步骤一：生成新的 SSH 密钥
1.1 进入 ~/.ssh 目录
1.2 生成新的 SSH 密钥

步骤二：将新的 SSH 公钥拷贝到目标服务器

步骤三：更新 SSH 密钥
3.1 更新 SSH 私钥
3.1.1 备份旧有的 SSH 私钥
3.1.2 更新 SSH 私钥
3.2 更新 SSH 公钥
3.2.1 备份旧有的 SSH 公钥
3.2.2 更新 SSH 公钥

步骤四：删除目标服务器的旧有 SSH 公钥
4.1 删除目标服务器的旧有 SSH 公钥
4.2 确定目标服务器就有的 SSH 已经删除

具体的操作步骤：

步骤一：生成新的 SSH 密钥
1.1 进入 ~/.ssh 目录

# cd ~/.ssh

1.2 生成新的 SSH 密钥

# ssh-keygen -b 4096 -t rsa -C "<content>" -f "<public private key name>"

步骤二：将新的 SSH 公钥拷贝到目标服务器

# for i in `cat <server list>`;do echo $i;ssh-copy-id -i ~/.ssh/<public private key name>.pub $i;echo;done

步骤三：更新 SSH 密钥
3.1 更新 SSH 私钥
3.1.1 备份旧有的 SSH 私钥

# mv id_rsa id_rsa.backup

3.1.2 更新 SSH 私钥

# cp <public private key name> id_rsa

3.2 更新 SSH 公钥
3.2.1 备份旧有的 SSH 公钥

# mv id_rsa.pub id_rsa.pub.backup

3.2.2 更新 SSH 公钥

# cp <public private key name>.pub id_rsa.pub

步骤四：删除目标服务器的旧有 SSH 公钥
4.1 删除目标服务器的旧有 SSH 公钥

# for i in `cat <server list>`;do echo $i;ssh $i "sed -i /<old SSH key content>/d ~/.ssh/authorized_keys";echo;done

4.2 确定目标服务器就有的 SSH 已经删除

# for i in `cat <server list>`;do echo $i;ssh $i "cat ~/.ssh/authorized_keys | egrep -v '<content>'";echo;done

/grub2/i386-pc/normoal.mod not found gpt

解决方法：
步骤目录：

步骤一：挂载官方镜像

步骤二：登录拯救模式
2.1 进入拯救模式
2.2 登录拯救模式

步骤三：在救援模式确定系统的根目录分区

步骤四：在救援模式将系统的分区挂载到救援模式的 /mnt 目录
4.1 在救援模式将系统的根分区挂载到救援模式的 /mnt 目录
4.2 在救援模式将救援模式的 /dev 目录关联到救援模式的 /mnt/dev 目录
4.3 在救援模式将救援模式的 /proc 目录关联到救援模式的 /mnt/proc 目录
4.4 在救援模式将救援模式的 /sys 目录关联到救援模式的 /mnt/sys 目录
4.5 在救援模式将救援模式的 /run 目录关联到救援模式的 /mnt/run 目录

步骤五：将当前的根目录从救援模式的根目录切换到系统的根目录
5.1 将当前的根目录从救援模式的根目录切换到系统的根目录
5.2 在系统模式下确认当前的挂载状态
5.3 在系统模式下确认当前根目录下的目录

