一、深入理解 Linux 文件系统
在处理 Linux 系统出现的各种故障时,故障的症状是最易发现的,而导致这一故障的原因才是最终排除故障的关键。熟悉 Linux 系统中常见的日志文件,了解一般故障的分析与解决办法,将有助于管理员快速定位故障点、“对症下药”、并及时解决各种系统问题。另外,Linux 系统中通过分区、格式化来创建文件系统,而文件系统的运行又与 block 和inode 有关。由于故障现象的不确定性,在进行一些模拟故障的操作之前,一定要提前做好数据备份。
1、inode 与 block 详解
操作系统的文件数据除了实际内容之外,通常含有非常多的属性,例如Linux操作系统的
文件权限(rwx)与文件属性(所有者、群组、时间参数等)。文件系统通常会将这两部分内容分别存放在 inode 和 block 中。
(1)inode 和 block 概述
文件是存储在硬盘上的,硬盘的最小存储单位叫做“扇区”(sector),每个扇区存储 512字节。操作系统读取硬盘的时候,不会一个个扇区地读取,这样效率太低,而是一次性连续读取多个扇区,即一次性读取一个"块"(block)。这种由多个扇区组成的"块",是文件存取的最小单位。"块"的大小,最常见的是 4KB,即连续八个 扇区(sector) 组成一个 (block)
文件数据存储在“块”中,那么还必须找到一个地方存储文件的元信息,比如文件的创建者、文件的创建日期、文件的大小等等。这种存储文件元信息的区域就叫做 inode,中文译名为“索引节点”,也 叫 i 节点。因此,一个文件必须占用一个 inode,但至少占用一个 block。
硬盘的最小存储单位叫扇区,Linux文件系统的最小存储单位叫 “ 块 ”
(2)inode 的内容
使用 stat 命令即可查看某个文件的 inode 信息。
inode 包含很多的文件元信息,但不包含文件名,例如下图
Linux 系统文件有三个主要的时间属性,分别是:
atime(access time) , mtime(modify time) , ctime(change time)
inode 中并不包括文件名,其实文件名是存放在目录当中的。Linux 系统中一切皆文件,因此目录也是一种文件
每个 inode 都有一个号码,操作系统用 inode 号码来识别不同的文件,Linux 系统内部不使用文件名,而使用 inode 号码来识别文件。对于用户来说,文件名只是 inode 号码便于识别的别称。
(3)inode 的号码
系统找到这个文件名对应的 inode 号码;
通过 inode 号码,获取 inode 信息;
根据 inode 信息,找到文件数据所在的 block,并读出数据。
常见的查看 inode 号码的方式有两种:
ls -i 命令:直接查看文件名所对应的 inode 号码;
stat 命令:通过查看文件 inode 信息而查看到 inode 号码。
当用户在 Linux 系统中试图访问一个文件时,系统会先根据文件名去查找它对应的 inode,看该用户是否具有访问这个文件的权限。如果有,就指向相对应的数据 block,如果没有,就返回 Permission denied。
(4)inode 的大小
(一个文件只要文件大小发生改变,inode就会发生改变,因为它的属性信息发生改变了)
inode 也会消耗硬盘空间,所以格式化的时候,操作系统自动将硬盘分成两个区域。一个是数据区,存放文件数据;另一个是 inode 区,存放 inode 所包含的信息。每个 inode的个 inode 的大小,一般是 128 字节或 256 字节。通常情况下不需要关注单个 inode 的大小,而是需要重点关注 inode 总数。化inode 的总数在格式时就给定了,执行“df -i”命令即可查看每个硬盘分区对应的的 inode 总数和已经使用的 inode 数量。
由于 inode 号码与文件名分离,导致一些 Unix/Linux 系统具备以下几种特有的现象。
文件名包含特殊字符,可能无法正常删除。这时直接删除 inode,能够起到删除文件的作用;移动文件或重命名文件,只是改变文件名,不影响 inode 号码;打开一个文件以后,系统就以 inode 号码来识别这个文件,不再考虑文件名。这种情况使得软件更新变得简单,可以在不关闭软件的情况下进行更新,不需要重启。因为系统通过 inode 号码,识别运行中的文件,不通过文件名。更新的时候,新版文件以同样的文件名,生成一个新的 inode,不会影响到运行中的文件。等到下一次运行这个软件的时候,文件名就自动指向新版文件,旧版文件的 inode 则被回收。
如何更改inode的大小以及block的大小?(针对xfs格式)
如何设置inodo在磁盘中的比例? (针对xfs格式)
如何查看inode以及block数量;大小的信息?
