RHEL7概述systemd网络及防火墙GRUB2#破解密码

 RHEL7概述

步骤一： RHEL7是否支持32位的CPU架构？

1）新版本RHEL7仅可以运行在如下平台：

• 64-bit AMD

• 64-bit Intel

• IBM POWER

• IBM System z

2）以后从RHEL7开始不再支持32位架构

3）Red Hat Enterprise Linux 7.0 可将 32 位操作系统作为虚拟机运行，其中包括之前的 Red Hat Enterprise Linux 版本

步骤二： RHEL7默认使用的文件系统类型是什么？

• 目前使用 Anaconda 安装的 Red Hat Enterprise Linux 7.0 中使用的默认文件系统是XFS

• ext4 和 Btrfs（B-Tree）文件系统可作为XFS的备选

• XFS是一个高性能的文件系统

• XFS支持高达 16 艾字节（约 1600万TB）的文件系统，多达 8 艾字节（约 800万TB）以及包含数千万条目的目录结构

• XFS支持在线调整大小

• XFS 特别擅长处理大文件

步骤三： 红帽对新版本的RHEL7进行了哪些新的改变？

1）引导程序由传统的GRUB升级为GRUB2；

2）文件系统使用XFS作为默认的格式类型；

3）服务管理程序由systemd替换了老的SysV和Upstart；

4）网络管理方面NetworkManager功能更加强大，支持虚拟接口、VLAN等；

5）默认防火墙使用的是firewalld替换了iptables

6）很多系统光盘中自带的其他RPM软件均有所升级，包括内核也升级到了3.10版本。

3 使用systemd管理服务及系统启动

3.1 问题

1. systemd常见单元类型有哪些

2. 列举RHEL6与RHEL7服务管理命令的对比

3. RHEL7有哪些target，简单描述其功能

3.2 方案

在RHEL7中使用systemd替代了老的SysV和Upstart服务管理模式，systemd采用并发模式管理服务，按需启动守护进程，让RHEL7的进程管理更高效，启动与关闭计算机的速度更快；Systemd可以生成系统状态快照及恢复系统状态。

3.3 步骤

实现此案例需要按照如下步骤进行。

步骤一：systemd常见单元类型如下

• service 代表一个后台服务，比如 mysqld，这是最常用的一类；

• socket 代表一个套接字；

• device 代表一个设备，此类配置单元封装一个存在于 Linux 设备树中的设备，每一个使用 udev 规则标记的设备都将会在 systemd 中作为一个设备配置单元出现；

• mount 代表一个挂载点，此类配置单元封装文件系统结构层次中的一个挂载点。Systemd 将对这个挂载点进行监控和管理；比如可以在启动时自动将其挂载；可以在某些条件下自动卸载；Systemd 会将/etc/fstab 中的条目都转换为挂载点，并在开机时处理；

• automount 代表一个自挂载点，每一个自挂载配置单元对应一个挂载配置单元 ，当该自动挂载点被访问时，systemd 执行挂载点中定义的挂载行为；

• swap 交换配置单元用来管理交换分区，用户可以用交换配置单元来定义系统中的交换分区，可以让这些交换分区在启动时被激活；

• target此类配置单元为其他配置单元进行逻辑组合，它们本身实际上并不做什么，只是引用其他配置单元而已。这样便可以对配置单元做一个统一的控制。这样就可以实现大家都已经非常熟悉的运行级别概念；比如想 让系统进入图形化模式，需要运行许多服务和配置命令，这些操作都由一个个的配置单元表示，将所有这些配置单元组合为一个目标(target)，就表示需要 将这些配置单元全部执行一遍以便进入目标所代表的系统运行状态；

• timer 定时器配置单元用来定时触发用户定义的操作，这类配置单元取代了 atd、crond 等传统的定时服务；

• snapshot 快照是一组配置单元，与target配置单元相似，它保存了系统当前的运行状态。

步骤二：列举RHEL6与RHEL7服务管理命令的对比，如表-1所示

Systemd是一种新的linux系统服务管理器，它替换了init系统，能够管理系统的启动过程和一些系统服务，一旦启动起来，就将监管整个系统。sysvinit一次一个串行地启动进程，而Systemd则并行地启动系统服务进程，并且最初仅启动确实被依赖的那些服务，极大地减少了系统引导的时间。

表-1 RHEL6与RHEL7服务管理命令对比

步骤三：RHEL7有哪些target，简单描述其功能，如表-2所示

systemd 用目标（target）替代了运行级别的概念，提供了更大的灵活性，如您可以继承一个已有的目标，并添加其它服务，来创建自己的目标。

表-2 RHEL7的target描述

4 设置网络与防火墙

4.1 问题

1. 使用配置文件的方式为RHEL7操作系统配置IP地址

2. IP地址为172.25.0.1

3. 子网掩码为255.255.255.0

4. 设置防火墙规则禁止其他主机ping本机

5. 设置防火墙规则实现端口转发

6. 访问本机2212端口，防火墙自动转发端口至本机的22端口

4.2 方案

RHEL7网卡配置文件依然为ifcfg-name，防火墙则使用新的firewalld替换了旧的iptables服务，编写防火墙规则可以使用firewall-cmd命令。