步骤六：在系统模式下修复 grub2

步骤七：重启系统

具体的操作步骤：

步骤一：挂载官方镜像

（步骤略）

步骤二：登录拯救模式
2.1 进入拯救模式

（步骤略）

2.2 登录拯救模式

rescue login:root

步骤三：在救援模式确定系统的根目录分区

（步骤略）

（
补充：
1) 物理分区可以使用 lsblk 命令和 fdisk -l 命令辅助确定
2) 逻辑分区还可以可以使用 pvs 命令和 lvs 命令辅助确定
）

步骤四：在救援模式将系统的分区挂载到救援模式的 /mnt 目录
4.1 在救援模式将系统的根分区挂载到救援模式的 /mnt 目录

tty1:rescue:~ # mount <root spartition> /mnt

（
补充：
1) 如果是物理分区，系统的根分区就在救援模式的 /dev/ 目录里，例如救援模式的 /dev/sda1
2) 如果是逻辑分区，Rocky Linux & RHEL 的系统根分区就是救援模式里的 /dev/<volume group>/<logical volume> 例如救援模式里的 /dev/vg/lv，openSUSE & SUSE 的系统根分区就是救援模式里的 /dev/mapper/<volume group>-<logical volume> 例如救援模式里的 /dev/mapper/vg-lv
）

4.2 在救援模式将救援模式的 /dev 目录关联到救援模式的 /mnt/dev 目录

tty1:rescue:~ # mount --bind /dev /mnt/dev

（补充：此时所有对救援模式的 /mnt/dev 目录的访问都会变成对救援模式的 /dev 目录的访问）

4.3 在救援模式将救援模式的 /proc 目录关联到救援模式的 /mnt/proc 目录

tty1:rescue:~ # mount --bind /proc /mnt/proc

（补充：此时所有对救援模式的 /mnt/proc 目录的访问都会变成对救援模式的 /proc 目录的访问）

4.4 在救援模式将救援模式的 /sys 目录关联到救援模式的 /mnt/sys 目录

tty1:rescue:~ # mount --bind /sys /mnt/sys

（补充：此时所有对救援模式的 /mnt/sys 目录的访问都会变成对救援模式的 /sys 目录的访问）

4.5 在救援模式将救援模式的 /run 目录关联到救援模式的 /mnt/run 目录

tty1:rescue:~ # mount --bind /run /mnt/run

（补充：此时所有对救援模式的 /mnt/run 目录的访问都会变成对救援模式的 /run 目录的访问）

步骤五：将当前的根目录从救援模式的根目录切换到系统的根目录
5.1 将当前的根目录从救援模式的根目录切换到系统的根目录

tty1:rescue:~ /bash # chroot /mnt

（补充：这里以 /mnt 作为系统根目录为例）

5.2 在系统模式下确认当前的挂载状态

bash-4.3# mount -a

5.3 在系统模式下确认当前根目录下的目录

bash-4.3# ls
bin boot dev home lib lib64 mnt opt proc root run sbin selinux srv sys tmp usr var

步骤六：在系统模式下修复 grub2

bash-4.3# grub2-install /dev/sda

步骤七：重启系统

bash-4.3# reboot

# useradd monitor

（补充：这里以创建 monitor 用户为例）

1.2 清空用于自动登录用户的密码

# passwd -d monitor

（补充：这里以清空 monitor 用户的密码为例）

步骤二： 设置 Linux 用户开机自动登录

如果是 Rocky Linux & RHEL：

# vim /etc/gdm/custom.conf

在：

......
[daemon]
......

下面添加以下内容：

......
AutomaticLoginEnable=True
AutomaticLogin=monitor
......

如果是 openSUSE & SUSE：

# vim /etc/gdm/custom.conf

将以下内容：

......
DISPLAYMANAGER_AUTOLOGIN=""
......

修改为：

......
DISPLAYMANAGER_AUTOLOGIN="monitor"
......

