B.3. kickstart 命令进行系统配置

备注

• 在以前的版本中，auth 或 authconfig Kickstart 命令称为 authconfig 工具。在 Red Hat Enterprise Linux 8 中已弃用这个工具。这些 Kickstart 命令现在使用 authselect-compat 工具调用新的 authselect 工具。有关兼容性层及其已知问题的描述，请参阅 authselect-migration(7) 手册页。安装程序将自动检测弃用命令的使用并在系统上安装 authselect-compat 软件包以提供兼容性层。
• 默认使用影子密码。
• 当使用带有用于安全的 SSL 协议的 OpenLDAP 时，请确保在服务器配置中禁用了 SSLv2 和 SSLv3 协议。这是因为 POODLE SSL 漏洞(CVE-2014-3566)。如需更多信息，请参阅红帽知识库解决方案 解决 POODLE SSLv3.0 漏洞。

备注

• 这个命令会将所有选项传递给 authselect 命令。详情请查看 authselect(8) 手册页和 authselect --help 命令。
• 这个命令替换了 Red Hat Enterprise Linux 8 中已弃用的 auth 或 authconfig 命令以及 authconfig 工具。
• 默认使用影子密码。
• 当使用带有用于安全的 SSL 协议的 OpenLDAP 时，请确保在服务器配置中禁用了 SSLv2 和 SSLv3 协议。这是因为 POODLE SSL 漏洞(CVE-2014-3566)。如需更多信息，请参阅红帽知识库解决方案 解决 POODLE SSLv3.0 漏洞。

必填选项

• --enabled 或 --enable - 拒绝那些不是响应出站请求（如 DNS 回复或 DHCP 请求）的传入连接。如果需要访问在这个机器中运行的服务，您可以选择允许指定的服务通过防火墙。
• --disabled 或 --disable - 不配置任何 iptables 规则。

可选选项

• --trust - 在此处列出设备，如 em1，允许进出该设备的所有流量通过防火墙。要列出多个设备，请多次使用这个选项，如 --trust em1 --trust em2。不要使用逗号分隔的格式，如 --trust em1、em2。
• --remove-service - 不允许服务穿过防火墙。

• incoming - 使用以下服务中的一个或多个来替换，从而允许特定的服务穿过防火墙。

  • --ssh
  • --smtp
  • --http
  • --ftp
• --port= - 您可以使用 port:protocol 格式指定允许通过防火墙的端口。例如，要允许 IMAP 通过您的防火墙，可指定 imap:tcp。数字端口也可以明确指定；例如，要允许 UDP 数据包在端口 1234 到，请指定 1234:udp。要指定多个端口，用逗号将它们隔开。

• --service= - 此选项提供允许服务穿过防火墙的更高级别方法。有些服务（如 cups、vahi 等）需要打开多个端口或其他特殊配置才能使服务正常工作。您可以使用 --port 选项指定各个端口，或者指定 --service= 并一次性全部打开它们。

  有效选项是 firewalld 软件包中 firewall-offline-cmd 程序可识别的任何内容。如果 firewalld 服务正在运行，firewall-cmd --get-services 会提供已知服务名称的列表。

• --use-system-defaults - 完全不配置防火墙。这个选项告诉 anaconda 不做任何工作，并允许系统依赖软件包或者 ostree 提供的默认值。如果将这个选项与其它选项一同使用，则将忽略所有其他选项。

必填选项

• --name= - 提供组的名称。

可选选项

• --gid= - 组的 GID。如果没有提供，则默认使用下一个可用的非系统 GID。

备注

• 如果具有指定名称或 GID 的组群已经存在，这个命令会失败。
• user 命令可用于为新创建的用户创建新组。

选项

• --vckeymap= - 指定应使用的 VConsole 键映射。有效名称与 /usr/lib/kbd/keymaps/xkb/ 目录中的文件列表对应，没有 .map.gz 扩展名。

• --xlayouts= - 指定 X 布局列表，该列表应当用作逗号分隔的列表，没有空格。接受与 setxkbmap(1) 相同格式的值，可以是 布局 格式（如 as cz），也可以是 布局 （变体） 格式（如 cz (qwerty)）。

  可以在下方的 xkeyboard-config(7) man page 中查看所有可用 布局。

• --switch= - 指定布局切换选项列表（在多个键盘布局之间切换的快捷方式）。必须使用逗号分开多个选项，没有空格。接受与 setxkbmap(1) 相同格式的值。

