步骤一：生成新的 SSH 密钥
1.1 进入 ~/.ssh 目录
1.2 生成新的 SSH 密钥

步骤二：将新的 SSH 公钥拷贝到目标服务器

步骤三：更新 SSH 密钥
3.1 更新 SSH 私钥
3.1.1 备份旧有的 SSH 私钥
3.1.2 更新 SSH 私钥
3.2 更新 SSH 公钥
3.2.1 备份旧有的 SSH 公钥
3.2.2 更新 SSH 公钥

步骤四：删除目标服务器的旧有 SSH 公钥
4.1 删除目标服务器的旧有 SSH 公钥
4.2 确定目标服务器就有的 SSH 已经删除

具体的操作步骤：

步骤一：生成新的 SSH 密钥
1.1 进入 ~/.ssh 目录

# cd ~/.ssh

1.2 生成新的 SSH 密钥

# ssh-keygen -b 4096 -t rsa -C "<content>" -f "<public private key name>"

步骤二：将新的 SSH 公钥拷贝到目标服务器

# for i in `cat <server list>`;do echo $i;ssh-copy-id -i ~/.ssh/<public private key name>.pub $i;echo;done

步骤三：更新 SSH 密钥
3.1 更新 SSH 私钥
3.1.1 备份旧有的 SSH 私钥

# mv id_rsa id_rsa.backup

3.1.2 更新 SSH 私钥

# cp <public private key name> id_rsa

3.2 更新 SSH 公钥
3.2.1 备份旧有的 SSH 公钥

# mv id_rsa.pub id_rsa.pub.backup

3.2.2 更新 SSH 公钥

# cp <public private key name>.pub id_rsa.pub

步骤四：删除目标服务器的旧有 SSH 公钥
4.1 删除目标服务器的旧有 SSH 公钥

# for i in `cat <server list>`;do echo $i;ssh $i "sed -i /<old SSH key content>/d ~/.ssh/authorized_keys";echo;done

4.2 确定目标服务器就有的 SSH 已经删除

# for i in `cat <server list>`;do echo $i;ssh $i "cat ~/.ssh/authorized_keys | egrep -v '<content>'";echo;done

步骤一：系统被删根 （rm -rf /*） 后的现象

步骤二：挂载官方镜像

步骤三：登录拯救模式
3.1 进入拯救模式
3.2 登录拯救模式

步骤四：在救援模式确定系统的根目录分区

步骤五：在救援模式将系统的分区挂载到救援模式的 /mnt 目录
5.1 在救援模式将系统的根分区挂载到救援模式的 /mnt 目录
5.2 在救援模式将救援模式的 /dev 目录关联到救援模式的 /mnt/dev 目录
5.3 在救援模式将救援模式的 /proc 目录关联到救援模式的 /mnt/proc 目录
5.4 在救援模式将救援模式的 /sys 目录关联到救援模式的 /mnt/sys 目录
5.5 在救援模式将救援模式的 /run 目录关联到救援模式的 /mnt/run 目录

步骤六：显示系统被删根 （rm -rf /*） 后的现象
6.1 尝试将当前根目录从救援模式的根目录切换到系统的根目录时会报错 “chroot: failed to run command #/bin/bash#: No such file or directory”
6.2 在救援模式显示 /boot 目录里的文件时，会发现此目录下只有 grub2 目录，而此 grub2 目录里也是空的
6.3 在救援模式显示 /bin 目录时，会显示并无此目录
6.4 在救援模式显示 /etc 目录里的文件时，会发现此目录下只有 lvm 文件

步骤七：在救援模式修复系统的 /bin 目录和里面的文件
7.1 在救援模式创建 /mnt/bin 目录
7.2 在救援模式挂载官方镜像
7.2.1 在救援模式创建用于挂载镜像的 /media 目录
7.2.2 在救援模式挂将官方镜像挂载到 /media 目录
7.3 在救援模式安装 bash 软件
7.3.1 在救援模式安装拷贝 bash 软件包到当前目录
7.3.2 在救援模式创建用于安装 bash 软件的 bash 目录
7.3.3 在救援模式进入 bash 目录
7.3.4 在救援模式安装 bash 软件
7.3.5 在救援模式显示安装 bash 软件后生成的目录
7.4 在救援模式将 bin 目录拷贝到 /mnt/bin 目录

步骤八：将当前的根目录从救援模式的根目录切换到系统的根目录
8.1 将当前的根目录从救援模式的根目录切换到系统的根目录
8.2 在系统模式下确认当前的挂载状态
8.3 在系统模式下确认当前根目录下的目录

步骤九：锁定有删根 （rm -rf /*） 操作的用户
9.1 在系统模式显示历史命令以确认有没有用户输入过 rm -rf /* 命令
9.2 在系统模式显示用户登录记录
9.3 根据步骤 9.1 和步骤 9.2 推测是哪个用户进行过删根 （rm -rf /*） 操作

具体的操作步骤：

步骤一：系统被删根 （rm -rf /*） 后的现象总结

1) 系统无法被 ssh
2) 通过 console 口登录系统在输入密码时会卡住
3) 尝试将当前根目录从救援模式的根目录切换到系统的根目录时会报错 “chroot: failed to run command #/bin/bash#: No such file or directory”
4) 重启系统后无法进入系统，并提示：/grub2/i386-pc/normoal.mod not found gpt
5）在救援模式显示 /boot 目录里的文件时，会发现此目录下只有 grub2 目录，而此 grub2 目录里也是空的
6) 在救援模式显示 /bin 目录时，会显示并无此目录
7) 在救援模式显示 /etc 目录里的文件时，会发现此目录下只有 lvm 文件

