对于想学习 Linux 的初学者来说要适应使用命令行或者终端可能非常困难。由于终端比图形用户界面程序更能帮助用户控制 Linux 系统，我们必须习惯在终端中运行命令。因此为了有效记忆 Linux 不同的命令，你应该每天使用终端并明白怎样将命令和不同选项以及参数一同使用。

在 Linux 中管理文件类型和设置时间

请先查看我们 Linux 小技巧系列之前的文章：

• 5 个有趣的 Linux 命令行技巧
• 给新手的 10 个有用 Linux 命令行技巧

在这篇文章中，我们打算看看终端中 5 个和文件以及时间相关的提示和技巧。

Linux 中的文件类型

在 Linux 中，一切皆文件，你的设备、目录以及普通文件都认为是文件。

Linux 系统中文件有不同的类型：

• 普通文件：可能包含命令、文档、音频文件、视频、图像，归档文件等。
• 设备文件：系统用于访问你硬件组件。

这里有两种表示存储设备的设备文件：块文件，例如硬盘，它们以块读取数据；字符文件，以逐个字符读取数据。

• 硬链接和软链接：用于在 Linux 文件系统的任意地方访问文件。
• 命名管道和套接字：允许不同的进程之间进行交互。

1. 用 ‘file’ 命令确定文件类型

你可以像下面这样使用 file 命令确定文件的类型。下面的截图显示了用 file 命令确定不同文件类型的例子。

tecmint@tecmint ~/Linux-Tricks $ dir
BACKUP                    master.zip
crossroads-stable.tar.gz          num.txt
EDWARD-MAYA-2011-2012-NEW-REMIX.mp3   reggea.xspf
Linux-Security-Optimization-Book.gif  tmp-link

tecmint@tecmint ~/Linux-Tricks $ file BACKUP/
BACKUP/: directory 

tecmint@tecmint ~/Linux-Tricks $ file master.zip 
master.zip: Zip archive data, at least v1.0 to extract

tecmint@tecmint ~/Linux-Tricks $ file crossroads-stable.tar.gz
crossroads-stable.tar.gz: gzip compressed data, from Unix, last modified: Tue Apr  5 15:15:20 2011

tecmint@tecmint ~/Linux-Tricks $ file Linux-Security-Optimization-Book.gif 
Linux-Security-Optimization-Book.gif: GIF image data, version 89a, 200 x 259

tecmint@tecmint ~/Linux-Tricks $ file EDWARD-MAYA-2011-2012-NEW-REMIX.mp3 
EDWARD-MAYA-2011-2012-NEW-REMIX.mp3: Audio file with ID3 version 2.3.0, contains: MPEG ADTS, layer III, v1, 192 kbps, 44.1 kHz, JntStereo

tecmint@tecmint ~/Linux-Tricks $ file /dev/sda1
/dev/sda1: block special 

tecmint@tecmint ~/Linux-Tricks $ file /dev/tty1
/dev/tty1: character special 

2. 用 ‘ls’ 和 ‘dir’ 命令确定文件类型

确定文件类型的另一种方式是用 ls 和 dir 命令显示一长串结果。

用 ls -l 确定一个文件的类型。

当你查看文件权限时，第一个字符显示了文件类型，其它字符显示文件权限。

tecmint@tecmint ~/Linux-Tricks $ ls -l
total 6908
drwxr-xr-x 2 tecmint tecmint    4096 Sep  9 11:46 BACKUP
-rw-r--r-- 1 tecmint tecmint 1075620 Sep  9 11:47 crossroads-stable.tar.gz
-rwxr----- 1 tecmint tecmint 5916085 Sep  9 11:49 EDWARD-MAYA-2011-2012-NEW-REMIX.mp3
-rw-r--r-- 1 tecmint tecmint   42122 Sep  9 11:49 Linux-Security-Optimization-Book.gif
-rw-r--r-- 1 tecmint tecmint   17627 Sep  9 11:46 master.zip
-rw-r--r-- 1 tecmint tecmint       5 Sep  9 11:48 num.txt
-rw-r--r-- 1 tecmint tecmint       0 Sep  9 11:46 reggea.xspf
-rw-r--r-- 1 tecmint tecmint       5 Sep  9 11:47 tmp-link

使用 ls -l 确定块和字符文件

tecmint@tecmint ~/Linux-Tricks $ ls -l /dev/sda1
brw-rw---- 1 root disk 8, 1 Sep  9 10:53 /dev/sda1

tecmint@tecmint ~/Linux-Tricks $ ls -l /dev/tty1
crw-rw---- 1 root tty 4, 1 Sep  9 10:54 /dev/tty1

使用 dir -l 确定一个文件的类型。

tecmint@tecmint ~/Linux-Tricks $ dir -l
total 6908
drwxr-xr-x 2 tecmint tecmint    4096 Sep  9 11:46 BACKUP
-rw-r--r-- 1 tecmint tecmint 1075620 Sep  9 11:47 crossroads-stable.tar.gz
-rwxr----- 1 tecmint tecmint 5916085 Sep  9 11:49 EDWARD-MAYA-2011-2012-NEW-REMIX.mp3
-rw-r--r-- 1 tecmint tecmint   42122 Sep  9 11:49 Linux-Security-Optimization-Book.gif
-rw-r--r-- 1 tecmint tecmint   17627 Sep  9 11:46 master.zip
-rw-r--r-- 1 tecmint tecmint       5 Sep  9 11:48 num.txt
-rw-r--r-- 1 tecmint tecmint       0 Sep  9 11:46 reggea.xspf
-rw-r--r-- 1 tecmint tecmint       5 Sep  9 11:47 tmp-link

