Jtti.ccLinux基础运维实战:网络配置、用户管理与互信设置
原创
Jtti.ccLinux基础运维实战:网络配置、用户管理与互信设置
原创
Linux系统管理中,网络连通性、用户权限控制与主机互信是核心运维能力。本文以CentOS/Ubuntu为例,系统化讲解关键操作流程及深度优化方案。
一、网络配置:静态IP与多网卡管理
核心配置文件路径:
CentOS:/etc/sysconfig/networkscripts/ifcfgeth0
Ubuntu:/etc/netplan/00installerconfig.yaml静态IP配置步骤:
1. 查看可用网卡:
ip link show # 确认网卡名称(如ens33)2. CentOS配置示例(编辑ifcfgens33):
ini
DEVICE=ens33
BOOTPROTO=static
ONBOOT=yes
IPADDR=192.168.1.100
NETMASK=255.255.255.0
GATEWAY=192.168.1.1
DNS1=8.8.8.83. Ubuntu配置(Netplan YAML格式):
yaml
network:
ethernets:
ens33:
addresses: [192.168.1.100/24]
routes:
to: default
via: 192.168.1.1
nameservers:
addresses: [8.8.8.8, 114.114.114.114]
version: 24. 应用配置:
# CentOS
systemctl restart network
# Ubuntu
netplan apply高级网络管理工具:
临时修改IP:ip addr add 192.168.1.101/24 dev ens33
绑定多网卡:使用nmcli con add type bond创建bonding接口
路由持久化:写入/etc/rc.local或创建routeeth0文件
二、用户创建与sudo权限精细化控制
用户生命周期管理:
1. 创建用户并设置密码:
useradd m s /bin/ opsadmin # m创建家目录,s指定shell
passwd opsadmin # 交互式设置密码2. 删除用户及关联文件:
userdel r opsadmin # r删除家目录和邮件池sudo权限深度配置:
1. 添加用户到sudoers:
usermod aG sudo opsadmin # Ubuntu
usermod aG wheel opsadmin # CentOS2. 精细化权限控制(编辑/etc/sudoers.d/ops_policy):
ini
# 允许无密码执行特定命令
opsadmin ALL=(root) NOPASSWD: /usr/bin/systemctl restart nginx
# 限制命令范围
devuser ALL=(root) /usr/bin/apt update, /usr/bin/apt install 关键安全实践:
禁用root远程登录:修改/etc/ssh/sshd_config中PermitRootLogin no
密码策略强化:使用chage M 90 opsadmin设置90天有效期
审计用户操作:通过sudo auditctl w /etc/sudoers p wa监控配置变更
三、主机互信配置:SSH密钥自动化认证
密钥对创建与部署流程:
1. 生成密钥对(客户端执行):
sshkeygen t ed25519 f ~/.ssh/ops_key # 创建ED25519密钥2. 公钥分发至目标主机:
sshcopyid i ~/.ssh/ops_key.pub user@remotehost3. 验证无密码登录:
ssh i ~/.ssh/ops_key user@remotehost高级互信配置方案:
1. 多主机批量分发脚本:
for host in web{1..5}.example.com; do
sshcopyid i ~/.ssh/ops_key.pub admin@$host
done2. SSH客户端优化配置(~/.ssh/config):
ini
Host prodserver
HostName 192.168.10.50
User deploy
IdentityFile ~/.ssh/prod_key
Port 2222
ServerAliveInterval 603. 私钥安全防护:
chmod 600 ~/.ssh/_key # 设置严格权限
sshadd K ~/.ssh/ops_key # 将密钥加载到sshagent(macOS/Linux)四、故障排查与系统优化
网络诊断工具链:
连通性测试:ping c 4 8.8.8.8
路由追踪:traceroute T google.com(TCP模式)
端口检测:nc zv 192.168.1.100 22
实时流量监控:iftop i ens33
用户权限问题定位:
# 检查有效权限
sudo l U opsadmin
# 查看登录记录
last a | grep opsadmin
# 审计sudo命令
grep 'sudo:' /var/log/auth.logSSH连接优化参数:
编辑/etc/ssh/sshd_config:
ini
ClientAliveInterval 300 # 5分钟活动检测
MaxAuthTries 3 # 限制认证尝试次数
PasswordAuthentication no # 强制密钥认证
AllowUsers opsadmin # 白名单用户控制五、运维规范与长效管理
1. 配置版本化管理:
将/etc/network/、/etc/ssh/纳入Git仓库,同步用户配置(ansiblegalaxy角色)。
2. 自动化监控:
# 检测用户sudo失败率
zcat /var/log/auth.log | grep 'sudo:.authentication failure' | awk '{print $1,$2}'3. 安全基线加固:
定期执行lynis audit system扫描漏洞,配置fail2ban防御SSH暴力破解。
4. 文档化标准操作:
markdown
新主机初始化清单
1. 网络配置:静态IP+内网DNS
2. 创建运维账户:opsadmin + sudo权限
3. 部署公钥认证:禁用密码登录
4. 安装基础监控:netdata+logwatch
Linux系统管理的高效性建立在精准的基础配置之上。通过规范化的网络部署、最小权限原则的用户管理、密钥化的主机互信体系,结合自动化工具链与持续监控,可构建稳定可扩展的运维基础环境。每一次sudo授权和SSH连接都是对系统安全边界的定义——严谨的技术实现与流程管控,是保障基础设施可靠运行的底层逻辑。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
腾讯云开发者
