# ssh -q -t -t -o StrictHostKeyChecking=no -o ConnectTimeout=5 -l eternalcenter eternalcenter.com

（
补充：这里以
1) 安静模式
2) 打开新端口的模式
3) 不检查服务器记录
4) 超时时间为 5 秒
5) 通过 eternalcenter 用户
6) 登录 eternalcenter.com 服务器
为例
）

案例二：在操作中常用的方式

# ssh -X eternalcenter@eternalcenter.com

（
补充：这里以
1) 带图形的模式
2) 通过 eternalcenter 用户
3) 登录 eternalcenter.com 服务器
为例
）

作者：朱明宇
名称：批量修改多个远程服务器某一个用户的密码
作用：批量修改多个远程服务器某一个用户的密码

使用方法：
1. 将此脚本和清单 $list 文件放在同一目录下
2. 清单 $list 里每服务器名占用一行
3. 给脚本分割线里的变量赋值
4. 给此脚本添加执行权限
5. 执行此脚本

脚本分割线里的变量：
1. list=”list.txt” #指定清单的目录和名称
2. user=eternalcenter #指定要修改密码的用户
3. password=eternalcenter #指定要修改的密码

注意：
此脚本执行前必须要先保证执行本脚本的用户能无密码 ssh 远程这些远程服务器，并且可以通过 sudo 获得 su 的 root 权限

脚本：

#!/bin/bash

####################### Separator ########################

list="list.txt"
user=eternalcenter
password=eternalcenter

####################### Separator ########################

num=1

cat $list
for i in `cat $list`
do
        echo $num
        echo $i

	ssh -t $i "type lsb_release" &> /dev/null
        if [ $? -ne 0 ]; then
              distribution=`ssh -t $i "cat /etc/*release | grep '^NAME'"`
	      if [ $? -ne 0 ];then
		      distribution=`ssh -t $i "cat /etc/*release"`
	      fi
        else
              distribution=`ssh -t $i "lsb_release -i | grep 'ID' | grep -v 'n/a'"`
        fi;

        echo $distribution

	case $distribution in
		*"RedHat"* | *"Red Hat"*)
		ssh -t $i "sudo -u root su - root -c \"echo $password | passwd --stdin $user\""
		if [ $? -eq 0 ];then
			echo -e "\033[32m$i is success\033[0m"
		else
			echo -e "\033[31m$i is fail\033[0m"
		fi
		;;

		*"CentOS"*)
		ssh -t $i "sudo -u root su - root -c \"echo $password | passwd --stdin $user\""
		if [ $? -eq 0 ];then
			echo -e "\033[32m$i is success\033[0m"
		else
			echo -e "\033[31m$i is fail\033[0m"
		fi
		;;

		*"SUSE"* | *"SLES"*)
		ssh -t $i "sudo -u root su - root -c \"echo $user:$password | chpasswd\""
		if [ $? -eq 0 ];then
			echo -e "\033[32m$i is success\033[0m"
		else
			echo -e "\033[31m$i is fail\033[0m"
		fi
		;;
               
		*"openSUSE"*)
		ssh -t $i "sudo -u root su - root -c \"echo $user:$password | chpasswd\""
		if [ $? -eq 0 ];then
			echo -e "\033[32m$i is success\033[0m"
		else
			echo -e "\033[31m$i is fail\033[0m"
		fi
		;;

		*)
                echo -e "\033[31m$i is fail \033[0m" 
		;;
        esac

        let num++

        echo
done

# authselect list
- nis                            Enable NIS for system authentication
- sssd                           Enable SSSD for system authentication (also for local users only)
- winbind                        Enable winbind for system authentication
- custom/password-policy         Enable SSSD for system authentication (also for local users only)

（
注意：如果没有 custom/password-policy 文件则进行以下操作：

# authselect create-profile password-policy -b sssd --symlink-meta --symlink-pam
# authselect select custom/password-policy
# authselect current
Profile ID: custom/password-policy
Enabled features: None

）

步骤二：配置 /etc/authselect/custom/password-policy/system-auth 文件

# vim /etc/authselect/custom/password-policy/system-auth

先删除包含以下内容的行：

......
......pam_faillock.so......
......

再将以下内容：

......
password    requisite                                    pam_pwquality.so try_first_pass local_users_only
......
auth        required                                     pam_faillock.so preauth silent                         {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail                               {include if "with-faillock"}
......

修改为：

......
password    requisite                                    pam_pwquality.so try_first_pass local_users_only retry=5
......
auth        required                                     pam_faillock.so preauth
......
auth        required                                     pam_faillock.so authfail
......