3. 统计指定类型文件的数目

下面我们来看看在一个目录中用 ls，grep 和 wc 命令统计指定类型文件数目的技巧。命令之间的交互通过命名管道完成。

• grep – 用户根据给定模式或正则表达式进行搜索的命令。
• wc – 用于统计行、字和字符的命令。

统计普通文件的数目

在 Linux 中，普通文件用符号 - 表示。

tecmint@tecmint ~/Linux-Tricks $ ls -l | grep ^- | wc -l
7

统计目录的数目

在 Linux 中，目录用符号 d 表示。

tecmint@tecmint ~/Linux-Tricks $ ls -l | grep ^d | wc -l
1

统计符号链接和硬链接的数目

在 Linux 中，符号链接和硬链接用符号 l 表示。

tecmint@tecmint ~/Linux-Tricks $ ls -l | grep ^l | wc -l
0

统计块文件和字符文件的数目

在 Linux 中，块和字符文件用符号 b 和 c 表示。

tecmint@tecmint ~/Linux-Tricks $ ls -l /dev | grep ^b | wc -l
37
tecmint@tecmint ~/Linux-Tricks $ ls -l /dev | grep ^c | wc -l
159

4. 在 Linux 系统中查找文件

下面我们来看看在 Linux 系统中查找文件一些命令，它们包括 locate、find、whatis 和 which 命令。

用 locate 命令查找文件

在下面的输出中，我想要定位系统中的 Samba 服务器配置文件

tecmint@tecmint ~/Linux-Tricks $ locate samba.conf
/usr/lib/tmpfiles.d/samba.conf
/var/lib/dpkg/info/samba.conffiles

用 find 命令查找文件

想要学习如何在 Linux 中使用 find 命令，你可以阅读我们以下的文章，里面列出了 find 命令的 30 多个例子和使用方法。

• Linux 中 35 个 ‘find’ 命令示例

用 whatis 命令定位命令

whatis 命令通常用于定位命令，它很特殊，因为它给出关于一个命令的信息，它还能查找配置文件和命令的帮助手册条目。

tecmint@tecmint ~/Linux-Tricks $ whatis bash
bash (1)             - GNU Bourne-Again SHell

tecmint@tecmint ~/Linux-Tricks $ whatis find
find (1)             - search for files in a directory hierarchy

tecmint@tecmint ~/Linux-Tricks $ whatis ls
ls (1)               - list directory contents

用 which 命令定位命令

which 命令用于定位文件系统中的命令。

tecmint@tecmint ~/Linux-Tricks $ which mkdir
/bin/mkdir

tecmint@tecmint ~/Linux-Tricks $ which bash
/bin/bash

tecmint@tecmint ~/Linux-Tricks $ which find
/usr/bin/find

tecmint@tecmint ~/Linux-Tricks $ $ which ls
/bin/ls

5.处理 Linux 系统的时间

在联网环境中，保持你 Linux 系统时间准确是一个好的习惯。Linux 系统中有很多服务要求时间正确才能在联网条件下正常工作。

让我们来看看你可以用来管理你机器时间的命令。在 Linux 中，有两种方式管理时间：系统时间和硬件时间。

系统时间由系统时钟管理，硬件时间由硬件时钟管理。

要查看你的系统时间、日期和时区，像下面这样使用 date 命令。

tecmint@tecmint ~/Linux-Tricks $ date
Wed Sep  9 12:25:40 IST 2015

像下面这样用 date -s 或 date -set=“STRING” 设置系统时间。

tecmint@tecmint ~/Linux-Tricks $ sudo date -s "12:27:00"
Wed Sep  9 12:27:00 IST 2015

tecmint@tecmint ~/Linux-Tricks $ sudo date --set="12:27:00"
Wed Sep  9 12:27:00 IST 2015

你也可以像下面这样设置时间和日期。

tecmint@tecmint ~/Linux-Tricks $ sudo date 090912302015
Wed Sep  9 12:30:00 IST 2015

使用 cal 命令从日历中查看当前日期。

tecmint@tecmint ~/Linux-Tricks $ cal
   September 2015     
Su Mo Tu We Th Fr Sa  
       1  2  3  4  5  
 6  7  8  9 10 11 12  
13 14 15 16 17 18 19  
20 21 22 23 24 25 26  
27 28 29 30      

使用 hwclock 命令查看硬件时钟时间。

tecmint@tecmint ~/Linux-Tricks $ sudo hwclock
Wednesday 09 September 2015 06:02:58 PM IST  -0.200081 seconds

要设置硬件时钟时间，像下面这样使用 hwclock –set –date=“STRING” 命令。

tecmint@tecmint ~/Linux-Tricks $ sudo hwclock --set --date="09/09/2015 12:33:00"

tecmint@tecmint ~/Linux-Tricks $ sudo hwclock
Wednesday 09 September 2015 12:33:11 PM IST  -0.891163 seconds

