1) /etc/shadow 文件存储着用户的密码和与之相关的信息
2) /etc/shadow 文件以冒号 “:” 作为分隔符，分类 8 段

内容二：/etc/shadow 文件的作用

2.1 第 1 段内容：用户名

/etc/shadow 文件的第 1 段存储的是用户名，和 /etc/passwd 文件中的用户名是一一对应的

2.2 第 2 段内容：密码

2.2.1 内容的含义

1) 如果是奇怪的字符串则代表是加密过的密码，格式是 $id$salt$hashed，其中 $id 是指加密算法。如果字符串：以 $1$ 开头则代表是用 MD5 加密，以 $2a$ 开头则代表是用 Blowfish 加密，以 $2y$ 开头则代表是用另一种算法长度的 Blowfish 加密，以 $5$ 开头则代表是用 SHA-256 加密，以 $6$ 开头则代表是用 SHA-512 加密
2) 如果是 2 个感叹号 “!!” 则代表从来都没有设置过密码
3) 如果为空则代表没有设置密码
4) 如果是 1 个星号 “*” 则代表用户被锁定，但是其它登陆方式不受限制，例 SSH 登陆
5) 如果是 1 个感叹号 “!” 则代表用户被锁定，但是其它登陆方式不受限制，例 SSH 登陆
6) 如果以 1 个感叹号开头 “!” 则代表用户被锁定
7) 如果以 2 个感叹号开头 “!!” 则代表用户被锁定

2.2.2 查看命令

# cut -d: -f1,7

2.2.3 修改命令

# passwd <user>

2.3 第 3 段内容：密码最后的修改日期

2.3.1 内容的含义

密码最后修改的日期于 1970 年 1 月 1 日相距的天数

2.3.2 查看命令

# egrep ^[^:]+:[^\!*] /etc/shadow | cut -d: -f1,3

或者：

# chage -l <user> | grep 'Last password change'

2.3.3 修改命令

# chage -d <date> <user>

或者：

# chage --lastday <date> <user>

2.4 第 4 段内容：修改密码最短天数间隔

2.4.1 内容的含义

两次修改密码最短天数间隔

1) 如果是 0 则代表随时可以修改密码
2) 如果是 99999 则代表永远都不能修改密码

2.4.2 查看命令

# egrep ^[^:]+:[^\!*] /etc/shadow | cut -d: -f1,4

或者：

# chage -l <user> | grep 'Minimum number of days between password change'

2.4.3 修改命令

# chage -m <days> <user>

或者：

# chage --mindays <days> <user>

2.5 第 5 段内容：密码过期的天数

2.5.1 内容的含义

修改密码后过多少天会过期

1) 如果是 99999 则代表永远都不会过期
2) 如果密码只是过期但是没有失效的话，则可以使用过期的密码更改密码再使用新密码登陆，如果密码失效的话则此密码不能再使用

2.5.2 查看命令

# egrep ^[^:]+:[^\!*] /etc/shadow | cut -d: -f1,5

或者：

# chage -l <user> | grep 'Maximum number of days between password change'

2.5.3 修改命令

# chage -M <days> <user>

或者：

# chage --maxdays <days> <user>

2.6 第 6 段内容：密码过期前提前多少天发出警告

2.6.1 内容的含义

密码过期前，提前多少天发出警告

如果为空则代表不发出警告

2.6.2 查看命令

# egrep ^[^:]+:[^\!*] /etc/shadow | cut -d: -f1,6

或者：

# chage -l <user> | grep 'Number of days of warning before password expires'

2.6.3 修改密码

# chage -W <days> <user>

或者：

# chage --warndays <days> <user>

2.7 第 7 段内容：密码失效的天数

2.7.1 内容的含义

密码过期后过多少天会失效

1) 如果是 99999 则代表永远都不会失效
2) 如果密码只是过期但是没有失效的话，则可以使用过期的密码更改密码再使用新密码登陆，如果密码失效的话则此密码不能再使用

