Linux笔记02—Linux进阶应用

Linux系统管理命令

使用ifconfig查看网卡ip

 netstat查看网络端口号 

网络协议  接收队列数量  发送队列数量  本地地址  远程地址  网络连接的状态  创建了网络连接的应用的进程编号(唯一标识)/名字

发送队列数量长时间不为0,可能是数据处理不过来网络阻塞了。

netstat -tulpn (推荐)

netstat -ano

netstat常用选项:

查看进程&杀掉进程

 

图中又使用到了|通道,grep 是通过正则表达式对结果进行筛选

5412那一列是pid进程编号 vim test.txt那一列显示启动时使用的命令是什么

有些应用不需要进行网络通信,这时用netstat就无法查到它的pid,要用ps -ef

ps -ef  查看当前系统进程有哪些

kill -9 PID 在内存中将对应pid的进程删除(尽量使用应用程序特有的关闭方式来关闭程序,强制kill可能造成数据丢失等情况)

应用服务化

应用服务化是指让应用程序以服务方式在系统后台运行;

Linux系统对服务化应用进行统一管理;

服务管理命令:

  systemctl

systemctl常用指令

 

例子:将redis服务化,让redis随系统启动

1)查看redis的pid文件名及目录

  里面存放的是redis当前进程的pid,将redis服务化后,要对redis进行开启和关闭时要从这个文件中读取进程编号,再通过kill杀掉redis进程。

2)进入 /usr/lib/systemd/system 目录

  里面有许多.service结尾的文件,是服务描述文件,要将redis服务化,也要在这个目录中创建一个redis的服务描述文件,文件名就是默认的服务名。

  vim打开并编辑redis.service,要注意大小写。

  [Unit]

  description:描述这个服务是干嘛的

  After:在服务启动时,先启动其后的服务,再启动redis服务。大多数情况下都是图中那些

  [Service]用于服务描述

  Type: 服务运行的类型,forking表示后台运行

  PIDFile=pid文件  指向上面介绍的描述进程号的pid文件

  ExecStart=应用服务的完整路径 配置文件  表示服务启动时使用什么命令,服务启动时会调用应用服务启动配置文件

  ExecStop=:表示服务关闭时使用什么命令,利用kill命令对指定进程进行关闭。-s QUIT表示按照正常对流程通知进程关闭,推荐。-9表示强制删除进程,无法正常退出再用。

  PrivateTmp:为每个服务设置私有的tmp临时文件目录

  [Install]安装配置项

  WantedBy:将redis服务分配到multi-user.target服务组上,multi-user.target是系统默认的一个服务组,系统为它分配了一个权限,允许当前服务组中所有的服务可以随系统自动启动,只要把服务分配到这个服务组中,这个服务就会被允许随系统自动启动

    

3)重载redis.service使其生效

还在/usr/lib/systemd/system 目录下执行

systemctl daemon-reload

4)将之前自己启动的redis关闭

5)启动服务 

systemctl start redis

如果没有看到报错,表示服务在后台启动成功

6)查看redis服务启动的状态

systemctl status redis

可以看到active(running) ,表示程序是激活的并且正在运行

process后是当前redis进程号

底下是redis启动日志

7)关闭服务

systemctl stop redis

8)重启服务

 systemctl restart redis

会先关闭当前redis,再重新启动一个新的redis服务

9)让服务随系统启动

systemctl enable redis

软关联:类似windows中的快捷方式

立即重启:shutdown -r now 

这时当前的centos7连接就断开了,我们再手动重新连接上

再查看redis服务状态,发现已经随系统自动启动了

10)让服务不随着系统启动

 systemctl disable redis

在multi-usr服务组 redis的软关联(快捷方式)就被删除了,自然redis服务也不会再随着系统启动了。

11)查看当前系统都有那些服务,服务的状态,这些服务都包含了哪些信息?

systemctl list-unit-files

还可以利用通道和gref命令进行筛选 

Linux用户与权限

1)用户

Linux是多用户多任务系统,包含两个概念:用户和用户组;

用户与账户是同一概念,用于登录系统与区分资源权限;

用户让系统变得更安全,同时也保护了用户的个人数字资产。

2)用户组

用户组就是将用户分组,隶属用户自动拥有组权限;

一个用户可隶属于多个组,用户可任意切换当前组;

用户组的出现让用户权限管理变的更轻松。

3)用户与用户组常用命令

4)项目内部文件权限管理实践

假如一个项目组有三名员工:两个程序猿+一个测试,分别在研发组和测试组

1⃣️创建3个用户,并设置密码(最好8位以上,包含字母数字)

