符,默认为换行符
ORS 输出行分隔符,默认为换行符

awk '{print $1,$NF}'

# 索引1到5个字符
awk '{print substr($0,1,5)}'

# 跳过行首空格,输出第1个字符
awk '{sub(/^[ ]*/,"");print substr($0,1,1)}'

# 用printf打印表格
awk -F: '{printf "|%-15s| %-10s| %-15s|\n", $1,$2,$3}' /etc/passwd

# 内置变量FS 以什么为分隔符
cat /etc/passwd | grep "/bin/bash" | awk 'BEGIN {FS="."} {printf $1 "\t" $3 "\n"}'

# 统计第一列字符的最大个数
awk -F: 'BEGIN{num=0}{if(length($1)>num){num=length($1)}}END{print num}' /etc/passwd

# 输出第一列最后一列排列整齐
awk -F: '{printf "%-15s %s\n",$1,$NF}' /etc/passwd

# 打印奇数行
awk '{if(NR%2){print NR,$0}}' /etc/passwd

# 打印偶数行
awk '{if(NR%2==0){print NR,$0}}' /etc/passwd

# 打印偶数行中包含bash的行
awk '/bash/ {if(NR%2==0){print NR,$0}}' /etc/passwd

# 在行首输出“奇/偶数行 行号”
awk '{if(NR%2){printf "奇数行: %d %s\n",NR,$0}else{printf "偶数行: %d %s\n",NR,$0}}' /etc/passwd

# 在第1、3行前输出行号
awk '{if(NR==1){print "1",$0}else if (NR==3){print NR,$0} else{print $0}}' /etc/passwd

# 统计/etc/nginx/nginx.conf中所有词的个数
egrep -o "[a-zA-Z0-9]+" /etc/nginx/nginx.conf | awk '{if(arr[$1]){arr[$1]++}else{arr[$1]=1}}END{for(i in arr){printf "%-20s %d\n",i,arr[i]}}'egrep -o "[a-zA-Z0-9]+" /etc/nginx/nginx.conf | awk '{arr[$1]++}END{for(i in arr){printf "%-20s %d\n",i,arr[i]}}'

# 统计/etc/fstab中以#开头的行中 词的个数
egrep '^ *#' /etc/fstab | egrep -o "[a-zA-Z0-9]+" | awk '{arr[$1]++}END{for(i in arr){printf "%-20s %d\n",i,arr[i]}}'

# 统计/etc/passwd中每个解析器的用户数
awk -F: '{arr[$NF]++}END{for(i in arr){print i,arr[i]}}' /etc/passwd

# 使用stat打印数字权限
stat 1.txt | egrep "Uid" | awk -F/ '{print $1}' | awk 'BEGIN{FS=""}{print $6,$7,$8}'

# 使用ll打印数字权限
ll 1.txt | awk '{print $1}' | awk 'BEGIN{FS=""}{if($2=="r"){u+=4} if($3=="w"){u+=2} if($4=="x"){u+=1} if($5=="r"){g+=4} if($6=="w"){g+=2} if($7=="x"){g+=1} if($8=="r"){o+=4} if($9=="w"){o+=2} if($10=="x"){o+=1}} END{print u,g,o}'

# while 每行打印3遍
awk '{i=0;while(i<3){print $0;i++}}' /etc/passwd

# 打印第10行的全部列-for
awk -F: 'NR==10{for(i=1;i<=NF;i++){print $i}}' /etc/passwd

# 打印第10行的全部列-while
awk -F: 'NR==10{i=1;while(i<=NF){print $i;i++}}' /etc/passwd

# 获取月是Jul 日>20的行
cat secure* | grep Accept | awk -F" " '{if($1=="Jul" &amp;&amp; $2>20){print $0}}'

awk '$2 ~ /ia/ {print $0}'

# 获取k8s节点内存占用超过90的节点
kubectl top node | awk '/[0-9]+/{if($NF>=90){print}}'

# 获取节点总内存
kubectl get nodes -o jsonpath='{.items[*].status.capacity.memory}' | awk '{sum+=$1} END {print sum/1024/1024 " MB"}'

# 获取每台的可分配内存并以换行结尾
kubectl get nodes -o jsonpath="{range .items[*]}{.metadata.name}{'\t'}{.status.capacity.memory}{'\t'}{.status.allocatable.memory}{'\n'}{end}" | awk '{print $1 " " $2/1024 "MB " $3/1024/1024 "MB"}'

四剑客之grep

… … … grep … … … ∞

# 所在路径 /bin/grep;执行权限 all;针对文件内容,输出包含指定字符串的行
grep [选项] [查找条件] 目标文件
grep -i:忽略大小写
grep -v:排除指定字串
grep -v ^# test.sh:排除以#开头的行;^标识行首
grep --color=auto:搜索出的关键字用颜色显示
# 常用选项:-i -v
# 常用查找条件:
^ 以什么开头
$ 以什么结尾
^$ 标识空行
获取有效信息(过滤空行、注释):grep -Ev '^$|^#' /etc/login.defs
grep -C 50 "MQ开始推送云策"
grep -C 50 "860523323848888321"
grep -C 50 "14:12"

