Linux的PXE实现及Cobbler实现学习笔记

1、实现sshd免密登录

1.Linux下生成密钥

ssh-keygen的命令手册,通过”man ssh-keygen“命令:
通过命令”ssh-keygen -t rsa“
生成之后会在用户的根目录生成一个 “.ssh”的文件夹
进入“.ssh”会生成以下几个文件
  authorized_keys:存放远程免密登录的公钥,主要通过这个文件记录多台机器的公钥
  id_rsa : 生成的私钥文件
  id_rsa.pub : 生成的公钥文件
  know_hosts : 已知的主机公钥清单
    
如果希望ssh公钥生效需满足至少下面两个条件:
  1) .ssh目录的权限必须是700
  2) .ssh/authorized_keys文件权限必须是600

2.远程免密登录

常用以下几种方法:

2.1 通过ssh-copy-id的方式
命令: ssh-copy-id -i ~/.ssh/id_rsa.put <romte_ip>

常见错误:

[root@test ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub 192.168.37.135
-bash: ssh-copy-id: command not found //提示命令不存在
解决办法:yum -y install openssh-clients
2.2 通过scp将内容写到对方的文件中
命令:scp -p ~/.ssh/id_rsa.pub root@<remote_ip>:/root/.ssh/authorized_keys
也可以分为两步操作:
$ scp ~/.ssh/id_rsa.pub root@<remote_ip>:pub_key //将文件拷贝至远程服务器
$ cat ~/pub_key >>~/.ssh/authorized_keys //将内容追加到authorized_keys文件中,不过要登录远程服务器来执行这条命令
2.3 通过Ansible实现批量免密
2.3.1 将需要做免密操作的机器hosts添加到/etc/ansible/hosts下:
[Avoid close]
192.168.37.132
192.168.37.133
192.168.37.134
2.3.2 执行命令进行免密操作
ansible <groupname> -m authorized_key -a "user=root key='{{ lookup('file','/root/.ssh/id_rsa.pub') }}'" -k
2.4 手工复制粘贴的方式
将本地id_rsa.pub文件的内容拷贝至远程服务器的~/.ssh/authorized_keys文件中

2、编译安装dropbear实现SSH登录

1.Dropbear简介

Dropbear是一款基于ssh协议的轻量sshd服务器,与OpenSSH相比,他更简洁,更小巧,运行起来占用的内存也更少,但他们都是用于实现ssh安全远程登录协议的,系统默认安装有openssh,而dropbear是基于epel源的,需要自己下载安装。 Dropbear特别用于“嵌入”式的Linux(或其他Unix)系统,如无线路由器。
本文介绍在嵌入式的环境中的安装步骤。

2.Dropbear编译安装

1) 下载dropber源码包并安装开发包组
在PC机上下载源码包 
地址:https://matt.ucc.asn.au/dropbear/releases/dropbear-2016.74.tar.bz2 

在Linux下接收源码包并解压 
[root@centos7 program]# tar -jvxf dropbear-2016.74.tar.bz2

在Linux上安装开发包组
[root@centos7 program]# yum groupinstall Development tools
2)到解压的源码包路径下,并编译安装(一定要先安装前面第一步骤里的“”development tools”这个包组,否则会频繁报错)
[root@centos7 program]# cd dropbear-2016.74
[root@centos7 program]# ./configure --prefix=/usr/local/dropbear/ --sysconfdir=/etc/dropbear/
[root@centos7 dropbear-2016.74]# make PROGRAMS="dropbear dbclient dropbearkey dropbearconvert scp"
[root@centos7 dropbear-2016.74]# sudo make PROGRAMS="dropbear dbclient dropbearkey dropbearconvert scp" install   