2.7.2 查看命令

# egrep ^[^:]+:[^\!*] /etc/shadow | cut -d: -f1,7

或者：

# chage -l <user> | grep 'Password inactive'

2.7.3 修改密码

# chage -I <days> <user>

或者：

# chage --inactive <days> <user>

2.8 第 8 段内容：用户的失效日期

2.8.1 内容的含义

用户的失效日期于 1970 年 1 月 1 日相距的天数

2.8.2 查看命令

# egrep ^[^:]+:[^\!*] /etc/shadow | cut -d: -f1,8

或者：

# chage -l <user> | grep 'Account expires'

2.8.3 修改密码

# chage -E <date> <user>

或者：

# chage --expiredate <date> <user>

2.9 第 9 段内容：保留

这是一个保留位，目前没有作用

crond dead but pid file exists

解决方法：

步骤一：找到 crond.pid 文件

# find / -name cron*
/spool/anacron/cron.daily
/spool/anacron/cron.weekly
/spool/anacron/cron.monthly
/spool/cron
/lock/subsys/crond
/run/cron.reboot
/run/crond.pid

步骤二：删除 crond.pid 文件

# rm -rf crond.pid

[: ......: unary operator expected

解决方法：

# vim <Shell Script>

将以下内容修改为：

......
if [[ ...... ]]; 
......

修改为：

......
if [[ ...... ]]; 
......

RHEL 8 的 SSH 加密算法默认会使用来自 crypto policies 系统的全局 SSH 加密算法，而此方法将让 SSH 使用单独设置的 SSH 加密算法。

正文：

步骤一：启用 SSH 加密算法

1.1 备份 /etc/sysconfig/sshd 配置文件

# cp /etc/sysconfig/sshd /etc/sysconfig/sshd_backup

1.2 修改 /etc/sysconfig/sshd 配置文件

# vim /etc/sysconfig/sshd

将以下内容：

# CRYPTO_POLICY=

修改为：

CRYPTO_POLICY=

步骤二：设置 SSH 的加密算法

2.1 在 /etc/crypto-policies/back-ends/opensshserver.config 配置文件中确认要使用的 SSH 加密算法属性

2.1.1 修改 /etc/crypto-policies/back-ends/opensshserver.config 配置文件

# vim /etc/crypto-policies/back-ends/opensshserver.config

添加需要使用的 SSH 加密算法属性：

（内容略）

（注意：如果需要使用的 SSH 加密算法已包含在其中了则可以不用添加）

2.1.2 显示目前正在被使用的 SSH 加密算法

# printf "%s\n" $(source /etc/crypto-policies/back-ends/opensshserver.config; echo $CRYPTO_POLICY) | cut -c3-
Ciphers=aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
MACs=hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
GSSAPIKexAlgorithms=gss-curve25519-sha256-,gss-nistp256-sha256-,gss-group14-sha256-,gss-group16-sha512-,gss-gex-sha1-,gss-group14-sha1-
KexAlgorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1
HostKeyAlgorithms=ecdsa-sha2-nistp256,ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521,ecdsa-sha2-nistp521-cert-v01@openssh.com,ssh-ed25519,ssh-ed25519-cert-v01@openssh.com,rsa-sha2-256,rsa-sha2-256-cert-v01@openssh.com,rsa-sha2-512,rsa-sha2-512-cert-v01@openssh.com,ssh-rsa,ssh-rsa-cert-v01@openssh.com
PubkeyAcceptedKeyTypes=ecdsa-sha2-nistp256,ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521,ecdsa-sha2-nistp521-cert-v01@openssh.com,ssh-ed25519,ssh-ed25519-cert-v01@openssh.com,rsa-sha2-256,rsa-sha2-256-cert-v01@openssh.com,rsa-sha2-512,rsa-sha2-512-cert-v01@openssh.com,ssh-rsa,ssh-rsa-cert-v01@openssh.com
CASignatureAlgorithms=ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,ssh-ed25519,rsa-sha2-256,rsa-sha2-512,ssh-rsa