系统时间是由硬件时钟时间在启动时设置的，系统关闭时，硬件时间被重置为系统时间。

因此你查看系统时间和硬件时间时，它们是一样的，除非你更改了系统时间。当你的 CMOS 电量不足时，硬件时间可能不正确。

你也可以像下面这样使用硬件时钟的时间设置系统时间。

$ sudo hwclock --hctosys

也可以像下面这样用系统时钟时间设置硬件时钟时间。

$ sudo hwclock --systohc

要查看你的 Linux 系统已经运行了多长时间，可以使用 uptime 命令。

tecmint@tecmint ~/Linux-Tricks $ uptime
12:36:27 up  1:43,  2 users,  load average: 1.39, 1.34, 1.45

tecmint@tecmint ~/Linux-Tricks $ uptime -p
up 1 hour, 43 minutes

tecmint@tecmint ~/Linux-Tricks $ uptime -s
2015-09-09 10:52:47

总结

对于初学者来说理解 Linux 中的文件类型是一个好的尝试，同时时间管理也非常重要，尤其是在需要可靠有效地管理服务的服务器上。希望这篇指南能对你有所帮助。如果你有任何反馈，别忘了给我们写评论。和我们保持联系。

via: http://www.tecmint.com/manage-file-types-and-set-system-time-in-linux/

作者：Aaron Kili 译者：ictlyh 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

这是一篇对完全是新手的一篇技巧，我将向你展示如何在Ubuntu文件管理器中添加书签。

现在如果你想知道为什么要这么做，答案很简单。它可以让你可以快速地在左边栏中访问。比如，我在Ubuntu中安装了Copy 云服务。它创建在/Home/Copy。先进入Home目录再进入Copy目录并不是很麻烦，但是我想要更快地访问它。因此我添加了一个书签这样我就可以直接从侧边栏访问了。

在Ubuntu中添加书签

打开Files。进入你想要保存快速访问的目录。你需要在标记书签的目录里面。

现在，你有两种方法：

方法1:

当你在Files（Ubuntu中的文件管理器）中时，查看顶部菜单。你会看到书签按钮。点击它你会看到将当前路径保存为书签的选项。

方法 2:

你可以直接按下Ctrl+D就可以将当前位置保存为书签。

如你所见，这里左边栏就有一个新添加的Copy目录：

管理书签

如果你不想要太多的书签或者你错误地添加了一个书签，你可以很简单地删除它。按下Ctrl+B查看所有的书签。现在选择想要删除的书签并点击删除。

这就是在Ubuntu中管理书签需要做的。我知道这对于大多数用户而言很简单，但是这也许多Ubuntu的新手而言或许还有用。

via: http://itsfoss.com/add-remove-bookmarks-ubuntu/

作者：Abhishek 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

假如你在词典中查一下单词 “ 虚拟化 （ virtualize ） ”，你将会发现它的意思是 “创造某些事物的一个虚拟物（而非真实的）”。在计算机行业中，术语 虚拟化 （ virtualization ） 指的是：在相同的物理（硬件）系统上，同时运行多个操作系统，且这几个系统相互隔离的可能性，而那个硬件在虚拟化架构中被称作 宿主机 （ host ） 。

RHCSA 系列： 虚拟化基础和使用 KVM 进行虚拟机管理 – Part 15

通过使用虚拟机监视器（也被称为 虚拟机管理程序 （ hypervisor ） ），虚拟机（被称为 guest）由底层的硬件来供给虚拟资源（举几个例子来说，如 CPU，RAM，存储介质，网络接口等）。

考虑到这一点就可以清楚地看出，虚拟化的主要优点是节约成本（在设备和网络基础设施，及维护工作等方面）和显著地减少容纳所有必要硬件所需的物理空间。

由于这个简单的指南不能涵盖所有的虚拟化方法，我鼓励你参考在总结部分中列出的文档，以此对这个话题做更深入的了解。

请记住当前文章只是用于在 RHEL 7 中用命令行工具使用 KVM ( Kernel-based Virtual Machine （ 基于内核的虚拟机 ） ) 学习虚拟化基础知识的一个起点，而并不是对这个话题的深入探讨。

检查硬件要求并安装软件包

为了设置虚拟化，你的 CPU 必须能够支持它。你可以使用下面的命令来查看你的系统是否满足这个要求：

# grep -E 'svm|vmx' /proc/cpuinfo

在下面的截图中，我们可以看到当前的系统（带有一个 AMD 的微处理器）支持虚拟化，svm 字样的存在暗示了这一点。假如我们有一个 Intel 系列的处理器，我们将会看到上面命令的结果将会出现 vmx 字样。

检查 KVM 支持

另外，你需要在你宿主机的硬件（BIOS 或 UEFI）中开启虚拟化。

现在，安装必要的软件包：

• qemu-kvm 是一个开源的虚拟机程序，为 KVM 虚拟机监视器提供硬件仿真，而 qemu-img 则提供了一个操纵磁盘镜像的命令行工具。
• libvirt 包含与操作系统的虚拟化功能交互的工具。
• libvirt-python 包含一个模块，它允许用 Python 写的应用来使用由 libvirt 提供的接口。
• libguestfs-tools 包含各式各样的针对虚拟机的系统管理员命令行工具。
• virt-install 包含针对虚拟机管理的其他命令行工具。

命令如下：

# yum update && yum install qemu-kvm qemu-img libvirt libvirt-python libguestfs-tools virt-install

一旦安装完成，请确保你启动并开启了 libvirtd 服务：

# systemctl start libvirtd.service
# systemctl enable libvirtd.service

默认情况下，每个虚拟机将只能够与放在相同的物理服务器上的虚拟机以及宿主机自身通信。要使得虚拟机能够访问位于局域网或因特网中的其他机器，我们需要像下面这样在我们的宿主机上设置一个桥接接口（比如说 br0）：

