nginx、時間服務器下梢、日志服務器、sudo (part1)

(第十四周作業(yè)) part1
1塞蹭、搭建時間服務器孽江,日志服務器并簡述sudo安全切換。

1)搭建時間服務器:

早期是用ntp服務:

#yum install ntp

其配置文件是/etc/ntp.conf.

配置文件內容中server?表示以誰為時間服務器番电,restrict?表示允許哪個IP的機器來同步我的時間岗屏。? 如果restrict后面指定自己127.0.0.1則不允許別人來同步時間(即只是做為客戶端,而不做為服務端)漱办。

centos7以后開始使用chrony做時間服務器这刷,chrony兼容NTP服務。監(jiān)聽123(傳統(tǒng)NTP服務端口)和323(chrony服務端口)娩井,這樣客戶端既可以是ntp也可以是chrony暇屋。

接下來以服務端和客戶端都是chrony來說明時間同步,

A機:192.168.184.136(時間服務器)洞辣,B機:192.168.184.138(客戶端)

root用戶登錄A機:

安裝chrony

#?yum install chrony -y

修改配置文件

# vi /etc/chrony.conf

server 0.centos.pool.ntp.org iburst

allow 192.168.184.0/24

server來指定上一級時間同步服務器咐刨,allow表示允許那個IP段以本機為時間服務器同步時間。這里指定 192.168.184.0/24網段

配置完重啟chrony服務

#systemctl? restart? chronyd.service

#ss -tunlp? ?查看端口323

root用戶登錄B機:

安裝chrony

#?yum install chrony -y

修改配置文件

# vi /etc/chrony.conf

#server 0.centos.pool.ntp.org iburst

#server 1.centos.pool.ntp.org iburst

#server 2.centos.pool.ntp.org iburst

#server 3.centos.pool.ntp.org iburst

server 192.168.184.136 iburst

注釋掉其他的server扬霜,配置以A機為時間服務器

然后重啟客戶端的chrony服務

# systemctl? restart? chronyd.service

# systemctl enable chronyd.service 開機自啟動服務

查看同步源(時間服務器)

# chronyc sources

查看同步狀態(tài)

#chronyc sourcestats

2)搭建日志服務器

為了更好的管理應用程序和操作系統(tǒng)的日志定鸟,使用日志服務器進行管理,我們需要用到rsyslog,它是由早期的syslog的升級版著瓶。它可以收集系統(tǒng)引導啟動联予、應用程序啟動、應用程序(尤其是服務類應用程序)運行過程中的事件材原。

記錄的格式為:事件產生日期和時間? 主機? 進程PID? 事件內容沸久。

rsyslog的特性:多線程,支持TCP、UDP华糖、SSL麦向、TLS、RELP協(xié)議客叉∷薪撸可存儲信息于日志、mysql等數(shù)據(jù)庫管理系統(tǒng)兼搏÷盐浚可以對日志信息進行過濾,可以自定義輸出格式佛呻。

安裝rsyslog

#yum install rsyslog

它的主程序是rsyslogd

它的配置文件是/etc/rsyslog.conf,? /etc/rsyslog.d/*.conf

主配置文件rsyslog.conf?主要由三個部分組成:?

MODULES? 表示加載的模塊列表

GLOBAL DIRECTIVES? ?表示全局的配置

RULES? ?表示日志記錄規(guī)則(重點)

其中:

MODULES段的格式為

$ModLoad? 模塊名稱

如果模塊名稱為im開起表示輸入模塊裳朋,如果以om開頭表示輸出模塊

GLOBAL DIRECTIVES?段主要定義一些常用設置,比如:

$WorkDirectory? 表示工作目錄

RULES?段的格式為:

facility.priority? target

其中

facility:設施吓著,從功能上或程序上對日志收集進行分類鲤嫡,如:auth,authpriv,cron,daemon,kern,lpr,mail,mark,news,security,user,uucp,local0~local7,syslog

priority:優(yōu)先級送挑,日志級別,如下(從左到右,由低到高):debug,info,notice,warn(warning),err(error),crit(critical),alert,emerg(panic)

指定級別的方式:

*:所有級別;

none:沒有級別;

priority:此級別以及高于此級別的所有級別)

=priority:僅此級別;