四剑客之find

… … … find … … … ∞

# 精确查找文件
# 查找过程中如果遇到/proc目录下的报错,属于正常现象,因为/proc不占用磁盘空间,占用的是内存空间
find [查找目录] [条件]
-type:按类型查找(f、d、l)
-name:按文档名称查找
-size:按文件大小查找(k、M、G)
查找大于2M的:find /boot -size +2M
查找小于1M的:find /boot -size -1024K(-1M是bug查不出来)
-user:按文件所有者查找
-perm:按文件权限查找
	查找包含SGID的:find /usr/ -perm -g=s
	查找就是SGID的:find /usr/ -perm g=s
	查找不包含的:find /usr/ -perm /g=s
    查找当前目录下权限不是644的php文件:find . -type f -name "*.php" ! -perm 644
-mtime:按修改时间查找
	查找近10天修改的文件:find /etc -mtime -10
	查找10天前:find /etc/ -mtime +10
# 多条件查找
连接符:
-a <==> &&(默认-a,可省略不写)
-o <==> ||

# 处理查找到的内容
find [目录] [条件] -exec 处理命令 {} \;
{} 标识find查找到的每一个结果,\; 标识操作结束
#  拷贝前findfiles目录需要存在,否则会出现findfiles文件
find /boot/ -name "vm*" -exec cp -r {} /root/findfiles \;

… … … join … … … ∞

# 获取ecm节点总内存、k8s分配内存、内存占比
join -1 1 -2 1 <(kubectl get nodes -o jsonpath="{range .items[*]}{.metadata.name}{'\t'}{.status.capacity.memory}{'\t'}{.status.allocatable.memory}{'\n'}{end}" | grep ecm |awk '{if(index($3,"Ki")>0){print $1 " " $2/1024 "Mi " $3/1024 "Mi"}else{print $1 " " $2/1024 "Mi " $3/1024/1024 "Mi"}}') <(kubectl top node | grep ecm | awk '{print $1,$4,$5}') | awk 'BEGIN{print "节点","总内存","k8s分配内存","已使用内存","使用内存占比"}{print}'

# 以第一个命令的第一个串儿为key,以第二个命令的第一个串儿为key,两个命令需排过序
join -1 1 -2 1

vim

# 建立、编辑、显示文本文件
命令模式 -> esc进入命令模式
插入模式 -> 命令按i a o进入插入
编辑模式 -> 命令模式输:

# 命令模式
A 跳入行末进入编辑
I 跳到行首进入编辑
o 光标所在下一行进入编辑
O 光标所在上一行进入编辑

0 跳到行首 
$ 跳到行尾
gg 跳到首行
G 跳到尾行
nG 跳到第n行
u 撤销
ctrl r 恢复撤销
d$ 删到行尾
D 删到行尾
n + x 删除n个字符

ndd 删除光标所在的向下n行
d1G 删除光标所在到第一行
dG 删除光标所在到最后一行
d0 删除光标所在到该行最前面的一个字符
x 相当于backspace
X 相当于delete
nx 连续向后删除n个字符
yy 复制当前行
p 粘贴到光标所在行下
P 粘贴到贯标所在行上
nyy 复制当前行到向下n行
dd 剪切当前行
ndd 剪切当前行以下n行
r 替换当前字符
R 光标所在处替换,直到esc退出
ZZ 保存修改并退出快捷键

# 编辑模式
:set nu 显示行号
:n 跳到第n行
:n1,n2d 删除指定范围的行
:%s/old/new/g 全文替换指定字符串;结尾的g不询问直接替换,c询问
:n1,n2s/old/new/g 在一定范围内替换指定字符串
:n1,n2s/^/#/g 连续行注释;^标识行首
:n1,n2s/^#//g 连续行替换注释为空
:n1,n2s/^/\/\//g 连续航添加//注释;\转义符
:set ff?   查看当前文本格式
:set ff=unix  设置为unix格式

查找按/
n 向下查找
N 向上查找

:w 保存修改
:w new_filename 另存为指定文件
:wq 保存修改并退出
:q! 不保存退出
:wq! 强制保存修改并退出(文件所有者及root可使用)

:r 文件名 # 导入文件内容到光标所在行
:! 命令 # 不退出vim执行命令
:r !date # 导入命令执行结果到光标所在行
:map ^P I#<ESC> 跳到行首并进入插入模式并插入"#";^P用ctrl+v+p输入
:map ^B 0x 跳到行首,删除行首第一个字符
:map ^H helloworld 插入helloworld
:ab mymail 281108530@qq.com 替换mymail为邮箱