如何设置block大小以及inode大小?(针对ext4格式)
二、硬链接与软链接
在 Linux 系统下的链接文件有两种,一种类似于 Windows 的快捷方式功能的文件,可以快速连接到目标文件或目录,称之为软链接;另一种则是通过文件系统的 inode 链接来产生的新文件名,而不是产生新文件,称之为硬链接。
1、硬链接(硬链接只能对文件创建,不能对目录创建)(硬链接出来的文件不会额外消耗存储空间,因为两个文件的inode号一样,指向的是同一份文件,使用的是同一份inode信息,所以不会再创建新的inode信息。)
inode编号在不同的分区内可能会重复使用,所以硬链接不能跨分区。
一般情况下,文件名和 inode 号码是一一对应关系,每个 inode 号码对应一个文件名。但是 Linux 系统允许多个文件名指向同一个 inode 号码。这意味着,可以用不同的文件名访问同样的内容。ln 命令可以创建硬链接。例:ln aaa bbb
当一个文件拥有多个硬链接时,对文件内容修改,会影响到所有文件名;但是删除一个文件名,不影响另一个文件名的访问。删除一个文件名,只会使得 inode 中的"链接数"减 1。
通过 mkdir 命令创建一个新目录/app/kgc,其硬链接数应该有 2 个,因为常见的目录本身为 1 个硬链接,而目录 kgc 下面的隐藏目录.(点号)是该目录的又一个硬链接,也算是1 个链接数。ln + 跟目录名 + .hard
2.软链接(软连接既可以对目录创建又可以对文件创建)(为避免链接文件找不到原文件,必须使用绝对路径。)
软链接就是再创建一个独立的文件,而这个文件会让数据的读取指向它链接的那个文件的文件名。例如,文件 A 和文件 B 的 inode 号码虽然不一样,但是文件 A 的内容是文件B 的路径。读取文件 A 时,系统会自动将访问者导向文件 B。这时,文件 A 就称为文件 B的“软链接”(soft link)或者“符号链接(symbolic link)。这意味着,文件 A 依赖于文件 B 而存在,如果删除了文件 B,打开文件 A 就会报错。这是软链接与硬链接最大的不同:文件 A 指向文件 B 的文件名,而不是文件 B 的 inode 号码,文件 B 的 inode“链接数”不会因此发生变化。ln -s + 文件名 + .soft
凡是inode号码一致的这两个文件互为硬链接文件,因为硬链接的inode号码和源文件保持一致。而软连接的inode号码和源文件不一致。
软链接与硬链接的区别。
三、分析日志文件
日志文件是用于记录 Linux 操作系统中各种运行消息的文件,相当于 Linux 主机的“日记”。不同的日志文件记载了不同类型的信息,如 Linux 内核消息、用户登录事件、程序错误等。日志文件对于诊断和解决系统中的问题很有帮助,因为在 Linux 操作系统中运行的程序通常会把系统消息和错误消息写入相应的日志文件,这样系统一旦出现问题就会“有据可查”。此外,当主机遭受攻击时,日志文件还可以帮助寻找攻击者留下的痕迹。
1、主要日志文件
内核及系统日志:这种日志数据由系统服务 rsyslog 统一管理,根据其主配置文件/etc/rsyslog.conf 中的设置决定将内核消息及各种系统程序消息记录到什么位置。系统中有相当一部分程序会把自己的日志文件交由 rsyslog 管理,因而这些程序使用的日志记录也具有相似的格式。
用户日志:这种日志数据用于记录 Linux 操作系统用户登录及退出系统的相关信息,包括用户名、登录的终端、登录时间、来源主机、正在使用的进程操作等。
程序日志:有些应用程序会选择由自己独立管理一份日志文件(而不是交给 rsyslog服务管理),用于记录本程序运行过程中的各种事件信息。由于这些程序只负责管理自己的日志文件,因此不同程序所使用的日志记录格式可能会存在较大的差异。