一般要求日志級別為warn暖眼,即warn以及warn以上級別的日志要記錄惕耕。

生產上一般不會開debug級別的日志,因為日志記錄太多會導致io繁忙诫肠。

target:日志寫入目標

文件:把日志事件寫入到指定的文件中司澎,日志文件通常位于/var/log目錄下,

文件路徑前面加"-"表示異步寫入文件;

用戶:將日志事件通知給指定的用戶栋豫,通過將信息發(fā)送給登錄到系統(tǒng)上的用戶的終端進行的;

日志服務器:@host 挤安,把日志發(fā)送到指定的服務器主機,

要保證host日志服務器在tcp或udp協(xié)議的514端口有監(jiān)聽并提供日志服務丧鸯。

管道:? | COMMAND? 送到某一命令進行處理

接下來做一個日志服務器和客戶端服務器蛤铜,把客戶端的服務內容提交到日志服務器上。

A機:192.168.184.136(日志服務器)骡送,B機:192.168.184.138(客戶端)

在日志服務器(A機)上:

#?yum install rsyslog

修改配置文件

# vi? /etc/rsyslog.conf

# Provides UDP syslog reception

$ModLoad imudp

$UDPServerRun 514

# Provides TCP syslog reception

$ModLoad imtcp

$InputTCPServerRun 514

以上配置行的注釋去掉后就會開啟對tcp和udp協(xié)議的514端口進行監(jiān)聽昂羡。

重啟rsyslog服務

#systemctl restart rsyslog.service

#ss -tunl? 查看有514端口監(jiān)聽。

在客戶端服務器(B機)上

#?yum install rsyslog

修改配置文件

# vi? /etc/rsyslog.conf

#*.info;mail.none;authpriv.none;cron.none? ? ? ? ? ? ? ?/var/log/messages

*.info;mail.none;authpriv.none;cron.none? ? ? ? ? ? ? ? @192.168.184.136

把它的target?改為? @日志服務器IP

然后重啟客戶端的rsyslog服務

#systemctl restart rsyslog.service

這樣就不會有日志記錄到B機的/var/log/message中了摔踱。而是記錄到日志服務器A上虐先,由日志服務器上的配置文件決定日志記錄到哪里。由我們沒有改為A機上RULES?日志規(guī)則所以是寫入到日志服務器上的/var/log/message(為了較好的看出效果派敷,需要事先設置不同的主機名)

接下來把日志保存的mysql中蛹批。

在日志服務器(A機)上運行:

安裝rsyslog-mysql的模塊

# yum install rsyslog-mysql

查看安裝文件位置

#? rpm -ql rsyslog-mysql

安裝mariadb數(shù)據(jù)庫

# yum install mariadb-server??mariadb

# vi? /etc/my.cnf.d/server.cnf

[mysqld]

skip_name_resolve=ON

innodb_file_per_table=ON

啟動數(shù)據(jù)庫并導入數(shù)據(jù)

systemctl start mariadb.service

#?mysql

#? mysql?

mysql>GRANT ALL ON Syslog.* TO 'rsyslog'@'192.168.184.%' IDENTIFIED BY 'rsyspass';

mysql>?flush privileges;

mysql>quit;

修改日志服務器上的rsyslog配置文件

# vi /etc/rsyslog.conf

#### MODULES ####

$ModLoad ommysql

#### RULES ####

*.info;mail.none;authpriv.none;cron.none :ommysql:192.168.184.136,Syslog,rsyslog,rsyspass

加載ommysql模塊,并配置target為ommysql 篮愉,

后面這串內容為:ommysql:數(shù)據(jù)庫主機,數(shù)據(jù)庫名,數(shù)據(jù)庫用戶腐芍,數(shù)據(jù)庫密碼。

然后重啟rsyslog.service

# systemctl restart rsyslog.service

在B機上登錄用戶和登出用戶操作试躏,再查一下A機的數(shù)據(jù)庫發(fā)現(xiàn)有新的記錄產生猪勇。

再接下來做一個WEB展示接口:

安裝lamp組合

# yum install httpd php php-mysql php-gd -y

安裝loganalyzer

# tar xf

#? cp? -r? loganalyzer-4.1.7.tar.gz

#? ?cp -r???loganalyzer-4.1.7/src? ?/var/www/html/loganalyzer

#? ?cp -r???loganalyzer-4.1.7/contirb/*.sh? ?/var/www/html/loganalyzer/

#? ?cd? /var/www/html/loganalyzer/

#? chmod? +x? *.sh

#./configure.sh

# service httpd start

然后通過URL訪問:

http://A機IP/loganalyzer

#./secure.sh

3)sudo?安全切換

sudo?能夠讓獲得授權的用戶以另外一個用戶(一般為root用戶)的身份運行指定的命令

授權配置文件/etc/sudoers,但是一般使用visudo命令進行編輯颠蕴。因為誤操作引起系統(tǒng)異常泣刹。

授權配置文件的格式:

users? hosts=(runas)? ?commands

含義是,users列表中的用戶(組)犀被,可以在hosts列表的位置上椅您,以runas用戶的身份來運行commands命令列表中的命令。

各個字段可能的值?為:

users:? sudo命令的發(fā)起用戶

用戶名?或uid

%用戶組名? 或%gid? ?(這里要注意用戶需把基本組切換為該用戶組寡键,才能使用sudo)

User_Alias 用戶別名

hosts:? 允許的地址

ip地址

主機名

NetAddr

Host_Alias?主機別名

runas:? ?以某一用戶的身份執(zhí)行

用戶名?或uid

Runas_Alias 用戶別名

commands:?指定的命令列表

command(命令建議使用完整的絕對路徑)

掀泳!command?表示禁止某一命令

directory

sudoedit:特殊權限,可用于向其它用戶授予sudo權限

Cmnd_Alias? ? 命令別名

這幾個字段中hosts,runas, commands都可以用ALL來表示所有员舵。

定義別名的方法:

ALIAS_TYPE NAME=item1,item2,item3,...

NAME:別名名稱脑沿,必須使用全大寫字符

ALIAS_TYPE :User_Alias,Host_Alias马僻,Runas_Alias 捅伤,Cmnd_Alias

sodu命令執(zhí)行時會要求用戶輸入自己的密碼,為了避免頻繁驗密與安全其見巫玻,能記錄成功認證結果一段時間,默認為5分鐘祠汇,即5分鐘內不需要再驗證用戶密碼仍秤。

以sudo的方式來運行指定的命令

sudo? ?[options]? COMMAND

-l? 列出sudo配置文件中用戶能執(zhí)行的命令

-k? 清除此前緩存用戶成功認證結果,之后再次運行sudo時要驗證用戶密碼可很。

如果想要讓用戶輸入部分命令時不需要進行密碼驗證诗力,在sudo配置文件中commands列表部分,可以在命令列表前面加上"NOPASSWD"我抠,則其后的命令不需要密碼苇本,如果某些命令又需要密碼就在前面加上“PASSWD”,所以commands列表可以為這種格式:

NOPASSWD? 不需要密碼的命令列表??PASSWD? 需要密碼的命令列表

安全提示:在sudo配置文件中

root ALL=(ALL) ALL

%wheel ALL=(ALL) ALL

上面配置中root用戶這行沒有問題菜拓,但是%wheel這行要注意瓣窄,如果把某用戶加入到%wheel組,當用戶把基本組切換為wheel組時就可以像root用戶一樣運行命令,較有風險的命令舉例如下:

sudo su - root? ? 不需要密碼就可以切換到root用戶

sudo? passwd? root? ? 修改root用戶密碼纳鼎,不需要輸入原密碼俺夕。

建議把%wheel改為

%wheel ALL=(ALL)? ?ALL,!/bin/su,!/usr/bin/passwd root

第二題在part2中,內容過長無法發(fā)布贱鄙,所以只能分開寫劝贸,這里附上第二題的鏈接地址:
nginx、時間服務器逗宁、日志服務器映九、sudo (part2)? ? ? http://www.reibang.com/p/830e309ad240