其中–prefix=/usr/local/dropbear/指定安装后的总目录位置,–sysconfdir=/etc/dropbear/是指定其配置文件存放路径。根据INSTALL文件的提示,进行第make PROGRAMS=”dropbear dbclient dropbearkey dropbearconvert scp”(只写make也行),在这个过程按道理说不会再出错的。

make PROGRAMS=”dropbear dbclient dropbearkey dropbearconvert scp” install;可以看到下载的文件,在/usr/local/dropbear下。
其中:bin下的是客户端程序;sbin下的是服务端程序;/usr/local/dropbear/bin/dbclient就相当于ssh协议。

3)编译安装完成后验证

在下载过程中,并没有将我们指定的/etc/dropbear生成,先建文件夹mkdir/etc/dropbear,而且我们服务端运行的话需要KEY,所以我们要先生成key(输入命令:cat README):
在这里选择用的rsa加密,执行命令

3.启动服务测试

3、实现单个用户及用户组使用sudo执行所有命令

场景一:给普通用户chen以root权限,能以root身份执行任何命令(例如执行passwd改密码)

我们首先要在root身份下执行visudo,编辑/etc/sudoers策略文件,给用户chen以root权限。

1.直接命令行输入visudo,不带任何参数
2.在策略文件末尾附近,找到
## Allow root to run any commands anywhere
root    ALL=(ALL)       ALL
3.新加入一行
chen   ALL=(ALL)       ALL
4.保存退出

==>到此为止,用户chen已经有“root权限”

例如要用root身份创建一个example.json的空文件:

[chen@centos7 ~]$ sudo touch example.json

输出:

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

[sudo] password for chen:

此时应当输入用户chen的密码。

场景二:sudo免密

我们使用sudo时,在间隔一段时间后总会要求输入当前用户(chen)的密码,用以供系统确认“执行sudo的确实是chen本人”。
能否忽略掉这一验证,让系统不校验身份,总是认为执行root的是chen本人

通过执行visudo命令,修改/etc/sudoers策略文件:
将:chen ALL=(ALL) ALL
改为:chen ALL=(ALL) NOPASSWD: ALL
保存退出。

这次,无论间隔多长时间,系统都不需要再次对chen用户进行密码鉴权,而总是认为“是chen用户本人在执行sudo及后续命令”。

场景三:sudo 用户组 免密

让所有归属于chen的用户组的用户,都拥有同一权限。

visudo修改/etc/sudoers,
将chen ALL=(ALL) NOPASSWD: ALL
改为:%chen ALL=(ALL) NOPASSWD: ALL
注意chen之前的百分号,指代后面的chen是一个用户组。

现在有一个普通用户test2019:

[test2019@centos7 ~]$ id
uid=501(test2019) gid=501(test2019) groups=501(test2019) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

将其加入到chen用户组:

[root@centos7 ~]# usermod -a -G chen test2019

再查看test2019的用户组:

[test2019@centos7 ~]$ id
uid=501(test2019) gid=501(test2019) groups=501(test2019),500(chen) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

在test2019用户身份下切到root用户身份:

[test2019@centos7 ~]$sudo su - 
[root@centos7 ~]#

4、简述rsync用于那些场景,并对比scp有什么优点?

scp是相当于复制,黏贴,如果有的话是覆盖,比较耗时间,不智能。
rsync是复制,如果有重复的文件,会直接跳过,而且他自己的算法优化。

scp是把文件全部复制过去,当文件修改后还是把所有文件复制过去,
rsync 第一次是把所有文件同步过去,当文件修改后,只把修改的文件同步过去。

5、搭建DHCP服务,实现自动获取ip地址

(1)在CentOS7上安装DHCP软件包

[root@CentOs7 ~]# yum -y install dhcp

(2)修改DHCP的配置文件

[root@CentOs7 ~]# cp /usr/share/doc/dhcp-4.2.5/dhcpd.conf.example  /etc/dhcp/dhcpd.conf 

