34. 术语表
本章汇整全套教程及 RHCE(EX294)考试中的核心术语,按字母序排列,每条术语包含:定义说明、典型命令示例、所属章节引用,以及快速验证方法。可作为日常运维速查手册使用。
34.1 核心术语表(A–Z)
A
Ansible
无代理自动化配置管理工具,通过 SSH 连接目标主机,使用 YAML 格式的 Playbook 实现幂等化的配置管理与应用部署。RHCE(EX294)考试核心工具。
ansible all -m ping # 测试连通性
ansible-playbook site.yml --syntax-check # 语法检查
ansible-playbook site.yml --check --diff # 模拟执行
参考:第 26、27、32、33 章。
ansible-vault
Ansible 内置的加密工具,用于加密敏感数据(密码、密钥、Token 等),防止明文暴露在 Playbook 或版本库中。
ansible-vault create vault/secrets.yml # 创建加密文件
ansible-vault edit vault/secrets.yml # 编辑加密文件
ansible-playbook site.yml --ask-vault-pass # 执行时解密
参考:第 27 章。
auditd
Linux 内核级审计框架守护进程,记录系统调用、文件访问和用户操作事件,是等保合规和安全审计的核心组件。
systemctl enable --now auditd
auditctl -l # 查看当前审计规则
ausearch -m avc -ts recent # 查看 SELinux 拒绝事件
aureport --summary # 生成审计摘要报告
参考:第 12 章。
C
cgroups(Control Groups)
Linux 内核特性,用于限制、统计和隔离进程组对 CPU、内存、I/O 等资源的使用。systemd 通过 cgroups v2 对所有服务进行资源控制。
systemd-cgtop # 实时查看 cgroup 资源占用
systemd-cgls # 查看 cgroup 层级树
参考:第 10、13 章。
chrony / chronyd
RHEL 9 默认的 NTP 时间同步守护进程,替代旧版 ntpd,专为间歇性网络和虚拟机环境优化,支持快速时钟校正。
systemctl enable --now chronyd
chronyc sources -v # 查看时间源状态
chronyc tracking # 查看同步精度
timedatectl set-timezone Asia/Shanghai # 设置时区为 UTC+8
参考:第 8 章。
D
dnf(Dandified YUM)
RHEL 9 默认包管理器,支持模块化软件流(AppStream)、依赖解析、事务历史与回滚。
dnf install -y httpd # 安装软件包
dnf update --security -y # 仅安装安全更新
dnf history # 查看事务历史
dnf history undo <ID> # 回滚指定事务
dnf module list # 查看 AppStream 模块
参考:第 7 章。
DKIM(DomainKeys Identified Mail)
邮件安全协议,发信时用私钥对邮件签名,收信方通过 DNS 中的公钥验证签名,确认邮件内容未被篡改且来源合法。
opendkim-genkey -s mail -d linuxdc.local \
-D /etc/opendkim/keys/linuxdc.local/
cat /etc/opendkim/keys/linuxdc.local/mail.txt # 查看待添加的 DNS 公钥
参考:第 22 章。
F
fail2ban
入侵防护工具,监控日志文件中的失败认证事件,达到阈值后通过 firewalld/iptables 自动封禁对应 IP,有效防御暴力破解。
systemctl enable --now fail2ban
fail2ban-client status sshd # 查看 SSH jail 状态
fail2ban-client set sshd unbanip <IP> # 手动解封 IP
参考:第 12 章。
firewalld
RHEL 9 默认的动态防火墙管理服务,基于 zone 和 nftables 后端,支持服务名、端口、富规则等多种规则类型,运行时规则与持久化规则分离设计。
firewall-cmd --permanent --add-service=http # 永久开放服务
firewall-cmd --permanent --add-port=2222/tcp # 永久开放端口
firewall-cmd --reload # 重载使永久规则生效
firewall-cmd --list-all # 查看当前所有规则
参考:第 3、14 章。
G
Git
分布式版本控制系统,用于代码和配置文件的版本管理,是 Infrastructure as Code(IaC)和 CI/CD 流水线的基础工具。
git config --global user.name "Your Name"
git config --global user.email "email@example.com"