（补充：这里的 retry=5 代表重复尝试 5 次后登陆会被锁住）

步骤三：配置 /etc/authselect/custom/password-policy/system-password 文件

# vim /etc/authselect/custom/password-policy/system-password

先删除包含以下内容的行：

......
......pam_faillock.so......
......

再将以下内容：

......
password    requisite                                    pam_pwquality.so try_first_pass local_users_only
......
auth        required                                     pam_faillock.so preauth silent                         {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail                               {include if "with-faillock"}
......

修改为：

......
password    requisite                                    pam_pwquality.so try_first_pass local_users_only retry=5
......
auth        required                                     pam_faillock.so preauth
......
auth        required                                     pam_faillock.so authfail
......

（补充：这里的 retry=5 代表重复尝试 5 次后登陆会被锁住）

步骤四：配置 /etc/security/faillock.conf 文件

将以下内容：

......
# deny = 3
......
# unlock_time = 600
......

修改为：

......
deny = 30
......
unlock_time = 600
......

（补充：这里的 deny = 30 和 unlock_time = 600 代表拒绝 30 次 600 秒后解锁）

作者：朱明宇
名称：批量修改多个远程服务器某一个用户的密码
作用：批量修改多个远程服务器某一个用户的密码，并查看密码更新时间

使用方法：
1. 将此脚本和清单 $list 文件放在同一目录下
2. 清单 $list 里每服务器名占用一行
3. 给脚本分割线里的变量赋值
4. 给此脚本添加执行权限
5. 执行此脚本

脚本分割线里的变量：
1. list=”list.txt” #指定清单的目录和名称
2. user=eternalcenter #指定要修改密码的用户
3. password=eternalcenter #指定要修改的密码

注意：
此脚本执行前必须要先保证执行本脚本的用户能无密码 ssh 远程这些远程服务器，并且可以通过 sudo 获得 su 的 root 权限

脚本：

#!/bin/bash

####################### Separator ########################

list="list.txt"
user=eternalcenter
password=eternalcenter

####################### Separator ########################

num=1

cat $list
for i in `cat $list`
do
        echo $num
        echo $i
        ssh -t $i "sudo -u root su - root -c \"echo $password | passwd --stdin $user\""
        ssh -t $i "sudo -u root su - root -c \"echo $user:$password | chpasswd\""
        ssh -t $i sudo -u root su - root -c \"chage -l $user\"
        let num++

        echo
done

# vim /etc/ssh/sshd_config

将以下内容：

#Banner none

修改为：

Banner eternalcenter

或者：

# sed -i 's/.*Banner.*/Banner eternalcenter/' /etc/ssh/sshd_config

（补充：这里以将 ssh 登陆提示信息修改为 eternalcenter 为例）

步骤二：重启 sshd 服务

# systemctl restart sshd

内容一：openSUSE 15.0、openSUSE 15.1、openSUSE 15.2 和 SUSE 12.X 修改本地登陆提示信息

内容二：openSUSE 15.3 及以上版本修改本地登陆提示信息
2.1 修改本地登陆系统方面的提示信息
2.2 去除本地登陆网卡方面的提示信息
2.2.1 去除现有的网卡提示信息
2.2.2 设置不再新生成网卡提示信息
2.2.3 追加本地登陆提示信息

内容三：SUSE 15.X 修改本地登陆提示信息
3.1 修改本地登陆系统方面的提示信息
3.2 去除本地登陆网卡方面的提示信息
3.2.1 去除现有的网卡提示信息
3.2.2 设置不再新生成网卡提示信息
3.2.3 设置不再新生成网卡提示信息

具体的内容：

内容一：openSUSE 15.0、openSUSE 15.1、openSUSE 15.2 和 SUSE 12.X 修改本地登陆提示信息

# echo 'eternalcenter.com' > /etc/issue
# echo 'eternalcenter.com' > /etc/issue.net

（补充：这里以将本地登陆提示信息修改为 eternalcenter.com 为例）

内容二：openSUSE 15.3 及以上版本修改本地登陆提示信息
2.1 修改本地登陆系统方面的提示信息

# echo 'eternalcenter' > /usr/lib/issue.d/10-openSUSE.conf

2.2 去除本地登陆网卡方面的提示信息
2.2.1 去除现有的网卡提示信息

# issue-generator network remove eth0

2.2.2 设置不再新生成网卡提示信息

# vim /etc/sysconfig/issue-generator

将以下内容：

......
NETWORK_INTERFACE_REGEX="^[be]"
......

修改为：

......
NETWORK_INTERFACE_REGEX="^[b]"
......

