System (系统) – Page 28

January 3, 2022June 18, 2022

[命令] Linux 命令 [[]] （比较数值、文件、目录、链接、块、特殊文件、字符串）

内容一：[[]] 比较符号

1.1 [[]] 数值比较符号

1) -eq 或者 ==，若两个数值存在且相等，则结果为真
2) -ne 或者 !=，若两个数值存在且不相等，则结果为真
3) -gt 或者 >，若两个数值存在且前一个数值大于后一个数值，则结果为真
4) -lt 或者 <，若两个数值存在且前一个数值小于后一个数值，则结果为真
5) -ge 或者 >=，若两个数值存在且前一个数值大于或等于后一个数值，则结果为真
6) -le 或者 <=，若两个数值存在且前一个数值小于或等于后一个数值，则结果为真

1.2 [[]] 字符串比较符号

1) -z，如果字符串为空值，则结果为真
2) -n，如果字符串不为空值，则结果为真
3) == 或者 =，若两个字符串存在且一样，则结果为真
4) !=，若两个字符串存在且不一样，则结果为真
5) >，若两个字符串存在且前一个字符串大于后一个字符串（按数字顺序或字母数顺序进行比较，越靠后的值越大），则结果为真
6) <，若两个字符串存在且前一个字符串小于后一个字符串（按数字顺序或字母数顺序进行比较，越靠后的值越大），则结果为真

1.3 [[]] 文件、目录、链接、块、特殊文件比较符号

1) -e，若文件或目录或链接存在，则结果为真
2) -d，若目录存在，则结果为真
3) -f，若文件存在，则结果为真
4) -L，若链接存在，则结果为真
5) -b，若块文件存在，则结果为真
6) -c，若字符型特殊文件存在，则结果为真
7) -s，若文件存在且里面有内容，则结果为真
8) -r，若文件且可读，则结果为真
9) -w，若文件且可写，则结果为真
10) -x，若文件且可执行，则结果为真
11) -nt，若两个文件存在且前一个文件比后一个文件新，则结果为真
12) -ot，若两个文件存在且前一个文件比后一个文件新，则结果为真

1.4 [[]] 逻辑符号

1) &&，和
2) ||，或
3) !，非

1.5 [[]] 运算符号

1) +，若两个数值存在，则相加
2) -，若两个数值存在，则相减
3) *，若两个数值存在，则相乘
4) /，若两个数值存在，则相除
5) %，若两个数值存在，则取余

1.6 [[]] 其他符号

1) =~，两个字符串或数值存在且后一个字符串或数值匹配正则表达式后一样，则结果为真
2) [0-9] 等所有 Linux 正则表达式
3) * 等所有 Linux 通配符