步骤二：挂载官方镜像

（步骤略）

步骤三：登录拯救模式
3.1 进入拯救模式

（步骤略）

3.2 登录拯救模式

rescue login:root

步骤四：在救援模式确定系统的根目录分区

（步骤略）

（
补充：
1) 物理分区可以使用 lsblk 命令和 fdisk -l 命令辅助确定
2) 逻辑分区还可以可以使用 pvs 命令和 lvs 命令辅助确定
）

步骤五：在救援模式将系统的分区挂载到救援模式的 /mnt 目录
5.1 在救援模式将系统的根分区挂载到救援模式的 /mnt 目录

tty1:rescue:~ # mount <root spartition> /mnt

（
补充：
1) 如果是物理分区，系统的根分区就在救援模式的 /dev/ 目录里，例如救援模式的 /dev/sda1
2) 如果是逻辑分区，Rocky Linux & RHEL 的系统根分区就是救援模式里的 /dev/<volume group>/<logical volume> 例如救援模式里的 /dev/vg/lv，openSUSE & SUSE 的系统根分区就是救援模式里的 /dev/mapper/<volume group>-<logical volume> 例如救援模式里的 /dev/mapper/vg-lv
）

5.2 在救援模式将救援模式的 /dev 目录关联到救援模式的 /mnt/dev 目录

tty1:rescue:~ # mount --bind /dev /mnt/dev

（补充：此时所有对救援模式的 /mnt/dev 目录的访问都会变成对救援模式的 /dev 目录的访问）

5.3 在救援模式将救援模式的 /proc 目录关联到救援模式的 /mnt/proc 目录

tty1:rescue:~ # mount --bind /proc /mnt/proc

（补充：此时所有对救援模式的 /mnt/proc 目录的访问都会变成对救援模式的 /proc 目录的访问）

5.4 在救援模式将救援模式的 /sys 目录关联到救援模式的 /mnt/sys 目录

tty1:rescue:~ # mount --bind /sys /mnt/sys

（补充：此时所有对救援模式的 /mnt/sys 目录的访问都会变成对救援模式的 /sys 目录的访问）

5.5 在救援模式将救援模式的 /run 目录关联到救援模式的 /mnt/run 目录

tty1:rescue:~ # mount --bind /run /mnt/run

（补充：此时所有对救援模式的 /mnt/run 目录的访问都会变成对救援模式的 /run 目录的访问）

步骤六：显示系统被删根 （rm -rf /*） 后的现象
6.1 尝试将当前根目录从救援模式的根目录切换到系统的根目录时会报错 “chroot: failed to run command #/bin/bash#: No such file or directory”

tty1:rescue:~ # chroot /mnt
chroot: failed to run command #/bin/bash#: No such file or directory

（补充：这里以 /mnt 作为系统根目录为例）

（注意：因为在使用 rm -rf /* 命令删过根以后，/bin/bash 已经被删除，所以会报错：chroot: failed to run command #/bin/bash#: No such file or directory）

6.2 在救援模式显示 /boot 目录里的文件时，会发现此目录下只有 grub2 目录，而此 grub2 目录里也是空的

tty1:rescue:~ # ls /boot 
grub2

tty1:rescue:~ # ls /boot

此步骤也可以通过以下方法实现：

tty1:rescue:~ # ls -l /mounts/mp_0001/boot
total 0
......grub2

tty1:rescue:~ # ls -l /mounts/mp_0001/boot/grub2
total 0

6.3 在救援模式显示 /bin 目录时，会显示并无此目录

tty1:rescue:~ # ls /mnt/bin
ls: cannot access '/mnt/bin' : No such file or directory

6.4 在救援模式显示 /etc 目录里的文件时，会发现此目录下只有 lvm 文件

tty1:rescue:~ # ls /etc/
lvm

步骤七：在救援模式修复系统的 /bin 目录和里面的文件
7.1 在救援模式创建 /mnt/bin 目录

tty1:rescue:~ # mkdir /mnt/bin

7.2 在救援模式挂载官方镜像
7.2.1 在救援模式创建用于挂载镜像的 /media 目录

tty1:rescue:~ # /media

7.2.2 在救援模式挂将官方镜像挂载到 /media 目录

tty1:rescue:~ # mount /dev/dvd /media

7.3 在救援模式安装 bash 软件
7.3.1 在救援模式安装拷贝 bash 软件包到当前目录

tty1:rescue:~ # cp /media/suse/x86_64/bash-4.3-83.23.1.x86_64.rpm .

（补充：这里以拷贝 /media/suse/x86_64/bash-4.3-83.23.1.x86_64.rpm）

7.3.2 在救援模式创建用于安装 bash 软件的 bash 目录

tty1:rescue:~ # mkdir bash

7.3.3 在救援模式进入 bash 目录

tty1:rescue:~ # cd bash

7.3.4 在救援模式安装 bash 软件

tty1:rescue:~ /bash # rpm2cpio ../bash-4.3-83.23.1.x86_64.rpm | cpio -ivd

（补充：这里以安装 bash-4.3-83.23.1.x86_64.rpm 软件为例）

7.3.5 在救援模式显示安装 bash 软件后生成的目录

tty1:rescue:~ /bash # ls
bin etc usr

7.4 在救援模式将 bin 目录拷贝到 /bin/mnt 目录下

tty1:rescue:~ /bash # cp -rpv bin /mnt/bin
'bin/bash' -> '/mnt/bin/bash'
'bin/sh' -> '/mnt/bin/sh'

