Service (服务) – Page 4

May 27, 2022June 19, 2022

[步骤] Red Hat Satellite Content View 信息的显示

步骤一：显示所有 Content View 的 ID

# hammer content-view list

----------------|---------------------------|--------------------------------------|-----------|---------------------|---------------------------------------------------------------------------------
CONTENT VIEW ID | NAME                      | LABEL                                | COMPOSITE | LAST PUBLISHED      | REPOSITORY IDS                                                                  
----------------|---------------------------|--------------------------------------|-----------|---------------------|---------------------------------------------------------------------------------
10              | test_CV                   | test_CV                              | false     | 2022/06/23 20:20:20 | 61525, 16812, 61524, 16814, 16813, 16811, 16816, 16817, 6578, 231, 8, 9, 131,...

步骤二：显示某 1 个 Content View 的详细信息

# hammer content-view info --id 10

（补充：这里以显示 ID 为 10 的 Content View 的信息为例）

May 23, 2022July 29, 2022

[步骤] SFTP 安全（将 SFTP 端口和 SSH 端口分离、限制 SFTP 用户可以进入的目录和禁止 SFTP 用户 SSH 登录版）

步骤一：将 SFTP 端口和 SSH 端口分离

1.1 创建新的 SFTP 配置文件

1.1.1 创建新的 SFTP 配置文件

# cp /etc/ssh/sshd_config /etc/ssh/sshdsftp_config

1.1.2 让新创建的 SFTP 配置文件被 systemctl 管理

1.1.2.1 创建管理 SFTP 配置文件的 systemctl 管理文件

# cp /usr/lib/systemd/system/sshd.service /etc/systemd/system/sshdsftp.service

1.1.2.2 修改管理 SFTP 配置文件的 systemctl 管理文件

# vim /etc/systemd/system/sshdsftp.service

将以下内容：

......
Description=OpenSSH server daemon
......
ExecStart=/usr/sbin/sshd -D $OPTIONS $CRYPTO_POLICY
......

修改为：

......
Description=OpenSSH SFTP server daemon
......
ExecStart=/usr/sbin/sshd -D -f /etc/ssh/sshdsftp_config $OPTIONS $CRYPTO_POLICY
......

1.1.2.3 让 systemctl 加载 SFTP 配置文件的 systemctl 管理文件

# systemctl daemon-reload

1.2 将 SFTP 端口和 SSH 端口分离

1.2.1 修改 SFTP 使用的端口

# vim /etc/ssh/sshdsftp_config

将以下内容：

......
#Port 22
......

修改为：

......
Port 2222
......

1.2.2 从 SSH 的配置文件里删除 SFTP 的功能

# vim /etc/ssh/sshd_config

如果是 CentOS Linux & RHEL，将以下内容：

......
Subsystem  sftp    /usr/libexec/openssh/sftp-server
......

修改为：

......
#Subsystem  sftp    /usr/libexec/openssh/sftp-server
......

如果是 openSUSE & SLE，将以下内容：

......
Subsystem       sftp    /usr/lib/ssh/sftp-server
......

修改为：

......
# Subsystem       sftp    /usr/lib/ssh/sftp-server
......

1.2.3 开放 SFTP 使用的端口

1.2.3.1 在防火墙上允许被 SFTP 使用的端口可以被访问

1.2.3.1.1 在防火墙上允许被 SFTP 使用的端口可以被访问

# firewall-cmd --add-port=2222/tcp --perm

（补充：这里以在 firewalld 防火墙开通 2222 端口为例）

1.2.3.1.2 让新的防火墙策略立刻生效

# firewall-cmd --reload

1.2.3.2 在 SELinux 上给 SFTP 使用的端口打上 SSH 标签

# semanage port -a -t ssh_port_t -p tcp 2222

（补充：这里以给 2222 端口打上 SSH 的标签为例）

（注意：此步骤只有在 SELinux 开启，且处于 enforcing 状态时才需要设置）

1.3 让 SFTP 端口和 SSH 端口分离的设置生效

1.3.1 开启 SFTP 并将 SFTP 设置为开机自启

# systemctl enable --now sshdsftp

1.3.2 重启 SSHD

# systemctl restart sshd

步骤二：限制 SFTP 用户可以进入的目录

2.1 限制 SFTP 用户可以进入的目录

# vim /etc/ssh/sshdsftp_config

如果是 CentOS Linux & RHEL，将以下内容：

......
Subsystem  sftp    /usr/libexec/openssh/sftp-server
......