  您可以在 xkeyboard-config(7) man page 上的 Options 下查看可用的切换选项。

备注

• 必须使用 --vckeymap= 或 --xlayouts= 选项。

必填选项

• language - 安装对此语言的支持并将其设置为系统默认。

可选选项

• --addsupport= - 添加对其他语言的支持。格式为使用逗号分开的列表，无空格。例如：

  lang en_US --addsupport=cs_CZ,de_DE,en_UK

  Copy to Clipboard Toggle word wrap

备注

• locale -a | grep _ 或 localectl list-locales | grep _ 命令返回支持的区域列表。
• 文本模式安装中不支持某些语言（比如中文、日语、韩文和印度的语言）。如果您使用 lang 命令指定这些语言中的一种，安装过程将继续使用英语，但安装的系统会使用您选择的语言作为其默认语言。

备注

• 通过这个命令和 %packages 部分的组合，您可以安装由启用的模块和流组合提供的软件包，而无需明确指定模块和流。安装软件包前必须启用模块。使用 module 命令启用模块后，您可以通过在 %packages 部分列出此模块启用的软件包来安装它们。
• 单个 module 命令只能启用单个模块和流组合。要启用多个模块，请使用多个 module 命令。无法多次启用带有不同流的模块。
• 在 Red Hat Enterprise Linux 8 中，模块只存在于 AppStream 存储库中。要列出提供的模块，请在安装了具有有效订阅的 Red Hat Enterprise Linux 8 系统上使用 yum module list 命令。

必填选项

• --name= - 存储库 ID。这个选项是必需的。如果库的名称与另一个之前添加的库冲突，则会忽略它。因为安装程序使用预设置程序库列表，这意味着您无法添加名称与预先设置的库的名称相同的库。

• --baseurl= - 存储库的 URL。
• --mirrorlist= - 指向存储库镜像列表的 URL。
• --metalink= - 存储库的 metalink 的 URL。

可选选项

• --install - 将已安装系统上的仓库配置保存在 /etc/yum.repos.d/ 目录中。如果不使用这个选项，在 Kickstart 文件中配置的程序库将只在安装过程中使用，而无法在安装的系统中使用。
• --cost= - 为这个存储库分配成本的整数值。如果多个库提供同样的软件包，这个数字就会被用来决定优先使用哪个库。成本低的软件仓库优先于成本高的软件仓库。
• --excludepkgs= - 不能从此存储库拉取的软件包名称，是一个以逗号分隔的列表。如果多个存储库提供同样的软件包，您希望这个软件包来自特定的仓库，可以使用它。可接受完整软件包名称（如 publican）和 globs（如 gnome-*）。
• --includepkgs= - 允许从此存储库拉取的软件包名称和 glob 的逗号分隔列表。该程序仓库提供的其他软件包将被忽略。如果您只想从库中安装单个软件包或软件包组而不包括该程序库提供的所有其他软件包，这个选项就很有用了。
• --proxy=[protocol://][username[:password]@]host[:port ] - 指定仅用于此存储库的 HTTP/HTTPS/FTP 代理。此设置不会影响任何其他存储库，也不会影响在 HTTP 安装中如何获取 install.img。
• --noverifyssl - 连接到 HTTPS 服务器时禁用 SSL 验证。

备注

• 用于安装的软件仓库必须是稳定版本。如果在安装完成前修改库，则安装会失败。

必填选项

• password - 密码规格。纯文本或者加密字符串。请参阅以下 --iscrypted 和 --plaintext。

选项

• --iscrypted - 如果给出这个选项，则假设 password 参数已被加密。这个选项与 --plaintext 相互排斥。要创建一个加密的密码，您可以使用 python:

  $ python -c 'import crypt,getpass;pw=getpass.getpass();print(crypt.crypt(pw) if (pw==getpass.getpass("Confirm: ")) else exit())'

  Copy to Clipboard Toggle word wrap

  这会使用随机 salt 为密码生成 sha512 兼容哈希。

• --plaintext - 如果给出这个选项，则假设 password 参数为纯文本。这个选项与 --iscrypted 相互排斥。
• --lock - 如果给出这个选项，则默认锁定 root 帐户。这意味着 root 用户无法从控制台登录。这个选项还在图形和文本手动安装中禁用 Root 密码 页面。

选项

• --disabled= - 禁用在逗号分隔列表中给出的服务。
• --enabled= - 启用逗号分隔列表中给出的服务。

注

• 当使用 services 元素启用 systemd 服务时，请确保在 %packages 部分中包含指定服务文件的软件包。

• 使用逗号分开多个服务，没有空格。例如，要禁用四个服务，请输入：

  services --disabled=auditd,cups,smartd,nfslock

  Copy to Clipboard Toggle word wrap

  如果您包含任何空格，Kickstart 只启用或禁用第一个空格前的服务。例如：

  services --disabled=auditd, cups, smartd, nfslock

  Copy to Clipboard Toggle word wrap

  这仅禁用 auditd 服务。要禁用所有四个服务，此条目不得包含空格。

备注

• 这个命令没有选项。

必填选项

• --username= - 要安装密钥的用户。
• ssh_key - 完整的 SSH 密钥指纹。它必须用引号括起。

选项

• --role= - 设置预期的系统角色。可用值有：

  • Red Hat Enterprise Linux Server
  • Red Hat Enterprise Linux Workstation
  • Red Hat Enterprise Linux Compute 节点