2⃣️创建两个组,将人员分配到各自组中  -g ⚠️注意是小写

3⃣️创建3个centos副本,分别用三个用户登录

查看用户隶属于哪个组,执行命令:

groups

4⃣️root用户为初始的目录进行创建和授权 

假设资源放在共享资源目录 /usr/local/share

创建各组的文件夹

ll可以查看目录的权限

第一个root列表示当前目录是哪个用户创建的(属主,拥有者,用户名) ,第二个root列表示这个目录关联的用户组是哪个

drwxr... 表示权限代码,由10位组成。权限码右边一列的数字表示权限的权重。

文件权限代表码:

红色(1~4位)表示属主的权限

黄色(5~7位)表示与属主相同用户组下的其他用户所拥有的权限 

蓝色(8~10位)表示属主所在用户组以外的其他用户拥有的权限

-表示没有对应属性

调整dev-document目录的权限:

chown 用户:组名 目录名字   更改对应文件/目录的属主或用户组

chmod 权限码 目录  改变对应目录/文件的权限

chmod 750  组用户可读写,其他用户不允许访问;7=4+2+1属主有全部权限,5=4+1所在用户组有读和执行权限,0=其他用户没有任何权限

chmod 777  所有用户拥有完整权限;

chmod 700  只有属主拥有完整权限。

设置其他用户不可访问后,其他组将没有权限查看

在目录上的w写权限,表示对目录名称修改的权限 

属主d1要创建一个文件,允许研发组所有研发人员可见:

以下是默认产生的权限

第一位是d表示是一个文件夹,-表示是文件

修改权限为770,d2也可以进行该文件的操作,但t2没有权限

给一个用户赋予多个用户组 -G ⚠️注意是大写

但对于d1用户来说,如果要是新的用户组权限对他生效,需要将系统断开重新连接

默认左边第一个是当前用户组

切换到新的用户组:

5)sudo超级管理员命令

sudo可以让普通用户拥有超级管理员的执行权限;

普通用户要进行经过超级管理员授权才能使用;

对某一用户进行sudo授权,授权命令:

visudo 查看授权文件

tips:在普通模式下输入100gg 可以快速定位到100行

进入编辑模式,在root下面一行,增加用户d1 以及相关权限信息

第一个ALL表示允许d1用户从哪个客户端上进行远程连接(可修改为主机名,这样就只有主机名一致的电脑才能远程连接d1做sudo管理员的任务)

第二个ALL表示切换用户的意思,可以切换至其他任意用户来执行某个命令

第三个ALL表示利用sudo可以执行哪些超级管理员的命令

:wq保存并退出

格式检查授权文件:

visudo -c

这时d1就有了sudo权限。

可以测试一下,默认情况下,除了系统管理员root是不能够创建其他用户的

很多拥有sudo权限的用户不希望每次使用sudo命令的时候都重新输入密码,这个可以进行配置:

在root用户上对sudo配置进行修改

执行visudo,定位至100行,在第三个ALL前增加NOPASSWD:

保存并退出

格式检查授权文件:

visudo -c

重新连接d1,直接使用sudo命令,就不用再输入密码了 

 

Centos 7 防火墙firewall

防火墙是借助硬件和软件对内外部网络环境对保护措施;(主动防御外部网络的攻击&将服务器内部的网络资源对外暴露时加以控制)

centos7基于firewall实现应用层防火墙,centos6基于iptables实现网络层防火墙;应用层设置可以更细粒度。

firewall-cmd是firewall的核心命令。

对外开放tomcat

在tomcat的bin目录中有一个核心的启动脚本程序文件:startup.sh

启动tomcat:

 

判断tomcat是否启动成功: 

那么在外部就能访问了呢?

回到虚拟机桌面,点击应用程序,打开浏览器,输入访问地址localhost:8080,可以看到在虚拟机内部本机可以正常访问

在我们自己的电脑桌面,远程访问,就无法访问到   

  虚拟机ip地址:8080 

这就是centos7防火墙设置的,默认不对外开放8080端口,只需要让防火墙放行8080端口即可

firewall-cmd

systemctl start|restart firewalld  启动防火墙

firewall0cmd --state|--reload  查看状态,重载防火墙

firewall-cmd --list-ports   查看防火墙放行的端口有哪些

firewall-cmd --zone=public --permanent --add-port=8080/tcp

  zone区域 默认防火墙区域的名字为public

  permanent产生永久变更,不加这一项表示临时更改防火墙策略

  --add-port  添加端口号

  端口号/什么协议下放行

更改好后,要重启防火墙才能生效:

firewall-cmd --reload

此时远程访问就能成功了!