内容二：[[]] 的数值比较案例

2.1 案例一：对整数进行比较

# [[ 0 -ne 1 ]]
# echo $?
0

（补充：这里以测试数字 0 是否不等于数字 1 为例）

2.2 案例二：对字符串进行比较

# [[ a == a ]]
# echo $?
0

（补充：这里以测试字符串 a 是否等于字符串 a 为例）

2.3 案例三：对文件进行比较

# [[ -f test.txt ]]
# echo $?
0

（补充：这里以测试文件 test.txt 是否存在为例）

2.4 案例四：对变量进行比较

# a=1
# [[ $a == 1 ]]
# echo $?
0

（补充：这里以测试变量 a 是否等于数字 1 为例）

2.5 案例五：对数值运算后进行比较

# a=2
# b=3
# c=5
# [[ $a+$b -eq $c ]]
# echo $?
0

（补充：这里以测试变量 a 加变量 b 是否等于变量 c 为例）

（注意： [[]] 数值运算后需要使用 -eq、-ne、-gt、-lt、-ge、-le 进行比较而不是使用 ==、!=、>、<、>=、<=）

2.6 案例六：使用逻辑符号对多个变量进行比较

# a=eternalcenter
# b=eternalcenter
# c=eternalcentre
# [[ $a == $b && $b != $c ]]
# echo $?
# 0

（补充：这里以测试变量 a 是否等于变量 b 且变量 b 是否不等于变量 c 为例）

2.7 案例七：使用通配符对字符串进行比较

# [[ eternalcenter = eternalcen??? ]]
# echo $?
# 0

或者：

# [[ eternalcenter = e*r ]]
# echo $?
# 0

（补充：这里以测试字符串 eternalcenter 是否等于字符串加通配符 eternalcen??? 或字符串加通配符 e*r 为例）

2.8 案例八：使用正则表达式对字符串进行比较

# [[ 10 =~ [0-9]{2} ]]
# echo $?
# 0

（补充：这里以测试数字 10 是否是每位数是 0 到 9 的两位数为例）

January 2, 2022September 7, 2022

[步骤] Linux 密码的安全（本地和 SSH 输错密码次数的限制）（pam_faillock 版）（CentOS Linux 7 & Rocky Linux 8 & RHEL 7 & RHEL 8 版）

正文：

步骤一：背景了解

从 CentOS Linux 8 & RHEL 8 开始，系统的身份验证模块从 CentOS Linux 7 & RHEL 7 的 pam_tally2 换成了 pam_faillock

步骤二：让 sshd 使用可插入身份验证模块

2.1 修改 /etc/ssh/sshd_config 配置文件

# vim /etc/ssh/sshd_config

将以下内容：

......
#UsePAM no
......

修改为：

......
UsePAM yes
......

2.2 让修改的配置生效

# systemctl restart sshd

步骤三：让本地登录和 sshd 登录使用密码认证

# cat /etc/pam.d/login | grep system-auth

确保包含以下内容：

auth       substack     system-auth
account    include      system-auth
password   include      system-auth
session    include      system-auth

3.2 确认 /etc/pam.d/sshd 配置文件

# cat /etc/pam.d/sshd | grep password-auth

确保包含以下内容：

auth       substack     password-auth
account    include      password-auth
password   include      password-auth
session    include      password-auth

步骤四：设置 pam_faillock.so 模块

4.1 方法一：在配置文件中添加 pam_faillock.so 模块和相关参数

4.1.1 在 /etc/pam.d/system-auth 配置文件中添加 pam_faillock.so 模块和相关参数（Rocky Linux 8 & RHEL 8 不建议）

# vim /etc/pam.d/system-auth

在此行：

......
auth required pam_env.so
......

下面添加：

......
auth  required  pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180
......

在此行：

......
auth sufficient pam_unix.so nullok try_first_pass
......

下面添加：

......
auth  [default=die] pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180
......

在此行：

......
account     required      pam_unix.so
......

下面添加：

......
account required pam_faillock.so
......

（补充：这里以包括 root 用户每使用密码 SSH 远程登录失败 6 次则被锁定 180 秒为例）

（注意：Rocky Linux 8 & RHEL 8 不建议执行此步骤，执行后 Rocky Linux 8 & RHEL 8 正常的 SFTP 登陆会被视为失败，不过正常的 SSH 登录不受影响）

4.1.2 在 /etc/pam.d/system-auth 配置文件中设置登录失败几次后提示登陆失败

# vim /etc/pam.d/system-auth

将以下内容：

......
password    requisite                                    pam_pwquality.so ......
......

修改为：

......
password    requisite                                    pam_pwquality.so try_first_pass local_users_only enforce-for-root retry=3 ......
......

（补充：这里以登录失败 3 次后提示登录失败为例）

4.1.3 在 /etc/pam.d/password-auth 配置文件中添加 pam_faillock.so 模块和相关参数（Rocky Linux 8 & RHEL 8 不建议）

# vim /etc/pam.d/password-auth

在此行：

......
auth required pam_env.so
......

下面添加：

......
auth  required  pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180
......

在此行：

......
auth sufficient pam_unix.so try_first_pass nullok
......

下面添加：

......
auth  [default=die] pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180
......

在此行：

......
account required pam_unix.so
......

下面添加：

......
account required pam_faillock.so
......