/$HOME/.vimrc 快捷键放到配置文件里,重启不失效

配置vim适应yaml语法

# 文件和位置是固定的,用于设置vim的格式
vim ~/.vimrc
set nu ai ts=2 et cuc
set Word Comment
ai autoindent 自动缩进
ts TabStop Tab1=Space2
et ExpandTab 将tab键转换为相应个数的空格
cuc CursorColumn 光标列对齐
nu number 设置行号

shell命令

… … … date … … … ∞

%I 小时,12小时制(01~12)
%k 小时,24小时制(0~23)
%l 小时,12小时制(1~12)
%M 分钟(00~59)
%p 显示出AM或PM
%r 显示时间,12小时制(hh:mm:ss %p)
%s 从1970年1月1日00:00:00到目前经历的秒数
%S 显示秒(00~59)
%T 显示时间,24小时制(hh:mm:ss)
%X 显示时间的格式(%H:%M:%S)
%Z 显示时区,日期域(CST)
%a 星期的简称(Sun~Sat)
%A 星期的全称(Sunday~Saturday)
%h,%b 月的简称(Jan~Dec)
%B 月的全称(January~December)
%c 日期和时间(Tue Nov 20 14:12:58 2012)
%d 一个月的第几天(01~31)
%x,%D 日期(mm/dd/yy)
%j 一年的第几天(001~366)
%m 月份(01~12)
%w 一个星期的第几天(0代表星期天)
%W 一年的第几个星期(00~53,星期一为第一天)
%y 年的最后两个数字(1999则是99)

… … … 加减操作 … … … ∞

# 显示当前年月日
date +%Y%m%d
# 显示前一天的日期
date -d “+1 day” +%Y%m%d
# 显示后一天的日期
date -d “-1 day” +%Y%m%d
# 显示上一月的日期
date -d “-1 month” +%Y%m%d
# 显示下一月的日期
date -d “+1 month” +%Y%m%d
# 显示前一年的日期
date -d “-1 year” +%Y%m%d
# 显示下一年的日期
date -d “+1 year” +%Y%m%d
# 2秒后输出
date -d “2 second” +"%Y-%m-%d %H:%M.%S"
# 时间戳转换时间date
date -d @时间戳
date -d "1970-01-01 时间戳 days"
# 时间转时间戳
echo $(($(date --date="2022/12/09" +%s)/86400+1))

… … … curl … … … ∞

#获取汽油价格json格式化
curl -shttps://api.help.bj.cn/apis/youjiajq
#获取汽油价格 数组
curl -shttps://api.help.bj.cn/apis/youjia| jq .data[1][1]
#查看IP
curl myip.ipip.net

curl -I -s --connect-timeout 5 -m 5 -w "%{http_code}" -o /dev/null -u ${user}:${pass}://${ip}/root/.kube

软件包管理

软件包分类

源码包(脚本安装包)
优点:开源;可自由选择所需功能;软件编译安装,更加稳定效率更高;卸载方便
缺点:安装过程步骤多、容易出现拼写错误;编译过程时间长,比二进制长;安装过程报错较难解决

二进制包(RPM包、系统默认包)
优点:安装简单;比源码包速度快
缺点:不能看到源代码;功能选择不如源码包灵活;依赖性,需要依赖别的包

RPM包管理 - rpm命令管理

RPM包命名原则
httpd-2.2.15-15.el6.centos.1.i686.rpm
httpd 软件包名
2.2.15 软件版本
15 软件发布的次数
el6.centos 适合的Linux平台
i686 适合的硬件平台rpm
rpm包的扩展名

RPM包依赖性
树形依赖:a->b->c
环形依赖:a->b->c->a
模块依赖:查询网站 www.rpmfind.net

RPM命令管理
包全名:操作的包是未安装的软件包时,使用包全名,而且要注意路径
包名:操作已安装的软件包时,使用包名,是搜索/var/lib/rpm/中的数据库

… … … rpm安装 … … … ∞
rpm -ivh 包全名
-i (install)  # 安装
-v (verbose)  # 显示详细信息
-h (hash)  # 显示进度
--nodeps  # 不检测依赖性
… … … rpm包升级 … … … ∞
rpm -Uvh 包全名
-u (upgrade)  # 升级
… … … rpm包卸载 … … … ∞
rpm -e 包名
-e (erase)  # 卸载
--nodeps  # 不检查依赖性
… … … rpm查询 … … … ∞
rpm -qa
-q (query)  # 查询包是否安装
-a (all)  # 查询所有已经安装的rpm包

# 查询包详情,未安装的包用全名
rpm -qi 包名
-i (information)  # 查询软件信息
-p (package)  # 查询未安装包信息

# 查询包中文件安装位置,未安装的包用全名
rpm -ql 包名
-l (list)  # 列表
-p (package)  # 查询未安装包信息,查询打算装的位置

# 查询系统文件属于哪个软件包
rpm -qf 系统文件名
-f (file)

# 查询软件包的依赖性
rpm -qR 包名
-R (requires)  # 查询软件包的依赖性
-p (package)  # 查询未安装包信息
… … … rpm包校验 … … … ∞
rpm -V 已安装的包名
-V (verify)  # 校验指定RPM包中的文件

# 验证内容中的8个信息的具体内容,未改变的显示"."
S # 文件大小是否改变
M # 文件的类型或文件的权限(rwx)是否被改变
5 # 文件MD5校验和是否改变(可以堪称文件内容是否改变)
D # 设备的中,从代码是否改变
L # 文件路径是否改变
U # 文件的属主是否改变
G # 文件的属组是否改变
T # 文件的修改时间是否改变

