跳转至

34. 术语表

本章汇整全套教程及 RHCE(EX294)考试中的核心术语,按字母序排列,每条术语包含:定义说明、典型命令示例、所属章节引用,以及快速验证方法。可作为日常运维速查手册使用。


34.1 核心术语表(A–Z)

A

Ansible

无代理自动化配置管理工具,通过 SSH 连接目标主机,使用 YAML 格式的 Playbook 实现幂等化的配置管理与应用部署。RHCE(EX294)考试核心工具。

ansible all -m ping                          # 测试连通性
ansible-playbook site.yml --syntax-check     # 语法检查
ansible-playbook site.yml --check --diff     # 模拟执行

参考:第 26、27、32、33 章。


ansible-vault

Ansible 内置的加密工具,用于加密敏感数据(密码、密钥、Token 等),防止明文暴露在 Playbook 或版本库中。

ansible-vault create vault/secrets.yml       # 创建加密文件
ansible-vault edit   vault/secrets.yml       # 编辑加密文件
ansible-playbook site.yml --ask-vault-pass   # 执行时解密

参考:第 27 章。


auditd

Linux 内核级审计框架守护进程,记录系统调用、文件访问和用户操作事件,是等保合规和安全审计的核心组件。

systemctl enable --now auditd
auditctl -l                                  # 查看当前审计规则
ausearch -m avc -ts recent                   # 查看 SELinux 拒绝事件
aureport --summary                           # 生成审计摘要报告

参考:第 12 章。


C

cgroups(Control Groups)

Linux 内核特性,用于限制、统计和隔离进程组对 CPU、内存、I/O 等资源的使用。systemd 通过 cgroups v2 对所有服务进行资源控制。

systemd-cgtop                                # 实时查看 cgroup 资源占用
systemd-cgls                                 # 查看 cgroup 层级树

参考:第 10、13 章。


chrony / chronyd

RHEL 9 默认的 NTP 时间同步守护进程,替代旧版 ntpd,专为间歇性网络和虚拟机环境优化,支持快速时钟校正。

systemctl enable --now chronyd
chronyc sources -v                           # 查看时间源状态
chronyc tracking                             # 查看同步精度
timedatectl set-timezone Asia/Shanghai       # 设置时区为 UTC+8

参考:第 8 章。


D

dnf(Dandified YUM)

RHEL 9 默认包管理器,支持模块化软件流(AppStream)、依赖解析、事务历史与回滚。

dnf install -y httpd                         # 安装软件包
dnf update --security -y                     # 仅安装安全更新
dnf history                                  # 查看事务历史
dnf history undo <ID>                        # 回滚指定事务
dnf module list                              # 查看 AppStream 模块

参考:第 7 章。


DKIM(DomainKeys Identified Mail)

邮件安全协议,发信时用私钥对邮件签名,收信方通过 DNS 中的公钥验证签名,确认邮件内容未被篡改且来源合法。

opendkim-genkey -s mail -d linuxdc.local \
  -D /etc/opendkim/keys/linuxdc.local/
cat /etc/opendkim/keys/linuxdc.local/mail.txt  # 查看待添加的 DNS 公钥

参考:第 22 章。


F

fail2ban

入侵防护工具,监控日志文件中的失败认证事件,达到阈值后通过 firewalld/iptables 自动封禁对应 IP,有效防御暴力破解。

systemctl enable --now fail2ban
fail2ban-client status sshd                  # 查看 SSH jail 状态
fail2ban-client set sshd unbanip <IP>        # 手动解封 IP

参考:第 12 章。


firewalld

RHEL 9 默认的动态防火墙管理服务,基于 zone 和 nftables 后端,支持服务名、端口、富规则等多种规则类型,运行时规则与持久化规则分离设计。

firewall-cmd --permanent --add-service=http  # 永久开放服务
firewall-cmd --permanent --add-port=2222/tcp # 永久开放端口
firewall-cmd --reload                        # 重载使永久规则生效
firewall-cmd --list-all                      # 查看当前所有规则

参考:第 3、14 章。


G

Git

分布式版本控制系统,用于代码和配置文件的版本管理,是 Infrastructure as Code(IaC)和 CI/CD 流水线的基础工具。

git config --global user.name  "Your Name"
git config --global user.email "email@example.com"
git init && git add . && git commit -m "feat: initial commit"
git push origin main

