Just thinking more…
以前知道 SUID, GUID,最近要考試,才知道有 sticky bit permission。
閱讀這篇:What is sticky bit permission, and how to use it – TREND OCEANS 以後,做了點整理,幫助自己了解。
SUID 是指執行這個程式的時候,是用 owner 身份執行;GUID 是指執行這個程式的時候,試用 owner group 的身份執行。這兩個設定有點危險,因為這會讓執行程式的使用者可以用 owner/owner group 的身份執行程式,進而做到一些可能危害系統的事情。
設定方法
chmod u+s program1
chmod g+s program1要注意的是,SUID/GUID 只能設定在二進位的執行檔上,不能設定在腳本上。
對目錄設定 sticky permission 的話,表示只有 root 跟 owner 可以刪除該目錄。
設定方法
chmod o+t dir1
chmod 1755 dir1在 Red Hat Enterprise Linux 8 的手冊裡看到 SSH 跳板,記錄一下。
首先在 ${HOME}/.ssh/config 裡新增跳板機的資訊
Host jump-server1
HostName jump1.example.com接著在要連過去的主機資訊裡,填入
ProxyJump <跳板機名稱>例如
Host remote-server
HostName remote1.example.com
ProxyJump jump-server1之後使用 ssh remote-server 時,會先連到 jump1.example.com 這台主機 ,再連接到 remote1.example.com 這台主機。
之前不知道這方法時,都是先連到 jump1.example.com,然後再輸入 ssh remote1.example.com 這樣,有點笨。
現在使用 ProxyJump ,會方便很多,少打不少字。
其他參考資料:https://www.redhat.com/sysadmin/ssh-proxy-bastion-proxyjump
還記得以前有個可以管理 Linux 主機服務的軟體,叫作 webmine,有一陣子蠻常用的,但後來還是回歸到終端機敲指令方式來管理。
這兩年用了 Red Hat Enterprise Linux ,登入時,頻頻看到說可以啟用 cockpit 來做管理,在看管理手冊的時候,也發現有獨立的章節在介紹,所以就裝起來試試看了。
優點是,不需要使用到特權帳號,登入時,使用本機帳號就可以登入,而且有 Plugin 機制,在安裝 Plugin 之後,就有了新的功能。
在 cockpit 的網站上就有描述各種 Linux 發行版的安裝方式:Running Cockpit
sudo yum install cockpit
sudo systemctl enable --now cockpit.socket
sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanentsudo pacman -S cockpit
sudo systemctl enable --now cockpit.socketsudo apt install cockpit
sudo systemctl enable --now cockpit.socket在安裝並啟用以後,就可以開啟瀏覽器,在網址列輸入 https://<ip>:9090 進入 cockpit 的網頁管理畫面進行管理。
這個管理介面也可以管理多台 Linux 主機,就透過左上角的下拉選單,去新增主機就可以。
就功能面來說並沒有像 webmine 那麼的豐富 (或者說是複雜),但以管理來說是相當實用的工具。
使用 find 多半是用 wildchar 萬用字元來搜尋,使用方法簡單。但有些場景就需要用 regular expression 來找符合特定格式的檔名,這時候 find 可以勝任嗎?