步骤八：将当前的根目录从救援模式的根目录切换到系统的根目录
8.1 将当前的根目录从救援模式的根目录切换到系统的根目录

tty1:rescue:~ /bash # chroot /mnt

（补充：这里以 /mnt 作为系统根目录为例）

8.2 在系统模式下确认当前的挂载状态

bash-4.3# mount -a

8.3 在系统模式下确认当前根目录下的目录

bash-4.3# ls
bin boot dev home lib lib64 mnt opt proc root run sbin selinux srv sys tmp usr var

步骤九：锁定有删根 （rm -rf /*） 操作的用户
9.1 在系统模式显示历史命令以确认有没有用户输入过 rm -rf / 命令

bash-4.3# history | less

9.2 在系统模式显示用户登录记录

bash-4.3# last | less

（补充：此时会显示最后登录系统的用户、登陆时间、且可能最后 1 个登录系统的用户无退出时间）

9.3 根据步骤 9.1 和步骤 9.2 推测是哪个用户进行过删根 （rm -rf /*） 操作

（步骤略）

# service iptables save

内容二：Rocky Linux & RHEL 和 openSUSE & SUSE iptables 防火墙规则持久化
2.1 导出现在 iptables 防火墙的规则

# iptables-save > /root/iptables_save

（补充：这里以将 iptables 防火墙规则导出到 /root/iptables_save 文件为例）

2.2 创建用于加载 iptables 防火墙规则的 systemctl 管理文件

# vim /etc/systemd/system/iptables_save.service

创建以下内容：

[Unit]
Description=iptables_save
After=default.target

[Service]
Type=oneshot
ExecStart=/usr/sbin/iptables-restore < /root/iptables_save

[Install]
WantedBy=default.target

（补充：这里以创建 systemctl 管理文件 /etc/systemd/system/iptables_save.service 将 /root/iptables_save 文件里的内容导入到 iptables 防火墙为例）

2.3 加载刚刚创建的 systemctl 管理文件

# systemctl daemon-reload

2.4 给刚刚创建的 systemctl 管理文件添加执行权限

# chmod u+x /etc/systemd/system/iptables_save.service

（补充：这里以给 systemctl 管理文件 /etc/systemd/system/iptables_save.service 添加执行权限为例）

2.5 让防火墙规则开机自启

# systemctl enable iptables_save.service

（补充：这里以开机自启 iptables_save.service 服务为例）

# iptables-save > /root/iptables_save

（补充：这里以将 iptables 防火墙规则导出到 /root/iptables_save 文件为例）

内容二：导入 iptables 防火墙规则

# iptables-restore < /root/iptables_save

（补充：这里以将 /root/iptables_save 文件里的内容导入到 iptables 防火墙为例）

[error] [/etc/authselect/system-auth] has unexpected content!
[error] [/etc/authselect/password-auth] has unexpected content!
[error] Unexpected changes to the configuration were detected.
[error] Refusing to activate profile unless those changes are removed or overwrite is requested.

或者：

[error] [/etc/authselect/system-auth] has unexpected content!
[error] Unexpected changes to the configuration were detected.
[error] Refusing to activate profile unless those changes are removed or overwrite is requested.

或者：

[error] [/etc/authselect/password-auth] has unexpected content!
[error] Unexpected changes to the configuration were detected.
[error] Refusing to activate profile unless those changes are removed or overwrite is requested.

分析：

/etc/authselect/system-auth 文件或 /etc/authselect/password-auth 文件是不应该被手动修改的，如果被手动修改了，再使用 authselect select sssd 命令或者 authselect apply-changes 命令时则会有此类报错

解决方法：

# authselect apply-changes

（注意：此方法会刷新 /etc/authselect/system-auth 文件和 /etc/authselect/password-auth 文件里的所有内容）

/var/run/utmp

内容二：所有的登录和登出记录

/var/log/wtmp

内容三：所有用户最有一次登录记录

/var/log/lastlog

内容四：所有错误登录尝试记录

/var/log/btmp

内容五：所有信息 （其中也包括登录相关的记录）

/var/log/messages

# vim /etc/sudoers

添加以下内容：

……
zhumingyu ALL=(ALL) /usr/bin/mysql

（补充：这里以给用户 zhumingyu 添加 /usr/bin/mysql 命令为例）

步骤二：设置用户使用自己的密码实现 sudo 提权

# vim /etc/sudoers

在

......
env_reset
......

这一行下面添加：

......
Defaults env_keep += "http_proxy https_proxy"
......

（补充：这里以允许用户在进行 sudo 提权的同时也能使用 http_proxy、https_proxy 为例）

步骤一：背景了解

步骤二：设置 SSH 的登录限制
2.1 在 sshd 中开启 UsePAM
2.1.1 修改 sshd 的配置文件
2.1.2 让修改的 sshd 配置文件生效
2.2 确保 /etc/pam.d/login 包含 password-auth
2.3 添加 pam_faillock 模块

步骤三：远程登录密码输错次数的用户管理
3.1 显示某个用户近期输错了几次密码
3.2 重制所有远程登录密码输错次数

具体的操作步骤：

步骤一：背景了解

从 CentOS Linux 8 & RHEL 8 开始，系统的身份验证模块从 CentOS Linux 7 & RHEL 7 的 pam_tally2 换成了 pam_faillock

步骤二：设置 SSH 的登录限制
2.1 在 sshd 中开启 UsePAM
2.1.1 修改 sshd 的配置文件

# vim /etc/ssh/sshd_config

将以下内容：

......
#UsePAM no
......

修改为：

......
UsePAM yes
......

