墨少离 - 个人小站,分享一些资源以及心得~ - linux https://www.msl.la/tag/linux/ zh-CN Tue, 20 Sep 2022 23:05:00 +0800 Tue, 20 Sep 2022 23:05:00 +0800 Linux 中授予普通用户 sudo 权限的正确方法 https://www.msl.la/archives/546/ https://www.msl.la/archives/546/ Tue, 20 Sep 2022 23:05:00 +0800 墨少离 前言

有时需要使用 root 权限,比如安装软件、启动服务等操作时就需要用到 sudo 命令来提升权限才能进行操作。而新添加的普通用户是没有权限进行 sudo 操作的,所以我们需要对普通用户授予 sudo 权限。授予 sudo 权限有三个方法,第一个是把用户添加到 sudo 用户组,第二个是修改 sudo 配置文件 (/etc/sudoers),第三个是添加配置文件到 /etc/sudoers.d/ 目录中。选其中一个即可,推荐第三个方法。

安装 sudo

如果系统中没有 sudo,需要先安装。

# Debian
apt install sudo -y
# Centos
yum install sudo -y

添加用户到 sudo 用户组

以添加 msl 这个用户到 sudo 用户组为例子,输入下面命令:

usermod -aG sudo msl

修改 sudo 配置文件(/etc/sudoers)

打开 sudo 配置文件

visudo

以授予 msl 这个用户 sudo 权限为例子,添加如下内容。

msl ALL=(ALL) ALL

添加配置文件到/etc/sudoers.d/目录中

这个是系统文档推荐的做法。/etc/sudoers.d/ 目录中的文件相当于是 /etc/sudoers 文件的补充。如果写的配置文件有问题或者是想去除用户的 sudo 权限,直接删除文件即可,不用去修改 /etc/sudoers 文件,不会影响到系统默认配置。

以授予 msl 这个用户 sudo 权限为例子,在终端中输入以下命令直接添加配置文件:

tee /etc/sudoers.d/msl <<< 'msl ALL=(ALL:ALL) NOPASSWD:ALL'

如果你不想输入每次 sudo 都输入密码,可以设置免密。

tee /etc/sudoers.d/msl <<< 'msl ALL=(ALL:ALL) NOPASSWD:ALL'

服务器不要设置免密!不安全!
最后赋予正确的权限:

chmod 440 /etc/sudoers.d/msl
]]> 0 https://www.msl.la/archives/546/#comments https://www.msl.la/feed/tag/linux/ CentOS7同时接入两个不同ISP的局域网 https://www.msl.la/archives/168/ https://www.msl.la/archives/168/ Sun, 21 Feb 2021 16:42:14 +0800 墨少离

  • CentOS双ISP配置

    • 为物理网卡创建单独的路由表
    • 分别为向新创建的路由表添加路由规则(非持久化,重启机器或网络后失效)
    • 通过ip rule制定策略,将路由表与网络数据绑定(非持久化,重启机器或网络后失效)
    • 测试
    • iproute定义的route 和rule持久化,避免重启机器或网络后失效
    • centos终于可以像windows一样自动判断来源网卡设定回归的路由
    • 环境
    • iproute2 与 route命令
    • 如何配置iproute2
    • route命令的缺陷

    • CentOS双ISP配置

    目标: 一台服务器通过多个网卡连接多个网络,能够保证不同网络的来的数据能够按照原路返回,同时通过这两个网络中任意一个的外网ip或域名访问正常。

    环境

    • 网络环境:

      • 两个网段192.168.199.0/24 192.168.1.0/24,两个网段物理隔离,分别从两个不同的ISP供应商连接互联网。
      • TPlink路由器绑定域名 longxintaiye.f3322.net
      • 极路由绑定域名 longsun.jios.org
    • 服务器:
    • 操作系统: CentOS 7 minimal
    • 两个物理网卡分别绑定两个网桥br0 br1,实际相当于两个物理网卡(后面直接把网桥当作物理网卡来理解)
    • br0连接极路由:ip 192.168.199.11 通过极路由映射端口22,外网访问地址为 longsun.jios.org:1122
    • br1连接路由器TPLink:ip 192.168.1.11 通过TPLink映射端口22,外网访问地址为 longxintaiye.f3322.net:1122
    • 测试机
    • 阿里云服务器,CentOS 7 安装Telnet 外网测试访问22端口是否能通

    iproute2 与 route命令

    • route命令属于net-tools工具包的一个命令,从2001年不再维护,很多linux内核支持的新的网络特性无法通过route命令实现

    • iproute2从centos7以后替换net-tools工具的成为系统默认网络工具,支持route策略配置及流量控制等功能

      为什么只有用iproute2的ip命令才能够解决双路问题?

    • ip route 命令支持定义多张路由表,每个路由表都可以自由设定默认路由静态路由等策略

    • ip rule 支持定义策略,将不同类型的网络数据跟不同路由表绑定,例如:

      • 极路由192.168.199.0/24网络里发送到br0网卡上的数据包,会根据br0的路由表T2(自定义标号为202)指定的网关192.168.199.1返回极路由;
      • TPLink路由器中192.168.1.0/24网络里发送到br1网卡的数据包会根据br1对应的路由表T1(自定义标号为201)中的默认网关192.168.1.1,发送回TPLink;
    • route只能维护一张路由表,只能有一个默认网关比如:192.168.1.1
    1. TPLink路由器发送到br1网卡的数据包,会根据默认路由表中的网关送回到192.168.1.1 TPLink去,此时链路正常
    2. 极路由发送到br0网卡的数据包,会根据route的默认路由表中的网关送回到192.168.1.1, TPLink没有接受过这个数据包,也无法获取源地址正确的转回去。

    如何配置iproute2

    为物理网卡创建单独的路由表

    iproute定义路由表的配置文件在/etc/iproute2/rt_table,最多可以有255个路由表。我们只需要分别为br1 br0创建T1 T2路由表,编辑/etc/iproute2/rt_table并添加201 T1 202 T2保存退出即可

    分别为向新创建的路由表添加路由规则(非持久化,重启机器或网络后失效)

    为br1添加路由规则到T1表中

    #将从192.168.1.11来到数据包指定到br1网卡上/usr/sbin/ip route add 192.168.1.0/24 dev br1 src 192.168.1.11 table 201#指定本路由表默认网关为192.168.1.1/usr/sbin/ip route add default via 192.168.1.1 table  201#查看路由表/usr/sbin/ip route show table T1

    为br0添加路由规则到T2表中

    #将从192.168.199.11来到数据包指定到br1网卡上/usr/sbin/ip route add 192.168.199.0/24 dev br0 src 192.168.199.11 table 202#指定本路由表默认网关为192.168.199.1/usr/sbin/ip route add default via 192.168.199.1 table  202#查看路由表/usr/sbin/ip route show table T2

    通过ip rule制定策略,将路由表与网络数据绑定(非持久化,重启机器或网络后失效)

    将来自于网关192.168.1.1的数据包绑定到路由表T1上,按照T1的路由规则执行

    /usr/sbin/ip rule add from  192.168.1.11 table T1

    将来自于网关192.168.199.1的数据包绑定到路由表T2上,按照T1的路由规则执行

    /usr/sbin/ip rule add from  192.168.199.11 table T2

    测试

    在阿里云的主机上通过telnet命令测试,服务器域名及服务器在两个路由器上对应的外网映射端口,如果有交互操作说明可以连通,注意关闭服务器上的防火墙。

    iproute定义的route 和rule持久化,避免重启机器或网络后失效

    • 新增路由表

      echo " 201    T1202 T2" >> cat /etc/iproute2/rt_tables

    • 为br0 br1 创建route规则配置文件

      echo  "192.168.199.0/24 dev br0 src 192.168.199.11 table 202default via 192.168.199.1 table  202" > /etc/sysconfig/network-scripts/route-br0echo  "192.168.1.0/24 dev br1 src 192.168.1.11 table 201default via 192.168.1.1 table  201" > /etc/sysconfig/network-scripts/route-br1

