linux解锁命令,linux系统用户解锁

linux尝试登录失败后锁定用户账户的两种方法

pam_tally2模块(方法一)

10年积累的做网站、成都网站制作经验，可以快速应对客户对网站的新想法和需求。提供各种问题对应的解决方案。让选择我们的客户得到更好、更有力的网络服务。我虽然不认识你，你也不认识我。但先网站设计后付款的网站建设流程，更有城关免费网站建设让你可以放心的选择与我们合作。

用于对系统进行失败的ssh登录尝试后锁定用户帐户。此模块保留已尝试访问的计数和过多的失败尝试。

配置

使用 /etc/pam.d/system-auth 或 /etc/pam.d/password-auth 配置文件来配置的登录尝试的访问

注意：

auth要放到第二行，不然会导致用户超过3次后也可登录。

如果对root也适用在auth后添加 even_deny_root .

auth required pam_tally2.so deny=3 even_deny_root unlock_time=600

pam_tally2命令

查看用户登录失败的信息

解锁用户

pam_faillock 模块(方法二)

在红帽企业版 Linux 6 中， pam_faillock PAM 模块允许系统管理员锁定在指定次数内登录尝试失败的用户账户。限制用户登录尝试的次数主要是作为一个安全措施，旨在防止可能针对获取用户的账户密码的暴力破解

通过 pam_faillock 模块，将登录尝试失败的数据储存在 /var/run/faillock 目录下每位用户的独立文件中

配置

添加以下命令行到 /etc/pam.d/system-auth 文件和 /etc/pam.d/password-auth 文件中的对应区段：

auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600

auth sufficient pam_unix.so nullok try_first_pass

auth [default=die] pam_faillock.so authfail audit deny=3

account required pam_faillock.so

注意：

auth required pam_faillock.so preauth silent audit deny=3 必须在最前面。

适用于root在 pam_faillock 条目里添加 even_deny_root 选项

faillock命令

查看每个用户的尝试失败次数

$ faillock

test:

When Type Source Valid

2017-06-20 14:29:05 RHOST 192.168.56.1 V

2017-06-20 14:29:14 RHOST 192.168.56.1 V

2017-06-20 14:29:17 RHOST 192.168.56.1 V

解锁一个用户的账户

Linux系统中屏幕锁定命令?

1、字符界面，按ctrl +s 键，即可关掉屏幕回显，类似于锁屏。按ctrl + q键即可解锁，注意看键盘，当按下ctrl +s键的时候，指示灯scroll lock灯是亮的。

2、图形界面，可以安装slock，下载安装后，直接运行slock命令，系统即进入黑屏，直接输入密码回车即可解锁。

linux文件锁定被使用

一、什么是文件锁定

对于锁这个字，大家一定不会陌生，因为我们生活中就存在着大量的锁，它们各个方面发挥着它的作用，现在世界中的锁的功能都可归结为一句话，就是阻止某些人做某些事，例如，门锁就是阻止除了屋主之外的人进入这个房子，你进入不到这个房子，也就不能使用房子里面的东西。

而因为程序经常需要共享数据，而这通常又是通过文件来实现的，试想一个情况，A进程正在对一个文件进行写操作，而另一个程序B需要对同一个文件进行读操作，并以读取到的数据作为自己程序运行时所需要的数据，这会发生什么情况呢？进程B可能会读到错乱的数据，因为它并不知道另一个进程A正在改写这个文件中的数据。

为了解决类似的问题，就出现了文件锁定，简单点来说，这是文件的一种安全的更新方式，当一个程序正在对文件进行写操作时，文件就会进入一种暂时状态，在这个状态下，如果另一个程序尝试读这个文件，它就会自动停下来等待这个状态结束。Linux系统提供了很多特性来实现文件锁定，其中最简单的方法就是以原子操作的方式创建锁文件。

用回之前的例子就是，文件锁就是当文件在写的时候，阻止其他的需要写或者要读文件的进程来操作这个文件。

二、创建锁文件

创建一个锁文件是非常简单的，我们可以使用open系统调用来创建一个锁文件，在调用open时oflags参数要增加参数O_CREAT和O_EXCL标志，如file_desc = open("/tmp/LCK.test", O_RDWR|O_CREAT|O_EXCL, 0444);就可以创建一个锁文件/tmp/LCK.test。O_CREAT|O_EXCL，可以确保调用者可以创建出文件，使用这个模式可以防止两个程序同时创建同一个文件，如果文件（/tmp/LCK.test）已经存在，则open调用就会失败，返回-1。