（补充：这里以显示 RHEL8 默认使用的 SSH 加密算法为例）

2.2 在 /etc/ssh/sshd_config 配置文件中设置要使用的 SSH 加密算法

2.2.1 备份 /etc/ssh/sshd_config 配置文件

# cp /etc/ssh/sshd_config /etc/ssh/sshd_config_backup

2.2.2 在 /etc/ssh/sshd_config 配置文件中添加要使用的 SSH 加密算法

# vim /etc/ssh/sshd_config

添加以下内容：

......
Ciphers aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-512,hmac-sha2-256
KexAlgorithms ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256

（
补充：这里以使用：
1) aes256-ctr、aes192-ctr 和 aes128-ctr SSH Ciphers 加密算法
2) hmac-sha2-512 和 hmac-sha2-256 SSH MACs 加密算法
3) ecdh-sha2-nistp521、ecdh-sha2-nistp384、ecdh-sha2-nistp256 和 diffie-hellman-group-exchange-sha256 SSH KexAlgorithms 加密算法
为例
）

2.2.3 让在 /etc/ssh/sshd_config 配置文件中添加要使用的 SSH 加密算法生效

# systemctl restart sshd

步骤三：测试 SSH 加密算法

3.1 测试 SSH Ciphers 加密算法

3.1.1 测试某个 SSH Ciphers 加密算法

# ssh -vv -oCiphers=3des-cbc -oPort=22 192.168.0.1

（补充：这里以测试 IP 地址是 192.168.0.1，端口号是 22，有没有启用 3des-cbc SSH Ciphers 加密算法为例）

3.1.2 测试多个 SSH Ciphers 加密算法

# ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc -oPort=22 192.168.0.1

（补充：这里以测试 IP 地址是 192.168.0.1，端口号是 22，有没有启用 3des-cbc、aes128-cbc、aes192-cbc 和 aes256-cbc SSH Ciphers 加密算法为例）

3.2 测试 SSH MACs 加密算法

3.2.1 测试某个 SSH Ciphers 加密算法

# ssh -vv -oMACs=hmac-md5 -oPort=22 192.168.0.1

（补充：这里以测试 IP 地址是 192.168.0.1，端口号是 22，有没有启用 hmac-md5 SSH MACs 加密算法为例）

3.2.2 测试多个 SSH Ciphers 加密算法

# ssh -vv -oMACs=hmac-md5,hmac-md5-96,hmac-sha1,hmac-sha1-96,hmac-md5-etm@openssh.com,hmac-md5-96-etm@openssh.com -oPort=22 192.168.0.1

（补充：这里以测试 IP 地址是 192.168.0.1，端口号是 22，有没有启用 hmac-md5、hmac-md5-96、hmac-sha1、hmac-sha1-96、hmac-md5-etm@openssh.com 和 hmac-md5-96-etm@openssh.com SSH MACs 加密算法为例）

在给 nftables 防火墙的策略文件添加规则前，要先使用 nftables 防火墙的策略文件：

正文：

案例一：允许某个 IP 地址访问某个端口

ip saddr 192.168.0.1 tcp dport ssh accept

或者：

ip saddr 192.168.0.1 tcp dport 22 accept

（补充：这里以允许 IP 地址 192.168.0.1 访问 22 端口为例）

案例二：允许某个 IP 地址访问多个端口

ip saddr 192.168.0.1 tcp dport {22,80,443,3306} accept comment "accept local port"

（补充：这里以允许 IP 地址 192.168.0.1 访问 22 端口、80 端口、443 端口和 3066 端口为例）

案例三：允许多个 IP 地址访问多个端口

ip saddr {192.168.0.1,192.168.0.2,192.168.0.3} tcp dport {22,80,443,3306} accept comment "accept local port"