    • 创建rule规则文件

      echo  "from  192.168.199.11 table T2" > /etc/sysconfig/network-scripts/rule-br0echo  "from  192.168.1.11 table T1" > /etc/sysconfig/network-scripts/rule-br1

    • 重启网络检查路由配置

      systemctl restart networkip route show table T1ip route show table T2ip rule show

    • 从外网测试连接成功

    centos终于可以像windows一样自动判断来源网卡设定回归的路由

    route命令的缺陷

    route命令创建的路由表相当于,iproute2中的main路由表,只能设置一个网关,会根据default网关的添加顺序及metric权重值来取做唯一的网关,一般情况下最后添加的及metric最小的默认路由生效

    ]]>     0 https://www.msl.la/archives/168/#comments https://www.msl.la/feed/tag/linux/     Centos7-8升级内核 https://www.msl.la/archives/156/ https://www.msl.la/archives/156/ Sun, 21 Feb 2021 16:39:00 +0800 墨少离 方法适用于CENTOS7-8
    更新前,内核版本为:

    uname -r  
3.10.0-327.10.1.el7.x86_64

    升级的方法:

    1. 导入key
    rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
    1. 安装elrepo的yum源
    rpm -Uvh http://www.elrepo.org/elrepo-release-7.0-2.el7.elrepo.noarch.rpm
    1. 替换国内elrepo源
    mv  /etc/yum.repos.d/elrepo.repo &nbsp;/etc/yum.repos.d/elrepo.repo.bak
vi  /etc/yum.repos.d/elrepo.repo
### Name: ELRepo.org Community Enterprise Linux Repository for el7
### URL: https://mirrors.ustc.edu.cn/elrepo/
[elrepo]
name=ELRepo.org Community Enterprise Linux Repository - el7
baseurl=https://mirrors.ustc.edu.cn/elrepo/elrepo/el7/$basearch/
enabled=1
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-elrepo.org
protect=0
[elrepo-testing]
name=ELRepo.org Community Enterprise Linux Testing Repository - el7
baseurl=https://mirrors.ustc.edu.cn/elrepo/testing/el7/$basearch/
enabled=0
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-elrepo.org
protect=0
[elrepo-kernel]
name=ELRepo.org Community Enterprise Linux Kernel Repository - el7
baseurl=https://mirrors.ustc.edu.cn/elrepo/kernel/el7/$basearch/
enabled=0
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-elrepo.org
protect=0
[elrepo-extras]
name=ELRepo.org Community Enterprise Linux Extras Repository - el7
baseurl=https://mirrors.ustc.edu.cn/elrepo/extras/el7/$basearch/
enabled=0
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-elrepo.org
protect=0
    1. 安装内核
    yum --enablerepo=elrepo-kernel install kernel-ml-devel kernel-ml

    当前为4.14.12:

    ===================================================================================================
 Package         架构    版本            源            大小
===================================================================================================
正在安装
 kernel-ml       x86_64  4.14.12-1.el7.elrepo    elrepo-kernel        43 M
 kernel-ml-devel    x86_64  4.14.12-1.el7.elrepo    elrepo-kernel        11 M
    1. 查看默认启动顺序
    awk -F\' '$1=="menuentry " {print $2}' /etc/grub2.cfg
CentOS Linux (4.14.12-1.el7.elrepo.x86_64) 7 (Core)
CentOS Linux (3.10.0-693.11.6.el7.x86_64) 7 (Core)
CentOS Linux (3.10.0-693.el7.x86_64) 7 (Core)
CentOS Linux (0-rescue-86c958f6cabe420a9e1d369335737991) 7 (Core)
    1. 设置默认的启动内核
    grub2-set-default  "CentOS Linux (4.14.12-1.el7.elrepo.x86_64) 7 (Core)"
grub2-mkconfig -o /boot/grub2/grub.cfg

    配置默认内核

    验证是否修改成功:

    grub2-editenv list
saved_entry=CentOS Linux (4.14.12-1.el7.elrepo.x86_64) 7 (Core)
    ]]>     0 https://www.msl.la/archives/156/#comments https://www.msl.la/feed/tag/linux/