1、 添加下面的一行到我们的 NIC 主配置中（类似 /etc/sysconfig/network-scripts/ifcfg-enp0s3 这样的文件）：

BRIDGE=br0

2、 使用下面的内容（注意，你可能需要更改 IP 地址，网关地址和 DNS 信息）为 br0 创建一个配置文件（/etc/sysconfig/network-scripts/ifcfg-br0）：

DEVICE=br0
TYPE=Bridge
BOOTPROTO=static
IPADDR=192.168.0.18
NETMASK=255.255.255.0
GATEWAY=192.168.0.1
NM_CONTROLLED=no
DEFROUTE=yes
PEERDNS=yes
PEERROUTES=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
IPV6_FAILURE_FATAL=no
NAME=br0
ONBOOT=yes
DNS1=8.8.8.8
DNS2=8.8.4.4

3、 最后在文件/etc/sysctl.conf 中设置：

net.ipv4.ip_forward = 1

来开启包转发并加载更改到当前的内核配置中：

# sysctl -p

注意，你可能还需要告诉 firewalld 让这类的流量应当被允许通过防火墙。假如你需要这样做，记住你可以参考这个系列的 使用 firewalld 和 iptables 来控制网络流量。

创建虚拟机镜像

默认情况下，虚拟机镜像将会被创建到 /var/lib/libvirt/images 中，且强烈建议你不要更改这个设定，除非你真的需要那么做且知道你在做什么，并能自己处理有关 SELinux 的设定（这个话题已经超出了本教程的讨论范畴，但你可以参考这个系列的第 13 部分 使用 SELinux 来进行强制访问控制，假如你想更新你的知识的话）。

这意味着你需要确保你在文件系统中分配了必要的空间来容纳你的虚拟机。

下面的命令将使用位于 /home/gacanepa/ISOs目录下的 rhel-server-7.0-x86\_64-dvd.iso 镜像文件和 br0 这个网桥来创建一个名为 tecmint-virt01 的虚拟机，它有一个虚拟 CPU，1 GB（=1024 MB）的 RAM，20 GB 的磁盘空间（由/var/lib/libvirt/images/tecmint-virt01.img所代表）：

# virt-install \
--network bridge=br0
--name tecmint-virt01 \
--ram=1024 \
--vcpus=1 \
--disk path=/var/lib/libvirt/images/tecmint-virt01.img,size=20 \
--graphics none \
--cdrom /home/gacanepa/ISOs/rhel-server-7.0-x86_64-dvd.iso
--extra-args="console=tty0 console=ttyS0,115200"

假如安装文件位于一个 HTTP 服务器上，而不是存储在你磁盘中的镜像中，你必须将上面的 -cdrom 替换为 -location，并明确地指出在线存储仓库的地址。

至于上面的 –graphics none 选项，它告诉安装程序只以文本模式执行安装过程。假如你使用一个 GUI 界面和一个 VNC 窗口来访问主虚拟机控制台，则可以省略这个选项。最后，使用 –extra-args 参数，我们将传递内核启动参数给安装程序，以此来设置一个串行的虚拟机控制台。

现在，所安装的虚拟机应当可以作为一个正常的（真实的）服务来运行了。假如没有，请查看上面列出的步骤。

管理虚拟机

作为一个系统管理员，还有一些典型的管理任务需要你在虚拟机上去完成。注：下面所有的命令都需要在你的宿主机上运行：

1. 列出所有的虚拟机：

# virsh list --all

你必须留意上面命令输出中的虚拟机 ID（尽管上面的命令还会返回虚拟机的名称和当前的状态），因为你需要它来执行有关某个虚拟机的大多数管理任务。

2. 显示某个虚拟机的信息：

# virsh dominfo [VM Id]

3. 开启，重启或停止一个虚拟机操作系统：

# virsh start | reboot | shutdown [VM Id]

4. 假如网络无法连接且在宿主机上没有运行 X 服务器，可以使用下面的命令来访问虚拟机的串行控制台：

# virsh console [VM Id]

注：这需要你添加一个串行控制台配置信息到 /etc/grub.conf 文件中（参考刚才创建虚拟机时传递给-extra-args选项的参数）。

5. 修改分配的内存或虚拟 CPU：

首先，关闭虚拟机：

# virsh shutdown [VM Id]

为 RAM 编辑虚拟机的配置：

# virsh edit [VM Id]

然后更改

<memory>[内存大小，注意不要加上方括号]</memory>

使用新的设定重启虚拟机：

# virsh create /etc/libvirt/qemu/tecmint-virt01.xml

最后，可以使用下面的命令来动态地改变内存的大小：

# virsh setmem [VM Id] [内存大小，这里没有括号]

对于 CPU，使用：

# virsh edit [VM Id]

然后更改

<cpu>[CPU 数目，这里没有括号]</cpu>

至于更深入的命令和细节，请参考 RHEL 5 虚拟化指南（这个指南尽管有些陈旧，但包括了用于管理虚拟机的 virsh 命令的详尽清单）的第 26 章里的表 26.1。

总结

在这篇文章中，我们涵盖了在 RHEL 7 中如何使用 KVM 和虚拟化的一些基本概念，这个话题是一个广泛且令人着迷的话题。并且我希望它能成为你在随后阅读官方的 RHEL 虚拟化入门 和 RHEL 虚拟化部署和管理指南 ，探索更高级的主题时的起点教程，并给你带来帮助。