?著作權歸作者所有,轉載或內容合作請聯(lián)系作者
  • 序言:七十年代末,一起剝皮案震驚了整個濱河市瞎颗,隨后出現(xiàn)的幾起案子件甥,更是在濱河造成了極大的恐慌,老刑警劉巖言缤,帶你破解...
    沈念sama閱讀 211,290評論 6 491
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件嚼蚀,死亡現(xiàn)場離奇詭異,居然都是意外死亡管挟,警方通過查閱死者的電腦和手機轿曙,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,107評論 2 385
  • 文/潘曉璐 我一進店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人导帝,你說我怎么就攤上這事守谓。” “怎么了您单?”我有些...
    開封第一講書人閱讀 156,872評論 0 347
  • 文/不壞的土叔 我叫張陵斋荞,是天一觀的道長。 經常有香客問我虐秦,道長平酿,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 56,415評論 1 283
  • 正文 為了忘掉前任悦陋,我火速辦了婚禮蜈彼,結果婚禮上,老公的妹妹穿的比我還像新娘俺驶。我一直安慰自己幸逆,他們只是感情好,可當我...
    茶點故事閱讀 65,453評論 6 385
  • 文/花漫 我一把揭開白布暮现。 她就那樣靜靜地躺著还绘,像睡著了一般。 火紅的嫁衣襯著肌膚如雪栖袋。 梳的紋絲不亂的頭發(fā)上拍顷,一...
    開封第一講書人閱讀 49,784評論 1 290
  • 那天,我揣著相機與錄音塘幅,去河邊找鬼菇怀。 笑死,一個胖子當著我的面吹牛晌块,可吹牛的內容都是我干的爱沟。 我是一名探鬼主播,決...
    沈念sama閱讀 38,927評論 3 406
  • 文/蒼蘭香墨 我猛地睜開眼匆背,長吁一口氣:“原來是場噩夢啊……” “哼呼伸!你這毒婦竟也來了?” 一聲冷哼從身側響起钝尸,我...
    開封第一講書人閱讀 37,691評論 0 266
  • 序言:老撾萬榮一對情侶失蹤括享,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后珍促,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體铃辖,經...
    沈念sama閱讀 44,137評論 1 303
  • 正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內容為張勛視角 年9月15日...
    茶點故事閱讀 36,472評論 2 326
  • 正文 我和宋清朗相戀三年猪叙,在試婚紗的時候發(fā)現(xiàn)自己被綠了娇斩。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片仁卷。...
    茶點故事閱讀 38,622評論 1 340
  • 序言:一個原本活蹦亂跳的男人離奇死亡,死狀恐怖犬第,靈堂內的尸體忽然破棺而出锦积,到底是詐尸還是另有隱情,我是刑警寧澤歉嗓,帶...
    沈念sama閱讀 34,289評論 4 329
  • 正文 年R本政府宣布丰介,位于F島的核電站,受9級特大地震影響鉴分,放射性物質發(fā)生泄漏哮幢。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點故事閱讀 39,887評論 3 312
  • 文/蒙蒙 一志珍、第九天 我趴在偏房一處隱蔽的房頂上張望家浇。 院中可真熱鬧,春花似錦碴裙、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,741評論 0 21
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至还棱,卻和暖如春载慈,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背珍手。 一陣腳步聲響...
    開封第一講書人閱讀 31,977評論 1 265
  • 我被黑心中介騙來泰國打工办铡, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留,地道東北人琳要。 一個月前我還...
    沈念sama閱讀 46,316評論 2 360
  • 正文 我出身青樓寡具,卻偏偏與公主長得像,于是被迫代替她去往敵國和親稚补。 傳聞我的和親對象是個殘疾皇子童叠,可洞房花燭夜當晚...
    茶點故事閱讀 43,490評論 2 348

推薦閱讀更多精彩內容

  • syslog服務器可以用作一個網絡中的日志監(jiān)控中心,所有能夠通過網絡來發(fā)送日志的設施(包含了Linux或Windo...
    hello大象閱讀 12,768評論 0 2
  • 日志管理Rsyslog [TOC] 背景 有一個4臺機器的分布式服務课幕,不多不少厦坛,上每臺機器上查看日志比較麻煩,用F...
    ferret閱讀 31,482評論 0 6
  • 加密算法 對稱加密算法 加密和解密使用同一個密鑰 DES乍惊、3DES杜秸、AES、Blowfish润绎、Twofish撬碟、ID...
    毛利卷卷發(fā)閱讀 1,570評論 0 4
  • 1 概述 系統(tǒng)日志是記錄系統(tǒng)中硬件诞挨、軟件和系統(tǒng)問題的信息,同時還可以監(jiān)視系統(tǒng)中發(fā)生的事件小作。用戶可以通過它來檢查錯誤...
    ghbsunny閱讀 3,851評論 0 0
  • 觀其大綱 第1部分Linux的基礎知識第1章Linux概述第2章Linux系統(tǒng)的安裝KickStart開始自動安裝...
    周少言閱讀 1,466評論 1 10