移除掉放行单个端口:

firewall-cmd --zone=public --permanent --remove-port=8080/tcp 

别忘了重载firewall:firewall-cmd --reload

放行一个区域(zone)的所有端口:如放行8000~9000的端口

firewall-cmd --zone=public --permanent --add-port=8000-9000/tcp

别忘了重载firewall:firewall-cmd --reload 

移除一个区域(zone)的所有端口的放行:如移除8000~9000的端口 

firewall-cmd --zone=public --permanent --remove-port=8000-9000/tcp 

Bash Shell

什么是Shell

Shell是一个用c语言编写的脚本解释器,是用户通过代码操作Linux的桥梁(类似windows中解释.bat脚本文件的程序);

Shell脚本描述要执行的任务,完成系列复杂操作,文件通常以.sh后缀;

Shell脚本通过Shell解释器执行,按解释器分类分为多种类型。

Linux中Shell分类

Bourne Shell 最早使用的解释器  

bash  大多数Linux发行版默认的解释器,是bourne shell的升级版

其他的都用的不太多,他们都有自己独立的特性及相关语法,比如bash开发的脚本放到其他shell中可能就无法执行

目前统一用bash

一键发布Tomcat应用程序

新建一个shell文件

  vim deploy_tomcat.sh

编辑脚本:

echo 文本 运行后,屏幕上显示的文字

wget  网址   从指定网址(官网,gz安装包下载,右键复制下载链接)下载文件到当前目录

tar zxf 文件名   解压安装包

firewall-cmd --zone=public --permanent --add-port=8080/tcp    防火墙开放8080端口

firewall-cmd --reload  重载firewall 

cd ./apache-tomcat-9.0.34/bin   进入tomcat的bin目录

./startup.sh   启动tomcat

保存脚本:

:wq!

运行shell脚本:

/bin/bash 脚本名字

因为当前系统默认使用bash,可以简化执行代码如下:

./脚本名

提示权限不够?

ll查看发现

新创建的bash文件,属主只拥有读写的权利,没有执行的权利

需要再设置下权限:

chmod 755 文件名

再重新执行脚本即可:

 

综合训练

Linux部署项目

部署架构

用户通过浏览器访问➡️tomcat web服务器➡️mysql数据服务器

步骤:

需要两台虚拟服务器,分别作为tomcat web服务器和mysql数据服务器

1)mysql数据服务器

 软件选择:最小安装

但这种方式安装,很多常用命令都没有,比如ifconfig

系统安装好后,可以通过yum安装这些常用工具

就可以使用ifconfig了

2)同样的方式安装tomcat web服务器

3)在mysql服务器(centos)上安装mysql8

yum上没有mysql相关组件和应用程序,所以从mysql官网获取

官网中提供了各类仓库源,供我们安装最新版本

找到centos7对应的下载版本,点击download

找到nothanks那句话,点击右键,复制链接地址,使用wget命令进行下载

结果wget命令也不存在。。。

先用yum安装wget

重新下载mysql

使用本地的rpm文件进行应用安装

yum localinstall -y 文件名

看到已安装表示mysql8的安装源准备成功

再用yum search就能看到mysql相关组件了

这时再使用yum安装

  yum install -y mysql-community-server

但是我们在国内通过国外仓库下载可能速度会很慢,如何进行快速安装呢?

先按ctrl + c 停止安装

切换至刚刚yum下载的缓存路径

所有下载的rpm包都在里面,但由于我们刚刚中断了下载,mysql的安装包是不完整的

我们可以自己找到这些rpm文件,替换进来,这样yum在下载时看到有了就不会重复下载了,会直接进行安装

百度搜索:mysql 下载

找到mysql下载的链接,里面有各平台mysql二进制安装文件的下载路径

此时我们选择红帽企业版及对应版本

下方会出现若干备选项

 我们选择最新最完整的版本下载

在nothanks链接右键,下载

我们将这些文件替换到刚刚的缓存目录中即可

先将之前不完整的缓存文件删除,再将这些rpm文件复制进去

  疑问:既然能够下载到这些rpm为啥还要在线安装呢?