（补充：这里以设置 monitor 用户开机自动登录为例）

步骤三：重启系统

# reboot

# echo $SHELL
/bin/bash

步骤二：设置多久以后会自动退出

# export TMOUT=30

（补充：这里以设置 30 秒后会自动退出为例）

内容一：Xfce 图形桌面
1.1 Xfce 的安装方法
1.2 Xfce 的简介
1.3 Xfce 的展示和介绍网站

内容二：LXDE 图形桌面
2.1 LXDE 的安装方法
2.2 LXDE 的简介
2.3 LXDE 的展示和介绍网站

内容三：LXQt 图形桌面
3.1 LXQt 的安装方法
3.2 LXQt 的简介
3.3 LXQt 的展示和介绍网站

内容四：Cinnamon 图形桌面
4.1 Cinnamon 的安装方法
4.2 Cinnamon 的简介
4.3 Cinnamon 的展示和介绍网站

内容五：MATE 图形桌面
5.1 MATE 的安装方法
5.2 MATE 的简介
5.3 MATE 的展示和介绍网站

内容六：Sugar 图形桌面

内容七：Deepin 图形桌面

内容八：i3 图形桌面
8.1 i3 的安装方法
8.2 i3 的简介
8.3 i3 的展示和介绍网站

内容九：Basic 图形桌面

内容十：Pantheon 图形桌面

内容十一：KDE 图形桌面

内容十二：GNOME 图形桌面

具体的内容：

内容一：Xfce 图形桌面
1.1 Xfce 的安装方法

# dnf install @xfce-desktop-enviroment

或者：

# yum groupinstall "Xfce Desktop"

或者：

# dnf group install -y "Xfce Desktop"

1.2 Xfce 的简介

Fedora Xfce 定制版展示了 Xfce 桌面，Xfce 桌面追求快速和轻巧，同时用户界面友好并有精彩的视觉盛宴。

1.3 Xfce 的展示和介绍网站

https://spins.fedoraproject.org/xfce/

内容二：LXDE 图形桌面
2.1 LXDE 的安装方法

# dnf install @lxde-desktop

或者：

# yum groupinstall "LXDE Desktop"

或者：

# dnf group install -y "LXDE Desktop"

2.2 LXDE 的简介

LXDE，全名为“轻量级 X11 桌面环境”，是一款极速轻快、实用而且低功耗的桌面环境。

2.3 LXDE 的展示和介绍网站

https://spins.fedoraproject.org/lxde/

内容三：LXQt 图形桌面
3.1 LXQt 的安装方法

# dnf install @lxqt-desktop

或者：

# yum groupinstall "LXQt Desktop"

或者：

# dnf group install -y "LXQt Desktop"

3.2 LXQt 的简介

Fedora LXQt 提供了一个轻量、完整的 LXQt 桌面环境。

3.3 LXQt 的展示和介绍网站

https://spins.fedoraproject.org/zh_Hans_CN/lxqt/

内容四：Cinnamon 图形桌面
4.1 Cinnamon 的安装方法

# dnf install @cinnamon-desktop

或者：

# yum groupinstall "Cinnamon Desktop"

或者：

# dnf group install -y "Cinnamon Desktop"

4.2 Cinnamon 的简介

Cinnamon 是一种提供高级创新功能并且尊重传统的用户习惯的Linux桌面环境。

4.3 Cinnamon 的展示和介绍网站

https://spins.fedoraproject.org/cinnamon/

内容五：MATE 图形桌面
5.1 MATE 的安装方法

# dnf install @mate-desktop

或者：

# yum groupinstall "MATE Desktop"

或者：

# dnf group install -y "MATE Desktop"

5.2 MATE 的简介

MATE Compiz 是一款轻量、强大，专为高效率和高性能打造的桌面环境。

5.3 MATE 的展示和介绍网站

https://spins.fedoraproject.org/mate-compiz/

内容六：Sugar 图形桌面

Sugar 的安装方法

# yum groupinstall "Sugar Desktop Environment"

或者：

# dnf group install -y "Sugar Desktop Environment"

内容七：Deepin 图形桌面

Deepin 的安装方法

# yum groupinstall "Deepin Desktop"

或者：

# dnf group install -y "Deepin Desktop"

内容八：i3 图形桌面
8.1 i3 的安装方法

# yum groupinstall "i3 desktop"

或者：

# dnf group install -y "i3 desktop"

8.2 i3 的简介

Fedora i3 定制版提供了流行的 i3 平铺窗口管理器。其使得 i3 对于那些不想用鼠标、触摸板，或是其他指点设备的无论是新手还是高级用户都易于访问且更具吸引力。