另外，为了分辨或拓展这里解释的某些概念，你还可以参考先前包含在 KVM 系列 中的文章。

via: http://www.tecmint.com/kvm-virtualization-basics-and-guest-administration/

作者：Gabriel Cánepa 译者：FSSlc 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

在这篇文章中，我们将首先罗列一些 LDAP 的基础知识（它是什么，它被用于何处以及为什么会被这样使用），然后向你展示如何使用 RHEL 7 系统来设置一个 LDAP 服务器以及配置一个客户端来使用它达到认证的目的。

RHCSA 系列：设置 LDAP 服务器及客户端认证 – Part 14

正如你将看到的那样，关于认证，还存在其他可能的应用场景，但在这篇指南中，我们将只关注基于 LDAP 的认证。另外，请记住，由于这个话题的广泛性，在这里我们将只涵盖它的基础知识，但你可以参考位于总结部分中列出的文档，以此来了解更加深入的细节。

基于相同的原因，你将注意到：为了简洁起见，我已经决定省略了几个位于 man 页中 LDAP 工具的参考，但相应命令的解释是近在咫尺的（例如，输入 man ldapadd）。

那还是让我们开始吧。

我们的测试环境

我们的测试环境包含两台 RHEL 7机器：

Server: 192.168.0.18. FQDN: rhel7.mydomain.com
Client: 192.168.0.20. FQDN: ldapclient.mydomain.com

如若你想，你可以使用在 RHCSA 系列（十二）: 使用 Kickstart 完成 RHEL 7 的自动化安装 中使用 Kickstart 安装的机子来作为客户端。

LDAP 是什么？

LDAP 代表 轻量级目录访问协议 （ Lightweight Directory Access Protocol ） ，并包含在一系列协议之中，这些协议允许一个客户端通过网络去获取集中存储的信息（例如所登录的 shell 的路径，家目录的绝对路径，或者其他典型的系统用户信息），而这些信息可以从不同的地方访问到或被很多终端用户获取到（另一个例子是含有某个公司所有雇员的家庭地址和电话号码的目录）。

对于那些被赋予了权限可以使用这些信息的人来说，将这些信息进行集中管理意味着可以更容易地维护和获取。

下面的图表提供了一个简化了的关于 LDAP 的示意图，在下面将会进行更多的描述：

LDAP 示意图

下面是对上面示意图的一个详细解释。

• 在一个 LDAP 目录中，一个 条目 （ entry ） 代表一个独立单元或信息，被所谓的 区别名 （ DN，Distinguished Name ） 唯一识别。
• 一个 属性 （ attribute ） 是一些与某个条目相关的信息（例如地址，有效的联系电话号码和邮箱地址）。
• 每个属性被分配有一个或多个 值 （ value ） ，这些值被包含在一个以空格为分隔符的列表中。每个条目中那个唯一的值被称为一个 相对区别名 （ RDN，Relative Distinguished Name ） 。

接下来，就让我们进入到有关服务器和客户端安装的内容。

安装和配置一个 LDAP 服务器和客户端

在 RHEL 7 中， LDAP 由 OpenLDAP 实现。为了安装服务器和客户端，分别使用下面的命令：

# yum update && yum install openldap openldap-clients openldap-servers
# yum update && yum install openldap openldap-clients nss-pam-ldapd

一旦安装完成，我们还需要关注一些事情。除非显示地提示，下面的步骤都只在服务器上执行：

1. 在服务器和客户端上，为了确保 SELinux 不会妨碍挡道，长久地开启下列的布尔值：

# setsebool -P allow_ypbind=0 authlogin_nsswitch_use_ldap=0

其中 allow_ypbind 为基于 LDAP 的认证所需要，而 authlogin_nsswitch_use_ldap则可能会被某些应用所需要。

2. 开启并启动服务：

# systemctl enable slapd.service
# systemctl start slapd.service

记住你也可以使用 systemctl 来禁用，重启或停止服务：

# systemctl disable slapd.service
# systemctl restart slapd.service
# systemctl stop slapd.service

3. 由于 slapd 服务是由 ldap 用户来运行的（你可以使用 ps -e -o pid,uname,comm | grep slapd 来验证），为了使得服务器能够更改由管理工具创建的条目，该用户应该有目录 /var/lib/ldap 的所有权，而这些管理工具仅可以由 root 用户来运行（紧接着有更多这方面的内容）。

在递归地更改这个目录的所有权之前，将 slapd 的示例数据库配置文件复制进这个目录：

# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
# chown -R ldap:ldap /var/lib/ldap

4. 设置一个 OpenLDAP 管理用户并设置密码：

# slappasswd

正如下一幅图所展示的那样：

设置 LDAP 管理密码

然后以下面的内容创建一个 LDIF 文件(ldaprootpasswd.ldif)：

dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}PASSWORD

其中：

• PASSWORD 是先前得到的经过哈希处理的字符串。
• cn=config 指的是全局配置选项。
• olcDatabase 指的是一个特定的数据库实例的名称，并且通常可以在 /etc/openldap/slapd.d/cn=config 目录中发现。

根据上面提供的理论背景，ldaprootpasswd.ldif 文件将添加一个条目到 LDAP 目录中。在那个条目中，每一行代表一个属性键值对（其中 dn，changetype，add 和 olcRootPW 为属性，每个冒号右边的字符串为相应的键值）。