将样板拷贝到并替换配置文件。
在配置文件中加入这么一段

subnet 172.25.0.0 netmask 255.255.0.0{
  range 172.25.0.50 172.25.0.253;
}

其中subnet 和netmask分别代表网段号和子网掩码号。可以按需求选择三种private ip中的任意一种。
range代表你要划分的ip池的范围。

(3)关闭VMvare自带的dhcp服务器,然后所有需要分配ip的主机都使用这一张网卡。

取消网卡

我们取消掉该网卡的DHCP服务,并且让所有主机都接入这张网卡。

(4)服务机上启动DHCP服务器

[root@CentOs7 ~]# systemctl start dhcpd.service  

(5)Client上重新启动网卡

[root@CentOs7 ~]# systemctl restart network

6、搭建PXE实现自动化安装系统

一:以http方式实现PXE 安装必备软件;

yum -y install tftp-server dhcp httpd syslinux system-config-kickstart

搭建前准备:
关闭防火墙: 临时: systemctl stop firewalled
永久: systemctl disabled firewalled
关闭selinux: 临时: setenforce 0
永久:sed -i 's/=enforcing/=disabled/' /etc/selinux/config

1.  tftp的工作目录 : /var/lib/tftpboot/
2.  进入到镜像的挂载目录的isolinux,复制 cp initrd.img isolinux.cfg vmlinuz /var/lib/tftpboot/
3.  cp /usr/share/syslinux/pxelinux.0 /var/lib/tftpboot/
4.  进入 /var/lib/tftpboot/ ,创建pxelinux.cfg目录, mkdir pxelinux.cfg 重命名isolinux.cfg ; mv isolinux.cfg pxelinux.cfg/default
5.  修改default文件  ,找到第一行 default linux 找到 label linux 那行:append initrd=initrd.img ks=[http://192.168.37.128/ks/ks.cfg](http://192.168.37.128/ks/ks.cfg) quiet
6.  修改/etc/xinetd.d/tftp文件  ; disable = no
7.  配置/etc/dhcp/dhcpd.conf文件。 subnet 192.168.37.0 netmask 255.255.255.0 {
range 192.168.37.60 192.168.37.80;
next-server 192.168.37.128;
filename "pxelinux.0";
}
8.  进入/var/www/html/ ;mkdir cdrom ks
mount /dev/cdrom cdrom
9.  修改yum库的名称为 [development]
10.  执行system-config-kickstart ,前提要图形界面的系统
11.重启服务: systemctl restart httpd
  systemctl restart dhcpd
  systemctl restart tftp
12.创建一台新的虚拟机,内存要大于1024,让它自动获取IP,自动安装。

二:以ftp方式实现自动安装 方法相同,ftp工作目录/var/ftp

http工作目录 /var/www/html 只需将对应的文件修改位置即可。

7、搭建Cobbler实现自动化安装系统

(1)yum install cobbler dhcp

systemctl start cobblerd httpd tftp 

(2)cobbler check

default_password_crypted: "$1$rHH5STtx$dI7Yo3.FmxbqA3cokkPg71" 
next_server: 192.168.32.17
server: 192.168.32.17
manage_dhcp: 1

(3)cobbler get-loaders 下载boot loaders

(4) vim /etc/cobbler/dhcp.template

subnet 192.168.36.0 netmask 255.255.255.0 {
option routers             192.168.36.5;
option domain-name-servers 192.168.1.1;
option subnet-mask         255.255.255.0;
range dynamic-bootp        192.168.32.100 192.168.36.254;

(5) systemctl restart cobblerd

cobbler sync     

(6) cobbler import --path=/misc/cd/ --name=Centos7.5-x86_64--arch=x86_64

(7)cp ks_centos7.cfg /var/lib/cobbler/kickstarts/ks7.cfg

--url=$tree

(8) cobbler profile add --name=Centos7.5-x86_64_desktop --distro=Centos7.5-x86_64 --kickstart=ks7.cfg

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,904评论 6 497
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,581评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,527评论 0 350
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,463评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,546评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,572评论 1 293
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,582评论 3 414
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,330评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,776评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,087评论 2 330
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,257评论 1 344
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,923评论 5 338
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,571评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,192评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,436评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,145评论 2 366
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,127评论 2 352

推荐阅读更多精彩内容