（补充：这里以包括 root 用户每使用密码 SSH 远程登录失败 6 次则被锁定 180 秒为例）

（注意：Rocky Linux 8 & RHEL 8 不建议执行此步骤，执行后 Rocky Linux 8 & RHEL 8 正常的 SFTP 登陆会被视为错误失败，不过正常的 SSH 登录不受影响）

4.1.4 在 /etc/pam.d/password-auth 配置文件中设置登录失败几次后提示登陆失败

# vim /etc/pam.d/password-auth

将以下内容：

......
password    requisite                                    pam_pwquality.so ......
......

修改为：

......
password    requisite                                    pam_pwquality.so try_first_pass local_users_only enforce-for-root retry=3 ......
......

（补充：这里以登录失败 3 次后提示登录失败为例）

4.1.5 修改 /etc/security/faillock.conf 配置文件（只在 Rocky Linux 8 & RHEL 8 上执行）

# vim /etc/security/faillock.conf

将以下内容：

......
# deny =
......
# unlock_time =
......

修改为：

......
deny = 6
......
unlock_time = 180
......

（注意：只在 Rocky Linux 8 & RHEL 8 才进行此操作）

4.2 方法二：通过 authconfig 命令启用 pam_faillock.so 模块并设置相关参数

4.2.1 通过 authconfig 命令启用 pam_faillock.so 模块并设置相关参数

# authconfig --enablefaillock --faillockargs="deny=6 unlock_timeout=180" --update

（
补充：
1) 这里以包括 root 用户每使用密码 SSH 远程登录失败 6 次则被锁定 180 秒
2) 登录失败 3 次后提示登录失败
为例
）

4.2.2 通过 authconfig 命令启用 pam_faillock.so 模块并设置相关参数

# authconfig --disablefaillock --update

步骤五：用户登录失败的管理

5.1 显示某个用户近期输错了几次密码

# faillock --user root

（补充：这里以显示 root 用户近期输错了几次密码为例）

5.2 重制远程登录密码输错次数

5.2.1 重制某用户远程登录密码输错次数

# faillock --user root --reset

5.2.2 重制所有用户远程登录密码输错次数

# faillock --reset

步骤六：部分用户输错密码次数限制的排除（Rocky Linux 8 & RHEL 8 不建议）

6.1 在 /etc/pam.d/system-auth 配置文件中添加 pam_succeed_if.so 模块和相关参数（Rocky Linux 8 & RHEL 8 不建议）

# vim /etc/pam.d/system-auth

在此行：

......
auth  required  pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180
......

下面添加：

......
auth [success=1 default=ignore] pam_succeed_if.so user in mingyuzhu1:mingyuzhu2:mingyuzhu3
......

（补充：这里以排除用户 zhumingyu1、zhumingyu2 和 zhumingyu3 的输错密码次数限制为例）

（注意：Rocky Linux 8 & RHEL 8 不建议执行此步骤）

5.2 在 /etc/pam.d/password-auth 配置文件中添加 pam_succeed_if.so 模块和相关参数（Rocky Linux 8 & RHEL 8 不建议）

# vim /etc/pam.d/password-auth

在此行：

......
auth  [default=die] pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180
......

下面添加：

......
auth [success=1 default=ignore] pam_succeed_if.so user in mingyuzhu1:mingyuzhu2:mingyuzhu3
......

（补充：这里以排除用户 zhumingyu1、zhumingyu2 和 zhumingyu3 的输错密码次数限制为例）

（注意：Rocky Linux 8 & RHEL 8 不建议执行此步骤）

参考文献：

https://access.redhat.com/solutions/62949

January 1, 2022September 7, 2022

[步骤] Linux 密码的安全（本地和 SSH 输错密码次数的限制）（pam_faillock 版）（自定义配置文件版）（Rocky Linux 8 & RHEL 8 版）

正文：

步骤一：了解背景

从 Rocky Linux 8 & RHEL 8 开始，系统的身份验证模块从 CentOS Linux 7 & RHEL 7 的 pam_tally2 换成了 pam_faillock

步骤二：让 sshd 使用可插入身份验证模块

2.1 修改 sshd 配置文件

# vim /etc/ssh/sshd_config

将以下内容：

......
#UsePAM no
......