8.3 i3 的展示和介绍网站

https://spins.fedoraproject.org/i3/

内容九：Basic 图形桌面

Basic 的安装方法

# yum groupinstall "Basic Desktop"

或者：

# dnf group install -y "Basic Desktop"

内容十：Pantheon 图形桌面

Pantheon 的安装方法

# yum groupinstall "Pantheon Desktop"

或者：

# dnf group install -y "Pantheon Desktop"

内容十一：KDE 图形桌面

KDE 的安装方法

# dnf install @KDE-desktop

或者：

# yum groupinstall "KDE Plasma Workspaces"

或者：

# dnf group install -y "KDE Plasma Workspaces"

内容十二：GNOME 图形桌面

GNOME 的安装方法

# dnf install @gnome

或者：

# yum groupinstall "GNOME"

或者：

# dnf group install -y "GNOME"

94.140.14.14
94.140.14.15
94.140.15.15
94.140.15.16

Cloudflare

1.0.0.1
1.0.0.2
1.0.0.3
1.1.1.1
1.1.1.2
1.1.1.3

COMODO

8.20.247.20
8.26.56.26

DNS Watch

84.200.69.80
84.200.70.40

Dyn

216.146.35.35
216.146.36.36

Level 3

209.244.0.3
209.244.0.4

Neustar

156.154.70.1
156.154.71.1

FreeDNS

37.235.1.174
37.235.1.177

Google

8.8.4.4
8.8.8.8

OpenDNS

208.67.220.220
208.67.222.222

SAFEDNS

195.46.39.39
195.46.39.40

Symantec

199.85.126.10
199.85.137.10

ssh 远程某台服务器时很慢，但是 ping 时延迟却很低。这可能是 DNS 解析出现问题造成的，禁用服务器上 sshd 的 GSSAPIAuthentication 参数和 UseDNS 参数可以解决，这两个参数的作用是：
1) GSSAPIAuthentication，当服务器的 sshd 服务此参数处于开启状态时，客户端 SSH 登录此服务器时，客户端会对服务器的 IP 地址进行 PTR 反解析，获得服务器的域名，再通过服务器的域名对服务器进行 DNS A 正向 IP 地址解析，通过此方法来防止欺骗。
2) UseDNS，当服务器的 sshd 服务此参数处于开启状态时，客户端 SSH 登录此服务器时，服务器会对客户端的 IP 地址进行反解析，获得客户端的域名，再通过客户端的域名对客户端进行 DNS A 正向 IP 地址解析，通过此方法来防止欺骗。

解决方法：

步骤一：修改 SSH 的配置文件

# vim /etc/ssh/sshd_conf

将以下内容：

......
UseDNS yes
......
GSSAPIAuthentication yes
......

修改为：

......
UseDNS no
......
GSSAPIAuthentication no
......

步骤二：让修改的 SSH 配置文件生效

# systemctl restart sshd

[error] [/etc/authselect/system-auth] has unexpected content!
[error] [/etc/authselect/password-auth] has unexpected content!
[error] Unexpected changes to the configuration were detected.
[error] Refusing to activate profile unless those changes are removed or overwrite is requested.

或者：

[error] [/etc/authselect/system-auth] has unexpected content!
[error] Unexpected changes to the configuration were detected.
[error] Refusing to activate profile unless those changes are removed or overwrite is requested.

或者：

[error] [/etc/authselect/password-auth] has unexpected content!
[error] Unexpected changes to the configuration were detected.
[error] Refusing to activate profile unless those changes are removed or overwrite is requested.