（补充：这里以允许 IP 地址 192.168.0.1、192.168.0.2 和 192.168.0.3 访问 22 端口、80 端口、443 端口和 3066 端口为例）

案例四：拒绝所有 IP 地址访问多个端口

tcp dport {22,80,443,3306} drop comment "drop remote port"

（补充：这里以拒绝所有 IP 地址的 22 端口、80 端口、443 端口和 3306 端口为例）

......: No such file or directory

解决方法

# zypper in insserv-compat

# cat /etc/resolv.conf
search eternalcenter.com local new
nameserver 8.8.8.8

内容二：测试 search 选项

2.1 查询 zhumingyu

# host -a zhumingyu
Trying "zhumingyu.eternalcenter.com"
Trying "zhumingyu.local"
Trying "zhumingyu.new"
Trying "zhumingyu"
Host zhumingyu not found: 3(NXDOMAIN)
Received 102 bytes from 8.8.8.8#53 in 62 ms

（补充：当查询 zhumingyu 时，也就是中间没有点 “.”，则默认会被视为查询主机名，会先依次把 eternalcenter.com、local 和 new 作为后缀添加到 zhumingyu 后进行查询，最后才查询 zhumingyu）

2.2 zhumingyu.com

# host -a zhumingyu.com
Trying "zhumingyu.com"
Received 31 bytes from 1.1.1.1#53 in 217 ms
Trying "zhumingyu.com.eternalcenter.com"
Trying "zhumingyu.com.local"
Trying "zhumingyu.com.new"
Host zhumingyu.com.new not found: 4(NOTIMP)
Received 35 bytes from 1.1.1.1#53 in 218 ms

（补充：当查询 zhumingyu.com 时，也就是中间有 1 个点 “.”，则默认会被视为查询域名，会先查询 mingyuzhu.com，如果查询失败，则会先依次把 eternalcenter.com、local 和 new 作为后缀添加到 zhumingyu 后进行查询）

2.3 查询 zhumingyu.com.

# host -a zhumingyu.com.
Trying "zhumingyu.com"
Host zhumingyu.com not found: 4(NOTIMP)
Received 31 bytes from 1.1.1.1#53 in 204 ms
Received 31 bytes from 1.1.1.1#53 in 204 ms

（补充：当查询 zhumingyu.com. 时，也就是末尾有 1 个点 “.”，默认会被视为查询域名，且只会查询这个域名。不会查询 search 里的每 1 项）

1.1 显示目录或文件

1.1.1 显示远程的目录或文件

sftp> ls

1.1.2 显示本地的目录或文件

sftp> lls

1.2 显示目录路径

1.2.1 显示远程目录路径

sftp> pwd

1.2.2 显示本地目录路径

sftp> lpwd

1.3 显示协议版本

sftp> version

1.4 显示帮助信息

sftp> help

内容二：SFTP 目录相关

2.1 创建目录

2.1.1 创建远程目录

sftp> mkdir <directory>

2.1.2 创建本地目录

sftp> lmkdir <directory>

2.2 删除目录

2.2.1 删除远程目录

sftp> rmdir <directory>

2.2.2 删除本地目录

sftp> lmkdir <directory>

2.3 修改目录下

2.3.1 修改目录的所属主

sftp> chown <user> <directory>

2.3.2 修改目录的所属组

sftp> chgrp <group> <directory>

2.3.3 修改目录权限

sftp> chmod <privilege> <directory>

2.4 进入目录

2.4.1 进入远程目录

sftp> cd <directory>

2.4.2 进入本地目录

sftp> lcd <directory>

内容三：SFTP 文件相关

3.1 删除文件

3.1.1 删除远程文件

sftp> rm <file>

3.1.2 删除本地文件

sftp> lrm <file>

3.2 移动文件

移动远程文件

sftp> mv <file>

内容四：上传和下载

4.1 从远程下载文件到本地

sftp> get <file>

4.2 从本地上传文件到远程

sftp> put <file>

内容五：SFTP 管理相关

退出 SFTP

sftp> exit

或者：

sftp> quit

# mount -o remount,noexec,nodev /dev/shm

步骤二：永久禁止 /dev/shm 目录的执行权限

2.1 修改 /etc/fstab 配置文件

# vim /etc/fstab

添加以下内容：

......
/dev/shm             /dev/shm   tmpfs  defaults,rw,remount,noexec,nodev  0  0