参考:第 30 章。


grubby

RHEL 9 官方内核引导管理工具,用于查看和设置默认引导内核,是内核版本切换与回滚的标准操作工具,不应直接编辑 grub.cfg

grubby --info=ALL                            # 查看所有已安装内核
grubby --default-kernel                      # 查看当前默认内核
grubby --set-default /boot/vmlinuz-<version> # 切换默认内核

参考:第 11、29 章。


I

Image Builder(osbuild-composer)

Red Hat 官方镜像构建工具,通过 Blueprint(TOML 格式蓝图)定义目标系统内容,构建输出多种格式(ISO、QCOW2、AMI、容器镜像等)的可直接部署系统镜像,适合云和不可变基础设施场景。

systemctl enable --now osbuild-composer.socket
composer-cli blueprints push blueprint.toml  # 推送蓝图
composer-cli compose start blueprint-name iso # 启动构建
composer-cli compose status                  # 查看构建状态

参考:第 28 章。


IPsec / Libreswan

基于 IKEv2 协议的 VPN 实现,用于两个固定网络节点之间建立加密隧道(站点到站点 VPN),RHEL 9 官方推荐方案,用户完全透明,无需客户端软件。

systemctl enable --now ipsec
ipsec auto --up site-to-site                 # 建立隧道
ipsec status                                 # 查看隧道状态
ipsec verify                                 # 配置诊断

参考:第 23 章。


J

journald / journalctl

systemd 的结构化日志守护进程与查询工具,收集来自内核、系统服务和应用的所有日志,支持按服务、优先级、时间范围等多维过滤。

journalctl -u sshd -f                        # 实时追踪服务日志
journalctl -p err -b                         # 本次启动的错误日志
journalctl --since "1 hour ago"              # 最近 1 小时日志
journalctl --vacuum-time=30d                 # 清理 30 天前的日志

参考:第 10、18 章。


K

Keepalived

基于 VRRP 协议的高可用工具,通过心跳检测在主备节点间协商,主节点宕机时虚拟 IP(VIP)自动漂移到备节点,实现服务地址的透明切换,配置简单,适合双机热备场景。

systemctl enable --now keepalived
ip addr show ens33 | grep <VIP>              # 验证 VIP 绑定状态
journalctl -u keepalived -n 30              # 查看日志

参考:第 24 章。


Kickstart

Red Hat 无人值守安装技术,通过文本配置文件定义完整的安装流程(分区方案、网络配置、软件包选择、安装前后脚本),配合 PXE 网络引导实现裸机批量自动部署。

dnf install -y pykickstart
ksvalidator /var/www/html/ks.cfg             # 验证配置语法
curl http://192.168.1.100/ks.cfg             # 验证 HTTP 可访问

参考:第 28 章。


L

LVM(Logical Volume Manager)

Linux 逻辑卷管理框架,在物理磁盘之上提供灵活的存储抽象层,支持在线扩容、快照、跨磁盘卷组扩展等企业级存储特性,是 RHEL 生产环境的标准存储方案。

pvcreate /dev/sdb1                           # 创建物理卷
vgcreate datavg /dev/sdb1                   # 创建卷组
lvcreate -L 10G -n datalv datavg            # 创建逻辑卷
lvextend -L +5G /dev/datavg/datalv          # 在线扩容逻辑卷
xfs_growfs /mnt/data                         # 同步扩展 XFS 文件系统
pvs && vgs && lvs                            # 查看 LVM 整体状态

参考:第 15 章。


N

NetworkManager

RHEL 9 唯一受官方支持的网络管理服务,配置文件存储于 /etc/NetworkManager/system-connections/(keyfile 格式),提供 nmcli(命令行脚本化)和 nmtui(文本交互)两种管理界面。

nmcli connection show                        # 查看所有网络连接
nmcli connection modify ens33 \
  ipv4.method manual \
  ipv4.addresses 192.168.1.100/24 \
  ipv4.gateway   192.168.1.1 \
  ipv4.dns       "8.8.8.8 8.8.4.4"
nmcli connection up ens33                    # 激活连接使配置生效

参考:第 3 章。


NFS(Network File System)