find 指令提供了 -regex 參數,就可以使用此參數來指定格式;搭配的參數是 -regextype ,regular expression 雖說用法大致一樣,但語言難免都有方言存在,因此可以用這個參數來指定要用哪種 regular expression 的方言。
所以若是要在 LOG_DIR 目錄下找符合 app.log.2022-10-11 這樣類型的檔名然後做壓縮,就可以這樣寫:
find "${LOG_DIR}" \
-type f \
-regextype 'posix-egrep' \
-regex '.*app\.log\.[0-9]{4}-[0-9]{2}-[0-9]{2}$' \
-exec gzip {} \;說明如下
-regextype 前面說過是指定 regular expression 的方言,可以指定這些 awk, egrep, emacs, gnu-awk, grep, posix-awk, posix-basic, posix-egrep, posix-extended ,這邊我們用 posix-egrep ,確保符合 posix 標準。-regex 的格式最前面使用了 .* ,這是因為 find 輸出時的檔名會包含 LOG_DIR 路徑,所以必須用 .* 來表示格式之前有可能有任何字元。find 搭配 regex 就可以更有彈性的去找出符合格式的檔名,不需要遷就 wildchar 了。
要如何設定 Debian/Ubuntu 自動做更新呢?這可以使用 dpkg-reconfigure -plow unattended-upgrade 來設定
sudo dpkg-reconfigure -plow unattended-upgrades執行指令後,會跳出視窗詢問是否要自動更新,選擇 Yes 就可以了。執行以後,會更新 /etc/apt/apt.conf.d/20auto-upgrades 這個檔案的內容
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";如果有不想自動更新的套件,可以用黑白名單來設置,這邊可以參考 /etc/apt/apt.conf.d/50unattended-upgrades 檔案裡的範例來設定。
有些套件在更新後,會需要重新開機,unattended-upgrade 也可以做到自動重開機,主要是在 /etc/apt/apt.conf.d/20auto-upgrades 加入以下設定
//Unattended-Upgrade::Automatic-Reboot "false";
//Unattended-Upgrade::Automatic-Reboot-WithUsers "true";
//Unattended-Upgrade::Automatic-Reboot-Time "02:00";除了可以指定是否自動重開機外,也可以指定自動重開機的時間。
了解 Debian/Ubuntu 如何自動更新以後,相信在管理主機上會更為輕鬆。
上週幫客戶處理問題時,對 RHEL8/CentOS8 的 grub 又多了解了一些,記錄一下。
Ubuntu 的選單是放在 /boot/grub/grub.cfg ,所以看這個檔案,就大略知道選單有哪些選項,修改可以直接改這個檔案。RHEL8 跟 CentOS8 使用 grubby 來管理開機時的 grub 選單,所以可以用 grubby 指令來做管理。
常用的指令可以參考 12 practical grubby command examples (cheat sheet)
我這次主要使用到的指令有
列出選單項目,可以用下面指令
grubby --info=ALL | grep -E "^kernel|^index"取得 index 跟 kernel ,就可以修改指定項目的 kernel options 了。
修改的指令如下
# 修改指定的 kernel 的 kernel options,路徑可參考上面指令
grubby --update-kernel=<kernel路徑> --args="ipv6.disable=1"
# 修改目前的
grubby --update-kernel=/boot/vmlinuz-$(uname -r) --args="ipv6.disable=1"若要移除 kernel options,要用 –remove-args
# 移除指定的 kernel 的 kernel options
grubby --update-kernel=<kernel路徑> --remove-args="ipv6.disable=1"
# 移除目前 kernel 的 kernel options
grubby --update-kernel=/boot/vmlinuz-$(uname -r) --remove-args="ipv6.disable=1"這裡的修改,會影響到 /boot/loader/entries 目錄下的檔案。
grubby --default-index
grubby --default-title用以下指令設定
grubby --set-default="/boot/vmlinuz-4.18.0-193.1.2.el8_2.x86_64"
grubby --set-default-index=2這裡設置以後,會影響到 /boot/grub/grubenv 的檔案內容。
可惜 ubuntu 沒有 grubby,感覺這在管理開機選單上還蠻方便的。
昨晚用 yay 更新套件時,出現 gnupg key 問題,說套件無法驗證,試著用下面指令去更新 key 也有問題。
sudo pacman-key --refresh-keys
後來查到這篇:gpg – sks-keyservers gone. What to use instead? – Unix & Linux Stack Exchange
文章說可能是 keyserver 問題,就去改 /etc/pacman.d/gnupg/gpg.conf 裡的 keyserver,改了還是有問題。
最後才找到這篇:PSA: you need to update your keyserver : archlinux ,提到不是只改一個地方就好,以下這幾個位置的設定檔都要改。
/etc/pacman.d/gnupg/gpg.conf~/.gnupg/gpg.conf我後來是修改為 keyserver hkp://keyserver.ubuntu.com ,經過這樣修改以後,就可以順利更新 key 跟套件了。