2.2 让修改的配置生效

# mount -a

步骤三：确认 /dev/shm 目录的执行权限已被禁止

# mount | grep -E '\s/dev/shm\s' | grep -v noexec ; mount | grep -E '\s/dev/shm\s' | grep -v nodev

（补充：当没有任何输出结果时，则代表 /dev/shm 目录的执行权限已被禁止）

1.1 安装 locate 命令

# dnf install mlocate

1.2 更新 locate 数据库

# updatedb

（
注意：如果不更新 locate 数据库，在使用 locate 命令后可能会报错

locate: can not stat () `/var/lib/mlocate/mlocate.db': No such file or directory

）

内容二：locate 命令的选项

1) -b 或者 –basename 只显示使用指定模式匹配名称的条目
2) -c 或者 –count 只显示找的数量
3) -e 或者 –existing 只显示存在的条目
4) -i 或者 –ignore-case 查找时忽略大小写
5) -r 或者 –regexp 使用正则表达式
6) –regex 使用扩展正则表达式

内容三：locate 命令的案例

3.1 案例一：查找包含 passwd 的文件

# locate passwd

3.2 案例二：在 /etc/ 目录下查找以 sh 开头的文件

# locate /etc/sh

3.3 案例三：在当前目录下查找以 r 开头的文件并忽略大小写

# locate -i ~/r

3.4 案例四：使用正则表达式超找包含 1.txt 或 2.txt 的文件

# locate -r [1-2].txt

1) -a 或者 –all，载入所有模块
2) -c 或者 –show-conf 显示所有模块的配置信息
3) -r 或者 –remove 卸载模块，必须在模块闲置不用时操作。
4) -v 或者 –verbose 显示执行时的详细信息
5) -V 或者 –version 显示命令的版本信息
6) -h 或者 –help 显示命令的帮助信息

内容二：modprobe、insmod、rmmod、lsmod、modinfo 命令的案例

2.1 案例一：安装模块

# modprobe floppy

或者：

# insmod floppy

2.2 案例二：删除模块

# modprobe -r floppy

或者：

# rmmod floppy

2.3 案例三：显示所有模块

# lsmod

2.4 案例四：显示某 1 个模块的详细信息

# modinfo floppy

（步骤略）

步骤二：在系统开启 Wake On Lan （WOL） 功能

2.1 确保 net-tools 已经安装

# yum install net-tools

2.2 查看网卡的 Wake On Lan （WOL） 功能状态

2.2.1 Wake On Lan （WOL） 功能状态列表

1) p, Wake on PHY activity
2) u, Wake on unicast messages
3) m, Wake on multicast messages
4) b, Wake on broadcast messages
5) a, Wake on ARP
6) g, Wake on MagicPacket
7) s, Enable SecureOn password for MagicPacket
8) d, Disable (wake on nothing). This option clears all previous options