如果一个程序在它执行时，只需要独占某个资源一段很短的时间，这个时间段（或代码区）通常被叫做临界区，我们需要在进入临界区之前使用open系统调用创建锁文件，然后在退出临界区时用unlink系统调用删除这个锁文件。

注意：锁文件只是充当一个指示器的角色，程序间需要通过相互协作来使用它们，也就是说锁文件只是建议锁，而不是强制锁，并不会真正阻止你读写文件中的数据。

可以看看下面的例子：源文件文件名为filelock1.c，代码如下：

#include unistd.h #include stdlib.h #include stdio.h #include fcntl.h #include errno.h int main() { const char *lock_file = "/tmp/LCK.test1"; int n_fd = -1; int n_tries = 10; while(n_tries--) { //创建锁文件 n_fd = open(lock_file, O_RDWR|O_CREAT|O_EXCL, 0444); if(n_fd == -1) { //创建失败 printf("%d - Lock already present ", getpid()); sleep(2); } else { //创建成功 printf("%d - I have exclusive access ", getpid()); sleep(1); close(n_fd); //删除锁文件，释放锁 unlink(lock_file); sleep(2); } } return 0; }

同时运行同一个程序的两个实例，运行结果为：



从运行的结果可以看出两个程序交叉地对对文件进行锁定，但是真实的操作却是，每次调用open函数去检查/tmp/LCK.test1这个文件是否存在，如果存在open调用就失败，显示有进程已经把这个文件锁定了，如果这个文件不存在，就创建这个文件，并显示许可信息。但是这种做法有一定的缺憾，我们可以看到文件/tmp/LCK.test1被创建了很多次，也被unlink删除了很多次，也就是说我们不能使用已经事先有数据的文件作为这种锁文件，因为如果文件已经存在，则open调用总是失败。

给我的感觉是，这更像是一种对进程工作的协调性安排，更像是二进制信号量的作用，文件存在为0，不存在为1，而不是真正的文件锁定。

三、区域锁定

我们还有一个问题，就是如果同一个文件有多个进程需要对它进行读写，而一个文件同一时间只能被一个进程进行写操作，但是多个进程读写的区域互不相关，如果总是要等一个进程写完其他的进程才能对其进行读写，效率又太低，那么是否可以让多个进程同时对文件进行读写以提高数据读写的效率呢？

为了解决上面提到的问题，和出现在第二点中的问题，即不能把文件锁定到指定的已存在的数据文件上的问题，我们提出了一种新的解决方案，就是区域锁定。

简单点来说，区域锁定就是，文件中的某个部分被锁定了，但其他程序可以访问这个文件中的其他部分。

然而，区域锁定的创建和使用都比上面说的文件锁定复杂很多。

1、创建区域锁定

在Linux上为实现这一功能，我们可以使用fcntl系统调用和lockf调用，但是下面以fcntl系统调用来讲解区域锁定的创建。

fctnl的函数原理为：

int fctnl(int fildes, int command, ...);

它对一个打开的文件描述进行操作，并能根据command参数的设置完成不同的任务，它有三个可选的任务：F_GETLK，F_SETLK,F_SETLKW，至于这三个参数的意义下面再详述。而当使用这些命令时，fcntl的第三个参数必须是一个指向flock结构的指针，所以在实际应用中，fctnl的函数原型一般为：int fctnl(int fildes, int command, struct flock *flock_st);

2、flock结构

准确来说，flock结构依赖具体的实现，但是它至少包括下面的成员：

short l_type;文件锁的类型，对应于F_RDLCK（读锁，也叫共享锁），F_UNLCK（解锁，也叫清除锁），F_WRLCK（写锁，也叫独占锁）中的一个。

short l_whence;从文件的哪个相对位置开始计算，对应于SEEK_SET（文件头），SEEK_CUR（当前位置），SEEK_END(文件尾）中的一个。

off_t l_start;从l_whence开始的第l_start个字节开始计算。

off_t l_len;锁定的区域的长度。

pid_t l_pid;用来记录参持有锁的进程。

成员l_whence、l_start和l_len定义了一个文件中的一个区域，即一个连续的字节集合，例如：

struct flock region;

region.l_whence = SEEK_SET;

region.l_start = 10;

region.l_len = 20;