Linux 原生网络文件共享协议,RHEL 9 默认使用 NFSv4,支持 TCP 传输、Kerberos 认证,适合 Linux 节点间的高效文件共享,性能优于 Samba。

systemctl enable --now nfs-server
exportfs -arv                                # 应用并验证导出配置
showmount -e localhost                       # 查看服务端导出列表
mount -t nfs -o vers=4 192.168.1.100:/share /mnt/nfs  # 客户端挂载

参考:第 16 章。


O

OpenVPN

基于 SSL/TLS 的 VPN 实现,适合远程用户通过客户端软件安全接入企业内网(远程访问 VPN),使用 Easy-RSA PKI 体系管理证书,每位用户独立证书,管理灵活。

systemctl enable --now openvpn-server@server
ss -uln | grep 1194                          # 验证 UDP 1194 监听
journalctl -u openvpn-server@server -f       # 实时日志

参考:第 23 章。


P

Pacemaker / Corosync

企业级集群资源管理框架,Corosync 提供节点间心跳通信和成员关系管理,Pacemaker 在此基础上实现资源(服务、VIP、存储)的自动故障切换,支持复杂约束关系,是 RHEL 官方高可用解决方案。

pcs cluster setup ha-cluster node1 node2
pcs cluster start --all
pcs resource create vip ocf:heartbeat:IPaddr2 \
  ip=192.168.1.200 cidr_netmask=24
pcs status                                   # 查看集群整体状态

参考:第 24 章。


Podman

RHEL 9 默认容器引擎,无守护进程(daemonless)架构,支持 rootless 运行模式(以普通用户身份运行容器),完全兼容 Docker CLI 命令语法,是 Red Hat 官方推荐的 Docker 替代方案。

podman run -d --name web01 -p 8080:8080 \
  -v /data/html:/var/www/html:Z \
  registry.access.redhat.com/ubi9/httpd-24
podman ps -a                                 # 查看所有容器
podman generate systemd --name web01 \
  --files --new                              # 生成 systemd 服务文件

参考:第 25 章。


Postfix

RHEL 9 默认的 MTA(邮件传输代理),实现 SMTP 协议的邮件发送和中继,支持 SASL 认证和 TLS 加密,是企业内部邮件服务和中继网关的标准选择。

systemctl enable --now postfix
postconf -n                                  # 查看所有非默认配置参数
postqueue -p                                 # 查看当前邮件队列
tail -f /var/log/maillog                     # 实时追踪邮件日志

参考:第 22 章。


Prometheus

开源时序监控系统,通过拉取(pull)模式定期从各 Exporter 采集 metrics 指标,支持 PromQL 灵活查询,配合 Alertmanager 发送告警,配合 Grafana 实现可视化大盘。

systemctl enable --now prometheus
curl -s http://localhost:9090/api/v1/targets \
  | python3 -m json.tool | grep '"health"'   # 查看抓取目标状态
systemctl reload prometheus                  # 热重载告警规则

参考:第 18、19 章。


R

rsync

增量文件同步工具,通过 SSH 或本地路径传输文件,只传输发生变化的部分(增量算法),是 Linux 环境最常用的备份和数据镜像工具。

rsync -avh --delete /etc /backup/etc/        # 本地增量备份
rsync -avhz /data/ ops@192.168.1.200:/backup/ # 远程加密备份

参考:第 17 章。


rsyslog

RHEL 9 默认的系统日志守护进程,收集来自内核和各应用的 syslog 消息,支持过滤路由规则、远程 TCP/UDP 转发,是集中式日志架构的核心投递组件。

systemctl enable --now rsyslog
rsyslogd -N1                                 # 验证配置文件语法
logger -t myapp "Test log message"           # 发送测试日志

参考:第 18 章。


S

Samba

实现 SMB/CIFS 协议的开源软件,使 Linux 服务器能与 Windows、macOS 客户端共享文件和打印机,是混合操作系统环境跨平台文件共享的标准方案。

systemctl enable --now smb nmb
testparm                                     # 验证 smb.conf 语法
smbclient //localhost/samba_share -U sambauser  # 本地连接测试
pdbedit -L                                   # 查看 Samba 账户列表

参考:第 16 章。


SELinux(Security-Enhanced Linux)

