centos 查看uuid，linux查看安装的软件

请问CentOS 7.0系统安装配置教程

搜狗高速浏览器不仅是一款浏览器，更是您高效、安全网络浏览的得力助手。这款双核浏览器融合了高性能优化技术和极速的网页加载能力，为您提供了前所未有的流畅体验。搭载先进的安全防护系统，搜狗高速浏览器为您的网络生活提供全方位保护。访问，立即下载体验。

服务器相关设置如下：

操作系统：CentOS 7.0 64位

IP地址：192.168.21.128

网关：192.168.21.2

DNS：8.8.8.8 8.8.4.4

备注：

生产服务器如果是大内存(4G以上内存)，建议安装64位版本 CentOS-7.0-1406-x86_64-DVD.iso

一、安装CentOS 7.0

成功引导系统后，会出现下面的界面

界面说明：

Install CentOS 7安装CentOS 7

Test this media& install CentOS 7测试安装文件并安装CentOS 7

Troubleshooting修复故障

这里选择第一项，安装CentOS 7，回车，进入下面的界面

选择语言：中文-简体中文(中国)#正式生产服务器建议安装英文版本

继续

选择-系统-安装位置，进入磁盘分区界面

选择-其它存储选项-分区-我要配置分区，点左上角的“完成”，进入下面的界面

分区前先规划好

swap#交换分区，一般设置为内存的2倍

/#剩余所有空间

备注：生产服务器建议单独再划分一个/data分区存放数据

点左下角的“+”号

挂载点：swap

期望容量：2048

添加挂载点，

继续点左下角的“+”号

挂载点：/

期望容量：18.43GB#剩余所有空间

添加挂载点，

点左上角的“完成”，进入下面的界面

接受更改，进入下面的界面

开始安装#注意“软件”-“软件选择”，默认是最小安装，即不安装桌面环境，可以自己设置。

进入下面的界面

选择-用户设置-ROOT密码，进入下面的界面

设置Root密码

如果密码长度少于8位，会提示要按“完成”两次来确认，安装继续

安装完成之后，会进入下面的界面

点重启

系统重新启动

进入登录界面

账号输入root回车

再输入上面设置的root密码回车

系统登录成功

二、设置IP地址、网关DNS

说明：CentOS 7.0默认安装好之后是没有自动开启网络连接的!

cd/etc/sysconfig/network-scripts/#进入网络配置文件目录

vi ifcfg-eno16777736#编辑配置文件，添加修改以下内容

HWADDR=00:0C:29:8D:24:73

TYPE=Ethernet

BOOTPROTO=static#启用静态IP地址

DEFROUTE=yes

PEERDNS=yes

PEERROUTES=yes

IPV4_FAILURE_FATAL=no

IPV6INIT=yes

IPV6_AUTOCONF=yes

IPV6_DEFROUTE=yes

IPV6_PEERDNS=yes

IPV6_PEERROUTES=yes

IPV6_FAILURE_FATAL=no

NAME=eno16777736

UUID=ae0965e7-22b9-45aa-8ec9-3f0a20a85d11

ONBOOT=yes#开启自动启用网络连接

IPADDR0=192.168.21.128#设置IP地址

PREFIXO0=24#设置子网掩码

GATEWAY0=192.168.21.2#设置网关

DNS1=8.8.8.8#设置主DNS

DNS2=8.8.4.4#设置备DNS

:wq!#保存退出

service network restart#重启网络

ping www.baidu.com#测试网络是否正常

ip addr#查看IP地址

三、设置主机名为www

hostname www#设置主机名为www

vi/etc/hostname#编辑配置文件

www#修改localhost.localdomain为www

:wq!#保存退出

vi/etc/hosts#编辑配置文件

127.0.0.1 localhost www#修改localhost.localdomain为www

:wq!#保存退出

shutdown-r now#重启系统

至此，CentOS 7.0系统安装配置图解教程完成!