git init && git add . && git commit -m "feat: initial commit"
git push origin main
参考:第 30 章。
grubby
RHEL 9 官方内核引导管理工具,用于查看和设置默认引导内核,是内核版本切换与回滚的标准操作工具,不应直接编辑 grub.cfg。
grubby --info=ALL # 查看所有已安装内核
grubby --default-kernel # 查看当前默认内核
grubby --set-default /boot/vmlinuz-<version> # 切换默认内核
参考:第 11、29 章。
I
Image Builder(osbuild-composer)
Red Hat 官方镜像构建工具,通过 Blueprint(TOML 格式蓝图)定义目标系统内容,构建输出多种格式(ISO、QCOW2、AMI、容器镜像等)的可直接部署系统镜像,适合云和不可变基础设施场景。
systemctl enable --now osbuild-composer.socket
composer-cli blueprints push blueprint.toml # 推送蓝图
composer-cli compose start blueprint-name iso # 启动构建
composer-cli compose status # 查看构建状态
参考:第 28 章。
IPsec / Libreswan
基于 IKEv2 协议的 VPN 实现,用于两个固定网络节点之间建立加密隧道(站点到站点 VPN),RHEL 9 官方推荐方案,用户完全透明,无需客户端软件。
systemctl enable --now ipsec
ipsec auto --up site-to-site # 建立隧道
ipsec status # 查看隧道状态
ipsec verify # 配置诊断
参考:第 23 章。
J
journald / journalctl
systemd 的结构化日志守护进程与查询工具,收集来自内核、系统服务和应用的所有日志,支持按服务、优先级、时间范围等多维过滤。
journalctl -u sshd -f # 实时追踪服务日志
journalctl -p err -b # 本次启动的错误日志
journalctl --since "1 hour ago" # 最近 1 小时日志
journalctl --vacuum-time=30d # 清理 30 天前的日志
参考:第 10、18 章。
K
Keepalived
基于 VRRP 协议的高可用工具,通过心跳检测在主备节点间协商,主节点宕机时虚拟 IP(VIP)自动漂移到备节点,实现服务地址的透明切换,配置简单,适合双机热备场景。
systemctl enable --now keepalived
ip addr show ens33 | grep <VIP> # 验证 VIP 绑定状态
journalctl -u keepalived -n 30 # 查看日志
参考:第 24 章。
Kickstart
Red Hat 无人值守安装技术,通过文本配置文件定义完整的安装流程(分区方案、网络配置、软件包选择、安装前后脚本),配合 PXE 网络引导实现裸机批量自动部署。
dnf install -y pykickstart
ksvalidator /var/www/html/ks.cfg # 验证配置语法
curl http://192.168.1.100/ks.cfg # 验证 HTTP 可访问
参考:第 28 章。
L
LVM(Logical Volume Manager)
Linux 逻辑卷管理框架,在物理磁盘之上提供灵活的存储抽象层,支持在线扩容、快照、跨磁盘卷组扩展等企业级存储特性,是 RHEL 生产环境的标准存储方案。
pvcreate /dev/sdb1 # 创建物理卷
vgcreate datavg /dev/sdb1 # 创建卷组
lvcreate -L 10G -n datalv datavg # 创建逻辑卷
lvextend -L +5G /dev/datavg/datalv # 在线扩容逻辑卷
xfs_growfs /mnt/data # 同步扩展 XFS 文件系统
pvs && vgs && lvs # 查看 LVM 整体状态
参考:第 15 章。
N
NetworkManager
RHEL 9 唯一受官方支持的网络管理服务,配置文件存储于 /etc/NetworkManager/system-connections/(keyfile 格式),提供 nmcli(命令行脚本化)和 nmtui(文本交互)两种管理界面。
nmcli connection show # 查看所有网络连接
nmcli connection modify ens33 \
ipv4.method manual \
ipv4.addresses 192.168.1.100/24 \
ipv4.gateway 192.168.1.1 \
ipv4.dns "8.8.8.8 8.8.4.4"
nmcli connection up ens33 # 激活连接使配置生效
参考:第 3 章。
NFS(Network File System)