或者：

# sed -i 's/NETWORK_INTERFACE_REGEX="^\[be\]"/NETWORK_INTERFACE_REGEX="^\[b\]"/' /etc/sysconfig/issue-generator

（
补充：
1) 这里以将本地登陆提示信息修改为 eternalcenter.com 为例
2) 将 NETWORK_INTERFACE_REGEX=”^[be]” 修改为 NETWORK_INTERFACE_REGEX=”^[b]” 是不再显示网卡信息
）

2.2.3 追加本地登陆提示信息

# echo 'Welcome' /etc/issue.d/issue

（
补充：
1) 这里以添加 Welcome 本地登陆提示信息为例
2) 结合上文的案例，这里将同时显示 eternalcenter.com 和 Welcome
）

内容三：SUSE 15.X 修改本地登陆提示信息
3.1 修改本地登陆系统方面的提示信息

# echo 'eternalcenter' > /usr/lib/issue.d/10-SUSE

3.2 去除本地登陆网卡方面的提示信息
3.2.1 去除现有的网卡提示信息

# issue-generator network remove eth0

3.2.2 设置不再新生成网卡提示信息

# vim /etc/sysconfig/issue-generator

将以下内容：

......
NETWORK_INTERFACE_REGEX="^[be]"
......

修改为：

......
NETWORK_INTERFACE_REGEX="^[b]"
......

或者：

# sed -i 's/NETWORK_INTERFACE_REGEX="^\[be\]"/NETWORK_INTERFACE_REGEX="^\[b\]"/' /etc/sysconfig/issue-generator

（
补充：
1) 这里以将本地登陆提示信息修改为 eternalcenter.com 为例
2) 将 NETWORK_INTERFACE_REGEX=”^[be]” 修改为 NETWORK_INTERFACE_REGEX=”^[b]” 是不再显示网卡信息
）

3.2.3 追加本地登陆提示信息

# echo 'Welcome' /etc/issue.d/issue

（
补充：
1) 这里以添加 Welcome 本地登陆提示信息为例
2) 结合上文的案例，这里将同时显示 eternalcenter.com 和 Welcome
）

# sed -i '/auth.*include.*common-auth/a auth      required   pam_tally2.so onerr=fail audit silent deny=15 unlock_time=3000' /etc/pam.d/sshd

（
补充：
1) 这里的 pam_tally2.so 代表使用 pam_tally2.so 模块
2) 这里的 deny=15 代表输错 15 次后会禁止登陆
3) 这里的 unlock_time=3000 代表禁止登陆后 3000 毫秒后可以重新登陆
）

步骤二：配置 /etc/pam.d/sshd 文件

# sed -i '/account.*include.*common-account/a account     required    pam_tally2.so' /etc/pam.d/sshd

（补充：这里的 pam_tally2.so 代表加载 pam_tally2.so 模块）

# sed -i '/auth.*include.*common-auth/a auth        required    pam_tally2.so onerr=fail audit silent deny=15 unlock_time=3000' /etc/pam.d/sshd

（
补充：
1) 这里的 pam_tally2.so 代表使用 pam_tally2.so 模块
2) 这里的 deny=15 代表输错 15 次后会禁止登陆
3) 这里的 unlock_time=3000 代表禁止登陆后 3000 毫秒后可以重新登陆
）

步骤二：配置 /etc/pam.d/sshd 文件

# sed -i '/account.*include.*common-account/a account     required    pam_tally2.so' /etc/pam.d/sshd

（补充：这里的 pam_tally2.so 代表加载 pam_tally2.so 模块）

# sed -i '/auth.*include.*common-auth/a     auth     required       pam_wheel.so use_uid' /etc/pam.d/su

（补充：这里以设置只能 wheel 才能使用 su 命令为例）

1.2 openSUSE&SUSE 设置只能属于某一个组的用户才能使用 su 命令

# sed -i '/auth.*include.*common-auth/a     auth     required       pam_wheel.so use_uid' /etc/pam.d/su
# sed -i '/auth.*include.*common-auth/a     auth     required       pam_wheel.so use_uid' /etc/pam.d/su-l