选择搜狗高速浏览器，让您的网络生活更加便捷、高效。这款双核浏览器不仅提供了闪电般的页面加载速度，还具备全面的安全防护特性，确保您在享受快速浏览的同时，免受网络威胁的侵扰。不要等待，立即访问下载搜狗高速浏览器，体验网络浏览的新境界。

centos7文件系统管理btrfs详解

一、基础简介

Btrfs（又名：B-tree, Butter FS, Better FS），GPL授权， Oracle从2007研发，写实复制更新机制 CoW，其主要是为了取代ext2，ext3，ext4，其主要功能有

例如我们现在去修改一个文件A，COW机制是先将目标文件A复制一份为文件B，那么我们修改文件时是修改的复制文件B，相当于对源文件A做了快照，如对文件B修改操作失误，可以有效的恢复源文件A。

多物理卷支持：btrfs可由多个底层物理卷组成，内建支持RAID（即支持条带、mirror等功能），以联机添加、移除，修改操作

支持b-tree文件功能即支持子卷功能，如在vg中创建lv一样

写时复制更新机制（英译CoW）：复制、更新及替换指针，而非就地更新机制

数据及源数据校验码机制checksum：我们存储某个文件时，checksum会将数据的源数据和数据的校验码，分别通过文件的属性扩展进行保存，当我们再次读取数据时可以方便的检测数据是否受损，如果文件受损系统可以完成自动修复。

支持子卷sub_volume：可以在一个卷上创建子卷，然后分别挂载使用

快照：支持快照的快照功能即增量快照

透明压缩：即数据自动实现压缩和解压缩，以节约空间，会消耗一定的cpu的

：

二、文件系统创建

命令帮助btrfs--help

mkfs.btrfs

-L'LABEL'指定卷标

-d type: raid0,raid1, raid5, raid6, raid10, single指明数据存储类型

-m profile: raid0,raid1, raid5, raid6, raid10, single, dup指明源数据存储的机制

-O feature指明在格式化时使用的特性

-O list-all:列出支持的所有feature

man btrfs-filesystem查看更多的子命令

mount-t btrfs/dev/sdbMOUNT_POINT挂载文件系统

mount-o compress={lzo|zlib} DEVICE MOUNT_POINT透明压缩机制

btrfs filesystem resize VALUE MOUNT_POINT调整磁盘大小

btrfs devices [subcommand] args管理磁盘设备

btrfs-balancesubcomand|args均衡数据

btrfs subvolume [subcommand][args]创建子卷

btrfs snapshot创建快照

快照必须要与原卷在同一卷组中，子卷的快照必须要与子卷在同一个父卷中

btrfs subvolume delete snapshot-name删除子快照

三、创建应用示例

# fdisk-l查看存在的分区的磁盘

# mkfs.btrfs-Lmybtrfs/dev/sdb/dev/sdc将sdb、sdc磁盘创建成为一个btrfs系统

# btrfs filesystem show查看已经创建的btrfs文件系统

# blid/dev/sdb查看UUID是相同的（说明其实属于同一个卷的）

# mkdir/mybtrfs创建挂载点

# mount-t btrfs/dev/sda（挂载点是/dev/sda也是可以的）

# umount/dev/sda卸载

# mount-o compress=lzo/dev/sdb/mybtrs重新使用，此时就是自动压缩（透明压缩）

#btrfs filesystem resize-10G/mybtrfs

（btrfs filesystem resize调整磁盘大小）

# btrfs devices add/dev/sdd/mybtrfs自动磁盘扩展逻辑边界

# man btrfs-balance start/mytrfs

#btrfs-lalance start-mconvert=raid1/mytrfs修改元数据的raid级别

#btrfs balance status/mytrfs

# btrfs device delete/dev/sda/mybtrfs拆除设备，系统会自动移动数据

# btrfs sublimvolume create/mybtrfs创建子卷

# btrfs subvolume create/mybtrfs/logs创建logs子卷

umount/mybtrfs

mount/dev/sdb/mybtrfs可以卸载父卷，只挂着子卷

btrfs subvolume list/mybtrfs显示mybtrs

CentOS上的安全防护软件Selinux详解

selinux简介

SELinux(Security-Enhanced Linux)是美国国家安全局（NSA）对于强制访问控制的实现，是Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系，在这种访问控制体系的限制下，进程只能访问那些在他的任务中所需要文件。SELinux默认安装在Fedora和Red Hat Enterprise Linux上，也可以作为其他发行版上容易安装的包得到，2000年以GNU GPL发布，Linux内核2.6版本后集成在内核中