随着我们的进一步深入，请记住上面的这些，并注意到在这篇文章的余下部分，我们使用相同的 通用名 （ Common Names ） (cn=)，而这些余下的步骤中的每一步都将与其上一步相关。

5. 现在，通过特别指定相对于 ldap 服务的 URI ，添加相应的 LDAP 条目，其中只有 protocol/host/port 这几个域被允许使用。

# ldapadd -H ldapi:/// -f ldaprootpasswd.ldif

上面命令的输出应该与下面的图像相似：

LDAP 配置

接着从 /etc/openldap/schema 目录导入一个基本的 LDAP 定义：

# for def in cosine.ldif nis.ldif inetorgperson.ldif; do ldapadd -H ldapi:/// -f /etc/openldap/schema/$def; done

LDAP 定义

6. 让 LDAP 在它的数据库中使用你的域名。

以下面的内容创建另一个 LDIF 文件，我们称之为 ldapdomain.ldif， 然后酌情替换这个文件中的域名（在 域名部分 （ Domain Component ） dc=） 和密码：

dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"
  read by dn.base="cn=Manager,dc=mydomain,dc=com" read by * none

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=mydomain,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=Manager,dc=mydomain,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}PASSWORD

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by
  dn="cn=Manager,dc=mydomain,dc=com" write by anonymous auth by self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=Manager,dc=mydomain,dc=com" write by * read

接着使用下面的命令来加载：

# ldapmodify -H ldapi:/// -f ldapdomain.ldif

LDAP 域名配置

7. 现在，该是添加一些条目到我们的 LDAP 目录的时候了。在下面的文件中，属性和键值由一个冒号(:) 所分隔，这个文件我们将命名为 baseldapdomain.ldif:

dn: dc=mydomain,dc=com
objectClass: top
objectClass: dcObject
objectclass: organization
o: mydomain com
dc: mydomain

dn: cn=Manager,dc=mydomain,dc=com
objectClass: organizationalRole
cn: Manager
description: Directory Manager

dn: ou=People,dc=mydomain,dc=com
objectClass: organizationalUnit
ou: People

dn: ou=Group,dc=mydomain,dc=com
objectClass: organizationalUnit
ou: Group

添加条目到 LDAP 目录中：

# ldapadd -x -D cn=Manager,dc=mydomain,dc=com -W -f baseldapdomain.ldif

添加 LDAP 域名，属性和键值

8. 创建一个名为 ldapuser 的 LDAP 用户(adduser ldapuser)，然后在ldapgroup.ldif 中为一个 LDAP 组创建定义。

# adduser ldapuser
# vi ldapgroup.ldif

添加下面的内容：

dn: cn=Manager,ou=Group,dc=mydomain,dc=com
objectClass: top
objectClass: posixGroup
gidNumber: 1004

其中 gidNumber 是 ldapuser 在 /etc/group 中的 GID，然后加载这个文件：

# ldapadd -x -W -D "cn=Manager,dc=mydomain,dc=com" -f ldapgroup.ldif

9. 为用户 ldapuser 添加一个带有定义的 LDIF 文件（ldapuser.ldif）：

dn: uid=ldapuser,ou=People,dc=mydomain,dc=com
objectClass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
cn: ldapuser
uid: ldapuser
uidNumber: 1004
gidNumber: 1004
homeDirectory: /home/ldapuser
userPassword: {SSHA}fiN0YqzbDuDI0Fpqq9UudWmjZQY28S3M
loginShell: /bin/bash
gecos: ldapuser
shadowLastChange: 0
shadowMax: 0
shadowWarning: 0

并加载它：

# ldapadd -x -D cn=Manager,dc=mydomain,dc=com -W -f ldapuser.ldif

LDAP 用户配置

相似地，你可以删除你刚刚创建的用户条目：

# ldapdelete -x -W -D cn=Manager,dc=mydomain,dc=com "uid=ldapuser,ou=People,dc=mydomain,dc=com"

10. 允许有关 ldap 的通信通过防火墙：

# firewall-cmd --add-service=ldap

11. 最后，但并非最不重要的是使用 LDAP 开启客户端的认证。

为了在最后一步中对我们有所帮助，我们将使用 authconfig 工具（一个配置系统认证资源的界面）。

使用下面的命令，在通过 LDAP 服务器认证成功后，假如请求的用户的家目录不存在，则将会被创建：

# authconfig --enableldap --enableldapauth --ldapserver=rhel7.mydomain.com --ldapbasedn="dc=mydomain,dc=com" --enablemkhomedir --update

LDAP 客户端认证

总结

在这篇文章中，我们已经解释了如何利用一个 LDAP 服务器来设置基本的认证。若想对当前这个指南里描述的设置进行更深入的配置，请参考位于 RHEL 系统管理员指南里的 第 13 章 – LDAP 的配置，并特别注意使用 TLS 来进行安全设定。

请随意使用下面的评论框来留下你的提问。

via: http://www.tecmint.com/setup-ldap-server-and-configure-client-authentication/

作者：Gabriel Cánepa 译者：FSSlc 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

Ansible是一款为类Unix系统开发的自由开源的配置和自动化工具。它用Python写成，类似于Chef和Puppet，但是有一个不同和优点是我们不需要在节点中安装任何客户端。它使用SSH来和节点进行通信。

本篇中我们将在CentOS 7上安装并配置Ansible，并且尝试管理两个节点。

• Ansible 服务端 – ansible.linuxtechi.com ( 192.168.1.15 )
• 节点 – 192.168.1.9 , 192.168.1.10