（补充：这里以设置只能 wheel 才能使用 su 命令为例）

步骤二：将需要使用 su 命令的用户添加到可以使用 su 命令的组

# usermod -a -G wheel eternalcenter

（补充：这里以给 eternalcenter 用户添加 wheel 附属所属组为例）

步骤三：验证 su 命令白名单
3.1 以其他普通用户的身份使用 su 命令切换到其他用户

（步骤略）

（补充：就算密码正确也会显示 su: Authentication failure）

3.2 以在白名单用户的身份使用 su 命令切换到其他用户

# su - eternalcenter
$ su - root

# grub2-mkpasswd-pbkdf2
Enter password: 
Reenter password: 
PBKDF2 hash of your password is 
grub.pbkdf2.sha512.10000.
B857B79D02FF55CA3A69B8485C1A4A427424630C804CC8A89134520A34E056D7882A778F6BC8AD856CB95DF8B99BE25F9FEAD899D826BB3915FB20BAD682D10A.4A1CF49B7F815A0578031CCA2CE98C66BDFBEAB0AE2721531BB54AFC6CFFA990FBD9062F41C006376C283B717FEC1BD9BB1AFB882AF91B5F4A812459D7974D1F

（补充：这里以生成 eternalcenter 的 GRUB2 SHA512 值为例）

（注意：grub.pbkdf2.sha512.10000……. 后面的一长串字母和数字其实是一行，这里因为是显示问题所以看上去是多行）

步骤二：创建 GRUB2 密码文件
2.1 给 EFI 的 CentOS&RHEL 创建 GRUB2 密码文件

echo "GRUB2_PASSWORD=grub.pbkdf2.sha512.10000.B857B79D02FF55CA3A69B8485C1A4A427424630C804CC8A89134520A34E056D7882A778F6BC8AD856CB95DF8B99BE25F9FEAD899D826BB3915FB20BAD682D10A.4A1CF49B7F815A0578031CCA2CE98C66BDFBEAB0AE2721531BB54AFC6CFFA990FBD9062F41C006376C283B717FEC1BD9BB1AFB882AF91B5F4A812459D7974D1F" > /boot/efi/EFI/redhat/user.cfg

（
补充：
1) 登录用户 root
2) 登陆密码 eternalcenter
3) 这里的 grub.pbkdf2.sha512.10000.B857B…… 是由步骤一生成的
）

（注意：这里其实只有一行，因为是显示问题所以看上去是多行）

2.2 给 BIOS 的 CentOS&RHEL 创建 GRUB2 密码文件

echo "GRUB2_PASSWORD=grub.pbkdf2.sha512.10000.B857B79D02FF55CA3A69B8485C1A4A427424630C804CC8A89134520A34E056D7882A778F6BC8AD856CB95DF8B99BE25F9FEAD899D826BB3915FB20BAD682D10A.4A1CF49B7F815A0578031CCA2CE98C66BDFBEAB0AE2721531BB54AFC6CFFA990FBD9062F41C006376C283B717FEC1BD9BB1AFB882AF91B5F4A812459D7974D1F" > /boot/grub2/user.cfg

（
补充：
1) 登录用户 root
2) 登陆密码 eternalcenter
3) 这里的 grub.pbkdf2.sha512.10000.B857B…… 是由步骤一生成的
）

（注意：这里其实只有一行，因为是显示问题所以看上去是多行）

步骤三：测试 GRUB2 Bootloader 密码
3.1 重启系统

（步骤略）

3.2 进入到 GRUB2 Bootloader 模式

当启动系统时按下 “E”：

补充：更改 GRUB2 的登陆用户
补充一：给 EFI 的 CentOS&RHEL 更改 GRUB2 的登陆用户

# echo <user> > /boot/efi/EFI/redhat/user.cfg

补充二：给 BIOS 的 CentOS&RHEL 更改 GRUB2 的登陆用户

# echo <user> > /boot/grub2/user.cfg

作者：朱明宇
名称：自动化部署 GRUB2 Bootloader 密码（CentOS&RHEL 版）
作用：自动化部署 GRUB2 Bootloader 密码（CentOS&RHEL 版）

使用方法：
1. 给此脚本添加执行权限
2. 执行此脚本
3. 当启动系统时，左下角出现以下内容时按下 “E”：

注意：
1. 登陆的账号是 root
2. 登陆的密码是 eternalcenter

脚本：

#!/bin/bash

if [ -d /sys/firmware/efi ]; then
        echo "GRUB2_PASSWORD=grub.pbkdf2.sha512.10000.B857B79D02FF55CA3A69B8485C1A4A427424630C804CC8A89134520A34E056D7882A778F6BC8AD856CB95DF8B99BE25F9FEAD899D826BB3915FB20BAD682D10A.4A1CF49B7F815A0578031CCA2CE98C66BDFBEAB0AE2721531BB54AFC6CFFA990FBD9062F41C006376C283B717FEC1BD9BB1AFB882AF91B5F4A812459D7974D1F" > /boot/efi/EFI/redhat/user.cfg
else
        echo "GRUB2_PASSWORD=grub.pbkdf2.sha512.10000.B857B79D02FF55CA3A69B8485C1A4A427424630C804CC8A89134520A34E056D7882A778F6BC8AD856CB95DF8B99BE25F9FEAD899D826BB3915FB20BAD682D10A.4A1CF49B7F815A0578031CCA2CE98C66BDFBEAB0AE2721531BB54AFC6CFFA990FBD9062F41C006376C283B717FEC1BD9BB1AFB882AF91B5F4A812459D7974D1F" > /boot/grub2/user.cfg
fi