Linux 原生网络文件共享协议,RHEL 9 默认使用 NFSv4,支持 TCP 传输、Kerberos 认证,适合 Linux 节点间的高效文件共享,性能优于 Samba。
systemctl enable --now nfs-server
exportfs -arv # 应用并验证导出配置
showmount -e localhost # 查看服务端导出列表
mount -t nfs -o vers=4 192.168.1.100:/share /mnt/nfs # 客户端挂载
参考:第 16 章。
O
OpenVPN
基于 SSL/TLS 的 VPN 实现,适合远程用户通过客户端软件安全接入企业内网(远程访问 VPN),使用 Easy-RSA PKI 体系管理证书,每位用户独立证书,管理灵活。
systemctl enable --now openvpn-server@server
ss -uln | grep 1194 # 验证 UDP 1194 监听
journalctl -u openvpn-server@server -f # 实时日志
参考:第 23 章。
P
Pacemaker / Corosync
企业级集群资源管理框架,Corosync 提供节点间心跳通信和成员关系管理,Pacemaker 在此基础上实现资源(服务、VIP、存储)的自动故障切换,支持复杂约束关系,是 RHEL 官方高可用解决方案。
pcs cluster setup ha-cluster node1 node2
pcs cluster start --all
pcs resource create vip ocf:heartbeat:IPaddr2 \
ip=192.168.1.200 cidr_netmask=24
pcs status # 查看集群整体状态
参考:第 24 章。
Podman
RHEL 9 默认容器引擎,无守护进程(daemonless)架构,支持 rootless 运行模式(以普通用户身份运行容器),完全兼容 Docker CLI 命令语法,是 Red Hat 官方推荐的 Docker 替代方案。
podman run -d --name web01 -p 8080:8080 \
-v /data/html:/var/www/html:Z \
registry.access.redhat.com/ubi9/httpd-24
podman ps -a # 查看所有容器
podman generate systemd --name web01 \
--files --new # 生成 systemd 服务文件
参考:第 25 章。
Postfix
RHEL 9 默认的 MTA(邮件传输代理),实现 SMTP 协议的邮件发送和中继,支持 SASL 认证和 TLS 加密,是企业内部邮件服务和中继网关的标准选择。
systemctl enable --now postfix
postconf -n # 查看所有非默认配置参数
postqueue -p # 查看当前邮件队列
tail -f /var/log/maillog # 实时追踪邮件日志
参考:第 22 章。
Prometheus
开源时序监控系统,通过拉取(pull)模式定期从各 Exporter 采集 metrics 指标,支持 PromQL 灵活查询,配合 Alertmanager 发送告警,配合 Grafana 实现可视化大盘。
systemctl enable --now prometheus
curl -s http://localhost:9090/api/v1/targets \
| python3 -m json.tool | grep '"health"' # 查看抓取目标状态
systemctl reload prometheus # 热重载告警规则
参考:第 18、19 章。
R
rsync
增量文件同步工具,通过 SSH 或本地路径传输文件,只传输发生变化的部分(增量算法),是 Linux 环境最常用的备份和数据镜像工具。
rsync -avh --delete /etc /backup/etc/ # 本地增量备份
rsync -avhz /data/ ops@192.168.1.200:/backup/ # 远程加密备份
参考:第 17 章。
rsyslog
RHEL 9 默认的系统日志守护进程,收集来自内核和各应用的 syslog 消息,支持过滤路由规则、远程 TCP/UDP 转发,是集中式日志架构的核心投递组件。
systemctl enable --now rsyslog
rsyslogd -N1 # 验证配置文件语法
logger -t myapp "Test log message" # 发送测试日志
参考:第 18 章。
S
Samba
实现 SMB/CIFS 协议的开源软件,使 Linux 服务器能与 Windows、macOS 客户端共享文件和打印机,是混合操作系统环境跨平台文件共享的标准方案。
systemctl enable --now smb nmb
testparm # 验证 smb.conf 语法
smbclient //localhost/samba_share -U sambauser # 本地连接测试
pdbedit -L # 查看 Samba 账户列表
参考:第 16 章。
SELinux(Security-Enhanced Linux)