修改为：

......
#Subsystem  sftp    /usr/libexec/openssh/sftp-server
......

如果是 openSUSE & SLE，将以下内容：

......
Subsystem       sftp    /usr/lib/ssh/sftp-server
......

修改为：

......
# Subsystem       sftp    /usr/lib/ssh/sftp-server
......

并添加以下内容：

......
Subsystem       sftp    internal-sftp
Match LocalPort 2222
ChrootDirectory /%u
ForceCommand    internal-sftp
AllowTcpForwarding no
X11Forwarding no

（
补充：
1) 这里以将 SFTP 的端口设置为 2222 和 SFTP 用户可以进入的目录只能为 /<user> 为例
2) 其它配置方案可以参考

SFTP 的配置案例

）

2.2 让限制 SFTP 用户可以进入的目录的设置生效

# systemctl restart sshdsftp

步骤三：禁止 SFTP 用户 SSH 登录

3.1 创建 SFTP 用户

# useradd sftpuser

（补充：这里以创建名为 sftpuser 的用户为例）

3.2 禁止 SFTP 用户 SSH 登录

# usermod -s /bin/false sftpuser

（补充：这里以将用户 sftpuser 的解释器修改成 /bin/false 为例）

或者：

# usermod -s /sbin/nologin sftpuser

（补充：这里以将用户 sftpuser 的解释器修改成 /sbin/nologin 为例）

3.3 给 SFTP 用户设置密码

# passwd sftpuser

（补充：这里以给 sftp 用户设置密码为例）

3.4 创建 SFTP 用户的 SFTP 目录

3.4.1 创建 SFTP 用户的 SFTP 目录

# mkdir /sftpuser

（补充：这里以创建 /sftp 目录为例）

3.4.2 设置此 SFTP 目录的所属主

# chown root: /sftpuser

（补充：这里以设置 /sftp 目录的所属主为 root 为例）

（注意：SFTP 目录的所属主必须是 root，权限最高只能是 755，否则就算此目录的所属主是此 SFTP 用户也会报错）

3.4.3 设置此 SFTP 目录的权限

# chmod 755 /sftpuser

（补充：这里以给 /sftp 目录设置 755 权限为例）

（注意：SFTP 目录的所属主必须是 root，权限最高只能是 755，否则就算此目录的所属主是此 SFTP 用户也会报错）

步骤四：测试 SFTP

4.1 创建测试用户

4.1.1 创建测试用户

# useradd nosftp

（补充：这里以创建测试用户 nosftp 为例）

4.1.2 给测试用户设置密码

# passwd nosftp

4.2 测试 SFTP 用户无法 SSH

# ssh sftpuser@127.0.0.1

（补充：这里以测试用户是 sftp 为例）

4.3 测试 SFTP 目录范围

4.3.1 登录 SFTP

# sftp -P 2222 sftpuser@127.0.0.1
Connected to sftpuser@127.0.0.1.
sftp>

（补充：这里以 SFTP 端口是 2222，SFTP 目录时 /sftpuser ，测试用户是 sftpuser 为例）

4.3.2 确认 SFTP 根目录

4.3.2.1 切换到 SFTP 的根目录

sftp> cd /

4.3.2.2 显示 SFTP 根目录下的文件或目录

sftp> ls
write  
sftp>

（补充：此时发现目前 SFTP 的根并不是 Linux 系统的根目录）

4.4 测试 SSH 和 SFTP 分离

4.4.1 SSH 测试

4.4.1.1 SSH 端口可以正常 SSH

# ssh nosftp@127.0.0.1

（补充：这里以 SSH 端口是 22，测试用户是 nosftp 为例）

4.4.1.2 SFTP 端口不能被 SSH

4.4.1.2.1 有 SFTP 目录的用户不能通过 SFTP 端口 SSH

# ssh -p 2222 sftpuser@127.0.0.1
nosftpuser@192.168.8.58's password: 
This service allows sftp connections only.
Connection to 10.0.0.3 closed.
#