则表示fcntl函数操作锁定的区域为文件头开始的第10到29个字节之间的这20个字节。

3、文件锁的类型

从上面的flock的成员l_type的取值我们可以知道，文件锁的类型主要有三种，这里对他们进行详细的解说。

F_RDLCK：

从它的名字我们就可以知道，它是一个读锁，也叫共享锁。许多不同的进程可以拥有文件同一（或重叠）区域上的读（共享）锁。而且只要任一进程拥有一把读（共享）锁，那么就没有进程可以再获得该区域上的写（独占）锁。为了获得一把共享锁，文件必须以“读”或“读/写”方式打开。

简单点来说就是，当一个进程在读文件中的数据时，文件中的数据不能被改变或改写，这是为了防止数据被改变而使读数据的程序读取到错乱的数据，而文件中的同一个区域能被多个进程同时读取，这是容易理解的，因为读不会破坏数据，或者说读操作不会改变文件的数据。

F_WRLCK：

从它的名字，我们就可以知道，它是一个写锁，也叫独占锁。只有一个进程可以在文件中的任一特定区域拥有一把写（独占）锁。一旦一个进程拥有了这样一把锁，任何其他进程都无法在该区域上获得任何类型的锁。为了获得一把写（独占）锁，文件也必须以“读”或“读/写”方式打开。

简单点来说，就是一个文件同一区域（或重叠）区域进在同一时间，只能有一个进程能对其进行写操作，并且在写操作进行期间，其他的进程不能对该区域进行读取数据。这个要求是显然易见的，因为如果两个进程同时对一个文件进行写操作，就会使文件的内容错乱起来，而由于写时会改变文件中的数据，所以它也不允许其他进程对文件的数据进行读取和删除文件等操作。

F_UNLCK:

从它的名字就可以知道，它用于把一个锁定的区域解锁。

4、不同的command的意义

在前面说到fcntl函数的command参数时，说了三个命令选项，这里将对它们进行详细的解说。

F_GETLK命令，它用于获取fildes（fcntl的第一个参数）打开的文件的锁信息，它不会尝试去锁定文件，调用进程可以把自己想创建的锁类型信息传递给fcntl，函数调用就会返回将会阻止获取锁的任何信息，即它可以测试你想创建的锁是否能成功被创建。fcntl调用成功时，返回非-1，如果锁请求可以成功执行，flock结构将保持不变，如果锁请求被阻止，fcntl会用相关的信息覆盖flock结构。失败时返回-1。

所以，如果调用成功，调用程序则可以通过检查flock结构的内容来判断其是否被修改过，来检查锁请求能否被成功执行，而又因为l_pid的值会被设置成拥有锁的进程的标识符，所以大多数情况下，可以通过检查这个字段是否发生变化来判断flock结构是否被修改过。

使用F_GETLK的fcntl函数调用后会立即返回。

举个例子来说，例如，有一个flock结构的变量，flock_st,flock_st.l_pid = -1，文件的第10~29个字节已经存在一个读锁，文件的第40~49个字节中已经存在一个写锁，则调用fcntl时，如果用F_GETLK命令，来测试在第10~29个字节中是否可以创建一个读锁，因为这个锁可以被创建，所以，fcntl返回非-1，同时，flock结构的内容也不会改变，flock_st.l_pid = -1。而如果我们测试第40~49个字节中是否可以创建一个写锁时，由于这个区域已经存在一个写锁，测试失败，但是fcntl还是会返回非-1，只是flock结构会被这个区域相关的锁的信息覆盖了，flock_st.l_pid为拥有这个写锁的进程的进程标识符。

F_SETLK命令，这个命令试图对fildes指向的文件的某个区域加锁或解锁，它的功能根据flock结构的l_type的值而定。而对于这个命令来说，flock结构的l_pid字段是没有意义的。如果加锁成功，返回非-1，如果失败，则返回-1。使用F_SETLK的fcntl函数调用后会立即返回。