2.2.2 查看网卡的 Wake On Lan （WOL） 功能状态

# ethtool enp16s0
Settings for enp16s0:
	Supported ports: [ TP ]
	Supported link modes:   10baseT/Half 10baseT/Full
	                        100baseT/Half 100baseT/Full
	                        1000baseT/Full
	Supported pause frame use: Symmetric
	Supports auto-negotiation: Yes
	Supported FEC modes: Not reported
	Advertised link modes:  10baseT/Half 10baseT/Full
	                        100baseT/Half 100baseT/Full
	                        1000baseT/Full
	Advertised pause frame use: Symmetric
	Advertised auto-negotiation: Yes
	Advertised FEC modes: Not reported
	Speed: 1000Mb/s
	Duplex: Full
	Auto-negotiation: on
	Port: Twisted Pair
	PHYAD: 1
	Transceiver: internal
	MDI-X: off (auto)
	Supports Wake-on: pumbg
	Wake-on: g
        Current message level: 0x00000007 (7)
                               drv probe link
	Link detected: yes

（
补充：
1) 这里以使用 enp16s0 网卡开启 Wake On Lan （WOL） 功能为例
2) 这里的 Wake On Lan （WOL） 功能状态是 g
）

2.3 临时开启 Wake On Lan （WOL） 功能

# ethtool -s enp16s0 wol p

（补充：这里以给 enp16s0 网卡开启 Wake On Lan （WOL） 功能为例）

2.4 永久开启 Wake On Lan （WOL） 功能

# vi /etc/sysconfig/network-scripts/ifcfg-enp16s0

添加以下内容：

......
ETHTOOL_OPTS="-s ${DEVICE} wol p"

（补充：这里以给 enp16s0 网卡开启 Wake On Lan （WOL） 功能为例）

1) -n 只显示 IP 地址
2) -b 同时显示 IP 地址和主机名
3) -l 设置初始数据包长度，默认值为 65535
4) -m 设置最大 TTL 值 （允许数据包到达目主机时允许通过的最多网段数），默认值为 30
5) -p 指定要到达的端口

内容二：tracepath 命令的案例

2.1 显示到达主机的路由信息 （只显示主机名）

# tracepath eternalcenter.com
 1?: [LOCALHOST]                      pmtu 1500
 1:  eternalcenter.com                                   190.114ms !H
 1:  eternalcenter.com                                   187.738ms !H
     Resume: pmtu 1500 

2.2 显示到达主机的路由信息 （只显示 IP 地址）

# tracepath -n eternalcenter.com
 1?: [LOCALHOST]                      pmtu 1500
 1:  143.198.58.97                                       188.327ms !H
 1:  143.198.58.97                                       186.518ms !H
     Resume: pmtu 1500 

2.3 显示到达主机的路由信息 （同时显示 IP 地址和主机名）

# tracepath -b eternalcenter.com
 1?: [LOCALHOST]                      pmtu 1500
 1:  eternalcenter.com (143.198.58.97)                   194.175ms !H
 1:  eternalcenter.com (143.198.58.97)                   188.484ms !H
     Resume: pmtu 1500 