Linux 内核强制访问控制(MAC)安全机制,通过安全上下文(type、role、user)和策略精确控制进程对文件、端口、网络的访问权限,RHEL 9 默认启用 Enforcing 模式,任何时候都不应关闭。

getenforce                                   # 查看当前模式
sestatus                                     # 查看详细状态信息
semanage port -a -t ssh_port_t -p tcp 2222  # 添加端口上下文
setsebool -P httpd_can_network_connect on    # 永久开启布尔值
restorecon -Rv /var/www/html/               # 修复文件 SELinux 上下文
ausearch -m avc -ts recent                  # 分析最近的拒绝事件

参考:第 1、5、12 章。


smartmontools(smartctl / smartd)

磁盘 SMART 自我监测工具集,smartctl 用于手动查询磁盘健康属性,smartd 作为后台守护进程持续监控,检测到异常属性时写入 syslog 并发送告警。

smartctl -H /dev/sda                         # 快速健康状态检查
smartctl -A /dev/sda                         # 查看完整 SMART 属性
smartctl -t short /dev/sda                   # 执行短自检测试
systemctl enable --now smartd               # 启用后台持续监控

参考:第 19 章。


sosreport(sos report)

Red Hat 官方系统诊断信息收集工具,一键采集系统日志、配置文件、服务状态、硬件信息等,打包为压缩文件供 Red Hat 技术支持或工程师分析。

dnf install -y sos
sos report --tmp-dir /tmp --batch --label "linuxdc-$(date +%F)"
ls -lh /tmp/sosreport-*.tar.xz

参考:第 13、31 章。


SPF(Sender Policy Framework)

邮件发送方策略框架,在 DNS TXT 记录中声明哪些 IP 或主机有权代表域名发送邮件,接收方 MTA 通过查询 DNS 验证发件服务器合法性,与 DKIM 和 DMARC 共同构成邮件安全三件套。

# DNS TXT 记录格式
linuxdc.local.  IN  TXT  "v=spf1 a mx ip4:192.168.1.100 ~all"

参考:第 22 章。


sysctl

Linux 内核参数运行时管理工具,可在不重启的情况下读取和修改内核参数,持久化配置存放于 /etc/sysctl.d/ 目录(按文件名字母序加载)。

sysctl vm.swappiness                         # 查看参数当前值
sysctl -w vm.swappiness=10                   # 临时修改(重启失效)
sysctl --system                              # 加载所有 sysctl 配置文件

参考:第 11 章。


systemd

RHEL 9 默认的初始化系统和服务管理器,管理系统启动、服务生命周期、日志收集(journald)、定时任务(timer)、资源控制(cgroups)等,是现代 Linux 系统管理的核心基础设施。

systemctl enable --now <service>             # 启用并立即启动服务
systemctl status <service>                   # 查看服务详细状态
systemctl list-units --state=failed          # 查看所有失败的 unit
systemctl list-timers                        # 查看所有定时器及触发时间
systemd-analyze blame | head -10            # 分析启动耗时最长的服务

参考:第 10 章。


T

tar

Linux 标准归档工具,将多个文件打包为单一 .tar.gz(gzip 压缩)或 .tar.xz(xz 压缩)归档文件,支持保留文件权限和所有权,是全量备份和软件分发的基础工具。

tar -czpf backup.tar.gz /etc /home           # 创建 gzip 压缩归档
tar -tzvf backup.tar.gz > /dev/null          # 验证归档完整性
tar -xzvf backup.tar.gz -C /tmp/restore      # 解压到指定目录

参考:第 17 章。


tuned

RHEL 9 官方性能调优框架,提供预定义的 profile(配置集),根据工作负载类型自动调整内核参数、I/O 调度器、CPU governor 和电源策略,避免手动调参的复杂性。

systemctl enable --now tuned
tuned-adm list                               # 查看所有可用 profile
tuned-adm active                             # 查看当前激活的 profile
tuned-adm profile virtual-guest             # 切换到虚拟机优化 profile
tuned-adm recommend                          # 让 tuned 推荐最佳 profile

参考:第 13 章。


V

VDO(Virtual Data Optimizer)

RHEL 8+ 内置的存储优化层,在数据写入磁盘前自动执行内联去重(deduplication)和内联压缩(compression),可显著减少实际存储占用,适合虚拟化、容器和备份场景。

vdo create --name=vdo_data --device=/dev/sdb2 --vdoLogicalSize=30G
mkfs.xfs -K /dev/mapper/vdo_data             # 格式化(必须加 -K)
vdostats --human-readable                    # 查看去重压缩节省统计