# 文件类型
c # 配置文件(config file)
d # 普通文档(documentation)
g # “鬼”文件,很少见,意思该文件不应该被这个rpm包包含(ghost file)
l # 授权文件(license file)
r # 描述文件(read me)
… … … rpm包中文件提取 … … … ∞
rpm2cpio 包全名 | cpio -idv .文件绝对路径

rpm2cpio  # 将rpm包转换为cpio格式
cpio  # 是一个标准工具,用户创建软件档案文件和从档案文件中提取文件

cpio 选项 < [文件|设备]
-i  # copy-in模式,还原
-d  # 还原时自动新建目录
-v  # 显示还原过程

RPM包管理 - yum在线管理

redhat需要付费才能使用yum,centos免费

## IP地址配置
# redhat用setup
1.启动网卡
vim /etc/sysconfig/network-scripts/ifcfg-eth0
改为ONBOOT="yes"

2.重启网络服务
service network restart

## 网络yum源
vim /etc/yum.repos.d/CentOS-Base.repo
[base]  # 容器名称
name  # 容器说明,可以随便填
mirrorlist  # 镜像站点,可注释
baseurl  # yum源服务器的地址。默认时CentOS官方的yum源服务器,也可改为其他yum源地址
enabled  # 此容器是否生效,=1 or 不写为生效 =0为不生效
gpgcheck  # 1为RPM的数字证书生效 0为不生效
gpgkey  # 数字证书的公钥文件保存位置,无需修改
… … … yum 查询 … … … ∞
# 查询所有可用软件包列表
yum list

# 搜索服务器上所有和关键字相关的包
yum search 关键字
… … … yum 安装 … … … ∞
yum -y install 包名
install  # 安装
-y  # 自动回答yes
… … … yum 升级 … … … ∞
yum -y update 包名  # 不加包名是升级所有包,慎用
update  # 升级
-y  # 自动回答yes
… … … yum 卸载 … … … ∞
yum -y remove 包名  # 尽量不卸载
remove  # 卸载
-y  # 自动回答yes
… … … yum 软件组 … … … ∞
# 列出所有可用的软件组列表
yum grouplist

# 安装指定软件组,组名可以由grouplist查询出来
yum groupinstall 软件组名  # 有空格用""

# 卸载指定软件组
yum groupremove 软件组名

## 光盘yum源搭建
1.挂载光盘
mount /dev/cdrom /mnt/cdrom/
2.2.让网络yum源文件失效
cd /etc/yum.repos.d/
mv CentOS-Base.repo CentOS-Base.repo.bak
mv CentOS-Debuginfo.repo CentOS-Base.repo.bak
mv CentOS-Vault.repo CentOS-Vault.repo.bak
3.修改光盘yum源文件
vim CentOS-Media.repo
[c6-media]name=CentOS-$releasever - Media
baseurl=file:///mnt/cdrom
# 地址为自己的光盘挂载地址
#        file:///media/cdrom/
#        file:///media/cdrecorder/
# 注释这两个不存在的地址
gpgcheck=1
enabled=1
# 把enabled=0改为enabled=1,让这个yum源配置文件生效gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6

源码包脚本安装包

  • 源码包和rpm包的区别
    安装前:源码包是开源的
    安装后:安装位置不通

  • 安装位置不同带来的影响:
    rmp包安装的服务可以使用系统服务管理命令(service)来管理,例如rpm包安装的apache的启动方法:
    /etc/rc.d/init.d/httpd start
    service httpd start
    源码包安装的服务则不能被service管理,因为没有装到默认路径中,所以只能用绝对路径进行服务的管理
    /usr/local/apache2/bin/apachectl start

  • 源码包安装过程

    1.安装准备
    # 安装C语言编译
    rpm -q gcc
    # 下载源码包
    http://mirror.bit.edu.cn/apache/httpd/
    2.安装注意事项
    # 源代码保存位置:/usr/local/src/
    # 软件安装位置:/usr/local/
    # 如何确定安装过程报错:安装过程停止、并出现error、warning或no的提示
    3.开始安装
    # 解压缩下载的源码包、进入解压缩目录
    # 查看说明文件里的安装步骤
    cat INSTALL 或者 cat README
    ./configure --prefix=/usr/local/apache2  # 软件配置与检查
    定义需要的功能选项
    检测系统环境是否符合安装要求
    把定义好的功能选项和检测系统环境的信息都写入Makefile文件,用于后续的编辑
    make  # 编译  
    编译报错的话,make clean可以清空编译
    make instll  # 编译安装
    4.卸载
    # 不需要卸载命令,直接删除安装目录,不会遗留任何垃圾文件
    rm -rf 安装目录