2.1.2 让修改的 sshd 配置文件生效

# systemctl restart sshd

2.2 确保 /etc/pam.d/login 包含 password-auth

# cat /etc/pam.d/login | grep password-auth
auth       substack     password-auth
account    include      password-auth
password   include      password-auth
session    include      password-auth

（注意：如果输出结果中不包含这 4 条内容则需要手动添加）

2.3 添加 pam_faillock 模块

# vim /etc/pam.d/password-auth

在

......
auth required pam_env.so
......

这一行下面添加：

......
auth  required  pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180
......

在

auth sufficient pam_unix.so try_first_pass nullok

这一行下面添加：

......
auth  [default=die] pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180
......

在

account required pam_unix.so

这一行下面添加：

......
account required pam_faillock.so
......

（补充：这里以包括 root 用户每使用密码 ssh 远程登录失败 6 次则被锁定 180 秒为例）

步骤三：远程登录密码输错次数的用户管理
3.1 显示某个用户近期输错了几次密码

# faillock --user root

（补充：这里以显示 root 用户近期输错了几次密码为例）

3.2 重制所有登录密码输错次数

# faillock --reset

步骤一：了解背景

步骤二：设置 SSH 的登录限制
2.1 在 sshd 中开启 UsePAM
2.1.1 修改 sshd 的配置文件
2.1.2 让修改的 sshd 配置文件生效
2.2 确保 /etc/pam.d/sshd 包含 password-auth

步骤三：检查是否选择了 authselect 自定义认证

步骤四：配置认证
4.1 如果 authselect 自定义认证存在
4.1.1 修改 system-auth 文件
4.1.2 修改 password-auth 文件
4.2 如果 authselect 自定义认证不存在
4.2.1 生成新的自定义认证
4.2.1.1 备份当前的自定义认证
4.2.1.2 创建新的自定义认证
4.2.1.3 选择自定义认证
4.2.1.4 显示当前选择的自定义认证
4.2 修改自定义认证
4.2.1 修改 system-auth 文件
4.2.2 修改 password-auth 文件

步骤五：让配置的认证生效

步骤六：管理远程登录密码输错次数的用户
6.1 显示某个用户近期输错了几次密码
6.2 重制所有远程登录密码输错次数

具体的操作步骤：

步骤一：了解背景

从 CentOS Linux 8 & RHEL 8 开始，系统的身份验证模块从 CentOS Linux 7 & RHEL 7 的 pam_tally2 换成了 pam_faillock

步骤二：设置 SSHd 的登录限制
2.1 在 sshd 中开启 UsePAM
2.1.1 修改 sshd 的配置文件

# vim /etc/ssh/sshd_config

将以下内容：

......
#UsePAM no
......

修改为：

......
UsePAM yes
......

2.1.2 让修改 sshd 配置文件生效

# systemctl restart sshd

2.2 确保 /etc/pam.d/sshd 包含 password-auth

# cat /etc/pam.d/sshd | grep password-auth
auth       substack     password-auth
account    include      password-auth
password   include      password-auth
session    include      password-auth

（注意：如果输出结果中不包含这 4 条内容则需要手动添加）

步骤三：检查是否选择了 authselect 自定义认证

# authselect current | awk 'NR == 1 {print $3}' | grep custom/
custom/password-policy

（
补充：
（1）如果这条命令里没有输出则代表没有选择自定义认证
（2）从这里的输出结果可以看出这里选择的自定义认证是 custom/password-policy
）

步骤四：配置认证
4.1 如果 authselect 自定义认证存在
4.1.1 修改 system-auth 文件

# vim /etc/authselect/custom/password-policy/system-auth

将以下内容：

......
auth        required                                     pam_faillock.so preauth silent                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail                               {include if "with-faillock"}
......

修改为：

......
auth        required                                     pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......

（补充：这里以包括 root 用户每使用密码 ssh 远程登录失败 6 次则被锁定 180 秒为例）

4.1.2 修改 password-auth 文件

# vim /etc/authselect/custom/password-policy/password-auth

将以下内容：

......
auth        required                                     pam_faillock.so preauth silent                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail                               {include if "with-faillock"}
......

修改为：
......
auth        required                                     pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......

（补充：这里以包括 root 用户每使用密码 ssh 远程登录失败 6 次则被锁定 180 秒为例）

4.2 如果 authselect 自定义认证不存在
4.2.1 生成新的自定义认证
4.2.1.1 备份当前的自定义认证

# authselect apply-changes -b --backup=sssd.backup

（补充：这里以创建 sssd.backup 备份文件为例）

4.2.1.2 创建新的自定义认证

# authselect create-profile password-policy -b sssd --symlink-meta --symlink-pam

（补充：这里以生成名为 password-policy 的自定义认证为例）

4.2.1.3 选择自定义认证

# authselect select custom/password-policy with-sudo with-faillock without-nullok with-mkhomedir

（
补充：
1) 这里以选择名为 password-policy 的自定义认证为例
2) 这里设置了 with-sudo、with-faillock、without-nullok 和 with-mkhomedir 参数
）

4.2.1.4 显示当前选择的自定义认证

# authselect current

（补充：这里以生成并选择名为 password-policy 的自定义认证为例）

4.2 修改自定义认证
4.2.1 修改 system-auth 文件

# vim /etc/authselect/custom/password-policy/password-auth

将以下内容：

......
auth        required                                     pam_faillock.so preauth silent                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail                               {include if "with-faillock"}
......

修改为：

......
auth        required                                     pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......