dig 即 domain information groper，主要功能是从 DNS 服务器获取主机信息

内容二：dig 命令的使用案例

2.1 案例一：显示互联网上所有 DNS 根服务器的信息

# dig

2.2 案例二：直接通过域名获取主机信息

# dig eternalcenter.com

（补充：这里以通过 eternalcenter.com 域名获取主机信息为例）

2.3 案例三：直接通过域名获取主机信息，但只显示最基础的内容

# dig eternalcenter.com +short

（补充：这里以通过 eternalcenter.com 域名获取主机信息为例）

2.4 案例四：直接通过域名获取主机信息，并指定显示的内容

# dig eternalcenter.com +noall +answer

（补充：这里以通过 eternalcenter.com 域名获取主机信息，并显示 noall 和 answer 部分的内容为例）

2.5 案例五：从指定的 DNS 服务器和端口号通过域名获取主机信息

# dig @8.8.8.8 -p 53 eternalcenter.com

（补充：这里以通过 eternalcenter.com 域名从 IP 地址是 8.8.8.8 端口是 53 的 DNS 服务器获取主机信息为例）

2.6 案例六：通过 IP 地址获取主机信息

# dig -x 8.8.8.8

（补充：这里以通过 IP 地址 8.8.8.8 获取主机信息为例）

2.7 案例七：通过 IP 地址获得主机信息，但只显示最基础的内容

# dig -x 8.8.8.8  +short

（补充：这里以通过 IP 地址 8.8.8.8 获取主机信息为例）

2.8 案例八：直接通过域名获取主机信息，同时显示获取的过程

# dig eternalcenter.com +trace

（补充：这里以通过 eternalcenter.com 域名获取主机信息为例）

1.1 把用户添加到组里

1.1.1 把某个用户添加到某个组

# gpasswd -a <user> <group>

或者：

# gpasswd –add <user> <group>

或者：

# gpasswd -M <group>

或者：

# gpasswd –members <group>

1.1.2 把多个用户添加到某个组

# gpasswd -a <user1>,<user2> <group>

或者：

# gpasswd –add <user1>,<user2> <group>

或者：

# gpasswd -M <user1>,<user2> <group>

或者：

# gpasswd –members <user1>,<user2> <group>

2.2 把用户从组里删除

2.2.1 把某个用户从某个组里删除

# gpasswd -d <user> <group>

或者：

# gpasswd –delete <user> <group>

2.2.2 把多个用户添加到某个组

# gpasswd -d <user1>,<user2> <group>

或者：

# gpasswd –delete <user1>,<user2> <group>

2.3 将某个用户设置为组的管理员

# gpasswd -A <user> <group>

或者：

# gpasswd –administrators <user> <group>

内容三：组的密码管理

3.1 给某个组设置密码

# gpasswd <group>

3.2 删除某个组的密码

# gpasswd –r <group>

或者：

# gpasswd –remove-password <group>

内容四：组的登录管理

限制某个组登录

# gpasswd -R <group>

或者：

# gpasswd –restrict <group>

内容五：显示帮助信息

# gpasswd -h

或者：

# gpasswd -help

1.1 profile 全局文件的位置 （影响所有用户）

/etc/profile

1.2 profile 局部文件的位置 （只影响单个用户）

~/.bash_profile

或者：

~/.bash_login

或者：

~/.profile

1.3 profile 文件的作用

在用户登录时设置用户的环境变量，只在用户登录时才会生效

1.4 登录 Linux 时执行 profile 文件的顺序

第一步，执行：

/etc/profile

第二步，按以下顺序一一尝试执行以下 3 个文件中的 1 个，当执行成功后则停止尝试下 1 个文件：

~/.bash_profile
~/.bash_login
~/.profile

第三步：开始调用解释器

（如果是调用 bash 解释器，则继续执行登录 bash 时执行 bashrc 文件的顺序）

内容二：bashrc 文件

2.1 bashrc 全局文件的位置 （影响所有用户）

/etc/bashrc

或者：

/etc/bash.bashrc

2.2 bashrc 局部文件的位置 （只影响单个用户）

~/.bashrc

2.3 bashrc 文件的作用

在用户使用 bash 解释器或登录 bash 解释器时设置用户的环境变量，每次调用 bash 解释器时都会生效

2.4 使用 bash 或登录 bash 时执行 bashrc 文件的顺序

第一步，执行以下 2 个文件中的 1 个：

/etc/bashrc
/etc/bash.bashrc

第二步，执行：

~/.bashrc

黑客在入侵前往往会先对整个网络进行扫描，尝试发现我们的系统。在这个阶段我们可以尝试的防范措施有：

1) 关闭 ICMP 协议，让黑客无法通过 ping 发现我们的系统
2) 关闭所有不需要的端口
3) 通过防火墙只让允许访问的 IP 地址访问对应的端口
4) 让防火墙使用 drop 操作丢掉所有没有被允许的访问请求