    脚本安装包并不是独立的软件包类型,常见安装的是源码包
    人为把安装过程写成了自动安装的脚本,只要执行脚本,定义简单的参数,就可以完成安装

  • 常见脚本安装包
    Webmin
    是一个基于Web的Linux系统管理界面,可通过图形化的方式设置用户账号、Apache、DNS、文件共享等服务

    下载安装包、解压进入目录、执行./setup.sh
    ctrl+backspace # 删除乱码

用户用户组管理

用户

用户配置文件

… … … /etc/passwd … … … ∞
# 用户信息文件
第1字段:用户名称
第2字段:密码标志,密码占位符
第3字段:UID(用户ID)0:超级用户1-499:系统用户(伪用户)500-65536:普通用户
第4字段:GID(用户初始组ID)
第5字段:用户说明初始组:一登录就有的组,默认和用户同名  附加组:可加入多个附加组,拥有这些组的权限
第6字段:家目录普通用户:/home/用户名/超级用户:/root/
第7字段:登录之后的Shell标准Shell是/bin/bash,还可以写如/sbin/nologin(不能登陆)
… … … /etc/shadow … … … ∞
# 影子文件
权限000 仅root可查看
存放加密后的密码
第1字段:用户名
第2字段:加密密码加密算法:SHA512散列加密算法
如果密码位是"!!"or"*"代表没有密码,不能登录
第3字段:密码最后一次修改日期19700101作为标准时间,每过一天时间戳加1
第4字段:两次密码的修改间隔时间(和第3字段比)
第5字段:密码有效期(和第3字段比)
第6字段:密码修改到期前的警告天数(和第5字段比)
第7字段:密码过期后的宽限天数(和第5字段比)
0:过期后立即失效
-1:永不失效
第8字段:账号失效时间时间戳表示、等级比第5字段高
第9字段:保留

## 用户管理相关文件
家目录 # 添加用户时自动生成
普通用户:/home/用户名/ # 权限700
超级用户:/root/ # 权限550

## 用户邮箱
/var/spool/mail/用户名/

## 用户模板目录
/etc/skel/

## 用户默认值文件
/etc/default/useradd
GROUP=100  # 用户默认组
HOME=/home  # 用户家目录
INACTIVE=-1  # 密码过期宽限天数(shadow文件第7字段)
EXPIRE=  # 密码失效时间(shadow文件第8字段)
SHELL=/bin/bash  # 默认shellSKEL=/etc/skel  # 模板目录
CREATE_MAIL_SPOOK=yes  # 是否建立邮箱
… … … /etc/login.defs … … … ∞
PASS_MAX_DAYS 99999  # 密码有效期(shadow文件第5字段)
PASS_MIN_DAYS 0  # 密码修改间隔(shadow文件第4字段)
PASS_MIN_LEN 5  # 密码最小5位(PAM)
PASS_WARN_AGE 7  # 密码到期警告(shadow文件第6字段)
UID_MIN 500  # 最小和最大UID范围
GID_MAX 60000
ENCRYPT_METHOD SHA512  # 加密模式

命令

… … … useradd … … … ∞
# useradd创建的所有新用户会遵循/etc/login.defs下的规定
useradd [选项] 用户名
-u UID:手工指定用户的UID号
-d 家目录:手工指定用户的家目录
-c 用户说明:手工指定用户的说明
-g 组名:手工指定用户的初始组
-G 组名:指定用户的附加组
-s shell:手工指定用户的登录shell,默认是/bin/bash
… … … passwd … … … ∞
# 超级用户可以更改所有用户的密码,普通用户只能修改自己的密码passwd [选项] 用户名
-S  # 查询用户密码的密码状态,仅root可用
-l  # 暂时锁定用户,仅root可用
-u  # 解锁用户,仅root可用
--stdin  # 可以通过管道符输出的数据作为用户的密码  
echo "123" | passwd --stdin testuser
除root外,需满足密码复杂度,8位以上,含数字大小写字母
… … … usermod … … … ∞
# 修改用户信息
usermod [选项] 用户名
-u UID:修改用户的UID号
-c 用户说明:修改用户的说明信息
-G 组名:修改用户的附加组
-L:临时锁定用户
-U:解锁用户锁定
-s:修改shell解释器
… … … chage … … … ∞
# 修改用户密码状态,用vim shadow也能改
chage [选项] 用户名
-l:列出用户的详细密码状态
-d 日期:修改密码最后一次更改日期(shadow第3字段)
-m 天数:两次密码修改间隔(shadow第4字段)
-M 天数:密码有效期(shadow第5字段)
-W 天数:密码过期前警告天数(shadow第6字段)
-I 天数:密码过后宽限天数(shadow第7字段)
-E 日期:账号失效时间(shadow第8字段)
-E -1:取消刚刚设置的失效时间

账号有效期:是指在一定日期之前,用户账户可以正常使用系统资源的时间范围。在有效期内,用户可以登录系统、使用系统资源与服务等。而一旦过了有效期,系统将会禁止该用户访问系统资源,强制其退出或限制其权限。

常用:chage -d 0 testuser  # 把用户密码修改日期归0,用户一登陆就得修改密码
… … … userdel … … … ∞
userdel [选项] 用户名
-r:删除用户的同时删除用户家目录
# 手动删除用户
vim /etc/passwd
vim /etc/shadow
vim /etc/group
vim /etc/gshadow
rm -rf /var/spool/mail/lamp
rm -rf /home/lamp/
… … … id … … … ∞
# 查看用户ID
id 用户名
… … … su … … … ∞
# 切换用户身份su
su [选项] 用户名
-:使用-代表连带用户的环境变量一起切换
-c:仅执行一次命令,而不切换用户身份
例:不切换成root但执行useradd命令添加testuser用户
su -root -c "useradd testuser"
su - sjwocloud -s /bin/bash
… … … env … … … ∞
查看当前用户的环境变量