分析：

/etc/authselect/system-auth 文件或 /etc/authselect/password-auth 文件是不应该被手动修改的，如果被手动修改了，再使用 authselect select sssd 命令或者 authselect apply-changes 命令时则会有此类报错

解决方法：

# authselect apply-changes

（注意：此方法会刷新 /etc/authselect/system-auth 文件和 /etc/authselect/password-auth 文件里的所有内容）

在提高触发 Kdump 的几率之前要先开启 Kdump：

正文：

步骤一：配置提高触发 Kdump 几率的参数
1.1 配置提高触发 Kdump 几率的参数

# vim /etc/sysctl.conf

添加以下内容：

......
kernel.softlockup_panic = 1

1.2 让刚刚配置的参数生效

# sysctl -p

（注意：此时每有一次软锁都会触发 Kdump）

步骤二：当 Kdmup 触发后分析奔溃的信息

步骤三；删除提高触发 Kdump 几率的参数 （重要）
3.1 删除提高触发 Kdump 几率的参数 （重要）

# vim /etc/sysctl.conf

删除以下内容：

......
kernel.softlockup_panic = 1

3.2 让刚刚删除参数的配置生效 （重要）

# sysctl -p

（注意：此时每有一次软锁都会触发 Kdump）

参考文献：

https://www.suse.com/support/kb/doc/?id=000019217

在分析 Kdump 内核奔溃信息之前要先开启 Kdump：

正文：

步骤一：确保 crash 和 kernel-debuginfo 两个软件包已安装

# rpm -qa | grep "crash|kernel-debug"

（注意：如果 crash 和 kernel-debuginfo 两个软件包已安装的话，这里会有 crash 和 kernel-debuginfo 信息的显示）

步骤二：进入存放 KDUMP 内核奔溃信息的目录

# cd /var/crash/<date>/

步骤三：解析 KDUMP 生成内核崩溃信息

# crash vmlinux-2.6.32.12-0.7-default vmcore

（补充：这里以使用 2.6.32.12-0.7-default 版本的 kernel-debuginfo 解析为例）

步骤四：确认生成了 vmlinux-2.6.32.12-0.7-default.gz 压缩包

# ls vmlinux-2.6.32.12-0.7-default.gz

（注意：如果这里生成了 vmlinux-2.6.32.12-0.7-default.gz 压缩包的话，这里会有 vmlinux-2.6.32.12-0.7-default.gz 信息的显示）

（补充：这里以确认 2.6.32.12-0.7-default 版本的 kernel-debuginfo 生成的压缩包为例）

步骤五：解压 vmlinux-2.6.32.12-0.7-default.gz 压缩包

# gzip -d vmlinux-2.6.32.12-0.7-default.gz

（补充：这里以解压 2.6.32.12-0.7-default 版本的 kernel-debuginfo 生成的压缩包为例）

步骤六：分析 KDUMP 生成的内核奔溃信息

（步骤略）

watchdog: Bug: soft lockup - CPU......

分析：

当 CPU 的负载过高时，一个 CPU 在运行某一个进程时，在内核模式下超过 20 秒没有回应，则看门狗程序会将系统所有 CPU 软锁住，然后会让这些 CPU 显示各自正在运行的进程堆栈跟踪

缓解方法：

延长看门狗等待 CPU 内核模式下的回应时间

方法一：通过 /proc/sys/kernel/watchdog_thresh 文件提高看门狗软所 CPU 的时间

# echo 20 > /proc/sys/kernel/watchdog_thresh

（补充：这里以将看门狗的值提高到为 20 为例，也可以根据自己的需求提高更多，默认值为 10）

方法二：通过新建文件提高看门狗软所 CPU 的时间
2.1 通过新建文件提高看门狗软所 CPU 的时间

# echo "kernel.watchdog_thresh=20" > /etc/sysctl.d/99-watchdog_thresh.conf

（补充：这里以将看门狗的值提高到为 20 为例，也可以根据自己的需求提高更多，默认值为 10）

2.2 让新建文件立刻生效

# sysctl -p  /etc/sysctl.d/99-watchdog_thresh.conf

深究方法：

开启 Kdump，等此报错再次发生时分析 Kdump 在内核崩溃时搜集信息 vmcore

1) DEFAULT 不严格的安全等级，可以让系统使用 TLSv1.2
2) FUTURE 严格的安全等级，只能让系统使用 TLSv1.2 不能使用 TLSv1.3