第一步： 设置EPEL仓库

Ansible仓库默认不在yum仓库中，因此我们需要使用下面的命令启用epel仓库。

[root@ansible ~]# rpm -iUvh http://dl.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-5.noarch.rpm

第二步： 使用yum安装Ansible

[root@ansible ~]# yum install ansible

安装完成后，检查ansible版本：

[root@ansible ~]# ansible --version

第三步： 设置用于节点鉴权的SSH密钥

在Ansible服务端生成密钥，并且复制公钥到节点中。

root@ansible ~]# ssh-keygen

使用ssh-copy-id命令来复制Ansible公钥到节点中。

第四步：为Ansible定义节点的清单

文件 /etc/ansible/hosts 维护着Ansible中服务器的清单。

[root@ansible ~]# vi /etc/ansible/hosts
[test-servers]
192.168.1.9
192.168.1.10

保存并退出文件。

主机文件示例如下：

第五步：尝试在Ansible服务端运行命令

使用ping检查‘test-servers’或者ansible节点的连通性。

[root@ansible ~]# ansible -m ping 'test-servers'

执行shell命令

例子1：检查Ansible节点的运行时间（uptime）

[root@ansible ~]# ansible -m command -a "uptime" 'test-servers'

例子2：检查节点的内核版本

[root@ansible ~]# ansible -m command -a "uname -r" 'test-servers'

例子3：给节点增加用户

[root@ansible ~]# ansible -m command -a "useradd mark" 'test-servers'
[root@ansible ~]# ansible -m command -a "grep mark /etc/passwd" 'test-servers'

例子4：重定向输出到文件中

[root@ansible ~]# ansible -m command -a "df -Th" 'test-servers' > /tmp/command-output.txt

via: http://www.linuxtechi.com/install-and-use-ansible-in-centos-7/

作者：Pradeep Kumar 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在本系列的前面几篇文章中，我们已经详细地探索了至少两种访问控制方法：标准的 ugo/rwx 权限（RHCSA 系列（三）: 如何管理 RHEL7 的用户和组） 和访问控制列表（RHCSA 系列（七）: 使用 ACL（访问控制列表) 和挂载 Samba/NFS 共享）。

RHCSA 认证：SELinux 精要和控制文件系统的访问

尽管作为第一级别的权限和访问控制机制是必要的，但它们同样有一些局限，而这些局限则可以由 安全增强 Linux （ Security Enhanced Linux，简称为 SELinux ） 来处理。

这些局限的一种情形是：某个用户可能通过一个泛泛的 chmod 命令将文件或目录暴露出现了安全违例，从而引起访问权限的意外传播。结果，由该用户开启的任意进程可以对属于该用户的文件进行任意的操作，最终一个恶意的或有其它缺陷的软件可能会取得整个系统的 root 级别的访问权限。

考虑到这些局限性，美国国家安全局（NSA） 率先设计出了 SELinux，一种强制的访问控制方法，它根据最小权限模型去限制进程在系统对象（如文件，目录，网络接口等）上的访问或执行其他的操作的能力，而这些限制可以在之后根据需要进行修改。简单来说，系统的每一个元素只给某个功能所需要的那些权限。

在 RHEL 7 中，SELinux 被并入了内核中，且默认情况下以 强制模式 （ Enforcing ） 开启。在这篇文章中，我们将简要地介绍有关 SELinux 及其相关操作的基本概念。

SELinux 的模式

SELinux 可以以三种不同的模式运行：

• 强制模式 （ Enforcing ） ：SELinux 基于其策略规则来拒绝访问，这些规则是用以控制安全引擎的一系列准则；
• 宽容模式 （ Permissive ） ：SELinux 不会拒绝访问，但对于那些如果运行在强制模式下会被拒绝访问的行为进行记录；
• 关闭 （ Disabled ） (不言自明，即 SELinux 没有实际运行).

使用 getenforce 命令可以展示 SELinux 当前所处的模式，而 setenforce 命令（后面跟上一个 1 或 0） 则被用来将当前模式切换到 强制模式 （ Enforcing ） 或 宽容模式 （ Permissive ） ，但只对当前的会话有效。

为了使得在登出和重启后上面的设置还能保持作用，你需要编辑 /etc/selinux/config 文件并将 SELINUX 变量的值设为 enforcing，permissive，disabled 中之一：

# getenforce
# setenforce 0
# getenforce
# setenforce 1
# getenforce
# cat /etc/selinux/config

设置 SELinux 模式

通常情况下，你应该使用 setenforce 来在 SELinux 模式间进行切换（从强制模式到宽容模式，或反之），以此来作为你排错的第一步。假如 SELinux 当前被设置为强制模式，而你遇到了某些问题，但当你把 SELinux 切换为宽容模式后问题不再出现了，则你可以确信你遇到了一个 SELinux 权限方面的问题。

SELinux 上下文

一个 SELinux 上下文 （ Context ） 由一个访问控制环境所组成，在这个环境中，决定的做出将基于 SELinux 的用户，角色和类型（和可选的级别）：