修改为：

......
UsePAM yes
......

2.2 让修改 sshd 配置文件生效

# systemctl restart sshd

步骤三：让本地登录和 sshd 登录使用密码认证

3.1 确认 /etc/pam.d/login 配置文件

# cat /etc/pam.d/login | grep system-auth

确保包含以下内容：

auth       substack     system-auth
account    include      system-auth
password   include      system-auth
session    include      system-auth

3.2 确认 /etc/pam.d/sshd 配置文件

# cat /etc/pam.d/sshd | grep password-auth

确保包含以下内容：

auth       substack     password-auth
account    include      password-auth
password   include      password-auth
session    include      password-auth

步骤四：通过自定义配置文件使用 pam_faillock 模块

4.1 检查是否选择了自定义配置文件

4.1.1 检查是否选择了自定义配置文件

# authselect current | awk 'NR == 1 {print $3}' | grep custom/
custom/password-policy

（补充：从这里显示的结果可以看出这里选择的自定义配置文件是 custom/password-policy ，如果没有输出则代表没有选择自定义配置文件）

4.1.2 检查选择的自定义配置文件是否生效

# authselect check
Current configuration is valid.

（补充：从这里显示的结果可以看出自定义配置文件是生效的）

4.2 如果自定义配置文件存在

4.2.1 在 /etc/authselect/custom/password-policy/system-auth 配置文件中添加 pam_faillock.so 模块和相关参数（不建议）

# vim /etc/authselect/custom/password-policy/system-auth

将以下内容：

......
auth        required                                     pam_faillock.so preauth silent                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail                               {include if "with-faillock"}
......

修改为：

......
auth        required                                     pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......

（补充：这里以包括 root 用户每使用密码 SSH 远程登录失败 6 次则被锁定 180 秒为例）

（注意：不建议执行此步骤，执行后正常的 SFTP 登陆会被视为登陆失败，不过正常的 SSH 登录不受影响）

4.2.2 在 /etc/authselect/custom/password-policy/system-auth 配置文件中设置登录失败几次后提示登陆失败

# vim /etc/authselect/custom/password-policy/system-auth

将以下内容：

......
password    requisite                                    pam_pwquality.so ......
......

修改为：

......
password    requisite                                    pam_pwquality.so try_first_pass local_users_only enforce-for-root retry=3 ......
......

（补充：这里以登录失败 3 次后提示登录失败为例）

4.2.3 在 /etc/authselect/custom/password-policy/password-auth 配置文件中添加 pam_faillock.so 模块和相关参数（不建议）

# vim /etc/authselect/custom/password-policy/password-auth

将以下内容：

......
auth        required                                     pam_faillock.so preauth silent                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail                               {include if "with-faillock"}
......

修改为：
......
auth        required                                     pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......

（补充：这里以包括 root 用户每使用密码 SSH 远程登录失败 6 次则被锁定 180 秒为例）

（注意：不建议执行此步骤，执行后正常的 SFTP 登陆会被视为登陆失败，不过正常的 SSH 登录不受影响）

4.2.4 在 /etc/authselect/custom/password-policy/password-auth 配置文件中设置登录失败几次后提示登陆失败

# vim /etc/authselect/custom/password-policy/password-auth

将以下内容：

......
password    requisite                                    pam_pwquality.so ......
......

修改为：

......
password    requisite                                    pam_pwquality.so try_first_pass local_users_only enforce-for-root retry=3 ......
......