用户组

用户组配置文件

… … … /etc/group … … … ∞
# 组信息文件
第1字段:组名
第2字段:组密码标志
第3字段:GID
第4字段:组中附加用户
… … … /etc/gshadow … … … ∞
# 组密码文件
第1字段:组名
第2字段:组密码
第3字段:组管理员用户名
第4字段:组中附加用户
… … … groupadd … … … ∞
groupadd [选项] 组名
-g GID:指定组ID
… … … groupmod … … … ∞
groupmod [选项] 组名
-g GID:修改组ID
-n 新组名:修改组名
… … … groupdel … … … ∞
# 删除用户组
groupdel 组名
… … … gpasswd … … … ∞
# 修改用户属组,仅限附属
gpasswd 选项 组名
-a 用户名:把用户加入组
-d 用户名:把用户从组中删除
# 或直接修改组文件/etc/group

权限管理

文件类型

  • 文件类型-rw-r–r–
    r 读 4;可以查看文件内容;可以列出目录中的内容
    w 写 2;可以修改文件内容;可以在目录中创建、删除文件
    x 执行 1;可以执行文件;可以进入目录- 普通文件l 软链接

  • 文件普通权限
    rw- r– r–
    u所有者 g所属组 o其他人(除所有者、所属组以外的用户)

ACL权限

ACL解决身份不足的情况,不考虑ugo的权限

… … … dumpe2fs … … … ∞
# 查看分区ACL权限是否开启
dumpe2fs -h /dev/sda3
# dumpe2fs命令是查询指定分区详细文件系统信息的命令
-h:仅显示超级块中信息,而不显示磁盘块组的详细信息
… … … 开启ACL权限 … … … ∞
## 临时开启分区ACL权限
# 重新挂载根分区,并挂载加入acl权限
mount -o remount,acl /

## 永久开启分区ACL权限
# 加入acl
vi /etc/fstab
UUID=c2ca6…… / ext4 defaults,acl  1 1
# 重新挂载文件系统或重启系统,使修改生效
mount -o remount /
… … … 查看ACL权限 … … … ∞
getfacl 文件名
… … … 设定ACL权限 … … … ∞
setfacl 选项 文件名
-m:设定ACL权限
-x:删除指定的ACL权限
-b:删除所有的ACL权限
-d:设定默认ACL权限
-k:删除默认ACL权限
-R:递归设定ACL权限

例:给用户testuser赋予r-x权限,使用"u:用户名:权限"格式
setfacl -m u:testuser:rx /testmulu/
… … … mask … … … ∞
# mask是用来指定最大有效权限的,默认情况是rwx
# 用户拥有ACL权限,需要和mask的权限想与才是真正权限(权限相与:同为r才是r)
# 修改mask值
setfacl -m m:rx /testmulu
… … … 删除ACL权限 … … … ∞
setfacl 选项 文件名
-x u:用户名 文件名  # 删除指定用户的acl权限
-x g:组名 文件名  # 删除指定组的acl权限
-b  # 删除文件的全部acl权限
… … … 递归ACL权限 … … … ∞
# 递归是父目录在设定ACL权限时,所有的子文件、子目录也会拥有相同的ACL权限
setfacl -m u:用户名:权限 -R 文件名
… … … 默认ACL权限 … … … ∞
# 默认ACL权限:给父目录设定了默认ACL权限,当中所有“新建”的子文件都会继承
setfacl -m d:u:用户名:权限 文件名

文件特殊权限

特殊权限 s
S代表赋权错误,无任何作用

… … … SetUID … … … ∞
SetUID功能:
只有可执行的二进制程序才能设定SUID权限
命令执行者要对该程序拥有x权限
命令执行者在执行该程序时获得该程序文件属主的身份
SetUID权限只在该程序执行过程中有效
passwd拥有SetUID权限,所以普通用户可修改密码(/etc/shadow文件默认权限000)

## 设定SetUID命令:
4<==>SUID
chmod 4755 文件名
chmod u+s 文件名

# 取消SetUID权限
chmod 755 文件名
chmod u-s 文件名

# 危险的SetUID
关键目录严格控制写权限,如/、/usr
… … … SetGID … … … ∞
SetGID针对文件的作用:
只有可执行的二进制程序才能设置SGID权限
命令执行者要对该程序拥有x权限
命令执行者在执行程序的时候,组身份升级为该程序文件的属组
SetGID权限同样只在该程序执行过程中有效

SetGID针对目录的作用:
普通用户必须对此目录拥有rx权限,才能进入此目录
普通用户在此目录中的有效组会变成此目录的属组
若普通用户对此目录拥有w权限,新建的文件默认属组时这个目录的 属组

## 设定SetGID命令:
2<==>SGID
chmod 2755 文件名
chmod g+s 文件名

# 取消SetGID权限
chmod 755 文件名
chmod g-s 文件名
… … … Sticky BIT … … … ∞
SBIT粘着位作用
粘着位目前只对目录有效
普通用户对该目录拥有wx权限
如果没有粘着位,因普通用户拥有w权限,所以可以删除此目录下所有文件,包括其他用户建立的文件
一旦赋予了粘着位,除了root可以删除所有文件,普通用户就算有w,也只能删除自己建立的,无法删除其他用户建立的文件

