1) /etc/shadow 文件存储着用户的密码和与之相关的信息
2) /etc/shadow 文件以冒号 “:” 作为分隔符，分类 8 段

内容二：/etc/shadow 文件的作用

2.1 第 1 段内容：用户名

/etc/shadow 文件的第 1 段存储的是用户名，和 /etc/passwd 文件中的用户名是一一对应的

2.2 第 2 段内容：密码

2.2.1 内容的含义

1) 如果是奇怪的字符串则代表是加密过的密码，格式是 $id$salt$hashed，其中 $id 是指加密算法。如果字符串：以 $1$ 开头则代表是用 MD5 加密，以 $2a$ 开头则代表是用 Blowfish 加密，以 $2y$ 开头则代表是用另一种算法长度的 Blowfish 加密，以 $5$ 开头则代表是用 SHA-256 加密，以 $6$ 开头则代表是用 SHA-512 加密
2) 如果是 2 个感叹号 “!!” 则代表从来都没有设置过密码
3) 如果为空则代表没有设置密码
4) 如果是 1 个星号 “*” 则代表用户被锁定，但是其它登陆方式不受限制，例 SSH 登陆
5) 如果是 1 个感叹号 “!” 则代表用户被锁定，但是其它登陆方式不受限制，例 SSH 登陆
6) 如果以 1 个感叹号开头 “!” 则代表用户被锁定
7) 如果以 2 个感叹号开头 “!!” 则代表用户被锁定

2.2.2 查看命令

# cut -d: -f1,7

2.2.3 修改命令

# passwd <user>

2.3 第 3 段内容：密码最后的修改日期

2.3.1 内容的含义

密码最后修改的日期于 1970 年 1 月 1 日相距的天数

2.3.2 查看命令

# egrep ^[^:]+:[^\!*] /etc/shadow | cut -d: -f1,3

或者：

# chage -l <user> | grep 'Last password change'

2.3.3 修改命令

# chage -d <date> <user>

或者：

# chage --lastday <date> <user>

2.4 第 4 段内容：修改密码最短天数间隔

2.4.1 内容的含义

两次修改密码最短天数间隔

1) 如果是 0 则代表随时可以修改密码
2) 如果是 99999 则代表永远都不能修改密码

2.4.2 查看命令

# egrep ^[^:]+:[^\!*] /etc/shadow | cut -d: -f1,4

或者：

# chage -l <user> | grep 'Minimum number of days between password change'

2.4.3 修改命令

# chage -m <days> <user>

或者：

# chage --mindays <days> <user>

2.5 第 5 段内容：密码过期的天数

2.5.1 内容的含义

修改密码后过多少天会过期

1) 如果是 99999 则代表永远都不会过期
2) 如果密码只是过期但是没有失效的话，则可以使用过期的密码更改密码再使用新密码登陆，如果密码失效的话则此密码不能再使用

2.5.2 查看命令

# egrep ^[^:]+:[^\!*] /etc/shadow | cut -d: -f1,5

或者：

# chage -l <user> | grep 'Maximum number of days between password change'

2.5.3 修改命令

# chage -M <days> <user>

或者：

# chage --maxdays <days> <user>

2.6 第 6 段内容：密码过期前提前多少天发出警告

2.6.1 内容的含义

密码过期前，提前多少天发出警告

如果为空则代表不发出警告

2.6.2 查看命令

# egrep ^[^:]+:[^\!*] /etc/shadow | cut -d: -f1,6

或者：

# chage -l <user> | grep 'Number of days of warning before password expires'

2.6.3 修改密码

# chage -W <days> <user>

或者：

# chage --warndays <days> <user>

2.7 第 7 段内容：密码失效的天数

2.7.1 内容的含义

密码过期后过多少天会失效

1) 如果是 99999 则代表永远都不会失效
2) 如果密码只是过期但是没有失效的话，则可以使用过期的密码更改密码再使用新密码登陆，如果密码失效的话则此密码不能再使用