内容二：显示当前的 update-crypto-policies 参数

# update-crypto-policies --show
DEFAULT

（补充：从这里可以看出目前的 update-crypto-policies 参数是 DEFAULT）

内容三：设置 update-crypto-policies 参数

# update-crypto-policies --set=FUTURE

（补充：这里以将 update-crypto-policies 参数设置为 FUTURE 为例）

curl: (35) error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure

分析：

Rocky Linux 8 & RHEL 8 已经默认废弃 TLSv1.2
可以使用 TLSv1.3 替代 TLSv1.2 或者将 update-crypto-policies 参数设置为 DEFAULT 以解决此报错

解决方法：

步骤一：显示当前的 update-crypto-policies 参数

# update-crypto-policies --show
FUTURE

（补充：从这里可以看出目前的 update-crypto-policies 参数是 FUTURE）

步骤二：将 update-crypto-policies 参数设置为 DEFAULT

# update-crypto-policies --set=DEFAULT

（补充：这里以将 update-crypto-policies 参数设置为 DEFAULT 为例）

# vim /etc/sudoers

添加以下内容：

……
zhumingyu ALL=(ALL) /usr/bin/mysql

（补充：这里以给用户 zhumingyu 添加 /usr/bin/mysql 命令为例）

步骤二：设置用户使用自己的密码实现 sudo 提权

# vim /etc/sudoers

在

......
env_reset
......

这一行下面添加：

......
Defaults env_keep += "http_proxy https_proxy"
......

（补充：这里以允许用户在进行 sudo 提权的同时也能使用 http_proxy、https_proxy 为例）

步骤一：背景了解

步骤二：设置 SSH 的登录限制
2.1 在 sshd 中开启 UsePAM
2.1.1 修改 sshd 的配置文件
2.1.2 让修改的 sshd 配置文件生效
2.2 确保 /etc/pam.d/login 包含 password-auth
2.3 添加 pam_faillock 模块

步骤三：远程登录密码输错次数的用户管理
3.1 显示某个用户近期输错了几次密码
3.2 重制所有远程登录密码输错次数

具体的操作步骤：

步骤一：背景了解

从 CentOS Linux 8 & RHEL 8 开始，系统的身份验证模块从 CentOS Linux 7 & RHEL 7 的 pam_tally2 换成了 pam_faillock

步骤二：设置 SSH 的登录限制
2.1 在 sshd 中开启 UsePAM
2.1.1 修改 sshd 的配置文件

# vim /etc/ssh/sshd_config

将以下内容：

......
#UsePAM no
......

修改为：

......
UsePAM yes
......

2.1.2 让修改的 sshd 配置文件生效

# systemctl restart sshd

2.2 确保 /etc/pam.d/login 包含 password-auth

# cat /etc/pam.d/login | grep password-auth
auth       substack     password-auth
account    include      password-auth
password   include      password-auth
session    include      password-auth

（注意：如果输出结果中不包含这 4 条内容则需要手动添加）

2.3 添加 pam_faillock 模块

# vim /etc/pam.d/password-auth

在

......
auth required pam_env.so
......

这一行下面添加：

......
auth  required  pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180
......

在

auth sufficient pam_unix.so try_first_pass nullok

这一行下面添加：

......
auth  [default=die] pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180
......

在

account required pam_unix.so

这一行下面添加：

......
account required pam_faillock.so
......