F_SETLKW命令，这个命令与前面的F_SETLK，命令作用相同，但不同的是，它在无法获取锁时，即测试不能加锁时，会一直等待直到可以被加锁为止。

5、例子

看了这么多的说明，可能你已经很乱了，就用下面的例子来整清你的思想吧。

源文件名为filelock2.c，用于创建数据文件，并将文件区域加锁，代码如下：

#include unistd.h #include stdlib.h #include stdio.h #include fcntl.h int main() { const char *test_file = "test_lock.txt"; int file_desc = -1; int byte_count = 0; char *byte_to_write = "A"; struct flock region_1; struct flock region_2; int res = 0; //打开一个文件描述符 file_desc = open(test_file, O_RDWR|O_CREAT, 0666); if(!file_desc) { fprintf(stderr, "Unable to open %s for read/write ", test_file); exit(EXIT_FAILURE); } //给文件添加100个‘A’字符的数据 for(byte_count = 0; byte_count 100; ++byte_count) { write(file_desc, byte_to_write, 1); } //在文件的第10～29字节设置读锁（共享锁） region_1.l_type = F_RDLCK; region_1.l_whence = SEEK_SET; region_1.l_start = 10; region_1.l_len = 20; //在文件的40～49字节设置写锁（独占锁） region_2.l_type = F_WRLCK; region_2.l_whence = SEEK_SET; region_2.l_start = 40; region_2.l_len = 10; printf("Process %d locking file ", getpid()); //锁定文件 res = fcntl(file_desc, F_SETLK, ®ion_1); if(res == -1) { fprintf(stderr, "Failed to lock region 1 "); } res = fcntl(file_desc, F_SETLK, ®ion_2); if(res == -1) { fprintf(stderr, "Failed to lock region 2 "); } //让程序休眠一分钟，用于测试 sleep(60); printf("Process %d closing file ", getpid()); close(file_desc); exit(EXIT_SUCCESS); }

下面的源文件filelock3.c用于测试上一个文件设置的锁，测试可否对两个区域都加上一个读锁，代码如下：

#include unistd.h #include stdlib.h #include stdio.h #include fcntl.h int main() { const char *test_file = "test_lock.txt"; int file_desc = -1; int byte_count = 0; char *byte_to_write = "A"; struct flock region_1; struct flock region_2; int res = 0; //打开数据文件 file_desc = open(test_file, O_RDWR|O_CREAT, 0666); if(!file_desc) { fprintf(stderr, "Unable to open %s for read/write ", test_file); exit(EXIT_FAILURE); } //设置区域1的锁类型 struct flock region_test1; region_test1.l_type = F_RDLCK; region_test1.l_whence = SEEK_SET; region_test1.l_start = 10; region_test1.l_len = 20; region_test1.l_pid = -1; //设置区域2的锁类型 struct flock region_test2; region_test2.l_type = F_RDLCK; region_test2.l_whence = SEEK_SET; region_test2.l_start = 40; region_test2.l_len = 10; region_test2.l_pid = -1; //

三、解空锁问题

如果我要给在本进程中没有加锁的区域解锁会发生什么事情呢？而如果这个区域中其他的进程有对其进行加锁又会发生什么情况呢？

如果一个进程实际并未对一个区域进行锁定，而调用解锁操作也会成功，但是它并不能解其他的进程加在同一区域上的锁。也可以说解锁请求最终的结果取决于这个进程在文件中设置的任何锁，没有加锁，但对其进行解锁得到的还是没有加锁的状态。

linux用户登录三次被锁了,这设置在哪配置的.