（补充：这里以登录失败 3 次后提示登录失败为例）

4.3 如果自定义配置文件不存在

4.3.1 生成新的自定义配置文件

4.3.1.1 备份当前的自定义配置文件

# authselect apply-changes -b --backup=sssd.backup

（补充：这里以创建 sssd.backup 备份文件为例）

4.3.1.2 创建新的自定义配置文件

# authselect create-profile password-policy -b sssd --symlink-meta --symlink-pam

（补充：这里以生成名为 password-policy 的自定义配置文件为例）

4.3.1.3 选择新的自定义配置文件

4.3.1.3.1 选择新的自定义配置文件

# authselect select custom/password-policy with-sudo with-faillock without-nullok with-mkhomedir --force

（
补充：
1) 这里以选择名为 password-policy 的自定义配置文件为例
2) 这里设置了 with-sudo、with-faillock、without-nullok 和 with-mkhomedir 参数
）

（注意：使用了 with-mkhomedir 参数后，会提示需要开启 oddjobd）

4.3.1.3.2 满足选择新的自定义配置文件时 with-mkhomedir 参数的要求

# dnf install oddjob ; systemctl enable --now oddjobd.service

4.3.1.4 显示当前选择的自定义配置文件

# authselect current

（补充：这里以生成并选择名为 password-policy 的自定义配置文件为例）

4.3.2 修改自定义配置文件

4.3.2.1 在 /etc/authselect/custom/password-policy/system-auth 配置文件中添加 pam_faillock.so 模块和相关参数（不建议）

# vim /etc/authselect/custom/password-policy/system-auth

将以下内容：

......
auth        required                                     pam_faillock.so preauth silent                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail                               {include if "with-faillock"}
......

修改为：

......
auth        required                                     pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......

（补充：这里以包括 root 用户每使用密码 SSH 远程登录失败 6 次则被锁定 180 秒为例）

（注意：不建议执行此步骤，执行后正常的 SFTP 登陆会被视为登陆失败，不过正常的 SSH 登录不受影响）

4.3.2.2 在 /etc/authselect/custom/password-policy/system-auth 配置文件中设置登录失败几次后提示登陆失败

# vim /etc/authselect/custom/password-policy/system-auth

将以下内容：

......
password    requisite                                    pam_pwquality.so ......
......

修改为：

......
password    requisite                                    pam_pwquality.so try_first_pass local_users_only enforce-for-root retry=3 ......
......

（补充：这里以登录失败 3 次后提示登录失败为例）

4.3.2.3 在 /etc/authselect/custom/password-policy/password-auth 配置文件中添加 pam_faillock.so 模块和相关参数（不建议）

# vim /etc/authselect/custom/password-policy/password-auth

将以下内容：

......
auth        required                                     pam_faillock.so preauth silent                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail                               {include if "with-faillock"}
......

修改为：

......
auth        required                                     pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......

（
补充：
1) 这里以包括 root 用户每使用密码 SSH 远程登录失败 6 次则被锁定 180 秒
2) 登录失败 3 次后提示登录失败
为例
）

（注意：不建议执行此步骤，执行后正常的 SFTP 登陆会被视为登陆失败，不过正常的 SSH 登录不受影响）

4.3.2.4 在 /etc/authselect/custom/password-policy/password-auth 配置文件中设置登录失败几次后提示登陆失败

# vim /etc/authselect/custom/password-policy/password-auth

将以下内容：

......
password    requisite                                    pam_pwquality.so ......
......

修改为：

......
password    requisite                                    pam_pwquality.so try_first_pass local_users_only enforce-for-root retry=3 ......
......

（补充：这里以登录失败 3 次后提示登录失败为例）

4.4 让自定义配置文件生效

# authselect apply-changes

（注意：此步骤会刷新 /etc/authselect/system-auth 配置文件和 /etc/authselect/password-auth 配置文件）

步骤五：修改 /etc/security/faillock.conf 配置文件

# vim /etc/security/faillock.conf

将以下内容：

......
# deny =
......
# unlock_time =
......

修改为：

......
deny = 6
......
unlock_time = 180
......