• --SLA= - 设置服务级别协议。可用值有：

  • Premium（高级）
  • Standard（标准）
  • Self-Support（自助）

• --usage= - 系统预定用途。可用值有：

  • Production
  • Disaster Recovery
  • Development/Test
• --Addon= - 指定额外的层次产品或功能。您可以多次使用这个选项。

备注

• 输入有空格的值，并使用双引号包括它们：

  syspurpose --role="Red Hat Enterprise Linux Server"

  Copy to Clipboard Toggle word wrap
• 虽然强烈建议您配置系统目的，但它是 Red Hat Enterprise Linux 安装程序的可选功能。如果要在安装完成后启用系统目的，您可以使用 syspurpose 命令行工具完成此操作。

必填选项

• timezone - 为系统设定的时区。

可选选项

• --UTC - 如果存在，系统假定硬件时钟被设置为 UTC（格林威治 Mean）时间。
• --nontp - 禁用 NTP 服务自动启动。
• --ntpservers= - 指定用作没有空格的逗号分隔列表的 NTP 服务器列表。

必填选项

• --name= - 提供用户名称。这个选项是必需的。

可选选项

• --GECOS= - 为用户提供 GECOS 信息。这个字符串包括使用逗号分开的各种具体系统字段。它通常用来指定用户全名、办公室号码等等。详情请查看 passwd(5) 手册页。
• --groups= - 除默认组外，还有以逗号分隔的用户应属于的组名列表。组群必须在创建该用户帐户前就已经存在。请参阅 group 命令。
• --homedir= - 用户的主目录。如果没有提供，则默认为 /home/username。
• --lock - 如果给出这个选项，则默认锁定这个帐户。这意味着用户无法从控制台登录。这个选项还在图形和文本手动安装中禁用创建用户 页面。
• --password= - 新用户的密码。如果没有提供，则默认锁定该帐户。

• --iscrypted - 如果给出这个选项，则假设 password 参数已被加密。这个选项与 --plaintext 相互排斥。要创建一个加密的密码，您可以使用 python:

  $ python -c 'import crypt,getpass;pw=getpass.getpass();print(crypt.crypt(pw) if (pw==getpass.getpass("Confirm: ")) else exit())'

  Copy to Clipboard Toggle word wrap

  这会使用随机 salt 为密码生成 sha512 兼容哈希。

• --plaintext - 如果给出这个选项，则假设 password 参数为纯文本。这个选项与 --iscrypted 相互排斥
• --shell= - 用户的登录 shell.如果没有提供，则使用系统默认。
• --uid= - 用户的 UID（用户 ID）。如果没有提供，则默认使用下一个可用的非系统 UID。
• --gid= - 用于用户组的 GID（组 ID）。如果没有提供，则默认使用下一个可用的非系统组群 ID。

备注

• 请考虑使用 --uid 和 --gid 选项设置常规用户及其默认组的 ID，范围从 5000 开始，而不是 1000。这是因为为系统用户和组保留的范围（ 0到999 ）将来可能会增加，因此与常规用户的 ID 重叠。

  有关在安装后更改最小 UID 和 GID 限制，以确保您在创建用户时可以自动应用您选择的 UID 和 GID 范围，请参阅配置基本系统设置 文档中的使用 umask 为新文件设置默认权限部分。

• 使用不同权限创建的文件和目录，由用来创建文件或目录的应用程序指定。例如，mkdir 命令创建启用了所有权限的目录。但是，应用无法为新创建的文件授予某些权限，如 user file-creation mask 设置所指定。

  user file-creation mask 可通过 umask 命令控制。新用户的 user file-creation mask 默认设置由安装系统上的 /etc/login.defs 配置文件中的 UMASK 变量定义。如果未设置，则默认为 022。这意味着，默认情况下，当应用程序创建一个文件时，会防止为该文件所有者以外的用户授予写入权限。不过，这可以被其他设置或脚本覆盖。

  如需了解更多信息，请参阅配置基本系统设置文档中的 使用 umask 配置基本系统设置。

选项

• --startxonboot - 在安装的系统上使用图形登录。

备注

• 因为 Red Hat Enterprise Linux 8 没有包括 KDE 桌面环境，请不要使用上游中记录的 --defaultdesktop= 。