2.7.2 查看命令

# egrep ^[^:]+:[^\!*] /etc/shadow | cut -d: -f1,7

或者：

# chage -l <user> | grep 'Password inactive'

2.7.3 修改密码

# chage -I <days> <user>

或者：

# chage --inactive <days> <user>

2.8 第 8 段内容：用户的失效日期

2.8.1 内容的含义

用户的失效日期于 1970 年 1 月 1 日相距的天数

2.8.2 查看命令

# egrep ^[^:]+:[^\!*] /etc/shadow | cut -d: -f1,8

或者：

# chage -l <user> | grep 'Account expires'

2.8.3 修改密码

# chage -E <date> <user>

或者：

# chage --expiredate <date> <user>

2.9 第 9 段内容：保留

这是一个保留位，目前没有作用

crond dead but pid file exists

解决方法：

步骤一：找到 crond.pid 文件

# find / -name cron*
/spool/anacron/cron.daily
/spool/anacron/cron.weekly
/spool/anacron/cron.monthly
/spool/cron
/lock/subsys/crond
/run/cron.reboot
/run/crond.pid

步骤二：删除 crond.pid 文件

# rm -rf crond.pid

......: No such file or directory

解决方法

# zypper in insserv-compat

# cat /etc/resolv.conf
search eternalcenter.com local new
nameserver 8.8.8.8

内容二：测试 search 选项

2.1 查询 zhumingyu

# host -a zhumingyu
Trying "zhumingyu.eternalcenter.com"
Trying "zhumingyu.local"
Trying "zhumingyu.new"
Trying "zhumingyu"
Host zhumingyu not found: 3(NXDOMAIN)
Received 102 bytes from 8.8.8.8#53 in 62 ms

（补充：当查询 zhumingyu 时，也就是中间没有点 “.”，则默认会被视为查询主机名，会先依次把 eternalcenter.com、local 和 new 作为后缀添加到 zhumingyu 后进行查询，最后才查询 zhumingyu）

2.2 zhumingyu.com

# host -a zhumingyu.com
Trying "zhumingyu.com"
Received 31 bytes from 1.1.1.1#53 in 217 ms
Trying "zhumingyu.com.eternalcenter.com"
Trying "zhumingyu.com.local"
Trying "zhumingyu.com.new"
Host zhumingyu.com.new not found: 4(NOTIMP)
Received 35 bytes from 1.1.1.1#53 in 218 ms

（补充：当查询 zhumingyu.com 时，也就是中间有 1 个点 “.”，则默认会被视为查询域名，会先查询 mingyuzhu.com，如果查询失败，则会先依次把 eternalcenter.com、local 和 new 作为后缀添加到 zhumingyu 后进行查询）

2.3 查询 zhumingyu.com.

# host -a zhumingyu.com.
Trying "zhumingyu.com"
Host zhumingyu.com not found: 4(NOTIMP)
Received 31 bytes from 1.1.1.1#53 in 204 ms
Received 31 bytes from 1.1.1.1#53 in 204 ms

（补充：当查询 zhumingyu.com. 时，也就是末尾有 1 个点 “.”，默认会被视为查询域名，且只会查询这个域名。不会查询 search 里的每 1 项）

1.1 安装 locate 命令

# dnf install mlocate

1.2 更新 locate 数据库

# updatedb

（
注意：如果不更新 locate 数据库，在使用 locate 命令后可能会报错

locate: can not stat () `/var/lib/mlocate/mlocate.db': No such file or directory

）

内容二：locate 命令的选项

1) -b 或者 –basename 只显示使用指定模式匹配名称的条目
2) -c 或者 –count 只显示找的数量
3) -e 或者 –existing 只显示存在的条目
4) -i 或者 –ignore-case 查找时忽略大小写
5) -r 或者 –regexp 使用正则表达式
6) –regex 使用扩展正则表达式