4.3 步骤

实现此案例需要按照如下步骤进行。

步骤一：配置网络参数

1. [root@localhost ~]# cat /etc/sysconfig/network-scripts/ifcfg-eno16777736

2. HWADDR=00:0C:29:A9:B7:A2

3. TYPE=Ethernet

4. BOOTPROTO=none

5. DEFROUTE=yes

6. PEERDNS=yes

7. PEERROUTES=yes

8. IPV4_FAILURE_FATAL=no

9. IPV6INIT=yes

10. IPV6_AUTOCONF=yes

11. IPV6_DEFROUTE=yes

12. IPV6_PEERDNS=yes

13. IPV6_PEERROUTES=yes

14. IPV6_FAILURE_FATAL=no

15. NAME=eno16777736

16. UUID=e2c8404e-4958-406a-ac83-c836da69e564

17. ONBOOT=yes

18. IPADDR=172.25.0.1

19. NETMASK=255.255.255.0

20. [root@localhost ~]# systemd restart NetworkManager

21. [root@localhost ~]# ifconfig

22. eno16777736: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500

23. inet 172.25.0.1  netmask 255.255.255.0  broadcast 172.25.0.255

24. inet6 fe80::20c:29ff:fea9:b7a2  prefixlen 64  scopeid 0x20<link>

25. ether 00:0c:29:a9:b7:a2  txqueuelen 1000  (Ethernet)

26. RX packets 4519  bytes 396269 (386.9 KiB)

27. RX errors 0  dropped 0  overruns 0  frame 0

28. TX packets 3254  bytes 595949 (581.9 KiB)

29. TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

30. lo      Link encap:Local Loopback

31. inet addr:127.0.0.1  Mask:255.0.0.0

32. UP LOOPBACK RUNNING  MTU:16436  Metric:1

33. RX packets:68 errors:0 dropped:0 overruns:0 frame:0

34. TX packets:68 errors:0 dropped:0 overruns:0 carrier:0

35. collisions:0 txqueuelen:0

36. RX bytes:2856 (2.7 KiB)  TX bytes:2856 (2.7 KiB)

eno16777736表示第一块网卡， 其中 HWaddr 表示网卡的物理地址，可以看到目前这个网卡的物理地址(MAC地址）是00:0C:29:A9:B7:A2，inet addr 用来表示网卡的IP地址，此网卡的IP地址是 172.25.0.1，广播地址， Bcast: 172.25.0.255，掩码地址Mask:255.255.255.0。

lo是表示主机的回坏地址，这个一般是用来测试一个网络程序，但又不想让局域网或外网的用户能够查看，只能在此台主机上运行和查看所用的网络接口。比如把HTTPD服务器的指定到回坏地址，在浏览器输入 127.0.0.1 就能看到你所架WEB网站了。但只是您能看得到，局域网的其它主机或用户无从知道。

步骤二：设置防火墙规则

在命令行输入如下命令创建防火墙规则：

1） 设置防火墙规则禁止其他主机ping本机

1. [root@localhost ~]# firewall-cmd --permanent --add-icmp-block=echo-request

设置防火墙规则实现端口转发

1. [root@localhost ~]# firewall- cmd --zone=public --add-forwardport=port=2212:proto=tcp:toport=22

5 破解root密码

5.1 问题

1. 恢复RHEL7的root密码

2. 使用中断启动

3. 重新挂载sysroot后使用passwd重置密码

4. 重新标记SELinux标签

5.2 方案

RHEL7开始不再提供进入单用户模式修改密码的功能，如果需要修改密码则需要给内核加入rd_break中断系统的启动过程，进入tty0终端后通过chroot加载根分区文件系统的方式，实现对账户密码的修改功能。

5.3 步骤

实现此案例需要按照如下步骤进行。

1）重启计算机。

2）开机进入GRUB引导界面，按e进入编辑模式，为内核设置参数rd_break和console=tty0，如图-22所示。

图-22

3）输入Ctrl+x启动计算机，进入Shell，如图-23所示。

图-23

4）使用mount命令重新挂载sysroot文件系统（挂载系统根分区），重置root密码。

1. sh-4.2# mount -o remount,rw /sysroot/        //重新挂载根分区

2. sh-4.2# chroot /sysroot/                    //切换根分区

3. sh-4.2# passwd                            //修改密码

4. New password:

5. Retype new password:

重置SELinux标签

1. sh-4.2# touch /.autorelabel                //重置SELinux安全上下文标签

2. sh-4.2# reboot                            //重启