锁用户的设定

/etc/pam.d/下包含各种认证程序或服务的配置文件。编辑这些可限制认证失败次数，当失败次数超过指定值时用户会被锁住。

在此，以run

level为3的时候，多次登录登录失败即锁用户为例：

在/etc/pam.d/login文件中追加如下两行：

auth

required

/lib/security/pam_tally.so

onerr=fail

no_magic_root

account

required

/lib/security/pam_tally.so

deny=3

no_magic_root

reset

deny=3

设置登录失败3次就将用户锁住，该值可任意设定。

如下为全文见设定例：

auth

required

pam_securetty.so

auth

required

pam_stack.so

service=system-auth

auth

required

pam_nologin.so

auth

required

pam_tally.so

onerr=fail

no_magic_root

account

required

pam_stack.so

service=system-auth

account

required

pam_tally.so

deny=3

no_magic_root

reset

password

required

pam_stack.so

service=system-auth

session

required

pam_stack.so

service=system-auth

session

optional

pam_console.so

这样当用户在run

level=3的情况下登录时，/var/log/faillog会自动生成，裏面记录用户登录失败次数等信息。

可用"faillog

-u

用户名"命令来查看。

当用户登录成功时，以前的登录失败信息会重置。

2）用户的解锁

用户因多次登录失败而被锁的情况下，可用faillog命令来解锁。具体如下：

faillog

-u

用户名

-r

此命令实行后，faillog里记录的失败信息即被重置，用户又可用了。

关於faillog的其他命令。。参见man

failog。

二：手动锁定用户禁止使用

可以用usermod命令来锁定用户密码，使密码无效，该用户名将不能使用。

如：

usermod

-L

用户名

解锁命令：usermod

-U

用户名

......

要想强制用户下次登录更改密码就使用chage

-d

username

强制把上次更改密码的日期归零.

定义用户密码变更天数在/etc/shadow

这个文件中定义

对新建的用户在/etc/login.defs这个文件中定义

《Linux下部分常用指令笔记》

一、创建linux维护用户

登录root用户

创建新用户

useradd 新用户名

设置用户密码

passwd 新用户密码

二、安装jdk和配置环境变量

建议在root用户下直接安装jdk，并直接配置环境变量，同时给非root用户设置读和执行权限

解压包

tar xvf jdk包名.tar

配置全局变量

编辑/etc/profile文件

vi /etc/profile

按I键，切换成编辑模式。

在文件未加入一下配置

export JAVA_HOME=jdk的解压文件目录

export JRE_HOME=jdk的解压文件目录/jre

export CLASSPATH=.:${JAVA_HOME}/lib:${ JRE_HOME}/lib:$CLASSPATH

export JAVA_PATH=${JAVA_HOME}/bin:${ JRE_HOME}/bin

export PATH=$PATH:${JAVA_PATH}

保存并退出

Esc   

:wq

重载配置文件使其生效

source /etc/profile

检查是否安装成功

Javac

Java version

权限修改

读4写2执行1，顺序所有者、组成员、其他用户

Chomd  755  jdk的解压文件目录

三、安装tomcat

安装tomcat和放入war包使用非root的维护用户

如果使用root安装的话记得设置权限。（ chomd -r 外层文件目录 ）

su - 用户名

1、解压包

tar  xvf  tomcat包名.tar

2、将war包放入tomcat/webapps目录下

3、Tomcat启动服务和停止服务

查看进程

ps -ef | grep java

启动应用

Tomcat bin目录下.startup.sh

停止应用

建议使用

Kill -9 进程号

注：解压出应用文件后，注意配置信息的修改

四、IBM MQ部署 (7.5之后的版本)

（以下是使用9.0版本的正确部署命令）

一、 卸载旧版本IBM MQ （可选）

因为部署环境没有安装过mq，卸载这部分命令我没有亲自测试过

设置环境

以用户身份登录到组mqm，找到mq的安装位置 /opt/mqm

source ./setmqenv -s

查看队列管理器的状态

dspmq -o installation

停止与要卸载的安装关联的所有正在运行的队列管理器

endmqm SXRECV

停止与队列管理器关联的所有侦听器。

endmqlsr -m SXRECV

查看系统上当前安装的软件包（组件）

sudo rpm -qa | grep MQSeries

列出软件包并一次性卸载

sudo rpm -qa | grep MQSeries | xargs rpm -ev

再将对应的用户及安装目录给删除

rm -rf /opt/mqm

userdel -r mqm

检查MQ license

license文件在安装目录中 /opt/mqm/lib 可以找到

amqtcert.lic - is a trial license

amqbcert.lic - is a beta license

amqpcert.lic - is the production license

——————————————————————————————————————

二、安装新版本ibm mq

解压，解压文件都在MQServer中

tar –xzvf IBM_MQ_9.1.5_LINUX_X86-64.tar.gz

进入MQServer文件夹中:

cd MQServer/

运行MQ许可证程序

./mqlicense.sh

安装WebSphere MQ for Linux服务器（Runtime、SDK 和 Server 软件包）：

rpm -U MQSeriesRuntime-9.1.5-0.x86_64.rpm

rpm -U MQSeriesSDK-9.1.5-0.x86_64.rpm

rpm -U MQSeriesServer-9.1.5-0.x86_64.rpm

安装WebSphere MQ for Linux客户机：

rpm -U MQSeriesClient-9.0.0-0.x86_64.rpm

安装WebSphere MQ样本程序:

rpm -U MQSeriesSamples-9.0.0-0.x86_64.rpm

创建组和用户

安装过程创建了一个名为mqm的用户和一个同样名为 mqm 的组。设置一个密码来解锁。

passwd mqm

——————————————————————————————————————

三、 配置

（这部分队列管理器、通道、队列等根据实际情况自行配置）

切换用户：

su mqm

创建队列管理器

使用crtmqm命令来创建一个名为 SXRECV

的队列管理器。我们把它作为缺省队列，并且将不在创建时指定死信队列。然后使用strmqm命令启动队列管理器。

crtmqm -q  SXRECV

strmqm  SXRECV

——————

如果执行crtmqm命令时提示

-bash-3.2$ crtmqm

-bash: crtmqm: command not found

find / -name crtmqm

则需要配置mqm用户的环境变量，编辑如下文件，并添加下面的内容，如下：

第一种方法：相对第二种较安全仅对mqm用户有效

方法一：

(1） -bash-3.2$ vi /var/mqm/.bash_profile --有可能会在文件夹下看不到这个文件，通过编辑即可看到

PATH=$PATH:/opt/mqm/samp/bin:/opt/mqm/bin:bin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/X11R6/bin

(2）执行“.”命令，使这个文件生效

-bash-3.2$ source  .bash_profile

(3）再次尝试实行crtmqm或是dspmqm命令，即可发现已经生效。

方法二：

（ 1）

su  root

[if !supportLists]（2）[endif]

vim /etc/profile

[if !supportLists]（3）[endif] 在最后面加上：

PATH=$PATH:/opt/mqm/samp/bin:/opt/mqm/bin:bin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/bin

（ 4）关闭远程终端重新打开，无需重启服务器

——————

运行队列管理器

runmqsc SXRECV

创建通道和队列

DEFINE QLOCAL (XYDATA) REPLACE USAGE (NORMAL) DEFPSIST (YES) MAXDEPTH (300000) DESCR('兴业银行')

DEFINE QLOCAL (XYTRANS) REPLACE USAGE (XMITQ) DEFPSIST (YES) MAXDEPTH (300000) DESCR('兴业银行')

DEFINE QREMOTE (XYACK) REPLACE DEFPSIST (YES) RQMNAME (SXSEND)  RNAME (XYACK) XMITQ (XYTRANS) DESCR('XXXX')

DEFINE CHANNEL (XYDATA) CHLTYPE (RCVR) TRPTYPE (TCP) REPLACE DESCR('XXXX')

DEFINE CHANNEL (XYACK) CHLTYPE (SDR) CONNAME ('166.1.1.8(2214)') XMITQ (XYTRANS) TRPTYPE (TCP) DISCINT (0) CONVERT (NO) SHORTRTY (30) SHORTTMR (10) LONGRTY (999999999) LONGTMR (20) REPLACE DESCR('XXXX')

DEFINE CHANNEL (SVRCONN) CHLTYPE (SVRCONN) MCAUSER('mqm')

创建监听

DEFINE LISTENER (RECLISTENER) TRPTYPE (TCP) CONTROL(QMGR) PORT (2214)

启动监听

start LISTENER(RECLISTENER)

启动通道

start channel(SVRCONN)

start channel(XYDATA)

start channel(XYACK)

———————————————————————————————————————————————————

四、2035错误码 说明

如果程序连接mq报错2035，则需要对权限认证做设置，则进行以此操作

1、

ALTER QMGR CHLAUTH(DISABLED)

2、

ALTER CHL(通道名) CHLTYPE(SVRCONN) MCAUSER('mqm')

3、

ALTER AUTHINFO(SYSTEM.DEFAULT.AUTHINFO.IDPWOS) AUTHTYPE(IDPWOS) CHCKCLNT(OPTIONAL)