DAC：Discretionary Access Control自由访问控制

MAC：Mandatory Access Control强制访问控制

DAC环境下进程是无束缚的

MAC环境下策略的规则决定控制的严格程度

MAC环境下进程可以被限制的

策略被用来定义被限制的进程能够使用那些资源（文件和端口）

默认情况下，没有被明确允许的行为将被拒绝

selinux的工作类型

selinux一共有四种工作类型

strict：每个进程都受到selinux的控制

targeted：用来保护常见的网络服务，仅有限进程受到selinux控制，系统当中默认设置类型

minimum：这个模式在centos7上，是targeted的修改版，只对选择的网络服务，仅对选中的进程生效

mls：提供mls机制的安全性，国防级别的

selinux安全上下文

传统的linux，一切皆文件，由用户、组、权限来进行访问控制，这当中有很多的缺陷

在selinux中，一切皆对象（进程），有存放在inode的扩展属性域的安全元素所控制其访问

所有文件和端口资源和进程都具备安全标签，这就是安全上下文

安全上下文有五个元素组成

system_u:object_r:admin_home_t:s0

user：role：type：sensitivity：category

user：指示登录系统的用户类型，如root，user_u,system_u,多数本地进程都属于自由进程

role：定义文件，进程和用户的用途，文件：object_r,进程和用户：system_r

type：指定数据类型，规则重定义何种进程类型访问何种文件，target策略基于type实现，多服务功用，public_content_t

sensitivity：限制访问的需要，由组织定义的分层安全级别，如unclassified，secret，top,一个对象有且只有一个sensitivity，分0-15个级别，s0最低，target策略默认使用是s0

category：对于特定组织划分不分层的分类，如FBI secret，NSA secret，一个对象可以有多个category，c0-c1023共1024个分类，target策略不适用category

查看安全上下文

ls Z; ps-Z

期望（默认）上下文：存放在二进制的selinux策略库中

semanage fcontext l查看系统中的默认安全上下文

@font-face{

font-family:宋体;

}@font-face{

font-family: Cambria Math;

}@font-face{

font-family: Calibri;

}@font-face{

font-family:@宋体;

}p.MsoNormal, li.MsoNormal, div.MsoNormal{ margin: 0cm 0cm 0.0001pt; text-align: justify; font-size: 10.5pt; font-family: Calibri,sans-serif;}.MsoChpDefault{ font-family: Calibri,sans-serif;}div.WordSection1{}

selinux策略

对象（object）：所有可以读取的对象，包括文件、目录和进程，端口等

主体：进程称为主题（subject）

selinux中对所有的文件都赋予一个type的文件类型标签，对于所有的进程也赋予各自的一个domain标签。domain标签能够执行的操作由安全策略里定义

当一个subject视图访问一个object，kernel中的粗略执行服务器将检查AVC，在AVC中，subject和object的权限被缓存，查找应用+文件的安全环境，然后根据查询结果允许或拒绝访问