• 一个 SELinux 用户是通过将一个常规的 Linux 用户账户映射到一个 SELinux 用户账户来实现的，反过来，在一个会话中，这个 SELinux 用户账户在 SELinux 上下文中被进程所使用，以便能够明确定义它们所允许的角色和级别。
• 角色的概念是作为域和处于该域中的 SELinux 用户之间的媒介，它定义了 SELinux 可以访问到哪个进程域和哪些文件类型。这将保护您的系统免受提权漏洞的攻击。
• 类型则定义了一个 SELinux 文件类型或一个 SELinux 进程域。在正常情况下，进程将会被禁止访问其他进程正使用的文件，并禁止对其他进程进行访问。这样只有当一个特定的 SELinux 策略规则允许它访问时，才能够进行访问。

下面就让我们看看这些概念是如何在下面的例子中起作用的。

例 1：改变 sshd 守护进程的默认端口

在 RHCSA 系列（八）: 加固 SSH，设定主机名及启用网络服务 中，我们解释了更改 sshd 所监听的默认端口是加固你的服务器免受外部攻击的首要安全措施。下面，就让我们编辑 /etc/ssh/sshd_config 文件并将端口设置为 9999：

Port 9999

保存更改并重启 sshd：

# systemctl restart sshd
# systemctl status sshd

重启 SSH 服务

正如你看到的那样， sshd 启动失败，但为什么会这样呢？

快速检查 /var/log/audit/audit.log 文件会发现 sshd 已经被拒绝在端口 9999 上开启（SELinux 的日志信息包含单词 "AVC"，所以这类信息可以被轻易地与其他信息相区分），因为这个端口是 JBoss 管理服务的保留端口：

# cat /var/log/audit/audit.log | grep AVC | tail -1

查看 SSH 日志

在这种情况下，你可以像先前解释的那样禁用 SELinux（但请不要这样做！），并尝试重启 sshd，且这种方法能够起效。但是， semanage 应用可以告诉我们在哪些端口上可以开启 sshd 而不会出现任何问题。

运行：

# semanage port -l | grep ssh

便可以得到一个 SELinux 允许 sshd 在哪些端口上监听的列表：

Semanage 工具

所以让我们在 /etc/ssh/sshd_config 中将端口更改为 9998 端口，增加这个端口到 sshportt 的上下文，然后重启 sshd 服务：

# semanage port -a -t ssh_port_t -p tcp 9998
# systemctl restart sshd
# systemctl is-active sshd

semanage 添加端口

如你所见，这次 sshd 服务被成功地开启了。这个例子告诉我们一个事实：SELinux 用它自己的端口类型的内部定义来控制 TCP 端口号。

例 2：允许 httpd 访问 sendmail

这是一个 SELinux 管理一个进程来访问另一个进程的例子。假如在你的 RHEL 7 服务器上，你要为 Apache 配置 mod\_security 和 mod\_evasive，你需要允许 httpd 访问 sendmail，以便在遭受到 (D)DoS 攻击时能够用邮件来提醒你。在下面的命令中，如果你不想使得更改在重启后仍然生效，请去掉 -P 选项。

# semanage boolean -1 | grep httpd_can_sendmail
# setsebool -P httpd_can_sendmail 1
# semanage boolean -1 | grep httpd_can_sendmail

允许 Apache 发送邮件

从上面的例子中，你可以知道 SELinux 布尔设定（或者只是布尔值）分别对应于 true 或 false，被嵌入到了 SELinux 策略中。你可以使用 semanage boolean -l 来列出所有的布尔值，也可以管道至 grep 命令以便筛选输出的结果。

例 3：在一个特定目录而非默认目录下提供一个静态站点服务

假设你正使用一个不同于默认目录（/var/www/html）的目录来提供一个静态站点服务，例如 /websites 目录（这种情形会出现在当你把你的网络文件存储在一个共享网络设备上，并需要将它挂载在 /websites 目录时）。

a). 在 /websites 下创建一个 index.html 文件并包含如下的内容：

<html>
<h2>SELinux test</h2>
</html>

假如你执行

# ls -lZ /websites/index.html

你将会看到这个 index.html 已经被标记上了 default\_t SELinux 类型，而 Apache 不能访问这类文件：

检查 SELinux 文件的权限

b). 将 /etc/httpd/conf/httpd.conf 中的 DocumentRoot 改为 /websites，并不要忘了 更新相应的 Directory 块。然后重启 Apache。

c). 浏览 http://<web server IP address>，则你应该会得到一个 503 Forbidden 的 HTTP 响应。

d). 接下来，递归地改变 /websites 的标志，将它的标志变为 httpd_sys_content_t 类型，以便赋予 Apache 对这些目录和其内容的只读访问权限：

# semanage fcontext -a -t httpd_sys_content_t "/websites(/.*)?"

e). 最后，应用在 d) 中创建的 SELinux 策略：

# restorecon -R -v /websites

现在重启 Apache 并再次浏览到 http://<web server IP address>，则你可以看到被正确展现出来的 html 文件：

确认 Apache 页面

总结

在本文中，我们详细地介绍了 SELinux 的基础知识。请注意，由于这个主题的广泛性，在单篇文章中做出一个完全详尽的解释是不可能的，但我们相信，在这个指南中列出的基本原则将会对你进一步了解更高级的话题有所帮助，假如你想了解的话。

假如可以，请让我推荐两个必要的资源来入门 SELinux：NSA SELinux 页面 和 针对用户和系统管理员的 RHEL 7 SELinux 指南。

假如你有任何的问题或评论，请不要犹豫，让我们知晓吧。

via: http://www.tecmint.com/selinux-essentials-and-control-filesystem-access/

作者：Gabriel Cánepa 译者：FSSlc 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出