作者：朱明宇
名称：自动化部署 GRUB2 Bootloader 密码（openSUSE&SUSE 版）
作用：自动化部署 GRUB2 Bootloader 密码（openSUSE&SUSE 版）

使用方法：
1. 给此脚本添加执行权限
2. 执行此脚本
3. 当启动系统时，左下角出现以下内容时按下 “E”：
C: Command Line    E: Edit Entry

注意：
1. 登陆的账号是 root
2. 登陆的密码是 eternalcenter

脚本：

#!/bin/bash

echo "#!/bin/sh
exec tail -n +3 \$0
# This file provides an easy way to add custom menu entries.  Simply type the
# menu entries you want to add after this comment.  Be careful not to change
# the 'exec tail' line above.
set superusers=\"root\"
password_pbkdf2 root grub.pbkdf2.sha512.10000.B857B79D02FF55CA3A69B8485C1A4A427424630C804CC8A89134520A34E056D7882A778F6BC8AD856CB95DF8B99BE25F9FEAD899D826BB3915FB20BAD682D10A.4A1CF49B7F815A0578031CCA2CE98C66BDFBEAB0AE2721531BB54AFC6CFFA990FBD9062F41C006376C283B717FEC1BD9BB1AFB882AF91B5F4A812459D7974D1F
export superusers
set unrestricted_menu=\"y\"
export unrestricted_menu" > /etc/grub.d/40_custom

grep "rd.shell=0" /etc/default/grub
if [ $? -ne 0 ];then
        sed -i '/GRUB_CMDLINE_LINUX_DEFAULT="/s/"$/ rd.shell=0"/' /etc/default/grub
fi

grep "showopts" /etc/default/grub
if [ $? -ne 0 ];then
        sed -i '/GRUB_CMDLINE_LINUX_DEFAULT="/s/"$/ showopts"/' /etc/default/grub
fi

grep "LANG=C" /etc/default/grub
if [ $? -ne 0 ];then
        sed -i '/GRUB_CMDLINE_LINUX_DEFAULT="/s/"$/ LANG=C"/' /etc/default/grub
fi

grub2-mkconfig -o /boot/grub2/grub.cfg

步骤一：规划拓扑
1.1 服务器列表
1.2 拓扑图
1.3 服务器列表简介

步骤二：系统环境要求

步骤三：创建用于 ssh 内网穿透的用户
3.1 创建用于 ssh 内网穿透的用户
3.2 给用于 ssh 内网穿透的用户设置密码

步骤四：创建用于内 ssh 内网穿透的 ssh 密钥
4.1 进入到用户
4.2 创建用于内 ssh 内网穿透的 ssh 密钥
4.3 退出用户

步骤五：让内网服务器可以无密码访问外网服务器
5.1 进入到用户
5.2 将内网服务器的公钥拷贝到外网服务器
5.3 退出用户

步骤六：让外网服务器可以无密码访问自己
6.1 进入到用户
6.2 将内网服务器的公钥拷贝到外网服务器
6.3 退出用户

步骤七：实现内网服务器到外网服务器的 ssh 内网穿透
7.1 实现内网服务器到外网服务器的 ssh 通道
7.2 实现外网服务器 ssh 端口的影射

步骤八：客户端电脑使用 ssh 外网穿透

具体的操作步骤：

步骤一：规划拓扑
1.1 服务器列表

客户端电脑
外网服务器
内网服务器

1.2 拓扑图

客户端电脑 外网服务器 内网服务器

1.3 拓扑图简介

内网服务器建立到外网服务器的 ssh 通道
客户端电脑通过 ssh 外网服务器连接到内网服务器
内网服务器就算没有公网 IP 地址也能被 ssh 上

步骤二：系统环境要求

1) 所有服务器的系统都需要是 Linux 版本
2) 所有服务器都要关闭防火墙
3) 内网服务器要能够 ping 通外网服务器
4) 客户端电脑要能够 ping 通外网服务器