（补充：这里以包括 root 用户每使用密码 ssh 远程登录失败 6 次则被锁定 180 秒为例）

4.2.2 修改 password-auth 文件

# vim /etc/authselect/custom/password-policy/password-auth

将以下内容：

......
auth        required                                     pam_faillock.so preauth silent                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail                               {include if "with-faillock"}
......

修改为：

......
auth        required                                     pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......

（补充：这里以包括 root 用户每使用密码 ssh 远程登录失败 6 次则被锁定 180 秒为例）

步骤五：让配置的认证生效

# authselect apply-changes

（注意：此步骤会刷新 /etc/authselect/system-auth 文件和 /etc/authselect/password-auth 文件）

步骤六：管理远程登录密码输错次数的用户
6.1 显示某个用户近期输错了几次密码

# faillock --user root

（补充：这里以显示 root 用户近期输错了几次密码为例）

6.2 重制所有远程登录密码输错次数

# faillock --reset

# ssh -q -t -t -o StrictHostKeyChecking=no -o ConnectTimeout=5 -l eternalcenter eternalcenter.com

（
补充：这里以
1) 安静模式
2) 打开新端口的模式
3) 不检查服务器记录
4) 超时时间为 5 秒
5) 通过 eternalcenter 用户
6) 登录 eternalcenter.com 服务器
为例
）

案例二：在操作中常用的方式

# ssh -X eternalcenter@eternalcenter.com

（
补充：这里以
1) 带图形的模式
2) 通过 eternalcenter 用户
3) 登录 eternalcenter.com 服务器
为例
）

作者：朱明宇
名称：批量修改多个远程服务器某一个用户的密码
作用：批量修改多个远程服务器某一个用户的密码

使用方法：
1. 将此脚本和清单 $list 文件放在同一目录下
2. 清单 $list 里每服务器名占用一行
3. 给脚本分割线里的变量赋值
4. 给此脚本添加执行权限
5. 执行此脚本

脚本分割线里的变量：
1. list=”list.txt” #指定清单的目录和名称
2. user=eternalcenter #指定要修改密码的用户
3. password=eternalcenter #指定要修改的密码

注意：
此脚本执行前必须要先保证执行本脚本的用户能无密码 ssh 远程这些远程服务器，并且可以通过 sudo 获得 su 的 root 权限

脚本：

#!/bin/bash

####################### Separator ########################

list="list.txt"
user=eternalcenter
password=eternalcenter

####################### Separator ########################

num=1

cat $list
for i in `cat $list`
do
        echo $num
        echo $i

	ssh -t $i "type lsb_release" &> /dev/null
        if [ $? -ne 0 ]; then
              distribution=`ssh -t $i "cat /etc/*release | grep '^NAME'"`
	      if [ $? -ne 0 ];then
		      distribution=`ssh -t $i "cat /etc/*release"`
	      fi
        else
              distribution=`ssh -t $i "lsb_release -i | grep 'ID' | grep -v 'n/a'"`
        fi;

        echo $distribution

	case $distribution in
		*"RedHat"* | *"Red Hat"*)
		ssh -t $i "sudo -u root su - root -c \"echo $password | passwd --stdin $user\""
		if [ $? -eq 0 ];then
			echo -e "\033[32m$i is success\033[0m"
		else
			echo -e "\033[31m$i is fail\033[0m"
		fi
		;;

		*"CentOS"*)
		ssh -t $i "sudo -u root su - root -c \"echo $password | passwd --stdin $user\""
		if [ $? -eq 0 ];then
			echo -e "\033[32m$i is success\033[0m"
		else
			echo -e "\033[31m$i is fail\033[0m"
		fi
		;;

		*"SUSE"* | *"SLES"*)
		ssh -t $i "sudo -u root su - root -c \"echo $user:$password | chpasswd\""
		if [ $? -eq 0 ];then
			echo -e "\033[32m$i is success\033[0m"
		else
			echo -e "\033[31m$i is fail\033[0m"
		fi
		;;
               
		*"openSUSE"*)
		ssh -t $i "sudo -u root su - root -c \"echo $user:$password | chpasswd\""
		if [ $? -eq 0 ];then
			echo -e "\033[32m$i is success\033[0m"
		else
			echo -e "\033[31m$i is fail\033[0m"
		fi
		;;

		*)
                echo -e "\033[31m$i is fail \033[0m" 
		;;
        esac

        let num++

        echo
done

只有 CentOS 8 & RHEL 8 才可以使用 nftables 防火墙

正文：

步骤目录：

步骤一：从 firewalld 防火墙切换至 nftables 防火墙
1.1 安装 nftables 防火墙
1.2 清空 iptables 防火墙的策略表
1.2.1 清空 ipv4 iptables 防火墙的策略表
1.2.2 清空 ipv6 iptables 防火墙的策略表
1.3 停止使用 firewalld 防火墙
1.3.1 取消 firewalld 防火墙开机自启
1.3.2 停止 firewalld 防火墙
1.4 启用 nftables 防火墙
1.4.1 开机自启 nftables 防火墙
1.4.2 启动 nftables 防火墙

步骤二：创建永久的 nftales 防火墙的策略表并条件永久的 nftables 防火墙策略
2.1 在 nftables 防火墙的配置文件中添加 nftables 防火墙策略文件
2.2 在 nftables 防火墙策略文件中添加 nftables 防火墙策略