（补充：这里以包括 root 用户每使用密码 SSH 远程登录失败 6 次则被锁定 180 秒为例）

（注意：只在 Rocky Linux 8 & RHEL 8 才进行此操作）

步骤六：用户登录失败的管理

6.1 显示某个用户近期输错了几次密码

# faillock --user root

（补充：这里以显示 root 用户近期输错了几次密码为例）

6.2 重制远程登录密码输错次数

6.2.1 重制某用户远程登录密码输错次数

# faillock --user root --reset

6.2.2 重制所有用户远程登录密码输错次数

# faillock --reset

步骤七：管理自定义配置文件

7.1 在自定义配置文件中禁用 pam_faillock.so 模块

# authselect disable-feature with-faillock

7.2 在自定义配置文件中启用 pam_faillock.so 模块

# authselect enable-feature with-faillock

参考文献：

https://access.redhat.com/solutions/62949

December 19, 2021June 19, 2022

[步骤] Linux SSL 证书的生成（Let’s Encrypt certbot 版）

步骤一：将要申请 Let’s Encrypt SSL 的域名解析到要进行操作的服务器 IP 地址上

（步骤略）

步骤二：安装 certbot

# yum -y install certbot

（补充：这里以在 Fedora 35 上安装 certbot 为例）

步骤三：使用 certbot 生成 Let’s Encrypt SSL 证书

# certbot certonly --email mingyu.zhu@eternalcenter.com -n --agree-tos --webroot -w /usr/share/nginx/html/ -d eternalcenter.com
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator webroot, Installer None
Requesting a certificate for eternalcenter.com
Performing the following challenges:
http-01 challenge for eternalcenter.com
Using the webroot path /usr/share/nginx/html for all unmatched domains.
Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/eternalcenter.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/eternalcenter.com/privkey.pem
   Your certificate will expire on 2022-03-20. To obtain a new or
   tweaked version of this certificate in the future, simply run
   certbot again. To non-interactively renew *all* of your
   certificates, run "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

（
补充：这里以
1) 使用 mingyu.zhu@eternalcenter.com 邮箱
2) 以非交互式的方式
3) 通过给 /usr/share/nginx/html/ 网站目录里添加验证文件进行验证
4) 给 eternalcenter.com 域名
申请 Let’s Encrypt SSL 证书为例
）

步骤四：显示已经生成的 Let’s Encrypt SSL 证书

# certbot certificates
Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Found the following certs:
  Certificate Name: eternalcenter.com
    Serial Number: 3e8cdb74a1abfbf3d535ec1c3f8cb3e4e4c
    Key Type: RSA
    Domains: eternalcenter.com
    Expiry Date: 2022-03-20 13:48:48+00:00 (VALID: 89 days)
    Certificate Path: /etc/letsencrypt/live/eternalcenter.com/fullchain.pem
    Private Key Path: /etc/letsencrypt/live/eternalcenter.com/privkey.pem
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

（
补充：
1) /etc/letsencrypt/live/eternalcenter.com/fullchain.pem 是公钥
2) /etc/letsencrypt/live/eternalcenter.com/privkey.pem 是私钥
）

步骤五：延期 Let’s Encrypt SSL 证书

5.1 显示 Let’s Encrypt SSL 证书的延期策略

# cat /etc/letsencrypt/renewal/eternalcenter.com.conf 
# renew_before_expiry = 30 days
version = 1.20.0
archive_dir = /etc/letsencrypt/archive/eternalcenter.com
cert = /etc/letsencrypt/live/eternalcenter.com/cert.pem
privkey = /etc/letsencrypt/live/eternalcenter.com/privkey.pem
chain = /etc/letsencrypt/live/eternalcenter.com/chain.pem
fullchain = /etc/letsencrypt/live/eternalcenter.com/fullchain.pem

（补充：可以看出 Let’s Encrypt SSL 证书是在过期前 30 天才能更新）

5.2 手动延期 Let’s Encrypt SSL 证书

# /usr/bin/certbot renew

（补充：这里以延期 Let’s Encrypt SSL 证书为例）

5.3 自动延期 Let’s Encrypt SSL 证书

# crontab -e

添加以下内容：

......
0 0 */30 * * /usr/bin/certbot renew

（补充：这里以每过 30 天的 0 时 0 分延期 Let’s Encrypt SSL 证书为例）

步骤六：Let’s Encrypt SSL 证书的生成限制

1) 一个域名申请次数不能超过 5 次/周
2) 允许申请失败次数不能超过 5 次/时
3) 属于同一个顶级域名的二级域名申请次数不能超过 20 次/周
4) 申请请求频率不能超过 20 次/秒
5) 一个 IP 地址创建用户个数不能超过 10 个/3 小时
6) 一个用户最多 pending 审核的数不能超过 300 个