Linux 内核强制访问控制(MAC)安全机制,通过安全上下文(type、role、user)和策略精确控制进程对文件、端口、网络的访问权限,RHEL 9 默认启用 Enforcing 模式,任何时候都不应关闭。
getenforce # 查看当前模式
sestatus # 查看详细状态信息
semanage port -a -t ssh_port_t -p tcp 2222 # 添加端口上下文
setsebool -P httpd_can_network_connect on # 永久开启布尔值
restorecon -Rv /var/www/html/ # 修复文件 SELinux 上下文
ausearch -m avc -ts recent # 分析最近的拒绝事件
参考:第 1、5、12 章。
smartmontools(smartctl / smartd)
磁盘 SMART 自我监测工具集,smartctl 用于手动查询磁盘健康属性,smartd 作为后台守护进程持续监控,检测到异常属性时写入 syslog 并发送告警。
smartctl -H /dev/sda # 快速健康状态检查
smartctl -A /dev/sda # 查看完整 SMART 属性
smartctl -t short /dev/sda # 执行短自检测试
systemctl enable --now smartd # 启用后台持续监控
参考:第 19 章。
sosreport(sos report)
Red Hat 官方系统诊断信息收集工具,一键采集系统日志、配置文件、服务状态、硬件信息等,打包为压缩文件供 Red Hat 技术支持或工程师分析。
dnf install -y sos
sos report --tmp-dir /tmp --batch --label "linuxdc-$(date +%F)"
ls -lh /tmp/sosreport-*.tar.xz
参考:第 13、31 章。
SPF(Sender Policy Framework)
邮件发送方策略框架,在 DNS TXT 记录中声明哪些 IP 或主机有权代表域名发送邮件,接收方 MTA 通过查询 DNS 验证发件服务器合法性,与 DKIM 和 DMARC 共同构成邮件安全三件套。
# DNS TXT 记录格式
linuxdc.local. IN TXT "v=spf1 a mx ip4:192.168.1.100 ~all"
参考:第 22 章。
sysctl
Linux 内核参数运行时管理工具,可在不重启的情况下读取和修改内核参数,持久化配置存放于 /etc/sysctl.d/ 目录(按文件名字母序加载)。
sysctl vm.swappiness # 查看参数当前值
sysctl -w vm.swappiness=10 # 临时修改(重启失效)
sysctl --system # 加载所有 sysctl 配置文件
参考:第 11 章。
systemd
RHEL 9 默认的初始化系统和服务管理器,管理系统启动、服务生命周期、日志收集(journald)、定时任务(timer)、资源控制(cgroups)等,是现代 Linux 系统管理的核心基础设施。
systemctl enable --now <service> # 启用并立即启动服务
systemctl status <service> # 查看服务详细状态
systemctl list-units --state=failed # 查看所有失败的 unit
systemctl list-timers # 查看所有定时器及触发时间
systemd-analyze blame | head -10 # 分析启动耗时最长的服务
参考:第 10 章。
T
tar
Linux 标准归档工具,将多个文件打包为单一 .tar.gz(gzip 压缩)或 .tar.xz(xz 压缩)归档文件,支持保留文件权限和所有权,是全量备份和软件分发的基础工具。
tar -czpf backup.tar.gz /etc /home # 创建 gzip 压缩归档
tar -tzvf backup.tar.gz > /dev/null # 验证归档完整性
tar -xzvf backup.tar.gz -C /tmp/restore # 解压到指定目录
参考:第 17 章。
tuned
RHEL 9 官方性能调优框架,提供预定义的 profile(配置集),根据工作负载类型自动调整内核参数、I/O 调度器、CPU governor 和电源策略,避免手动调参的复杂性。
systemctl enable --now tuned
tuned-adm list # 查看所有可用 profile
tuned-adm active # 查看当前激活的 profile
tuned-adm profile virtual-guest # 切换到虚拟机优化 profile
tuned-adm recommend # 让 tuned 推荐最佳 profile
参考:第 13 章。
V
VDO(Virtual Data Optimizer)
RHEL 8+ 内置的存储优化层,在数据写入磁盘前自动执行内联去重(deduplication)和内联压缩(compression),可显著减少实际存储占用,适合虚拟化、容器和备份场景。