具体的操作步骤：

步骤一：从 firewalld 防火墙切换至 nftables 防火墙
1.1 安装 nftables 防火墙

# dnf install nftables

1.2 清空 iptables 防火墙的策略表
1.2.1 清空 ipv4 iptables 防火墙的策略表

# iptables -F

1.2.2 清空 ipv6 iptables 防火墙的策略表

# ip6tables -F

1.3 停止使用 firewalld 防火墙
1.3.1 取消 firewalld 防火墙开机自启

# systemctl disable firewalld.service

1.3.2 停止 firewalld 防火墙

# systemctl stop firewalld.service

1.4 启用 nftables 防火墙
1.4.1 开机自启 nftables 防火墙

# systemctl enable nftables

1.4.2 启动 nftables 防火墙

# systemctl start nftables

步骤二：创建永久的 nftales 防火墙的策略表并条件永久的 nftables 防火墙策略
2.1 在 nftables 防火墙的配置文件中添加 nftables 防火墙策略文件

# vi /etc/sysconfig/nftables.conf

添加以下内容：

......
include "/etc/nftables/nftables.rules"

2.2 在 nftables 防火墙策略文件中添加 nftables 防火墙策略

# vi /etc/nftables/nftables.rules
flush ruleset
table inet siemens_FW {
    chain siemens_FW_input {
      type filter hook input priority 0; policy accept;
      iif "lo" accept
      ip saddr 127.0.0.0/8 counter packets 0 bytes 0 drop
      ip6 saddr ::1 counter packets 0 bytes 0 drop
      ip saddr 192.168.1.1 tcp dport ssh accept                  
      tcp dport ssh drop
    }
    chain siemens_FW_forward {
      type filter hook forward priority 0; policy accept;
    } 
    chain siemens_FW_output {
      type filter hook output priority 0; policy accept;
    }
}

（
补充：
（1）这里以基本的本地巡回路由策略并禁止除 192.168.1.1 的 IP 地址访问本地的 22 端口为例
（2）这里的 /etc/nftables/nftables.rules 是在 2.1 中添加的
）

只有 CentOS 8 & RHEL 8 才可以使用 nftables 防火墙

正文：

步骤目录：

步骤一：从 firewalld 防火墙切换至 nftables 防火墙
1.1 安装 nftables 防火墙
1.2 清空 iptables 防火墙的策略表
1.2.1 清空 ipv4 iptables 防火墙的策略表
1.2.2 清空 ipv6 iptables 防火墙的策略表
1.3 停止使用 firewalld 防火墙
1.3.1 取消 firewalld 防火墙开机自启
1.3.2 停止 firewalld 防火墙
1.4 启用 nftables 防火墙
1.4.1 开机自启 nftables 防火墙
1.4.2 启动 nftables 防火墙

步骤二：创建 nftables 防火墙的策略表
2.1 创建 nftables 防火墙的策略表
2.2 创建 nftables 防火墙的策略表的 input 链
2.3 创建 nftables 防火墙的策略表的 forward 链
2.4 创建 nftables 防火墙的策略表的 output 链

步骤三：添加临时基本的本地巡回路由策略

具体的操作步骤：

步骤一：从 firewalld 防火墙切换至 nftables 防火墙
1.1 安装 nftables 防火墙

# dnf install nftables

1.2 清空 iptables 防火墙的策略表
1.2.1 清空 ipv4 iptables 防火墙的策略表

# iptables -F

1.2.2 清空 ipv6 iptables 防火墙的策略表

# ip6tables -F

1.3 停止使用 firewalld 防火墙
1.3.1 取消 firewalld 防火墙开机自启

# systemctl disable firewalld.service

1.3.2 停止 firewalld 防火墙

# systemctl stop firewalld.service

1.4 启用 nftables 防火墙
1.4.1 开机自启 nftables 防火墙

# systemctl enable nftables

1.4.2 启动 nftables 防火墙

# systemctl start nftables

步骤二：创建 nftables 防火墙的策略表
2.1 创建 nftables 防火墙的策略表

# nft create table inet <tablename>

2.2 创建 nftables 防火墙的策略表的 input 链

# nft create chain inet <tablename> input { type filter hook input priority 0 \; }

2.3 创建 nftables 防火墙的策略表的 forward 链

# nft create chain inet <tablename> forward { type filter hook forward priority 0 \; }

2.4 创建 nftables 防火墙的策略表的 output 链

# nft create chain inet <tablename> output { type filter hook output priority 0 \; }

步骤三：添加临时基本的本地巡回路由策略

# nft add rule inet filter input iif lo accept
# nft add rule inet filter input ip saddr 127.0.0.0/8 counter drop
# nft add rule inet filter input ip6 saddr ::1 counter drop

作者：朱明宇
名称：批量修改多个远程服务器某一个用户的密码
作用：批量修改多个远程服务器某一个用户的密码，并显示密码更新时间

使用方法：
1. 将此脚本和清单 $list 文件放在同一目录下
2. 清单 $list 里每服务器名占用一行
3. 给脚本分割线里的变量赋值
4. 给此脚本添加执行权限
5. 执行此脚本

脚本分割线里的变量：
1. list=”list.txt” #指定清单的目录和名称
2. user=eternalcenter #指定要修改密码的用户
3. password=eternalcenter #指定要修改的密码