November 26, 2021June 18, 2022

[命令] Linux 命令 SSH （远程登录）

案例一：脚本中常用的方式

# ssh -q -t -t -o StrictHostKeyChecking=no -o ConnectTimeout=5 -l eternalcenter eternalcenter.com

（
补充：这里以
1) 安静模式
2) 打开新端口的模式
3) 不检查服务器记录
4) 超时时间为 5 秒
5) 通过 eternalcenter 用户
6) 登录 eternalcenter.com 服务器
为例
）

案例二：在操作中常用的方式

# ssh -X eternalcenter@eternalcenter.com

（
补充：这里以
1) 带图形的模式
2) 通过 eternalcenter 用户
3) 登录 eternalcenter.com 服务器
为例
）

内容一：[[]] 比较符号

1.1 [[]] 数值比较符号

1.2 [[]] 字符串比较符号

1.3 [[]] 文件、目录、链接、块、特殊文件比较符号

1.4 [[]] 逻辑符号

1.5 [[]] 运算符号

1.6 [[]] 其他符号

内容二：[[]] 的数值比较案例

2.1 案例一：对整数进行比较

2.2 案例二：对字符串进行比较

2.3 案例三：对文件进行比较

2.4 案例四：对变量进行比较

2.5 案例五：对数值运算后进行比较

2.6 案例六：使用逻辑符号对多个变量进行比较

2.7 案例七：使用通配符对字符串进行比较

2.8 案例八：使用正则表达式对字符串进行比较

正文：

步骤一：背景了解

步骤二：让 sshd 使用可插入身份验证模块

2.1 修改 /etc/ssh/sshd_config 配置文件

2.2 让修改的配置生效

步骤三：让本地登录和 sshd 登录使用密码认证

3.1 确认 /etc/pam.d/login 配置文件

3.2 确认 /etc/pam.d/sshd 配置文件

步骤四：设置 pam_faillock.so 模块

4.1 方法一：在配置文件中添加 pam_faillock.so 模块和相关参数

4.1.1 在 /etc/pam.d/system-auth 配置文件中添加 pam_faillock.so 模块和相关参数 （Rocky Linux 8 & RHEL 8 不建议）

4.1.2 在 /etc/pam.d/system-auth 配置文件中设置登录失败几次后提示登陆失败

4.1.3 在 /etc/pam.d/password-auth 配置文件中添加 pam_faillock.so 模块和相关参数 （Rocky Linux 8 & RHEL 8 不建议）

4.1.4 在 /etc/pam.d/password-auth 配置文件中设置登录失败几次后提示登陆失败

4.1.5 修改 /etc/security/faillock.conf 配置文件 （只在 Rocky Linux 8 & RHEL 8 上执行）

4.2 方法二：通过 authconfig 命令启用 pam_faillock.so 模块并设置相关参数

4.2.1 通过 authconfig 命令启用 pam_faillock.so 模块并设置相关参数

4.2.2 通过 authconfig 命令启用 pam_faillock.so 模块并设置相关参数

步骤五：用户登录失败的管理

5.1 显示某个用户近期输错了几次密码

5.2 重制远程登录密码输错次数

5.2.1 重制某用户远程登录密码输错次数

5.2.2 重制所有用户远程登录密码输错次数

步骤六：部分用户输错密码次数限制的排除 （Rocky Linux 8 & RHEL 8 不建议）

6.1 在 /etc/pam.d/system-auth 配置文件中添加 pam_succeed_if.so 模块和相关参数 （Rocky Linux 8 & RHEL 8 不建议）

5.2 在 /etc/pam.d/password-auth 配置文件中添加 pam_succeed_if.so 模块和相关参数 （Rocky Linux 8 & RHEL 8 不建议）