参考:第 15 章。


Virtual IP(VIP)

高可用架构中的浮动 IP 地址,由 Keepalived 或 Pacemaker 管理,在主节点故障时自动漂移到备用节点,确保服务对外访问地址始终保持不变,对客户端透明。

ip addr show ens33 | grep <VIP>              # 验证 VIP 是否已绑定到本节点

参考:第 24 章。


VRRP(Virtual Router Redundancy Protocol)

虚拟路由器冗余协议(RFC 5798),Keepalived 基于此协议实现主备节点间的心跳检测和 VIP 漂移,使用 IP 多播地址 224.0.0.18 和 IP 协议号 112 通信。

参考:第 24 章。


X

XFS

RHEL 9 默认文件系统,高性能日志型文件系统,支持在线扩容(不支持缩减)、大文件优化和高并发 I/O,适合数据库、日志存储和高吞吐场景,与 RHEL 系统根分区保持一致类型便于统一管理。

mkfs.xfs /dev/datavg/datalv                  # 格式化为 XFS
xfs_growfs /mnt/data                         # 在线扩容(配合 lvextend)
xfs_info /mnt/data                           # 查看文件系统详细信息

参考:第 15 章。


34.2 快速验证命令速查

功能分类 验证命令
SELinux 模式 getenforce
SELinux 拒绝日志 ausearch -m avc -ts recent
防火墙规则 firewall-cmd --list-all
服务运行状态 systemctl is-active <service>
端口监听状态 ss -tuln | grep :<port>
LVM 存储状态 pvs && vgs && lvs
磁盘挂载情况 df -hT
fstab 语法验证 findmnt --verify
时间同步状态 chronyc tracking
Ansible 连通性 ansible all -m ping
容器运行状态 podman ps -a
集群整体状态 pcs status
磁盘 SMART 健康 smartctl -H /dev/sda
系统错误日志 journalctl -p err -b --no-pager
网络配置状态 nmcli connection show
订阅注册状态 subscription-manager status

34.3 自测问题

Q1:SELinux 的强制访问控制(MAC)与传统 Unix 的自主访问控制(DAC)有什么根本区别?

DAC(Discretionary Access Control,自主访问控制)由文件所有者自主决定权限(chmod/chown),root 用户可绕过所有 DAC 限制,拥有无条件最高权限;MAC(Mandatory Access Control,强制访问控制)由操作系统内核强制执行安全策略,即使是 root 用户,若违反 SELinux 策略也会被拒绝。攻击者即使通过漏洞获得 root 权限,也无法任意操作被 SELinux 策略保护的资源,显著提升了系统纵深防御能力。

Q2:Podman 的 rootless 模式与 Docker 的守护进程模式在安全性上有什么本质差异?

Docker 的 dockerd 守护进程以 root 身份常驻运行,能操作 Docker socket 的用户实际上拥有等同 root 的系统权限(容器逃逸即可获得宿主机 root 控制权),这是 Docker 的核心安全风险。Podman rootless 模式下,容器进程以启动它的普通用户身份运行,进程的最高权限被严格限制在该用户的 UID 命名空间内,即使容器被完全攻破,攻击者能获得的也只是该普通用户的有限权限,无法影响宿主机其他用户或系统资源。

Q3:RHEL 9 中 firewalld 的"运行时规则"和"永久规则"有什么区别,最佳操作实践是什么?

运行时规则(不加 --permanent)立即生效,但系统重启或执行 firewall-cmd --reload 后丢失;永久规则(加 --permanent)写入配置文件持久保存,但需执行 --reload 才能加载到运行时生效。最佳实践:先用运行时规则(不加 --permanent)快速验证效果,确认规则正确无误后,执行 firewall-cmd --runtime-to-permanent 一次性将所有运行时规则转为永久规则,既保证了安全测试又省去了重复操作。


34.4 章节总结

本术语表收录了全套教程及 RHCE 考试涉及的核心术语,按字母序排列,每条均附典型命令示例和章节引用,可作为日常运维速查手册和备考复习材料。建议将本章与第 32 章考点总结、第 33 章学习计划配合使用,形成完整的备考工具包。

至此,全套 RHEL 体系教程(第 1–34 章) 全部完成。