注意：
此脚本执行前必须要先保证执行本脚本的用户能无密码 ssh 远程这些远程服务器，并且可以通过 sudo 获得 su 的 root 权限

脚本：

#!/bin/bash

####################### Separator ########################

list="list.txt"
user=eternalcenter
password=eternalcenter

####################### Separator ########################

num=1

cat $list
for i in `cat $list`
do
        echo $num
        echo $i
        ssh -t $i "sudo -u root su - root -c \"echo $password | passwd --stdin $user\""
        ssh -t $i "sudo -u root su - root -c \"echo $user:$password | chpasswd\""
        ssh -t $i sudo -u root su - root -c \"chage -l $user\"
        let num++

        echo
done

# vim /etc/ssh/sshd_config

将以下内容：

#Banner none

修改为：

Banner eternalcenter

或者：

# sed -i 's/.*Banner.*/Banner eternalcenter/' /etc/ssh/sshd_config

（补充：这里以将 ssh 登陆提示信息修改为 eternalcenter 为例）

步骤二：重启 sshd 服务

# systemctl restart sshd

内容一：openSUSE 15.0、openSUSE 15.1、openSUSE 15.2 和 SLE12.X 修改本地登陆提示信息

内容二：openSUSE 15.3 及以上版本修改本地登陆提示信息
2.1 修改本地登陆系统方面的提示信息
2.2 去除本地登陆网卡方面的提示信息
2.2.1 去除现有的网卡提示信息
2.2.2 设置不再新生成网卡提示信息
2.2.3 追加本地登陆提示信息

内容三：SLE 15.X 修改本地登陆提示信息
3.1 修改本地登陆系统方面的提示信息
3.2 去除本地登陆网卡方面的提示信息
3.2.1 去除现有的网卡提示信息
3.2.2 设置不再新生成网卡提示信息
3.2.3 设置不再新生成网卡提示信息

具体的内容：

内容一：openSUSE 15.0、openSUSE 15.1、openSUSE 15.2 和 SLE 12.X 修改本地登陆提示信息

# echo 'eternalcenter.com' > /etc/issue
# echo 'eternalcenter.com' > /etc/issue.net

（补充：这里以将本地登陆提示信息修改为 eternalcenter.com 为例）

内容二：openSUSE 15.3 及以上版本修改本地登陆提示信息
2.1 修改本地登陆系统方面的提示信息

# echo 'eternalcenter' > /usr/lib/issue.d/10-openSUSE.conf

2.2 去除本地登陆网卡方面的提示信息
2.2.1 去除现有的网卡提示信息

# issue-generator network remove eth0

2.2.2 设置不再新生成网卡提示信息

# vim /etc/sysconfig/issue-generator

将以下内容：

......
NETWORK_INTERFACE_REGEX="^[be]"
......

修改为：

......
NETWORK_INTERFACE_REGEX="^[b]"
......

或者：

# sed -i 's/NETWORK_INTERFACE_REGEX="^\[be\]"/NETWORK_INTERFACE_REGEX="^\[b\]"/' /etc/sysconfig/issue-generator

（
补充：
1) 这里以将本地登陆提示信息修改为 eternalcenter.com 为例
2) 将 NETWORK_INTERFACE_REGEX=”^[be]” 修改为 NETWORK_INTERFACE_REGEX=”^[b]” 是不再显示网卡信息
）

2.2.3 追加本地登陆提示信息

# echo 'Welcome' /etc/issue.d/issue

（
补充：
1) 这里以添加 Welcome 本地登陆提示信息为例
2) 结合上文的案例，这里将同时显示 eternalcenter.com 和 Welcome
）

内容三：SLE 15.X 修改本地登陆提示信息
3.1 修改本地登陆系统方面的提示信息

# echo 'eternalcenter' > /usr/lib/issue.d/10-SUSE

3.2 去除本地登陆网卡方面的提示信息
3.2.1 去除现有的网卡提示信息

# issue-generator network remove eth0

3.2.2 设置不再新生成网卡提示信息

# vim /etc/sysconfig/issue-generator

将以下内容：

......
NETWORK_INTERFACE_REGEX="^[be]"
......

修改为：

......
NETWORK_INTERFACE_REGEX="^[b]"
......

或者：

# sed -i 's/NETWORK_INTERFACE_REGEX="^\[be\]"/NETWORK_INTERFACE_REGEX="^\[b\]"/' /etc/sysconfig/issue-generator

（
补充：
1) 这里以将本地登陆提示信息修改为 eternalcenter.com 为例
2) 将 NETWORK_INTERFACE_REGEX=”^[be]” 修改为 NETWORK_INTERFACE_REGEX=”^[b]” 是不再显示网卡信息
）

3.2.3 追加本地登陆提示信息

# echo 'Welcome' /etc/issue.d/issue

（
补充：
1) 这里以添加 Welcome 本地登陆提示信息为例
2) 结合上文的案例，这里将同时显示 eternalcenter.com 和 Welcome
）

# sed -i '/auth.*include.*common-auth/a auth      required   pam_tally2.so onerr=fail audit silent deny=15 unlock_time=3000 even_deny_root root_unlock_time=3000' /etc/pam.d/login

（
补充：
1) 这里的 pam_tally2.so 代表使用 pam_tally2.so 模块
2) 这里的 deny=15 代表输错 15 次后会禁止登陆
3) 这里的 unlock_time=3000 代表禁止登陆后 3000 毫秒后可以重新登陆
4) 这里的 even_deny_root 代表 root 用户也包括在其中
5）这里的 root_unlock_time=3000 代表禁止 root 用户登陆后 3000 毫秒后可以重新登陆
）

步骤二：在 /etc/pam.d/sshd 文件中添加使用 pam_tally2.so 模块的参数

# sed -i '/account.*include.*common-account/a account     required    pam_tally2.so' /etc/pam.d/login

（补充：这里的 pam_tally2.so 代表加载 pam_tally2.so 模块）

步骤三：远程登录密码输错次数的用户管理
3.1 显示某一个用户近期输错了几次密码

# pam_tally2 -u <user>

3.2 重制某一个用户登录密码输错次数

# pam_tally2 -u <user> -r --reset

# sed -i '/auth.*include.*common-auth/a auth        required    pam_tally2.so onerr=fail audit silent deny=15 unlock_time=3000 even_deny_root root_unlock_time=3000' /etc/pam.d/sshd