或者直接将连接认证选项置为空，将其完全关闭，指令如下：

ALTER QMGR CONNAUTH('')

在执行完上述两条命令中的任一条后，都需要刷新连接认证的缓存，指令如下：

REFRESH SECURITY TYPE(CONNAUTH)

五、mq操作命令

一、MQ的启动与停止

1、MQ的启动

strmqm QMgrName

如果启动默认队列管理器，strmqm后可以忽略队列管理器名称。

2、MQ的关闭

endmqm -i QMgrName

停止mq

二、MQ运行状态查看与常用操作

1、 查看队列管理器运行状态

su mqm

执行如下命令检查队列管理器运行状态：dspmq显示结果中QMNAME表示MQ队列管理器的名称，STATUS表示当前运行状态。运行状态有如下几种：Starting正在启动Running正在运行Ending正在停止Ended normally已经正常终止Ended immediately已经立即终止Ended preemtively已经强制终止Ended unexpectively异常终止

注意：停止MQ后必须使用dspmq命令进行状态检查

2、查看通道运行状态与启停通道

runmqsc

dis chl(*);查看所有通道定义

dis chs(*);查看所有通道状态，如果没有查询到通道状态，或报错AMQ8420: Channel Status not found，请启动通道

dis chs(ChannelName)； 查看通道ChannelName的状态

通道状态有如下几种：

STARTING正在启动BINDING正在绑定INITIALIZING正在初始化RUNNING正常STOPPING 正在停止RETRYING重试PAUSED等待STOPPED已停止REQUESTING请求

start chl(ChannelName);启动通道

stop chl(ChannelName);停止通道

* 重置通道

reset channel(ChannelName); 重置通道序号。当本地与其他MQ队列管理器的通道无法正常启动的情况，检查日志发现是通道序号不一致，此时就需要先停止发送方通道，清空队列深度并在发送方和接收方进行通道计数的重置，重置后启动通道即可恢复通讯。

注意：重置成功mq序列号一般相同或相差1

3、查看通道监听状态与启停监听

runmqsc

dis listner(*);查看通道监听定义

dis lsstatu(listnerName);查看监听状态

start lstr(listnerName)； 启动监听

stop lstr(listnerName)； 停止监听 

4、查看队列深度

runmqsc

dis q(*);查看所有各类队列的属性

dis qlocal(QName);查看所有本地队列的属性

队列深度属性为：CURDEPTH

查看队列深度display ql('队列名')  curdepth

*清空队列深度

清空队列深度

clear ql(‘队列名’)

三、MQ发送和接收消息

su mqm

发送消息

amqsput  队列名  队列管理器

获取消息

amqsget  队列名  队列管理器

可通过配合查看队列深度命令，完成mq的联调

六、其他维护中常用linux命令

1、测试端口连接

telnet ip port

2、查看已启动的端口

netstat -an | grep 端口号

3、查看应用进程

ps -ef |grep java

4、修改权限

chomd  XXX(对应的权限)  文件目录

5、修改文件或目录下所有文件所有者和组

Chomd -R 用户名：组名  文件目录

6、查看目录内容

ls 或者ls -l (简写ll)

7、查看文件输出

cat 目录/文件名

或者

Vi 目录/文件名 按i可进入编辑

按 G 到文档末尾

按 gg 到文件首行

不保存退出

Esc   :q!

保存退出

Esc   :wq

vi 进入文档文档后查找关键字

Esc 进入命令行

/关键字

按n向下继续查找

按N向上继续查找

8、杀进程

Kill -9 进程号

9、复制

cp -r 源目录  目标目录

10、移动

mv  -i 源文件或目录 目标文件或目录

11、删除

rm -R 文件目录

12、 切换工作目录

cd  相对路径或绝对路径

~也表示为 home 目录 的意思， . 则是表示目前所在的目录， .. 则表示目前目录位置的上一层目录。

Linux常用命令之--useradd，userdel，usermod，groupadd，groupdel，groupmod，gpasswd

会创建用户，并同时创建和用户同名的组；邮件文件；家目录（默认存放在/HOME/里的同名文件夹里）

语 法：useradd [选项] 用户名

常用选项 :

