pam

由于客户服务器OpenSSH检查出高危漏洞(用户枚举漏洞（CVE-2018-15473）)，所以需要对OpenSSH进行升级，客户的服务器是内网服务器，只能进行离线升级，不能用yum更新 离线包准备 由于依赖包太多，不好在网上全部找出版本对应的依赖，所以推荐用一台测试服务器，用yum缓存包 yum缓存包 修改yum配置文件 vi / etc / yum . conf 修改配置 cachedir = /var/cache/yum/ $basearch / $releasever / #缓存包路径 keepcache = 1 / #0不保存缓存包 1保存缓存包 修改完配置后，直接用yum安装gcc、openssl-dev、pam，然后去缓存包路径，导出所有离线包，注意：openssl、openssh、perl5用的是源码安装。 安装gcc 1、安装kernel-headers rpm -ivh kernel-headers-3.10.0-1127.18.2.el7.x86_64.rpm 2、安装glibc-headers rpm -ivh glibc-headers-2.17-307.el7.1.x86_64.rpm 3、安装glibc-devel rpm -ivh glibc-devel-2.17-307.el7.1.x86_64.rpm 4、安装mpfr rpm -ivh mpfr

一、概述 系统等保要求，必须设置系统密码策略（复杂度）。 系统对密码的控制是有两部分组成： login.defs（系统自带配置文件，主要是控制密码的有效期，对密码进行时间管理。） cracklib（第三方插件，Redhat公司专门开发了cracklib这个安装包来判断密码的复杂度。） 二、配置 login.defs 文件 文件位置：/etc/login.defs PASS_MAX_DAYS 90 #密码最长过期天数 PASS_MIN_DAYS 80 #密码最小过期天数 PASS_MIN_LEN 10 #密码最小长度 PASS_WARN_AGE 7 #密码过期警告天数 二、安装和配置 Cracklib 密码的复杂度的判断是通过pam模块控制来实现的，具体的模块是 pam_cracklibpam_cracklib 的参数介绍： debug 该选项使用模块将信息写入到日志（3）来指示组件的行为（这个选项不会记录密码信息到日志文件）。 type=XXX 默认的操作是为模块，当请求密码时，该模块默认操作是使用以下提示：“新的UNIX密码：”和“重新输入密码UNIX”。此选项就是替换默认单词的UNIX。 retry=N 提示用户最多N次会返回错误。默认值是1 difok=N 此参数会改变默认新密码中必须有5个字符不同于旧密码中字符，此外，如果新密码中有一半字符不同于旧密码，那么就可以使用新密码

目录 卸载Fcitx4 安装Fcitx5 配置 修改环境变量 系统登陆后默认启动Fcitx5输入法 配置主题 最终使用效果 参考文档 我是一个Arch+KDE的用户，所以下面的方法可能不适合所有的Linux i发行版！！！ 卸载Fcitx4 把系统关于fcitx4的包都卸载了： sudo pacman -Rs $(pacman -Qsq fcitx) 安装Fcitx5 安装Fcitx5软件包： sudo pacman -S fcitx5-chinese-addons fcitx5-git fcitx5-gtk fcitx5-qt fcitx5-pinyin-zhwiki kcm-fcitx5 - fcitx5: 输入法基础框架主程序 - fcitx5-chinese-addons: 简体中文输入的支持，云拼音 - fcitx5-gtk: GTK程序的支持 - citx5-qt: QT5程序的支持 - fcitx5-pinyin-zhwiki: 肥猫制作的维基百万词库，没有版权风险, 放心使用 - kcm-fcitx5: KDE桌面环境的支持 配置 修改环境变量 修改输入法环境变量，使应用可以调用Fcitx5输入法 将下面的内容粘贴到``~/.pam_environment` GTK_IM_MODULE DEFAULT=fcitx QT_IM_MODULE DEFAULT=fcitx

1 、挂载系统 ISO 镜像，配置本地 YUM 源 2 、安装 oracle 系统依赖包 yum install -y binutils-* compat-libstdc++-33-* elfutils-libelf-* gcc-* glibc-* glibc-common-* glibc-devel-* glibc-headers-* ksh-* libaio-* libgcc-* libstdc++-* make-* sysstat-* unixODBC-* unixODBC-devel-* compat-* libXi-* sysstat-* 3 、关闭防火墙及 selinux 并重启生效 3.1 、关闭防火墙： iptables 、 firewalld 3.2 、关闭 selinux 3.3 重启 reboot 4 、修改主机名、配置 IP 地址 4.1 、修改主机名 4.2 、配置固定 IP 地址 5 、创建用户及用户组 groupadd oinstall groupadd dba useradd -g oinstall -G dba -m oracle echo oracle | passwd --stdin oracle 6 、创建 oracle 数据库安装目录 mkdir -p /u01/app/oracle/product/11.2.0/db_1 chown -R

vim /etc/pam.d/sshd 增加 account required pam_access.so 或者增加 auth required pam_access.so 两个都试试 vim /etc/security/access.conf + : temp : 211.100.99.224 - : temp : ALL service sshd restart 2017.11.1 add fix: 如果以上还不行的话，请检查/etc/ssh/sshd_conf 的 UsePAM yes 是否开启，如果你是centos5，如果你开启此功能但是报“Unsupported option UsePAM”， 请用yum update 进行升级 openssl 就可以打开此选项了 转：http://www.forzw.com/archives/222 　　控制用户的登录地点 　　文件/etc/secruity/access.conf可控制用户登录地点，为了使用access.conf，必须在文件/etc/pam.d/login中加入下面行： 　　account required /lib/security/pam_access.so 　　access.conf文件的格式： 　　permission : users : origins 　　其中： 　　permission：可以是 “+”或”

