Just thinking more…
以前知道 SUID, GUID,最近要考試,才知道有 sticky bit permission。
閱讀這篇:What is sticky bit permission, and how to use it – TREND OCEANS 以後,做了點整理,幫助自己了解。
SUID 是指執行這個程式的時候,是用 owner 身份執行;GUID 是指執行這個程式的時候,試用 owner group 的身份執行。這兩個設定有點危險,因為這會讓執行程式的使用者可以用 owner/owner group 的身份執行程式,進而做到一些可能危害系統的事情。
設定方法
chmod u+s program1
chmod g+s program1要注意的是,SUID/GUID 只能設定在二進位的執行檔上,不能設定在腳本上。
對目錄設定 sticky permission 的話,表示只有 root 跟 owner 可以刪除該目錄。
設定方法
chmod o+t dir1
chmod 1755 dir1在 Red Hat Enterprise Linux 8 的手冊裡看到 SSH 跳板,記錄一下。
首先在 ${HOME}/.ssh/config 裡新增跳板機的資訊
Host jump-server1
HostName jump1.example.com接著在要連過去的主機資訊裡,填入
ProxyJump <跳板機名稱>例如
Host remote-server
HostName remote1.example.com
ProxyJump jump-server1之後使用 ssh remote-server 時,會先連到 jump1.example.com 這台主機 ,再連接到 remote1.example.com 這台主機。
之前不知道這方法時,都是先連到 jump1.example.com,然後再輸入 ssh remote1.example.com 這樣,有點笨。
現在使用 ProxyJump ,會方便很多,少打不少字。
其他參考資料:https://www.redhat.com/sysadmin/ssh-proxy-bastion-proxyjump
還記得以前有個可以管理 Linux 主機服務的軟體,叫作 webmine,有一陣子蠻常用的,但後來還是回歸到終端機敲指令方式來管理。
這兩年用了 Red Hat Enterprise Linux ,登入時,頻頻看到說可以啟用 cockpit 來做管理,在看管理手冊的時候,也發現有獨立的章節在介紹,所以就裝起來試試看了。
優點是,不需要使用到特權帳號,登入時,使用本機帳號就可以登入,而且有 Plugin 機制,在安裝 Plugin 之後,就有了新的功能。
在 cockpit 的網站上就有描述各種 Linux 發行版的安裝方式:Running Cockpit
sudo yum install cockpit
sudo systemctl enable --now cockpit.socket
sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanentsudo pacman -S cockpit
sudo systemctl enable --now cockpit.socketsudo apt install cockpit
sudo systemctl enable --now cockpit.socket在安裝並啟用以後,就可以開啟瀏覽器,在網址列輸入 https://<ip>:9090 進入 cockpit 的網頁管理畫面進行管理。
這個管理介面也可以管理多台 Linux 主機,就透過左上角的下拉選單,去新增主機就可以。
就功能面來說並沒有像 webmine 那麼的豐富 (或者說是複雜),但以管理來說是相當實用的工具。
使用 find 多半是用 wildchar 萬用字元來搜尋,使用方法簡單。但有些場景就需要用 regular expression 來找符合特定格式的檔名,這時候 find 可以勝任嗎?
find 指令提供了 -regex 參數,就可以使用此參數來指定格式;搭配的參數是 -regextype ,regular expression 雖說用法大致一樣,但語言難免都有方言存在,因此可以用這個參數來指定要用哪種 regular expression 的方言。
所以若是要在 LOG_DIR 目錄下找符合 app.log.2022-10-11 這樣類型的檔名然後做壓縮,就可以這樣寫:
find "${LOG_DIR}" \
-type f \
-regextype 'posix-egrep' \
-regex '.*app\.log\.[0-9]{4}-[0-9]{2}-[0-9]{2}$' \
-exec gzip {} \;說明如下
-regextype 前面說過是指定 regular expression 的方言,可以指定這些 awk, egrep, emacs, gnu-awk, grep, posix-awk, posix-basic, posix-egrep, posix-extended ,這邊我們用 posix-egrep ,確保符合 posix 標準。-regex 的格式最前面使用了 .* ,這是因為 find 輸出時的檔名會包含 LOG_DIR 路徑,所以必須用 .* 來表示格式之前有可能有任何字元。find 搭配 regex 就可以更有彈性的去找出符合格式的檔名,不需要遷就 wildchar 了。
要如何設定 Debian/Ubuntu 自動做更新呢?這可以使用 dpkg-reconfigure -plow unattended-upgrade 來設定
sudo dpkg-reconfigure -plow unattended-upgrades執行指令後,會跳出視窗詢問是否要自動更新,選擇 Yes 就可以了。執行以後,會更新 /etc/apt/apt.conf.d/20auto-upgrades 這個檔案的內容
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";如果有不想自動更新的套件,可以用黑白名單來設置,這邊可以參考 /etc/apt/apt.conf.d/50unattended-upgrades 檔案裡的範例來設定。
有些套件在更新後,會需要重新開機,unattended-upgrade 也可以做到自動重開機,主要是在 /etc/apt/apt.conf.d/20auto-upgrades 加入以下設定
//Unattended-Upgrade::Automatic-Reboot "false";
//Unattended-Upgrade::Automatic-Reboot-WithUsers "true";
//Unattended-Upgrade::Automatic-Reboot-Time "02:00";除了可以指定是否自動重開機外,也可以指定自動重開機的時間。
了解 Debian/Ubuntu 如何自動更新以後,相信在管理主機上會更為輕鬆。