黑客列举阶段和黑客立足阶段

黑客在发现了我们的系统之后。会根据我们系统和软件的版本，列举不同的破解方法并进行取舍，并最终会选择一种或多种方法进行尝试。在这两个阶段我们可以尝试的防范措施有：

1) 不使用盗版的系统和软件
2) 不使用有漏洞的系统和软件
3) 尽量将所有的系统和软件升级到最新的版本
4) 删除所有非必须的软件
5) 在用户尝试登录系统时，取消显示系统的版本
6) 删除或禁用所有不需要的用户
7) 让所有的用户都使用复杂的密码
8) 定期检查和修改所有用户的密码
9) 定期检查和修改所有用户 ~/.ssh/ 目录中的密钥
10) 限制错误密码尝试的次数，以防止暴力破解
11) 定期检查系统防火墙策略
12) 定期检查系统开启的所有端口
13) 定期检查系统开启的所有进程
14) 定期查看 /var/log/message 中的尝试登录失败的日志记录

黑客保持持久性阶段

黑客在成功进入系统以后，会尝试为自己下次进入系统准备方法，以让入侵保持持久性。在这个阶段我们可以尝试的防范措施有：

1) 定期检查系统中的所有用户的名称和数量
2) 定期检查系统中所有拥有 root 权限的名称和数量
3) 定期检查和修改所有用户的密码
4) 定期检查和修改所有用户 ~/.ssh/ 目录中的密钥
5) 定期检查系统防火墙策略
6) 定期检查系统开启的所有端口
7) 定期检查系统开启的所有进程
8) 缩小重要文件的权限
9) 定期检查所有用户的登录日志
10) 通过 auditd 服务监控所有重要配置文件，并定期检查监控日志

黑客掩盖痕迹阶段

黑客让入侵保持持久性后，会尝试掩盖自己的痕迹。在这个阶段我们可以尝试的防范措施有：

1) 定期检查系统中的所有用户的名称和数量
2) 定期检查系统中所有拥有 root 权限的名称和数量
3) 定期检查和修改所有用户的密码
4) 定期检查和修改所有用户 ~/.ssh/ 目录中的密钥
5) 定期检查系统防火墙策略
6) 定期检查系统开启的所有端口
7) 定期检查系统开启的所有进程
8) 缩小重要文件的权限
9) 定期检查所有用户的登录日志，注意日志的时间是否连贯
10) 通过 auditd 服务监控所有重要配置文件，并定期检查监控日志，注意日志的时间是否连贯

1.1 显示所有 AppArmor 保护进程的情况

# aa-status

1.2 显示所有正在运行并监听网络但是没有被 AppArmor 保护的进程

# aa-unconfined

内容二：设置 AppArmor 保护进程的策略

2.1 将所有 AppArmor 进程规则设置为 enforce 模式

# aa-enforce /etc/apparmor.d/*

2.2 将所有 AppArmor 进程规则设置为 complain 模式

# aa-complain /etc/apparmor.d/*

2.3 将所有 AppArmor 进程规则设置为 disable 模式

# aa-disable /etc/apparmor.d/*

1.1 在 audit 添加监控 SELinux 配置文件的规则

# vim /etc/audit/rules.d/audit.rules

添加以下内容：

......
-w /etc/selinux/ -p wa -k MAC-policy
-w /usr/share/selinux/ -p wa -k MAC-policy

1.2 让添加的监控 SELinux 配置文件的规则生效

# service auditd restart

1.3 确认添加的监控 SELinux 配置文件的规则已生效

# auditctl -l | grep -i selinux

内容二：监控 AppArmor 配置文件

2.1 在 audit 添加监控 AppArmor 配置文件的规则

# vim /etc/audit/rules.d/audit.rules

添加以下内容：

......
-w /etc/apparmor/ -p wa -k MAC-policy
-w /etc/apparmor.d/ -p wa -k MAC-policy

2.2 让添加的监控 AppArmor 配置文件的规则生效

# service auditd restart

2.3 确认添加的监控 AppArmor 配置文件的规则已生效

# auditctl -l | grep -i apparmor