## 设置粘着位
1<==>SBID
chmod 1755 文件名
chmod o+t 文件名

# 取消粘着位
chmod 755 文件名
chmod o-t 文件名
文件系统属性权限chattr
… … … chattr … … … ∞
chattr [+-=][选项] 文件或目录名
+:增加权限
-:删除权限
=:等于某权限
i:文件:不允许对文件进行改名修改删除      目录:只能修改目录下文件的数据,不允许新增删除文件
a:文件:只能新增数据(追加的方式),不能修改、删除数据       目录:只能新增(追加的方式)、修改文件,不能删除文件

例:# 防止密码泄露 .pass.txt设置权限:不允许修改 不允许删除
chattr +i .pass.txt
… … … lsattr … … … ∞
lsattr 选项 文件名
-a:显示所有文件和目录
-d:若目标是目录,仅列出目录本身的属性,为不是子文件的

sudo

… … … sudo … … … ∞
## sudo作用
root把本来只能超级用户执行的命令赋予普通用户执行
sudo的操作对象是系统命令

## sudo使用
visudo # 实际修改的是/etc/sudoers文件
# 用户名 被管理主机的地址=(可使用的身份)  授权命令(绝对路径)
   root     ALL=(ALL)                                     ALL
# %组名    被管理主机的地址=(可使用的身份)  授权命令(绝对路径)
   %wheel  ALL=(ALL)                                     ALL

例:授权testuser用户可以重启服务器
visudo
testuser ALL=/sbin/shutdown -r now

## 普通用户执行sudo赋予的命令
su -testuser
sudo -k  # 查看可用的sudo命令
sudo /sbin/shutdown -r now  # 执行sudo赋予的命令

# 切换root
sudo -i

文件系统管理

  • 分区规划
    MBR 主分区 4,实际3,最大2T 扩展分区 1 逻辑分区 n
    GPT 主分区 128个,最大18EB
    • MBR分区类型
      主分区:最多能分4个
      扩展分区:只能有一个,主分区+扩展分区最多有4个;扩展分区不能存储数据和格式化,必须再划分成逻辑分区才能用逻辑分区:IDE硬盘最多支持59个逻辑分区,SCSI硬盘最多支持11个逻辑分区

  1. 分区设备文件名
    主分区1 2 3 /dev/sda1 2 3
    扩展分区 /dev/sda4
    逻辑分区1 2 3 /dev/sda5 6 7 # 逻辑分区固定从sda5开始

  2. 文件系统:空间存储数据的规则
    windows:NTFS FAT
    linux:xfs(7以上才有,适合存大文件) ext4
    ext2:ext的升级版本;1993年发布,支持最大16TB的分区和最大2TB的文件
    ext3:ext2的升级版本;最大区别是带日志功能以在系统突然停止时提高文件系统的可靠性,支持最大16TB的分区和最大2TB的文件
    ext4:ext3的升级版;大量改进性能、伸缩性、可靠性;向下兼容ext3、支持最大1EB文件系统和16TB文件、无限数量子目录、Extents连续数据块概念、多块分配、延迟分配、持久预分配、快速FSCK、日志校验、无日志模式、在线碎片整理、inode增强、默认启用barrier等;是CentOS6.3的默认文件系统

    • GPT

两个工具
fdisk 所有操作保存在内存里,对磁盘不生效,最终保存才会生效,q退出
parted 敲回车直接更改

… … … mkfs. blkid pv vg lv … … … ∞
## 识别硬盘-》分区规划-》格式化-》挂载
逻辑分区规划:fdisk n +1G w

格式化:赋予空间 文件系统
mkfs.ext4 /dev/vdc1
blkid 查看分区文件系统类型

挂载:让目录成为设备的访问点

## 逻辑卷创建流程:创建物理卷(pv)-》创建卷组(vg)-》创建逻辑卷(lv)

逻辑卷常用指令集

功能 物理卷管理 卷组管理 逻辑卷管理
Scan 扫描 pvscan/pvs vgscan/ygs Ivscan/lvs
Create 创建 pvcreate vgcreate lvcreate
Display 显示 pvdisplay vgdisplay lvdisplay
Remove 删除 pvremove vgremove lvremove
Extend 扩展 / vgextend lvextend 
# 逻辑卷作用:
1.整合分散空间
2.在线动态扩容

# 创建卷组
vgcreate myvg /dev/vdc2 # 会判断分区是否为物理卷,如不是自动pvcreate,可省略pvcreate步骤
lvcreate -L 1G -n mylv myvg # L指定最终大小,l指定PE个数

扩容卷组
情况一:卷组有足够空间
1.扩展逻辑卷:
lvextend -L 最终大小 逻辑卷的名 
2.扩展文件系统(blkid查询类型,用对应类型的命令扩展):
ext4:resize2fs
xfs:xfs_growfs