内容三：locate 命令的案例

3.1 案例一：查找包含 passwd 的文件

# locate passwd

3.2 案例二：在 /etc/ 目录下查找以 sh 开头的文件

# locate /etc/sh

3.3 案例三：在当前目录下查找以 r 开头的文件并忽略大小写

# locate -i ~/r

3.4 案例四：使用正则表达式超找包含 1.txt 或 2.txt 的文件

# locate -r [1-2].txt

1) -a 或者 –all，载入所有模块
2) -c 或者 –show-conf 显示所有模块的配置信息
3) -r 或者 –remove 卸载模块，必须在模块闲置不用时操作。
4) -v 或者 –verbose 显示执行时的详细信息
5) -V 或者 –version 显示命令的版本信息
6) -h 或者 –help 显示命令的帮助信息

内容二：modprobe、insmod、rmmod、lsmod、modinfo 命令的案例

2.1 案例一：安装模块

# modprobe floppy

或者：

# insmod floppy

2.2 案例二：删除模块

# modprobe -r floppy

或者：

# rmmod floppy

2.3 案例三：显示所有模块

# lsmod

2.4 案例四：显示某 1 个模块的详细信息

# modinfo floppy

1) -n 只显示 IP 地址
2) -b 同时显示 IP 地址和主机名
3) -l 设置初始数据包长度，默认值为 65535
4) -m 设置最大 TTL 值 （允许数据包到达目主机时允许通过的最多网段数），默认值为 30
5) -p 指定要到达的端口

内容二：tracepath 命令的案例

2.1 显示到达主机的路由信息 （只显示主机名）

# tracepath eternalcenter.com
 1?: [LOCALHOST]                      pmtu 1500
 1:  eternalcenter.com                                   190.114ms !H
 1:  eternalcenter.com                                   187.738ms !H
     Resume: pmtu 1500 

2.2 显示到达主机的路由信息 （只显示 IP 地址）

# tracepath -n eternalcenter.com
 1?: [LOCALHOST]                      pmtu 1500
 1:  143.198.58.97                                       188.327ms !H
 1:  143.198.58.97                                       186.518ms !H
     Resume: pmtu 1500 

2.3 显示到达主机的路由信息 （同时显示 IP 地址和主机名）

# tracepath -b eternalcenter.com
 1?: [LOCALHOST]                      pmtu 1500
 1:  eternalcenter.com (143.198.58.97)                   194.175ms !H
 1:  eternalcenter.com (143.198.58.97)                   188.484ms !H
     Resume: pmtu 1500 