上週幫客戶處理問題時,對 RHEL8/CentOS8 的 grub 又多了解了一些,記錄一下。
Ubuntu 的選單是放在 /boot/grub/grub.cfg ,所以看這個檔案,就大略知道選單有哪些選項,修改可以直接改這個檔案。RHEL8 跟 CentOS8 使用 grubby 來管理開機時的 grub 選單,所以可以用 grubby 指令來做管理。
常用的指令可以參考 12 practical grubby command examples (cheat sheet)
我這次主要使用到的指令有
列出選單項目,可以用下面指令
grubby --info=ALL | grep -E "^kernel|^index"取得 index 跟 kernel ,就可以修改指定項目的 kernel options 了。
修改的指令如下
# 修改指定的 kernel 的 kernel options,路徑可參考上面指令
grubby --update-kernel=<kernel路徑> --args="ipv6.disable=1"
# 修改目前的
grubby --update-kernel=/boot/vmlinuz-$(uname -r) --args="ipv6.disable=1"若要移除 kernel options,要用 –remove-args
# 移除指定的 kernel 的 kernel options
grubby --update-kernel=<kernel路徑> --remove-args="ipv6.disable=1"
# 移除目前 kernel 的 kernel options
grubby --update-kernel=/boot/vmlinuz-$(uname -r) --remove-args="ipv6.disable=1"這裡的修改,會影響到 /boot/loader/entries 目錄下的檔案。
grubby --default-index
grubby --default-title用以下指令設定
grubby --set-default="/boot/vmlinuz-4.18.0-193.1.2.el8_2.x86_64"
grubby --set-default-index=2這裡設置以後,會影響到 /boot/grub/grubenv 的檔案內容。
可惜 ubuntu 沒有 grubby,感覺這在管理開機選單上還蠻方便的。
昨晚用 yay 更新套件時,出現 gnupg key 問題,說套件無法驗證,試著用下面指令去更新 key 也有問題。
sudo pacman-key --refresh-keys
後來查到這篇:gpg – sks-keyservers gone. What to use instead? – Unix & Linux Stack Exchange
文章說可能是 keyserver 問題,就去改 /etc/pacman.d/gnupg/gpg.conf 裡的 keyserver,改了還是有問題。
最後才找到這篇:PSA: you need to update your keyserver : archlinux ,提到不是只改一個地方就好,以下這幾個位置的設定檔都要改。
/etc/pacman.d/gnupg/gpg.conf~/.gnupg/gpg.conf我後來是修改為 keyserver hkp://keyserver.ubuntu.com ,經過這樣修改以後,就可以順利更新 key 跟套件了。
我忘記為什麼會要找這個,總之,要檢查檔案不是空的,可以用 -s 。
這用 man test 可以查到, -s 的說明是這樣的:True if file exists and has a size greater than zero.
當檔案存在而且長度大於 0 時,回傳 True。換言之,False 時,就代表檔案的長度是 0 (空的)。
我是在 StackOverflow 找到的:linux – How to check if a file is empty in Bash? – Stack Overflow
if [ -s diff.txt ]; then
# The file is not-empty.
rm -f empty.txt
touch full.txt
else
# The file is empty.
rm -f full.txt
touch empty.txt
fi
之前傻傻的以為在 awk script 裡用 ${var} 就可以使用環境變數,但實測結果是不行的,後來才找到 Can we use shell variable in awk?
使用方法很簡單,執行 awk 時用 -v var=${env_var} ,在 awk script 裡就可以使用 var 變數來取得環境變數。
echo "" | awk -v HOME=${HOME} '{print HOME}'想找出其中一欄符合條件的所有列,又不想用 grep,找到這篇 Using awk with column value conditions 跟這篇 AWK 判斷有符合的 字串 或 條件 再印出資料,就直接用指定欄位的變數來判斷就可以,例如 $1
awk '$1 == "findtext" {print $0}' input.txt下面範例是忽略註解,計算行數的,從 AWK: is there some flag to ignore comments? 看來的
awk '/^[[:space:]]*#/ { NR-- } {sum+=$3} END { ... }' coriolis_data
awk '{ if ($0 ~ /^[[:space:]]*#/) {NR--} else {sum+=$3} END { ... }' coriolis_data一般更新 /etc/sudoers 檔案內容都是使用 visudo 指令進行;若是要管理 sudoer ,Ansible 可以用 community.general.sudoers 模組來管理。
那如果要在腳本裡更新,該怎麼做呢?這時候可以參考 How do I edit /etc/sudoers from a script? 裡的作法來進行。
這作法蠻 tricky 的,主要是利用 EDITOR 環境變數把 visudo 預設的編輯器換為 tee -a ,這樣就不會開啟 vi 編輯器,而會改用 tee 來處理。來看看這行指令
echo 'foobar ALL=(ALL:ALL) ALL' | sudo EDITOR='tee -a' visudo| 的左邊是很單純的 echo,這裡可以放置要放進去的設定| 的右邊就是 sudo 跟 visudo ,這是用 sudo 執行 visudo 指令,並且把編輯器換為 tee -a這樣組合以後,就可以把設定放到 /etc/sudoers 裏面去了。
另外一種比較單純的作法就是在 /etc/sudoers.d 目錄下去新增檔案,新增以後,因為 /etc/sudoers 裏面有寫 #includedir /etc/sudoers.d ,所以會引用到 /etc/sudoers.d 目錄下的檔案。