一般更新 /etc/sudoers 檔案內容都是使用 visudo 指令進行;若是要管理 sudoer ,Ansible 可以用 community.general.sudoers 模組來管理。
那如果要在腳本裡更新,該怎麼做呢?這時候可以參考 How do I edit /etc/sudoers from a script? 裡的作法來進行。
這作法蠻 tricky 的,主要是利用 EDITOR 環境變數把 visudo 預設的編輯器換為 tee -a ,這樣就不會開啟 vi 編輯器,而會改用 tee 來處理。來看看這行指令
echo 'foobar ALL=(ALL:ALL) ALL' | sudo EDITOR='tee -a' visudo| 的左邊是很單純的 echo,這裡可以放置要放進去的設定| 的右邊就是 sudo 跟 visudo ,這是用 sudo 執行 visudo 指令,並且把編輯器換為 tee -a這樣組合以後,就可以把設定放到 /etc/sudoers 裏面去了。
另外一種比較單純的作法就是在 /etc/sudoers.d 目錄下去新增檔案,新增以後,因為 /etc/sudoers 裏面有寫 #includedir /etc/sudoers.d ,所以會引用到 /etc/sudoers.d 目錄下的檔案。
在企業裡,因為不會讓所有伺服器都對外,一般會在內部架設一台 YUM mirror server ,定期去 mirror 外部的 RHEL 套件庫。
坦白說,我不知道用哪個名字比較好,知道的名字有
總之,用途都是一致的。
首先這台要作為 mirror 的伺服器必須要對外,接著在伺服器裡,以 subscription-manager 註冊到 RHEL 服務去。
安裝做 mirror 的套件,這邊選用 apache,也可以用 nginx,路徑跟設定調整一下就可以。
yum install yum-utils createrepo httpd使用 subscription-manager 查看可以下載的 repository
subscription-manager repos --list接著對需要做 mirror 的 repository 去做 mirror
mkdir -p /var/www/html/{baseos,appstream}
reposync -p /var/www/html/baseos \
--download-metadata \
--repo=rhel-8-for-x86_64-baseos-rpms \
--delete \
--downloadcomps
reposync -p /var/www/html/appstream \
--download-metadata \
--repo=rhel-8-for-x86_64-appstream-rpms \
--delete \
--downloadcomps這邊可以寫成一個腳本,然後設定 cron,定期去執行 mirror。
一般會再多寫一個 repo 檔案,放在 /var/www/html ,後續到其他主機時,可以直接下載這個 repo 檔案,放到 /etc/yum.repos.d 裡面,就可以直接 yum update 。
[baseos]
name=baseos
baseurl=http://<ip>/rhel-8-for-x86_64-baseos-rpms/
enabled=1
gpgcheck=0
[appstream]
name=appstream
baseurl=http://<ip>/rhel-8-for-x86_64-appstream-rpms/
enabled=1
gpgcheck=0最後啟用 httpd,就大功告成了。
systemctl enable --now httpd使用這個方法,基本上一台主機就是對應一個版本,例如 7.9, 8, 8.5, 8.6 這樣,沒辦法有多個版本,若需要有多個版本,建議使用 Foreman 或是 Satellite 會比較方便。
記錄關於 bash argument 的幾則常用語法。
argument 一般翻譯為引數或參數,帶有 — 的,會被稱為選項。
prog arg1 arg2 arg3
prog --output option1 arg1arg1, arg2, arg3 就是引數;–output option1 就是選項。
寫 shell script 時,是不管 — 的,在 prog 之後的,都叫做引數。以下用法均以 prog arg1 arg2 arg3 作為範例
| 用法 | 說明 | 結果 |
| $# | 取得引數個數 | 3 |
| $@ | 所有引數 | arg1 arg2 arg3 |
| myArray=(“$@”) | 轉為 Array | 會印出 arg1,要遍訪,需用 for: |
| myArray=(“$@”) echo “${myArray}” | 只印出Array第一個元素 | arg1 |
| for arg in “${myArray[@]}”; do echo -n “${arg},”; done | 遍訪Array所有元素 | arg1,arg2,arg3, |
| myArray=( “$@” ) arraylength=${#myArray[@]} for (( i=0; i<${arraylength}; i++ )); do echo “${myArray[$i]}” done | 遍訪Array所有元素的另一個作法,用索引方式。 | arg1 arg2 arg3 |
if ["$#" -eq 0]; then echo "no argument"; fi | 判斷是有否引數 | 若無引數,印出 “no argument” |
| B=(“${myArray[@]:1:2}”) echo “${B[@]}” | 做slice | arg2 arg3 |
| version=4.7.1 A=( ${version//./ } ) echo “${A[@]}” | split | 4 7 1 |
a=”HELLO WORLD”echo "${a,,}"echo “${a,,[AEIUO]}” | 轉小寫 | hello world HeLLo WoRLD |
a=”hello world”echo "${a^^}" | 轉大寫 | HELLO WORLD |