1.1 profile 全局文件的位置 （影响所有用户）

/etc/profile

1.2 profile 局部文件的位置 （只影响单个用户）

~/.bash_profile

或者：

~/.bash_login

或者：

~/.profile

1.3 profile 文件的作用

在用户登录时设置用户的环境变量，只在用户登录时才会生效

1.4 登录 Linux 时执行 profile 文件的顺序

第一步，执行：

/etc/profile

第二步，按以下顺序一一尝试执行以下 3 个文件中的 1 个，当执行成功后则停止尝试下 1 个文件：

~/.bash_profile
~/.bash_login
~/.profile

第三步：开始调用解释器

（如果是调用 bash 解释器，则继续执行登录 bash 时执行 bashrc 文件的顺序）

内容二：bashrc 文件

2.1 bashrc 全局文件的位置 （影响所有用户）

/etc/bashrc

或者：

/etc/bash.bashrc

2.2 bashrc 局部文件的位置 （只影响单个用户）

~/.bashrc

2.3 bashrc 文件的作用

在用户使用 bash 解释器或登录 bash 解释器时设置用户的环境变量，每次调用 bash 解释器时都会生效

2.4 使用 bash 或登录 bash 时执行 bashrc 文件的顺序

第一步，执行以下 2 个文件中的 1 个：

/etc/bashrc
/etc/bash.bashrc

第二步，执行：

~/.bashrc

# su <user>

案例二：切换用户，切换后进入被切换用户的家目录，并使用被切换用户的环境变量

# su - <user>

作用：用于使用 tab 键补全命令

安装方法：

# yum install bash-completion

或者：

# dnf install bash-completion

redhat-lsb-core

作用：可以在 CentOS Linux & RHEL 上显示系统版本信息

安装方法：

# yum install redhat-lsb-core

或者：

# dnf install redhat-lsb-core

lsb-release

作用：可以在 openSUSE & SLE 上显示系统版本信息

安装方法：

# zypper install lsb-release

vim-enhanced

作用：可以使用 vim 命令编辑文档

安装方法：

# yum install vim-enhanced

或者：

# dnf install vim-enhanced

xorg-x11-xauth.x86_64 和 xorg-x11-fonts-*

作用：让需要图形化环境的软件可以启动

安装方法：

# yum install xorg-x11-xauth.x86_64; yum install xorg-x11-fonts-*

或者：

# dnf install xorg-x11-xauth.x86_64; dnf install xorg-x11-fonts-*

1.1 设置 audit 日志的保存时间

# vim /etc/audit/auditd.conf

确保部分内容如下：

......
local_events = yes
......
write_logs = yes
......
log_file = /var/log/audit/audit.log
......
max_log_file = 8
......
num_logs =5
......
max_log_file_action = ROTATE
......

（
补充：这里以
1) 开启 audit 日志 （local_events = yes） （write_logs = yes）
2) 将 audit 日志写入 /var/log/audit/audit.log 文件 （log_file = /var/log/audit/audit.log）
3) audit 日志每达到 8M 大小就将旧的 audit 日志进行备份并创建新的 audit 日志 （max_log_file = 8） （max_log_file_action = ROTATE），也可以修改成： max_log_file_action = keep_logs
4) 旧的 audit 日志保存 5 份 （num_logs =5）
为例
）

1.2 让设置的 audit 时间生效

# service auditd restart

方法二：通过 logrotate 配置文件设置

2.1 设置 audit 日志的保存时间

# vim /etc/logrotate.d/auditd

创建以下内容：

/var/log/audit/*
{
rotate 30
daily
missingok
compress
delaycompress
postrotate
touch /var/log/audit/audit.log ||:
chmod 0600 /var/log/audit/audit.log ||:
service auditd restart
endscript
}

（
补充：这里以：
1) 备份的日志文件保留 30 份 （rotate 30）
2) 每天将现在的日志文件进行备份并生成新的日志文件 （dayly）
）

2.2 让设置的 audit 时间生效

# systemctl restart logrotate.service

# uname <option>

内容二：uname 命令的选项

1) -a 或者 –all，显示所有系统信息

（补充：如果系统处理器类型和系统硬件平台处于未知状态则不显示）

2) -s 或者 –kernel-name，显示系统内核
3) -n 或者 –nodename，显示系统节点名称
4) -r 或者 –kernel-release，显示系统内核发布版本
5) -m 或者 –machine，显示系统硬件名称
6) -p 或者 –processor，显示系统处理器类型
7) -i 或者 –hardware-platform，显示系统硬件平台
8) –help，显示帮助信息
9) –version，显示 uname 命令版本

1.1 确认文件功能没有参数

# getcap /usr/bin/ping

（补充：确认没有输出结果）

1.2 修改 net.ipv4.ping_group_range 参数

# sysctl net.ipv4.ping_group_range="0 2147483647"

解决方法二：设置文件功能参数

2.1 设置文件功能参数

# setcap cap_net_raw+eip /usr/bin/ping

2.2 确认文件功能参数已经设置

# getcap /usr/bin/ping
/usr/bin/ping = cap_net_raw+eip

#  sysctl net.ipv4.ping_group_range="1 0"

步骤二：允许非 root 用户使用 ping

# sysctl net.ipv4.ping_group_range="0 2147483647"

补充：当禁止禁止非 root 用户使用 ping 时，非 root 用户使用 ping 命令的报错

如果是 Rocky Linux & RHEL：

ping: socket: Address family not supported by protocol

如果是 openSUSE & SLE：

Error: ping: socket: Operation not permitted

# timeout <option> <duration> <command>

内容二：timeout 命令的选项和持续时间的单位

2.1 timeout 命令的选项

1) -k 当达到命令结束的时间没有结束时，再经过指定时间后结束命令
2) –foreground 后台执行命令
3) –help 显示帮助信息
4) -s 或者 –signal=，在超时时发送信号，通过 “kill -l” 命令可以显示信号列表
5) –version 显示版本信息