参考文献：

正文：

步骤一：了解背景

步骤二：让 sshd 使用可插入身份验证模块

2.1 修改 sshd 配置文件

2.2 让修改 sshd 配置文件生效

步骤三：让本地登录和 sshd 登录使用密码认证

3.1 确认 /etc/pam.d/login 配置文件

3.2 确认 /etc/pam.d/sshd 配置文件

步骤四：通过自定义配置文件使用 pam_faillock 模块

4.1 检查是否选择了自定义配置文件

4.1.1 检查是否选择了自定义配置文件

4.1.2 检查选择的自定义配置文件是否生效

4.2 如果自定义配置文件存在

4.2.1 在 /etc/authselect/custom/password-policy/system-auth 配置文件中添加 pam_faillock.so 模块和相关参数 （不建议）

4.2.2 在 /etc/authselect/custom/password-policy/system-auth 配置文件中设置登录失败几次后提示登陆失败

4.2.3 在 /etc/authselect/custom/password-policy/password-auth 配置文件中添加 pam_faillock.so 模块和相关参数 （不建议）

4.2.4 在 /etc/authselect/custom/password-policy/password-auth 配置文件中设置登录失败几次后提示登陆失败

4.3 如果自定义配置文件不存在

4.3.1 生成新的自定义配置文件

4.3.1.1 备份当前的自定义配置文件

4.3.1.2 创建新的自定义配置文件

4.3.1.3 选择新的自定义配置文件

4.3.1.3.1 选择新的自定义配置文件

4.3.1.3.2 满足选择新的自定义配置文件时 with-mkhomedir 参数的要求

4.3.1.4 显示当前选择的自定义配置文件

4.3.2 修改自定义配置文件

4.3.2.1 在 /etc/authselect/custom/password-policy/system-auth 配置文件中添加 pam_faillock.so 模块和相关参数 （不建议）

4.3.2.2 在 /etc/authselect/custom/password-policy/system-auth 配置文件中设置登录失败几次后提示登陆失败

4.3.2.3 在 /etc/authselect/custom/password-policy/password-auth 配置文件中添加 pam_faillock.so 模块和相关参数 （不建议）

4.3.2.4 在 /etc/authselect/custom/password-policy/password-auth 配置文件中设置登录失败几次后提示登陆失败

4.4 让自定义配置文件生效

步骤五：修改 /etc/security/faillock.conf 配置文件

步骤六：用户登录失败的管理

6.1 显示某个用户近期输错了几次密码

6.2 重制远程登录密码输错次数

6.2.1 重制某用户远程登录密码输错次数

6.2.2 重制所有用户远程登录密码输错次数

4.1.1 在 /etc/pam.d/system-auth 配置文件中添加 pam_faillock.so 模块和相关参数（Rocky Linux 8 & RHEL 8 不建议）

4.1.3 在 /etc/pam.d/password-auth 配置文件中添加 pam_faillock.so 模块和相关参数（Rocky Linux 8 & RHEL 8 不建议）

4.1.5 修改 /etc/security/faillock.conf 配置文件（只在 Rocky Linux 8 & RHEL 8 上执行）

步骤六：部分用户输错密码次数限制的排除（Rocky Linux 8 & RHEL 8 不建议）

6.1 在 /etc/pam.d/system-auth 配置文件中添加 pam_succeed_if.so 模块和相关参数（Rocky Linux 8 & RHEL 8 不建议）

5.2 在 /etc/pam.d/password-auth 配置文件中添加 pam_succeed_if.so 模块和相关参数（Rocky Linux 8 & RHEL 8 不建议）

4.2.1 在 /etc/authselect/custom/password-policy/system-auth 配置文件中添加 pam_faillock.so 模块和相关参数（不建议）

4.2.3 在 /etc/authselect/custom/password-policy/password-auth 配置文件中添加 pam_faillock.so 模块和相关参数（不建议）

4.3.2.1 在 /etc/authselect/custom/password-policy/system-auth 配置文件中添加 pam_faillock.so 模块和相关参数（不建议）

4.3.2.3 在 /etc/authselect/custom/password-policy/password-auth 配置文件中添加 pam_faillock.so 模块和相关参数（不建议）