（补充：这里以包括 root 用户每使用密码 ssh 远程登录失败 6 次则被锁定 180 秒为例）

步骤三：远程登录密码输错次数的用户管理
3.1 显示某个用户近期输错了几次密码

# faillock --user root

（补充：这里以显示 root 用户近期输错了几次密码为例）

3.2 重制所有登录密码输错次数

# faillock --reset

步骤一：了解背景

步骤二：设置 SSH 的登录限制
2.1 在 sshd 中开启 UsePAM
2.1.1 修改 sshd 的配置文件
2.1.2 让修改的 sshd 配置文件生效
2.2 确保 /etc/pam.d/sshd 包含 password-auth

步骤三：检查是否选择了 authselect 自定义认证

步骤四：配置认证
4.1 如果 authselect 自定义认证存在
4.1.1 修改 system-auth 文件
4.1.2 修改 password-auth 文件
4.2 如果 authselect 自定义认证不存在
4.2.1 生成新的自定义认证
4.2.1.1 备份当前的自定义认证
4.2.1.2 创建新的自定义认证
4.2.1.3 选择自定义认证
4.2.1.4 显示当前选择的自定义认证
4.2 修改自定义认证
4.2.1 修改 system-auth 文件
4.2.2 修改 password-auth 文件

步骤五：让配置的认证生效

步骤六：管理远程登录密码输错次数的用户
6.1 显示某个用户近期输错了几次密码
6.2 重制所有远程登录密码输错次数

具体的操作步骤：

步骤一：了解背景

从 CentOS Linux 8 & RHEL 8 开始，系统的身份验证模块从 CentOS Linux 7 & RHEL 7 的 pam_tally2 换成了 pam_faillock

步骤二：设置 SSHd 的登录限制
2.1 在 sshd 中开启 UsePAM
2.1.1 修改 sshd 的配置文件

# vim /etc/ssh/sshd_config

将以下内容：

......
#UsePAM no
......

修改为：

......
UsePAM yes
......

2.1.2 让修改 sshd 配置文件生效

# systemctl restart sshd

2.2 确保 /etc/pam.d/sshd 包含 password-auth

# cat /etc/pam.d/sshd | grep password-auth
auth       substack     password-auth
account    include      password-auth
password   include      password-auth
session    include      password-auth

（注意：如果输出结果中不包含这 4 条内容则需要手动添加）

步骤三：检查是否选择了 authselect 自定义认证

# authselect current | awk 'NR == 1 {print $3}' | grep custom/
custom/password-policy

（
补充：
（1）如果这条命令里没有输出则代表没有选择自定义认证
（2）从这里的输出结果可以看出这里选择的自定义认证是 custom/password-policy
）

步骤四：配置认证
4.1 如果 authselect 自定义认证存在
4.1.1 修改 system-auth 文件

# vim /etc/authselect/custom/password-policy/system-auth

将以下内容：

......
auth        required                                     pam_faillock.so preauth silent                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail                               {include if "with-faillock"}
......

修改为：

......
auth        required                                     pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......

（补充：这里以包括 root 用户每使用密码 ssh 远程登录失败 6 次则被锁定 180 秒为例）

4.1.2 修改 password-auth 文件

# vim /etc/authselect/custom/password-policy/password-auth

将以下内容：

......
auth        required                                     pam_faillock.so preauth silent                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail                               {include if "with-faillock"}
......

修改为：
......
auth        required                                     pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......

（补充：这里以包括 root 用户每使用密码 ssh 远程登录失败 6 次则被锁定 180 秒为例）

4.2 如果 authselect 自定义认证不存在
4.2.1 生成新的自定义认证
4.2.1.1 备份当前的自定义认证

# authselect apply-changes -b --backup=sssd.backup

（补充：这里以创建 sssd.backup 备份文件为例）

4.2.1.2 创建新的自定义认证

# authselect create-profile password-policy -b sssd --symlink-meta --symlink-pam

（补充：这里以生成名为 password-policy 的自定义认证为例）

4.2.1.3 选择自定义认证

# authselect select custom/password-policy with-sudo with-faillock without-nullok with-mkhomedir

（
补充：
1) 这里以选择名为 password-policy 的自定义认证为例
2) 这里设置了 with-sudo、with-faillock、without-nullok 和 with-mkhomedir 参数
）

4.2.1.4 显示当前选择的自定义认证

# authselect current

（补充：这里以生成并选择名为 password-policy 的自定义认证为例）

4.2 修改自定义认证
4.2.1 修改 system-auth 文件

# vim /etc/authselect/custom/password-policy/password-auth

将以下内容：

......
auth        required                                     pam_faillock.so preauth silent                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail                               {include if "with-faillock"}
......