步骤三：创建用于 ssh 内网穿透的用户
3.1 创建用于 ssh 内网穿透的用户

（分别在内网服务器和外网服务器上执行以下步骤）

# useradd <user for intranet penetration>

3.2 给用于 ssh 内网穿透的用户设置密码

（分别在内网服务器和外网服务器上执行以下步骤）

# passwd <user for intranet penetration>

步骤四：创建用于内 ssh 内网穿透的 ssh 密钥
4.1 进入到用户

（分别在内网服务器和外网服务器上执行以下步骤）

# su - <user for intranet penetration>

4.2 创建用于内 ssh 内网穿透的 ssh 密钥

（分别在内网服务器和外网服务器上执行以下步骤）

$ ssh-keygen

4.3 退出用户

（分别在内网服务器和外网服务器上执行以下步骤）

$ exit

步骤五：让内网服务器可以无密码访问外网服务器
5.1 进入到用户

（只在内网服务器上执行以下步骤）

# su - <user for intranet penetration>

5.2 将内网服务器的公钥拷贝到外网服务器

（只在内网服务器上执行以下步骤）

$ ssh-copy-id <IP address of Internet server>

5.3 退出用户

（只在内网服务器上执行以下步骤）

$ exit

步骤六：让外网服务器可以无密码访问自己
6.1 进入到用户

（只在外网服务器上执行以下步骤）

# su - <user for intranet penetration>

6.2 将内网服务器的公钥拷贝到外网服务器

（只在外网服务器上执行以下步骤）

$ ssh-copy-id <127.0.0.1>

6.3 退出用户

（只在外网服务器上执行以下步骤）

$ exit

步骤七：实现内网服务器到外网服务器的 ssh 内网穿透
7.1 实现内网服务器到外网服务器的 ssh 通道

# su - <user for intranet penetration>
$ ssh -X -fCNR 11000:localhost:22 <IP address of Internet server>

或者：

# ps -aux | grep -v grep | grep "11000:localhost:22 <IP address of Internet server>" &> /dev/null || su - <user for intranet penetration> -c 'ssh -X -fCNR 11000:localhost:22 <IP address of Internet server>'

（补充：这里以使用用于内网穿透的用户将内网服务器的 22 端口影射到外网服务器的 11000 端口为例）

7.2 实现外网服务器 ssh 端口的影射

# su - <user for intranet penetration>
$ ssh -X -fCNL *:10000:localhost:11000 localhost

或者:

# ps -aux | grep -v grep | grep "*:10000:localhost:11000 localhost" || su - <user for intranet penetration> -c 'ssh -X -fCNL *:10000:localhost:11000 localhost'

（补充：这里以使用用于内网穿透的用户将外网服务器的 10000 端口影射到外网服务器的 11000 端口为例）

步骤八：客户端电脑使用 ssh 外网穿透

# ssh -p 10000 <user for intranet penetration>@<IP address of Internet server>

（补充：ssh 成功后，客户端电脑就可以直接 ssh 到内网服务器中了）

注明：所有转载内容皆直接从被转载文章网页的标题和内容的文本中复制而来

# grub2-mkpasswd-pbkdf2
Enter password: 
Reenter password: 
PBKDF2 hash of your password is 
grub.pbkdf2.sha512.10000.
B857B79D02FF55CA3A69B8485C1A4A427424630C804CC8A89134520A34E056D7882A778F6BC8AD856CB95DF8B99BE25F9FEAD899D826BB3915FB20BAD682D10A.4A1CF49B7F815A0578031CCA2CE98C66BDFBEAB0AE2721531BB54AFC6CFFA990FBD9062F41C006376C283B717FEC1BD9BB1AFB882AF91B5F4A812459D7974D1F

（补充：这里以生成 eternalcenter 的 GRUB2 SHA512 值为例）

（注意：grub.pbkdf2.sha512.10000……. 后面的一长串字母和数字其实是一行，这里因为是显示问题所以看上去是多行）

步骤二：创建 GRUB2 密码文件

# vim /etc/grub.d/40_custom

创建以下内容：

#!/bin/sh
exec tail -n +3 $0
# This file provides an easy way to add custom menu entries.  Simply type the
# menu entries you want to add after this comment.  Be careful not to change
# the 'exec tail' line above.
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.
B857B79D02FF55CA3A69B8485C1A4A427424630C804CC8A89134520A34E056D7882A778F6BC8AD856CB95DF8B99BE25F9FEAD899D826BB3915FB20BAD682D10A.4A1CF49B7F815A0578031CCA2CE98C66BDFBEAB0AE2721531BB54AFC6CFFA990FBD9062F41C006376C283B717FEC1BD9BB1AFB882AF91B5F4A812459D7974D1F
export superusers
set unrestricted_menu="y"
export unrestricted_menu