（补充：这里以 SFTP 端口是 2222，SFTP 目录是 /sftpuser，测试用户是 sftpuser 为例）

4.4.1.2.2 没有 SFTP 目录的用户不能通过 SFTP 端口 SSH

# ssh -p 2222 nosftp@127.0.0.1
client_loop: send disconnect: Broken pipe
#

（补充：这里以 SFTP 端口是 2222，SFTP 目录是 /sftp，测试用户是 nosftp 为例）

4.4.2 SFTP 测试

4.4.2.1 SSH 端口不能 SFTP

# sftp sftpuser@127.0.0.1
subsystem request failed on channel 0
Connection closed
#

（补充：这里以 SFTP 端口是 22，测试用户是 sftpuser 为例）

4.4.2.2 没有 SFTP 目录的用户不能通过 SFTP 端口 SFTP

# sftp -P 2222 nosftp@127.0.0.1
client_loop: send disconnect: Broken pipe
Connection closed
#

（补充：这里以 SFTP 端口是 2222，SFTP 目录是 /sftp，测试用户是 nosftp 为例）

4.4.2.3 有 SFTP 目录的用户可以通过 SFTP 端口 SFTP

# sftp -P 2222 sftpuser@127.0.0.1
Connected to sftpuser@127.0.0.1.
sftp>

（补充：这里以 SFTP 端口是 2222，SFTP 目录是 /sftpuser ，测试用户是 sftpuser 为例）

May 14, 2022July 6, 2022

[工具] Shell 测试 SFTP 服务

介绍

基本信息

作者：朱明宇
名称：测试 SFTP 服务
作用：测试 SFTP 服务

使用方法

1. 在此脚本的分割线内写入相应的内容
2. 给此脚本添加执行权限
3. 执行此脚本

脚本分割线里的变量

IP=10.0.0.8 #要测试 SFTP 的服务器 IP 地址

注意

此脚本执行前必须要先保证执行脚本的主机能无秘钥远程需要测试 SFTP 服务的服务器

脚本

#!/bin/bash

####################### Separator ########################
IP=10.0.0.8
####################### Separator ########################

set timeout 3

rpm -q expect &> /dev/null
if [ $? -ne 0 ];then
        echo "Expect needs to be installed first"
fi

expect << EOF
spawn sftp $IP
expect "sftp>"                                   {send "cd /tmp\r" } 
expect "sftp>"                                   {send "ls -l\r"}
expect "sftp>"                                   {send "quit\r"}
expect ">"                                       {send "\r"}
EOF

April 28, 2022July 11, 2022

[内容] SUSE Repository Mirroring Tool (RMT) 服务端的设置（网络代理）

# vim /etc/rmt.conf

将部分内容修改如下：

http_client:
  verbose: false
  proxy: http://eternalcenter.com:8000
  proxy_auth: 
  proxy_user: 
  proxy_password:

（补充：这里以将网络代理网址设置为 http://eternalcenter.com，网络代理端口设置为 8000，不使用密码为例）

April 25, 2022June 19, 2022

[步骤] Red Hat Satellite 打补丁或升级

步骤一：备份系统

1.1 关闭 Red Hat Satellite 服务

# satellite-maintain service stop

1.2 备份系统

（补充：这里以备份虚拟环境下的 Red Hat Satellite 为例）

1.2.1 关闭系统

# poweroff

1.2.2 给系统打快照

（步骤略）

1.2.3 启动系统

（步骤略）

步骤二：升级 Red Hat Satellite 或给 Red Hat Satellite 打补丁

2.1 检测可升级 RedHat Satellite 版本

# satellite-maintain upgrade list-versions

2.2 预检测升级 Red Hat Satellite 或给 Red Hat Satellite 打补丁是否能成功

# satellite-maintain upgrade check --target-version 6.10.z

（注意：如果是升级 Red Hat Satellite 的话就指定最新的版本，如果是给 Red Hat Satellite 打补丁的话就选择当前的版本）

（补充：这里以指定 6.10.z 版本的 Red Hat Satellite 为例）

2.3 升级 Red Hat Satellite 或给 Red Hat Satellite 打补丁

# satellite-maintain upgrade run --target-version 6.10.z

（
注意：
1) 只有当预检测升级 Red Hat Satellite 或给 Red Hat Satellite 打补丁成功后才能接着执行此步骤
2) 如果是升级 Red Hat Satellite 的话就指定最新的版本，如果是给 Red Hat Satellite 打补丁的话就选择当前的版本
）

（补充：这里以指定 6.10.z 版本的 Red Hat Satellite 为例）

步骤三：重启 Red Hat Satellite

3.1 关闭 Red Hat Satellite 服务

# satellite-maintain service stop

3.2 重启 Red Hat Satellite

# reboot