修改为：

......
auth        required                                     pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......

（补充：这里以包括 root 用户每使用密码 ssh 远程登录失败 6 次则被锁定 180 秒为例）

4.2.2 修改 password-auth 文件

# vim /etc/authselect/custom/password-policy/password-auth

将以下内容：

......
auth        required                                     pam_faillock.so preauth silent                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail                               {include if "with-faillock"}
......

修改为：

......
auth        required                                     pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......

（补充：这里以包括 root 用户每使用密码 ssh 远程登录失败 6 次则被锁定 180 秒为例）

步骤五：让配置的认证生效

# authselect apply-changes

（注意：此步骤会刷新 /etc/authselect/system-auth 文件和 /etc/authselect/password-auth 文件）

步骤六：管理远程登录密码输错次数的用户
6.1 显示某个用户近期输错了几次密码

# faillock --user root

（补充：这里以显示 root 用户近期输错了几次密码为例）

6.2 重制所有远程登录密码输错次数

# faillock --reset

# set <Value of the first position variable> <Value of the second location variable> ......

1.2 设置 Shell 的执行方式

# set <parameter>

或者：

# set <parameter> +o

或者：

# set <parameter> -o

（补充：+o 代表打开特殊属性，-o 代表结束特殊属性）

内容二： set 的常用参数

1) -a 将已修改的变量进行标记，为将其输出至环境变量做准备
2) -b 让被中止的后台进程立刻显示退出状态代码
3) -d 取消使用杂凑表记忆中使用过的指令
4) -e 若退出状态代码不为 0 （正常退出）则立即退出，并显示错误原因
5) -f 取消通配符
6) -h 默认自动记录函数位置
7) -k 让命令的参数为此命令的环境变量
8) -l 默认自动记录 for 循环变量名
9) -m 监视模式
10) -n 测试模式（只读取不执行）
11) -p 优先顺序模式
12) -P 让文件或目录代替符号链接
13) -t 让随后的命令执行后立即退出
14) -u 使用未定义的变量时显示错误信息
15) -v 显示输入值
16) -H shell 使用感叹号 “!” + 号码的方式调用 history 命令中的历史命令
17) -x 命令指向前先显示此命令的参数或变量

（补充：将以上参数前面的 – 换成 + 则会变成相反的效果）

# cp /usr/bin/rm  /usr/bin/rm.original

步骤二：创建一个记录 rm 命令使用的脚本

# cat /usr/bin/rm
#!/bin/bash
log=/var/log/rm_command.log
echo "The $$ is calling rm command" >> $log
echo "The full command is $*" >> $log
echo
echo "now use this command to get more information: /bin/ps axwwo user,pid,ppid,%cpu,%mem,vsz,rss,stat,time,cmd" >>$log
/bin/ps axwwo user,pid,ppid,%cpu,%mem,vsz,rss,stat,time,cmd >>$log
/usr/bin/rm.original $*
echo "============================================================" >>$log

步骤三：给记录 rm 命令使用的脚本执行权限

# chmod 755 /usr/bin/rm.original

步骤四：下次使用 rm 命令后就可以监控 /var/log/rm_command.log 日志了

（步骤略）

将以下内容：

......
multiversion.kernels = latest,latest-1,running
......

修改为：

......
multiversion.kernels = latest,latest-1,latest-2,latest-3,running
......

（补充：这里以使用 zypper 升级内核时保留内核的数量从 3 个增加到 5 个为例）