案例1： crond服务异常或停止了。或是安装服务后，忘记启动服务。 操作系统 Red Hat Enterprise Linux Server release 6.6 # yum list cronie # yum install cronie 安装后，没有启动服务，然后作业就没有执行。 # service crond status crond is stopped # service crond start Starting crond: [ OK ] 案例2： 机房空调出现故障，导致IBM存储因温度过高，保护机制被启用，然后linux在写的过程，失去了这个节点，在存储重起后，linux自动连接了存储，但保留的原有的节点，导致文件被改为只读。 然后crontab作业全部停止运行了。 案例3： 密码过期后，导致crontab作业没有运行，参考博客 “ Linux账号密码过期会导致crontab作业不能执行 ” 。遇到这种情况，应该首先用chage -l user 查看账号密码策略，然后检查日志信息 # chage -l root Last password change : Apr 28, 2020 Password expires : Jun 27, 2020 Password inactive : never Account expires : never Minimum

elasticsearch性能调优 集群规划 独立的master节点，不存储数据, 数量不少于2 数据节点(Data Node) 查询节点(Query Node)，起到负载均衡的作用 Linux系统参数配置 文件句柄 Linux中，每个进程默认打开的最大文件句柄数是1000,对于服务器进程来说，显然太小，通过修改/etc/security/limits.conf来增大打开最大句柄数 * - nofile 65535 虚拟内存设置 max_map_count定义了进程能拥有的最多内存区域 sysctl -w vm.max_map_count=262144 修改/etc/elasticsearch/elasticsearch.yml bootstrap.mlockall: true 修改/etc/security/limits.conf, 在limits.conf中添加如下内容 * soft memlock unlimited * hard memlock unlimited memlock 最大锁定内存地址空间， 要使limits.conf文件配置生效，必须要确保pam_limits.so文件被加入到启动文件中。 确保/etc/pam.d/login文件中有如下内容 session required /lib/security/pam_limits.so 验证是否生效 curl

Linux账户密码过期安全策略设置、Linux账号密码过期会导致crontab作业不能执行 最近因用oracle用户执行shell脚本做定时备份脚本任务，在执行crontab命令有如下报错： $ crontab -l You (oracle) are not allowed to access to (crontab) because of pam configuration. 在网上找了些资料解决方式说明如下： 在Linux系统管理中，有时候需要设置账号密码复杂度（长度）、密码过期策略等，这个主要是由/etc/login.defs参数文件中的一些参数控制的的。它主要用于用户账号限制，里面的参数主要有下面一些： /etc/login.defs: # cat /etc/login.defs # # Please note that the parameters in this configuration file control the # behavior of the tools from the shadow-utils component. None of these # tools uses the PAM mechanism, and the utilities that use PAM (such as the # passwd command) should

Linux账户密码过期安全策略设置、Linux账号密码过期会导致crontab作业不能执行 最近因用oracle用户执行shell脚本做定时备份脚本任务，在执行crontab命令有如下报错： $ crontab -l You (oracle) are not allowed to access to (crontab) because of pam configuration. 在网上找了些资料解决方式说明如下： 在Linux系统管理中，有时候需要设置账号密码复杂度（长度）、密码过期策略等，这个主要是由/etc/login.defs参数文件中的一些参数控制的的。它主要用于用户账号限制，里面的参数主要有下面一些： /etc/login.defs: # cat /etc/login.defs # # Please note that the parameters in this configuration file control the # behavior of the tools from the shadow-utils component. None of these # tools uses the PAM mechanism, and the utilities that use PAM (such as the # passwd command) should

大家好，我是良许。 我们知道，在 Linux 下写完一个脚本，通常情况下我们需要到脚本所在的目录，才可以执行这个脚本。但是大家有没注意到，像 ls 、 cd 、 pwd 这样的命令，它们的程序是位于 /bin 目录下，但是我们却可以在系统的任意位置都可以执行这些程序。 它们是怎么做到的？ 那是因为这些命令对应的程序所在路径被加到了 Path 环境变量里。所以我们如果把自己的脚本路径加到了这个变量里，我们也可以实现在任意地方执行自己脚本的效果。 下面我们来介绍三种方法来达到这个目的。 方法1：将脚本所在路径添加到 .bashrc 文件里 我们知道，Bash 在运行起来之后，会先加载 .bashrc 文件。所以，我们可以把脚本路径添加到 .bashrc 文件，然后就能达到目标。 假设，我现在脚本放在 /home/alvin/scripts 目录下，脚本名称是 hello.sh ，运行的结果就是打印一句 hello world 。 然后，我们再把下面这句代码加到 .bashrc 最后： export PATH="/home/alvin/scripts:$PATH" 最后，再使用 source 命令使我们的修改生效： $ source ~/.bashrc 现在，我们就可以在任何地方使用我们自己的脚本啦~ 方法2：将脚本所在路径添加到 .profile 文件里 .profile