安全策略：定义主体读取对象的规则数据库，规则中记录了那个类型的主体使用了那个方法读取哪一个对象是允许还是拒绝的，并且定义了那种行为是允许或拒绝

设置selinux

配置selinux

selinux是否启用

给文件重新打安全标签

给端口设置安全标签

设定某些操作的布尔型开关

selinux的日志管理

selinux的状态

enforcing：强制，每个受限的进程都必然受限

permissive：允许；每个受限的进程违规操作不会被禁止，但会被记录与审计日志

disabled：禁用，允许任何操作

getenforce：获取selinux当前状态

sestatus：查看selinux状态

setenforce 0|1

0：设置为permissive

1：设置为enforcing

配置文件

/etc/sysconfig/selinux链接文件链接到/etc/selinux/config

/etc/selinux/config

# This file controls the state of SELinux on the system.

# SELINUX= can take one of these three values:

# enforcing SELinux security policy is enforced.

# permissive SELinux prints warnings instead of enforcing.

# disabled SELinux is fully disabled.

SELINUX=enforcing

# SELINUXTYPE= type of policy in use. Possible values are:

# targeted Only targeted network daemons are protected.

# strict Full SELinux protection.

SELINUXTYPE=targeted

SELINUX=enforcing设置selinux的状态

SELINUXTYPE=targeted设置selinux的工作类型

设置selinux也可以在开机的时候设定，在/boot/grub/grub.conf文件内核那一行后面设定selinux的状态selinux=0|1,只要配置文件或内核设定为禁用，最后selinux的状态为禁用

注意：在从disabled状态切换至enforcing或permissive状态需要重启系统，这时候系统会对每一个文件一一重打标签，需要花费一定的时间。

修改selinux的安全标签

给文件重新打安全标签

chcon [OPTION] [-u USER] [-r ROLE] [-l RANGE] [-t TYPE] FILE..

chcon [OPTION] reference=RFILE FILE..

-R：递归打标，对目录而言

例如我想给自己定义的web文档根目录自定义为/htdocs

chcon-R httpd_sys_content_t/htdocs

恢复目录或文件默认的安全上下文

resotrecon [-R]/path/to/somewhere

例如：我又将web的文档根目录改为原来的目录，这时候自定义的目录的标签需要还原

restorecon-R/htdocs

恢复是根据策略库当中的策略进行还原

默认安全上下文查询与修改

semanage来自policycoreutils-python包，有些系统默认没有安装，安装次包即可使用semanage命令

查看默认的安全上下文

semanage fcontext l

添加安全上下文

semanage fcontext-a t httpd_sys_content_t/home/hadoop(/.*)?

restorecon Rv/home/hadoop此步骤一定不能忘记，它从策略库进行还原安全上下文，执行此命令才会生效

删除安全上下文

semanage fcontext d t httpd_sys_content_t/home/hadoop(/.*)?

selinux端口标签

查看端口标签

semanage port-l

添加端口

semanage port-a-t port_label p tcp|udp port

semanage port a-t htt_port_t-p tcp 8080

删除端口

semanage port-d-t port_label-p tcp|udp port

semanage port-d-t htt_port_t-p tcp 8080

修改现有（已存在）端口为新标签

semanage port-m t port_label p tcp|udp port

semanage port m t ssh_port_t p tcp 8080将ssh服务的端口改为8080

selinux布尔值

查看布尔值命令

getsebool [-a] [boolean]

semanage boolean l-C查看修改过的布尔值

设置bool值命令

setsebool [-P] boolean value（on|off|1|0）

setsebool httpd_enable_homedirs on|1开启httpd家目录访问，但不会写入策略库中

setsebool-P httpd_enable_homedirs on|1

修改bool值时后面的值可以对布尔值类型后跟=加值的设置方法

setsebool httpd_enable_homedirs=on

selinux的日志管理

需要安装settroublesshoot*安装此包需要重启系统才能生效，它会将错误日志记录到/var/log/message

grep setroubleshoot/var/log/message

sealer-l UUID

查看安全事件日志说明

sealert-a/var/log/audit/audit.log

扫描并分析日志

yum-y install selinux-policy-devel（centos7）

yum y install selinux-policy-doc（centos6）

mandb| makewhatis需要更新man帮助的数据才能查询

man-k _selinux

例如man httpd_selinux

总结：selinux在安全防护上确实起到了一定的作用，它是在内核层面来工作，往往有许多的漏洞，一旦黑客利用漏洞入侵系统后果不堪设想，还有其操作的繁琐和稳定性的欠缺的导致很多企业不愿意用到selinux，一般都会使用硬件的安全防护设备，所以我们只需要作为了解，知道有这么个东西，如何开关闭及一些简单的操作即可。