vdo create --name=vdo_data --device=/dev/sdb2 --vdoLogicalSize=30G
mkfs.xfs -K /dev/mapper/vdo_data # 格式化(必须加 -K)
vdostats --human-readable # 查看去重压缩节省统计
参考:第 15 章。
Virtual IP(VIP)
高可用架构中的浮动 IP 地址,由 Keepalived 或 Pacemaker 管理,在主节点故障时自动漂移到备用节点,确保服务对外访问地址始终保持不变,对客户端透明。
ip addr show ens33 | grep <VIP> # 验证 VIP 是否已绑定到本节点
参考:第 24 章。
VRRP(Virtual Router Redundancy Protocol)
虚拟路由器冗余协议(RFC 5798),Keepalived 基于此协议实现主备节点间的心跳检测和 VIP 漂移,使用 IP 多播地址 224.0.0.18 和 IP 协议号 112 通信。
参考:第 24 章。
X
XFS
RHEL 9 默认文件系统,高性能日志型文件系统,支持在线扩容(不支持缩减)、大文件优化和高并发 I/O,适合数据库、日志存储和高吞吐场景,与 RHEL 系统根分区保持一致类型便于统一管理。
mkfs.xfs /dev/datavg/datalv # 格式化为 XFS
xfs_growfs /mnt/data # 在线扩容(配合 lvextend)
xfs_info /mnt/data # 查看文件系统详细信息
参考:第 15 章。
34.2 快速验证命令速查
| 功能分类 | 验证命令 |
|---|---|
| SELinux 模式 | getenforce |
| SELinux 拒绝日志 | ausearch -m avc -ts recent |
| 防火墙规则 | firewall-cmd --list-all |
| 服务运行状态 | systemctl is-active <service> |
| 端口监听状态 | ss -tuln | grep :<port> |
| LVM 存储状态 | pvs && vgs && lvs |
| 磁盘挂载情况 | df -hT |
| fstab 语法验证 | findmnt --verify |
| 时间同步状态 | chronyc tracking |
| Ansible 连通性 | ansible all -m ping |
| 容器运行状态 | podman ps -a |
| 集群整体状态 | pcs status |
| 磁盘 SMART 健康 | smartctl -H /dev/sda |
| 系统错误日志 | journalctl -p err -b --no-pager |
| 网络配置状态 | nmcli connection show |
| 订阅注册状态 | subscription-manager status |
34.3 自测问题
Q1:SELinux 的强制访问控制(MAC)与传统 Unix 的自主访问控制(DAC)有什么根本区别?
DAC(Discretionary Access Control,自主访问控制)由文件所有者自主决定权限(chmod/chown),root 用户可绕过所有 DAC 限制,拥有无条件最高权限;MAC(Mandatory Access Control,强制访问控制)由操作系统内核强制执行安全策略,即使是 root 用户,若违反 SELinux 策略也会被拒绝。攻击者即使通过漏洞获得 root 权限,也无法任意操作被 SELinux 策略保护的资源,显著提升了系统纵深防御能力。
Q2:Podman 的 rootless 模式与 Docker 的守护进程模式在安全性上有什么本质差异?
Docker 的 dockerd 守护进程以 root 身份常驻运行,能操作 Docker socket 的用户实际上拥有等同 root 的系统权限(容器逃逸即可获得宿主机 root 控制权),这是 Docker 的核心安全风险。Podman rootless 模式下,容器进程以启动它的普通用户身份运行,进程的最高权限被严格限制在该用户的 UID 命名空间内,即使容器被完全攻破,攻击者能获得的也只是该普通用户的有限权限,无法影响宿主机其他用户或系统资源。
Q3:RHEL 9 中 firewalld 的"运行时规则"和"永久规则"有什么区别,最佳操作实践是什么?
运行时规则(不加 --permanent)立即生效,但系统重启或执行 firewall-cmd --reload 后丢失;永久规则(加 --permanent)写入配置文件持久保存,但需执行 --reload 才能加载到运行时生效。最佳实践:先用运行时规则(不加 --permanent)快速验证效果,确认规则正确无误后,执行 firewall-cmd --runtime-to-permanent 一次性将所有运行时规则转为永久规则,既保证了安全测试又省去了重复操作。
34.4 章节总结
本术语表收录了全套教程及 RHCE 考试涉及的核心术语,按字母序排列,每条均附典型命令示例和章节引用,可作为日常运维速查手册和备考复习材料。建议将本章与第 32 章考点总结、第 33 章学习计划配合使用,形成完整的备考工具包。
至此,全套 RHEL 体系教程(第 1–34 章) 全部完成。