（
补充：
1) 这里的 pam_tally2.so 代表使用 pam_tally2.so 模块
2) 这里的 deny=15 代表输错 15 次后会禁止登陆
3) 这里的 unlock_time=3000 代表禁止登陆后 3000 毫秒后可以重新登陆
4) 这里的 even_deny_root 代表 root 用户也包括在其中
5）这里的 root_unlock_time=3000 代表禁止 root 用户登陆后 3000 毫秒后可以重新登陆
）

步骤二：在 /etc/pam.d/sshd 文件中添加使用 pam_tally2.so 模块的参数

# sed -i '/account.*include.*common-account/a account     required    pam_tally2.so' /etc/pam.d/sshd

（补充：这里的 pam_tally2.so 代表加载 pam_tally2.so 模块）

步骤三：远程登录密码输错次数的用户管理
3.1 查看某一个用户近期输错了几次密码

# pam_tally2 -u <user>

3.2 重制某一个用户登录密码输错次数

# pam_tally2 -u <user> -r --reset

# sed -i '/auth.*include.*common-auth/a     auth     required       pam_wheel.so use_uid' /etc/pam.d/su

（补充：这里以设置只能 wheel 才能使用 su 命令为例）

1.2 openSUSE&SUSE 设置只能属于某一个组的用户才能使用 su 命令

# sed -i '/auth.*include.*common-auth/a     auth     required       pam_wheel.so use_uid' /etc/pam.d/su
# sed -i '/auth.*include.*common-auth/a     auth     required       pam_wheel.so use_uid' /etc/pam.d/su-l

（补充：这里以设置只能 wheel 才能使用 su 命令为例）

步骤二：将需要使用 su 命令的用户添加到可以使用 su 命令的组

# usermod -a -G wheel eternalcenter

（补充：这里以给 eternalcenter 用户添加 wheel 附属所属组为例）

步骤三：验证 su 命令白名单
3.1 以其他普通用户的身份使用 su 命令切换到其他用户

（步骤略）

（补充：就算密码正确也会显示 su: Authentication failure）

3.2 以在白名单用户的身份使用 su 命令切换到其他用户

# su - eternalcenter
$ su - root

# grub2-mkpasswd-pbkdf2
Enter password: 
Reenter password: 
PBKDF2 hash of your password is 
grub.pbkdf2.sha512.10000.
B857B79D02FF55CA3A69B8485C1A4A427424630C804CC8A89134520A34E056D7882A778F6BC8AD856CB95DF8B99BE25F9FEAD899D826BB3915FB20BAD682D10A.4A1CF49B7F815A0578031CCA2CE98C66BDFBEAB0AE2721531BB54AFC6CFFA990FBD9062F41C006376C283B717FEC1BD9BB1AFB882AF91B5F4A812459D7974D1F

（补充：这里以生成 eternalcenter 的 GRUB2 SHA512 值为例）

（注意：grub.pbkdf2.sha512.10000……. 后面的一长串字母和数字其实是一行，这里因为是显示问题所以看上去是多行）

步骤二：创建 GRUB2 密码文件
2.1 给 EFI 的 CentOS & RHEL 创建 GRUB2 密码文件

echo "GRUB2_PASSWORD=grub.pbkdf2.sha512.10000.B857B79D02FF55CA3A69B8485C1A4A427424630C804CC8A89134520A34E056D7882A778F6BC8AD856CB95DF8B99BE25F9FEAD899D826BB3915FB20BAD682D10A.4A1CF49B7F815A0578031CCA2CE98C66BDFBEAB0AE2721531BB54AFC6CFFA990FBD9062F41C006376C283B717FEC1BD9BB1AFB882AF91B5F4A812459D7974D1F" > /boot/efi/EFI/redhat/user.cfg

（
补充：
1) 登录用户 root
2) 登陆密码 eternalcenter
3) 这里的 grub.pbkdf2.sha512.10000.B857B…… 是由步骤一生成的
）

（注意：这里其实只有一行，因为是显示问题所以看上去是多行）

2.2 给 BIOS 的 CentOS & RHEL 创建 GRUB2 密码文件

echo "GRUB2_PASSWORD=grub.pbkdf2.sha512.10000.B857B79D02FF55CA3A69B8485C1A4A427424630C804CC8A89134520A34E056D7882A778F6BC8AD856CB95DF8B99BE25F9FEAD899D826BB3915FB20BAD682D10A.4A1CF49B7F815A0578031CCA2CE98C66BDFBEAB0AE2721531BB54AFC6CFFA990FBD9062F41C006376C283B717FEC1BD9BB1AFB882AF91B5F4A812459D7974D1F" > /boot/grub2/user.cfg

（
补充：
1) 登录用户 root
2) 登陆密码 eternalcenter
3) 这里的 grub.pbkdf2.sha512.10000.B857B…… 是由步骤一生成的
）

（注意：这里其实只有一行，因为是显示问题所以看上去是多行）

步骤三：测试 GRUB2 Bootloader 密码
3.1 重启系统

（步骤略）

3.2 进入到 GRUB2 Bootloader 模式

当启动系统时按下 “E” 键

补充：更改 GRUB2 的登陆用户
补充一：给 EFI 的 CentOS & RHEL 更改 GRUB2 的登陆用户

# echo <user> > /boot/efi/EFI/redhat/user.cfg

补充二：给 BIOS 的 CentOS & RHEL 更改 GRUB2 的登陆用户

# echo <user> > /boot/grub2/user.cfg