2.2 timeout 命令的持续时间的单位

1) s，秒 （默认）
2) m，分
3) h，时
4) d，天

内容三：timeout 命令的案例

3.1 案例一：执行 10 秒钟 top 命令

# timeout 10 top

3.2 案例二：执行 1 小时 ping 命令，并在结束命令时发送 SIGKILL 信号

# timeout -s SIGKILL 1h ping eternalcenter.com

3.3 案例三：执行 1 分钟 top 命令，如果 1 分钟后命令没有停止，则再过 10 秒后结束命令

# timeout -k 10s 1m top

# systemd-analyze

内容二：显示服务启动时间

# systemd-analyze blame

# a=1
# b=2
# c=`expr $a + $b`
# echo $c
3

或者：

# a=1
# b=2
# c=$(expr $a + $b)
# echo $c
3

或者：

# a=1
# b=2
# c=$[`expr $a + $b`]
# echo $c
3

（补充：这里以 1 加 2 等于 3 为例）

方法二：使用 let 命令

# a=1
# b=2
# let c=b/c
# echo $c
2

（补充：这里以 2 除以 1 等于 2 为例）

方法三：使用双括号 “(())”

# a=1
# b=2
# c=$(($a * $b))
# echo $c
3

（补充：这里以 1 乘以 2 等于 3 为例）

# yum --disablerepo='*' --enablerepo='C7.6*' update openssh

（补充：这里以将 openssh 软件升级到 CentOS Linux 7.6 系统版本里的最新版本为例为例）

或者：

# yum --disablerepo='*' --enablerepo='C7.6*' upgrade openssh

（补充：这里以将 openssh 软件升级到 CentOS Linux 7.6 系统版本里的最新版本为例为例）

内容二：将软件降级到某个版本

# yum --disablerepo='*' --enablerepo='C7.6*' downgrade openssh

（补充：这里以将 openssh 软件降级到 CentOS Linux 7.6 系统版本里的最新版本为例为例）

1.1 安装 centos-release

# yum install centos-release

1.2 查看当前所有软件源

# yum repolist all

或者：

# cat /etc/yum.repos.d/CentOS-Vault.repo

步骤二：清除 yum 缓存

2.1 除 yum 缓存

# yum clean all

2.2 删除 yum 缓存目录

# rm -rf /var/cache/yum

步骤三：将系统或软件升级到指定版本

3.1 方案一：将整个系统升级到指定版本

# yum --disablerepo='*' --enablerepo='C7.6*' update

（补充：这里以将整个系统升级到 CentOS Linux 7.6 版本为例）

（注意：系统中其他所有软件都会升级到 CentOS Linux 7.6 系统版本中的最新版本）

或者：

# yum --disablerepo='*' --enablerepo='C7.6*' upgrade

（补充：这里以将整个系统升级到 CentOS Linux 7.6 版本为例）

（注意：系统中其他所有软件都会升级到 CentOS Linux 7.6 系统版本中的最新版本）

3.2 方案二：只将系统内核或某个软件升级到指定版本

# yum --disablerepo='*' --enablerepo='C7.6*' update kernel

（补充：这里以只将系统内核 kernel 升级到 CentOS Linux 7.6 系统版本里的最新版本为例）

或者：

# yum --disablerepo='*' --enablerepo='C7.6*' upgrade kernel

（补充：这里以只将系统内核 kernel 升级到 CentOS Linux 7.6 系统版本里的最新版本为例）

交互式给 SSL 证书 KEY 私钥添加密码

# openssl rsa -des -in eternalcenter.com.key -out one.eternalcenter.com.key

（补充：这里以给 eternalcenter.com.key）

内容二：取消 SSL 证书 KEY 私钥添加密码

2.1 交互式取消 SSL 证书 KEY 私钥添加密码

# openssl rsa -in one.eternalcenter.com.key -out two.eternalcenter.com.key

2.2 非交互式取消 SSL 证书 KEY 私钥添加密码

# openssl rsa -in one.eternalcenter.com.key -passin pass:eternalcenter -out two.eternalcenter.com.key