（
补充：
1) 登录用户 root
2) 登陆密码 eternalcenter
3) 这里的 grub.pbkdf2.sha512.10000.B857B…… 是由步骤一生成的
）

（
注意：
1) password_pbkdf2 root 和 grub.pbkdf2.sha512.10000…… 其实是一行，中间只有一个空格，应该写成 password_pbkdf2 root grub.pbkdf2.sha512.10000……，这里因为是显示问题所以看上去是两行
2) password_pbkdf2 root grub.pbkdf2.sha512.10000……. 后面的一长串字母和数字其实是一行，从 export superusers 开始才是独立的一行，这里因为是显示问题所以看上去是多行
）

步骤三：修改 /etc/default/grub 参数

# vim /etc/default/grub

在这一行里：

GRUB_CMDLINE_LINUX_DEFAULT="......"

添加：

GRUB_CMDLINE_LINUX_DEFAULT="...... rd.shell=0 showopts LANG=C/g"

步骤四：让刚刚创建的 GRUB2 密码文件生效

# grub2-mkconfig -o /boot/grub2/grub.cfg

步骤五：测试 GRUB2 Bootloader 密码
5.1 重启系统

5.2 进入到 GRUB2 Bootloader 模式

当启动系统时，左下角出现以下内容时按下 “E”：

    C: Command Line    E: Edit Entry

参考文献：

https://www.suse.com/support/kb/doc/?id=000019331

# TMOUT=900

或者：

# export TMOUT=0

（
补充：
1) 这里以设置超过 900 秒用户就会超时为例
2) 如果 TMOUT=0 则用户永不会超时
）

内容二：永久设置用户登陆的超时时间
2.1 通过 /etc/profile 文件实现
2.1.1 修改 /etc/profile 文件

# vim /etc/profile

添加以下内容：

......
TMOUT=900

（
补充：
1) 这里以设置超过 900 秒用户就会超时为例
2) 如果 TMOUT=0 则用户永不会超时
3) 补充 /etc/bashrc 文件会比 /etc/profile 文件更有优先级
）

2.1.2 使刚刚的设置生效

# source /etc/profile

2.2 通过 /etc/bashrc 文件实现
2.2.1 修改 /etc/bashrc 文件

# vim /etc/bashrc

添加以下内容：

......
TMOUT=900

（
补充：
1) 这里以设置超过 900 秒用户就会超时为例
2) 如果 TMOUT=0 则用户永不会超时
3) 补充 /etc/bashrc 文件会比 /etc/profile 文件更有优先级
）

2.2.2 使刚刚的设置生效

# source /etc/bashrc

内容三：查看现在用户登陆的超时时间

# echo $TMOUT

补充：

当通过以上设置造成用户登陆超时时，系统会输出以下内容：

# timed out waiting for input: auto-logout

内容一：直接通过 SSH 对 VNC 进行加密
1.1 直接通过 SSH 对 VNC 进行加密的格式
1.2 直接通过 SSH 对 VNC 进行加密的案例

内容二：通过非标准端口的 SSH 对 VNC 进行加密
2.1 通过 SSH 对 VNC 进行加密，同时使用 SSH 隧道的格式
2.2 通过 SSH 对 VNC 进行加密，同时使用 SSH 隧道的案例

具体的内容：

内容一：直接通过 SSH 对 VNC 进行加密
1.1 直接通过 SSH 对 VNC 进行加密的格式

# vncviewer -via <SSH user of VNC server>@<IP address of VNC server> localhost :<VNC service number>

1.2 直接通过 SSH 对 VNC 进行加密的案例

# vncviewer -via zhumingyu@eternalcenter.com localhost :1

（补充：这里以使用 eternalcenter.com 服务器上的 zhumingyu 用户访问编号为 1 的 VNC 服务为例）

内容二：通过非标准端口的 SSH 对 VNC 进行加密
2.1 通过 SSH 对 VNC 进行加密，同时使用 SSH 隧道的格式

# ssh -p <SSH non standard port number> -L <Port number of VNC service>:localhost:<Port number of VNC service> -l  <SSH user of VNC server> <IP address of VNC server>