  因为除了这些rpm包以外还有许多依赖需要下载,如果直接使用这些rpm文件或使用localinstall的方式安装,就需要手动找到那些依赖找到并安装,非常大工作量且麻烦,所以目前只能用手动下载rpm 再通过yum在线安装的方式 比较妥

重新执行yum安装:

  yum install -y mysql-community-server

这样下载安装就很快了。

看到完毕,表示mysql8已经安装完成了。

启动mysql:

用rpm的方式安装,程序会以服务的形式驻留

可以用systemctl命令启动服务:

  systemctl start mysqld

  如果没有任何报错,表示服务启动成功,默认3306端口,可以用netstat -tulpn查看是否存在

查看服务状态:

  systemctl status mysqld

  

 设置mysql为开机启动:

  systemctl enable mysqld

安装好后,还不能使用,还需要默认密码,远程登录,数据库数据表初始化等的配置。

初始化Mysql 8:

mysql安装过程中会自动将密码保存到日志文件中。

默认情况下最小安装版的Linux不会提供vim指令,只有vi指令,我们可以用vi命令查看密码

  vi /var/log/mysqld.log

  /var/log 这个目录用于保存系统运行过程中的应用程序日志

可以看到mysql为root用户随机生成的一个临时密码,我们直接复制密码,退出vi编辑器

  :q

用root用户登录本机mysql

  mysql -uroot -p

回车后,粘贴上刚刚的密码(屏幕上不会显示)

再回车,进入了mysql

修改密码:

  alter user 'root'@'localhost' identified with mysql_native_password by '新密码'

  localhost表示root用户只允许用本机登录 

  新密码要求必须包含英文,数字,特殊符号,长度大于八位,且不能有连续的常见的字符串

  with mysql_native_password 兼容性考虑,mysql8对于密码进行存储时默认采用的是sha256的方式进行加密存储,早期mysql5以前的版本使用的是mysql本地密码表的方式,两者是有区别的,如果客户端使用的是navicat,没有进行及时更新,可能导致新版mysql8不兼容的情况,无法登录;增加这个参数可以让mysql8和navicat更好地兼容。

  回车,密码即变更。 

现在默认的root用户只能从本机登录,我们刚开始部署数据库时,往往需要远程连接,如何设置root可以在远程访问?

  use mysql 切换到mysql数据库

  select host,user from user; 查看主机和用户表,host表示当前用于允许在哪些计算机上登录

  update user set host='%' where user = 'root';    将host值改为%,代表任意设备都可以使用root用户来远程连接到mysql服务器。

  回车,更改成功!  

  

但如果想让root用户但权限生效还需运行一条指令,让刚刚修改的权限立即生效:

   flush privileges;

退出mysql:

  exit

放行防火墙3306端口:

  firewall-cmd --zone=public --permanent --add-port=3306/tcp

重启防火墙:

  firewall-cmd --reload

这样就可以从外部访问mysql服务器了。

使用navicat连接mysql数据库:

创建数据库,导入数据:

在当前连接创建一个新的数据库

在新数据库右键,执行sql文件

 选择sql文件,点击开始,即可将数据导入。

4)tomcat web应用服务器部署

进入tomcat服务器。

1⃣️安装jdk

tomcat是依赖java运行的,所以需要在当前系统中安装jdk或jre

可以安装开源的openjdk或标准的sun公司jdk,基本一致

文件名后的.x86_64可以省略

等待下载和安装所有的依赖。

查看java的版本和安装位置

2⃣️安装tomcat

tar zxf apache-tomcat-9.0.34.tar.gz

3⃣️应用程序部署

准备好打包好的程序war包,解压

移动这个解压好的目录到tomcat9的web-apps下

这个应用是要连接到数据库的,之前开发时默认连接的是本地的数据库,需要远程连接mybatis对数据库连接进行配置:

安装vim的公共基础包和增强包:

  yum install vim-common

  yum install vim-enhanced  (vim命令包含在这里)

vim打开配置文件:

/root  进行全文查找

修改连接属性:

 

配置tomcat运行参数:

两部分:

修改server.xml修改端口号,以及将我们的应用设置为默认的context上下文,映射到上下文路径,指向默认的根路径

/8080 搜索8080

修改配置,改为过端口80对外暴露应用

按键盘pagedown找到文件末尾,在host标签结尾前增加context标签:

启动tomcat:

将防火墙80端口放行,重启防火墙:

此时可以成功访问项目登录页:

如果能登录成功,进入系统,说明底层数据库也连接成功。

风险:任何一个主机都可以通过网络连接我们的数据库,很危险。

解决方式:对指定ip的指定端口进行放行

进入mysql服务器,关闭防火墙对3306端口对放行

更改端口放行规则:

rich-rule规则表达式,图中的意思是图上的ip向本机3306端口发送的数据包给予放行。

此时其他ip已经无法远程连接我们的数据库。

重启tomcat,应用也能正常登录访问,并没有影响web应用服务器和数据库服务器之间的通讯。

 

posted @ 2020-10-08 20:40  阿江是个程序猿  阅读(250)  评论(0编辑  收藏  举报