情况二:卷组没有足够空间
1.扩展卷组
vgextend 卷组名  物理卷1  …
2.扩展逻辑卷:
lvextend -L 最终大小 逻辑卷的名 
3.扩展文件系统(blkid查询类型,用对应类型的命令扩展):
ext4:resize2fs
xfs:xfs_growfs

# 删除逻辑卷(删除倒序删)
umount
lvremove
vgremove(需要vg里的lv都删除完)
pvremove /dev/vdc[2-3]

## PE
# 修改PE大小
vgchange -s 1M myvg
vgdisplay myvg # 查看pe大小
# 创建时指定PE大小
vgcreate -s 1M myvg /dev/vdc2
# 创建lv时指定PE个数
lvcreate -l 50 -n mylv myvg
… … … swapon … … … ∞
## 交换空间(虚拟内存)
# 利用硬盘的空间,充当内存空间
# 当物理内存占满了,可以将内存中的数据,暂时放入交换空间中,缓解真是物理内存的压力

# 利用硬盘分区制作交换空间
# 查看交换分区
swapon -s 
# 格式化为交换分区
mkswap /dev/vdc3
# 永久生效,实现开机自动挂载
vim /etc/fstab
/dev/vdc3    swap     swap      defaults    0    0
# 挂载交换分区
swapon -a
swapon -s
# 停用交换分区
swapoff /dev/vdc3
… … … NFS … … … ∞
Network  File System网络文件系统
# 用途
为客户机提供共享使用的文件夹
# 所需软件包
nfs-utils
# 系统服务
nfs-server
# NFS配置
vim /etc/exports
目录 网段
/public 192.25.0.0/24

# 查看服务端共享的目录
showmount -e ${ip}
… … … autofs … … … ∞
yum install -y autofs
systemctl start autofs
ls /misc/cd
cat /etc/auto.master  # 配置监控点
cat /etc/auto.misc  # 配置监控点(触发点)子目录,相对路径,相对上一个文件

… … … lsblk … … … ∞
#查看所有可用块设备信息
… … … df … … … ∞
df [选项] [挂载点]
-a:显示all文件系统信息,包括特殊文件系统,如/proc、/sysfs
-h:使用习惯单位显示容量,如KB、MB或GB
-T:显示文件系统类型
-m:以MB为单位显示容量
-k:以KB为单位显示容量(默认KB)
# 是从文件系统考虑的,不光要考虑文件占用的空间,还要统计被命令或程序占用的空间(最常见的就是文件已经删除,但是程序并没有释放空间)
# df看到的可用空间是真正的可用空间
… … … du … … … ∞
#查看文件、目录大小
du [选项] [目录或文件名]
-a:显示每个子文件的磁盘占用量,默认只统计子目录的磁盘占用量
-h:使用习惯单位显示磁盘占用率
-s:统计总占用量,而不列出子目录和子文件的占用量(KB)
[-H||--si K,M,G以1000为换算单位显示]
[--exclude=<目录或文件> 略过指定的目录或文件]
# 是面向文件的,只会计算文件或目录占用的空间
… … … fsck … … … ∞
# 文件系统修复命令
fsck [选项] 分区设备文件名
-a:不用显示用户提示,自动修复文件系统
-y:自动修复,和-a作用一致,不过有些文件系统支支持-y
… … … dumpe2fs … … … ∞
# 显示磁盘状态
dumpe2fs 分区设备文件名
… … … mount … … … ∞
临时挂载;一个设备能挂载多个挂载点;一个挂载点只能挂载一个设备

# 查询系统中已经挂载的设备,-l会显示卷标名称
mount [-l]

# 依据配置文件/etc/fstab的内容,自动挂载;检查/etc/fstab文件语法正误
mount -a

mount [-t 文件系统] [-L 卷标名] [-o 特殊选项] 设备文件名 挂载点
-t 文件系统:加入文件系统类型来指定挂载的类型(ext3、ext4、iso9660等)
-L 卷标名:挂载指定卷标的分区,而不是安装设备文件名挂载
-o 特殊选项:可以指定挂载的额外选项
例:挂载光盘
mount -t iso9660 /dev/cdrom /mnt/cdrom/
挂载U盘 # Linux默认不支持NTFS文件系统
mount -t vfat /dev/sdb1 /mnt/usb/

# 卸载
umount 挂载点
… … … /etc/fstab … … … ∞
## 自动挂载(永久挂载)
/etc/fstab文件(文件写错系统起不来)
第1字段:分区设备文件名或UUID(硬盘通用唯一识别码)
第2字段:挂载点
第3字段:文件系统名称
第4字段:挂载参数
第5字段:指定分区是否被dump备份,0 不备份、1 每天备份、2 不定期备份
第6字段:指定分区是否被fsck检测,0 不检测、其他数字代表优先级

# /etc/fstab 文件的记录格式:
设备路径(设备名称)   挂载点   文件系统类型   参数   备份标记   检测顺序
… … … fdisk … … … ∞
# 查询新硬盘
fdisk -l

# 分区
fdisk /dev/sdb
所有操作保存在内存里,对磁盘不生效,最终保存才会生效,q退出

# 重新读取分区表信息
partprobe
… … … stat … … … ∞
#查看文件信息
stat [文件]

说些什么吧!

waline