• -c 备注 加上备注文字

• -d 目录 指定用户登入时的启始目录

useradd -d /tmp/jack jack

cat /etc/passwd jack 已经为/tmp/jack了，说明创建成功了。但是cd到/tmp/里看不到

jack的文件夹，是因为权限不够，如果关掉SeLinux或者赋予它权限了就可以看到jack文件夹了

• -g 群组 　 指定用户所属的群组

• -G 群组 　 指定用户所属的附加群组

• -m /-M　 自动建立(-m)用户的登入目录或不自动创建

• -n 　 取消建立以用户名称为名的群组

• -s shell　 　 指定用户登入后所使用的shell （不加-s的默认shell为/bin/bash）

/sbin/nologin 没有可登录的shell

• -u uid 　指定用户ID

useradd -n -G natasha tom

建新用户在不指定的情况下UID和GID是一样的，但是因为这里用-n取消建立以用户

名称为名的群组，所以 cat /etc/passwd 的时候发现GID为100，和cat /etc/group里users组的GID是一样的，由此可知在不建立以用户名称为名的群组的时候新建的用户主属组都是users，而用-G指定tom的附加群组为natasha，因此在 cat /etc/group 的时候出现的是natasha:x:1003:tom (1003是natasha的GID)

useradd -g natasha tom

用-g指定tom的主群组为natasha，因此在cat /etc/group里没有tom群组，在cat

/etc/passwd里出现的是tom:x:1006:1003::/home/tom:/bin/bash

(1003是natasha的GID)

语 法：userdel [选项] 用户名

常用选项

• -r 删除用户登入目录以及目录中所有文件 (不加-r不会自动删除同名组，邮件文件和家目录，如果先通过userdel删除了用户，之后想删除其同名组，邮件文件和家目录需要用rm命令手动一个个删除)，但是如果只删除了用户，没删除的里面的各种文件使用的还是原来创建这个用户时的UID，所以一旦其他用户使用了这个UID，还是没办法通过rm手动删除

• -f 强制删除用户

语 法：usermod [选项] 用户名

常用选项

• -c：改变用户的描述信息

• -d：改变用户的主目录，如果加上-m则会将旧家目录移动到新的目录中去 (-m应加在新目录之后)

usermod -d 目的文件夹 用户名

• -g：改变用户的主属组

• -G：设置用户属于哪些组

• -l：改变用户的登录用名

不会改变属组的名称，原来的登录用户属于哪个组，现在还是属于哪个组

• -s：改变用户的默认shell ，如果将一个用户的shell指定为sbin/nologin的话用su -l 用户名进不去，会显示回显：This account is currently not available.

• -u：改变用户的UID

• -L：锁住密码，使密码不可用，这时在/etc/shadow文件里该用户的密码第一位为！

通过 usermod -L 用户名锁住密码，这时在root用户下su -l 用户名还是可以进入到系统中，因为root用户su到任意用户里都是不需要密码的。但是如果登出root用户，用该用户登录时就会显示sorry,that didn’t work,please try again.

• -U：为用户密码解锁

passwd 用户名，然后输入两次密码改密码，root的可以修改其他user的密码，但是root以外的用户只能修改自己的密码。只有root用户可以用这个命令改密码。如果是普通用户要改自己的密码的话，直接登录自己的普通用户账户，输入passwd即可改密码。

root以外的其他用户需要遵循密码最小生存周期，比如如果是1的话一天之内最多改一次。而root用户没有这个限制

系统用户可以直接修改/etc/group文件达到管理组的目的，也可以使用以下指令：

※一个组的管理员不一定要包含在这个组当中

※一个组可以有多个管理员

※一个人也可以在多个组中担任管理员

例： gpasswd -A user2 pools 将user2设置为组管理员

想将管理员改成user3的时候： gpasswd -A user3 pools

想新增管理员user3的时候： gpasswd -A user2,user3 pools

cat /etc/gshadow 可以看到一个组的管理员是谁

• gpasswd –a 用户名 用户组：将一个用户添加入一个组（从属组）

• gpasswd –M 用户名… 用户组：将多个用户添加入一个组（从属组）

※这里的M是modify的缩写，添加完会覆盖原来已经添加到这个组的组员

• gpasswd –d 用户名 用户组：将一个用户从一个组删除

gpasswd只能修改用户的从属组，想指定/改变主属组只能通过useradd/usermod