另开启一个命令行终端：

# vncviewer localhost :<VNC service number>

2.2 通过 SSH 对 VNC 进行加密，同时使用 SSH 隧道的案例

# ssh -p 1000 -L 5901:localhost:5901 -l zhumingyu eternalcenter.com

另开启一个命令行终端：

# vncviewer localhost :1

（补充：这里以使用 eternalcenter.com 服务器上的 zhumingyu 用户通过 1000 端口号 的 SSH 访问编号为 1 的 VNC 服务为例）

步骤一：设置密码必须包含大小写字母等策略
1.1 生成设置密码必须包含大小写字母的策略文件
1.2 设置密码必须包含大小写字母等策略

步骤二：设置新密码不能和旧密码重复的策略
2.1 修改 /etc/authselect/custom/password-policy/password-auth 文件
2.2 修改 /etc/authselect/custom/password-policy/system-auth 文件

具体的操作步骤：

步骤一：设置密码必须包含大小写字母等策略
1.1 生成设置密码必须包含大小写字母的策略文件

# authselect list
- nis                            Enable NIS for system authentication
- sssd                           Enable SSSD for system authentication (also for local users only)
- winbind                        Enable winbind for system authentication
- custom/password-policy         Enable SSSD for system authentication (also for local users only)

（
注意：如果没有 custom/password-policy 文件则进行以下操作：

# authselect create-profile password-policy -b sssd --symlink-meta --symlink-pam
# authselect select custom/password-policy
# authselect current
Profile ID: custom/password-policy
Enabled features: None

）

1.2 设置密码必须包含大小写字母等策略

# vim /etc/security/pwquality.conf

将部分内容修改如下：

......
minlen = 15
......
dcredit = -1
......
ucredit = -1
......
lcredit = -1
......
ocredit = -1
......
dictcheck = 1
......
usercheck = 1
......

（
补充：这里以
1) 密码最小长度为 15 个字符
2) 密码包含数字的个数，-1 代表必须包含
3) 密码包含大写字母的个数，-1 代表必须包含
4) 密码包含小写字母的个数，-1 代表必须包含
5) 密码包含特殊字符的个数，-1 代表必须包含
6) 检查密码中是否包含字典
7) 检查密码中是否包含用户
）

步骤二：设置新密码不能和旧密码重复的策略
2.1 修改 /etc/authselect/custom/password-policy/password-auth 文件

# vim /etc/authselect/custom/password-policy/password-auth

将以下内容：

......
password.*requisite.*pam_pwhistory.so
......

修改为：

...... 
password    requisite     pam_pwhistory.so remember=5 use_authtok
......

（补充：这里以新密码不能和前 5 个旧密码重复为例）

2.2 修改 /etc/authselect/custom/password-policy/system-auth 文件

# vim /etc/authselect/custom/password-policy/system-auth

将以下内容：

......
password.*requisite.*pam_pwhistory.so
......

修改为：

...... 
password    requisite    pam_pwhistory.so remember=5 use_authtok

（补充：这里以新密码不能和前 5 个旧密码重复为例）

# vim /etc/sudoers

添加以下内容：

……
zhumingyu ALL=(ALL) /usr/bin/mysql

（补充：这里以给用户 zhumingyu 添加 /usr/bin/mysql 命令为例）

步骤二：设置用户使用自己的密码实现 sudo 提权

# vim /etc/sudoers

将以下内容：

......
#Defaults targetpw   # ask for the password of the target user i.e. root
#ALL    ALL=(ALL) ALL   # WARNING! Only use this together with 'Defaults targetpw'!
......

修改为：

......
Defaults targetpw   # ask for the password of the target user i.e. root
ALL    ALL=(ALL) ALL   # WARNING! Only use this together with 'Defaults targetpw'!
......

步骤一：查看原来的 last 记录

步骤二：清除原来的 last 记录
2.1 确认原有 last 记录的日志文件
2.2 将原有 last 记录的日志文件移走
2.3 创建新的 last 记录的日志文件
2.4 给新创建的 last 记录的日志文件对应的权限

步骤三：查看 last 记录有没有被成功清除

具体的操作步骤：

步骤一：查看原来的 last 记录

# last

步骤二：清除原来的 last 记录
2.1 确认原有 last 记录的日志文件

# ls -arlt /var/log/wtmp
-rw-rw-r--. 1 root utmp 294920 Jul 20 09:57 lastlog

2.2 将原有 last 记录的日志文件移走

# mv /var/log/wtmp /var/log/wtmp.backup

2.3 创建新的 last 记录的日志文件

# touch /var/log/wtmp

2.4 给新创建的 last 记录的日志文件对应的权限

# chown root:utmp /var/log/wtmp

步骤三：查看 last 记录有没有被成功清除

# last

wtmp begins Mon Jul 20 10:07:11 2020