Linux 操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/log/下。
有相当一部分日志文件只有 root 用户才有权限读取,这保证了相关日志信息的安全性。
2、内核及系统日志
内核及系统日志功能主要由默认安装的 rsyslog-7.4.7-16.el7.x86_64.rpm 软件包提供。rsyslog 服务所使用的配置文件为/etc/rsyslog.conf。通过看看/etc/rsyslog.conf 文件中的内容,可以了解到系统默认的日志设置。
常见的日志文件(在Linux系统中存放日志的文件的路径都在/var/log)
/var/log/messages:记录 Linux 内核消息及各种应用程序的公共日志信息,包括启动、I/0 错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息。
/var/log/cron:记录 crond 计划任务产生的事件信息。
/var/log/dmesg:记录 Linux 操作系统在引导过程中的各种事件信息。
/var/log/maillog:记录进入或发出系统的电子邮件活动。
/var/log/lastlog:记录每个用户最近的登录事件。
/var/log/secure:记录用户认证相关的安全事件信息。
/var/log/wtmp:记录每个用户登录、注销及系统启动和停机事件。
/var/log/btmp:记录失败的、错误的登录尝试及验证事件。
从配置文件/etc/rsyslog.conf 中可以看到,受 rsyslogd 服务管理的日志文件都是 Linux操作系统中主要的日志文件,它们记录了 Linux 操作系统中内核、用户认证、电子邮件、计划任务等基本的系统消息。在 Linux 内核中,根据日志消息的重要程度不同,将其分为不同的优先级别(数字等级越小,优先级越高,消息越重要)。
0 EMERG(紧急):会导致主机系统不可用的情况。
1 ALERT(警告):必须马上采取措施解决的问题。
2 CRIT(严重):比较严重的情况。
3 ERR(错误):运行出现错误。
4 WARNING(提醒):可能影响系统功能,需要提醒用户的重要事件。
5 NOTICE(注意):不会影响正常功能,但是需要注意的事件。
6 INFO(信息):一般信息。
7 DEBUG(调试):程序或系统调试信息等。
内核及大多数系统消息被记录到公共日志文件/var/log/messages 中,而其他一些程序消息被记录到各自独立的日志文件中,此外日志消息还能够记录到特定的存储设备中,或者直接发送给指定用户。
对于 rsyslog 服务统一管理的大部分日志文件,使用的日志记录格式基本上是相同的。以公共日志/var/log/messages 文件的记录格式为例,其中每一行表示一条日志消息,每一条消息均包括以下四个字段。
时间标签:消息发出的日期和时间。
主机名:生成消息的计算机的名称。
子系统名称:发出消息的应用程序的名称。
消息:消息的具体内容。
在有些情况下,可以设置 rsyslog,使其在把日志信息记录到文件的同时将日志信息发送到打印机进行打印,这样无论网络入侵者怎样修改日志都不能清除入侵的痕迹。rsyslog日志服务是一个常会被攻击的显著目标,破坏了它将使管理员难以发现入侵及入侵的痕迹,因此要特别注意监控其守护进程及配置文件。
3、程序日志
在 Linux 操作系统中,还有相当一部分应用程序没有使用 rsyslog 服务来管理日志,而是由程序自己维护日志记录。例如,httpd 网站服务程序使用两个日志文件 access_log 和error_log 分别记录客户访问事件和错误事件。
例如,出现以下现象就应多加注意。
用户在非常规的时间登录,或者用户登录系统的 IP 地址和以往的不一样。
用户登录失败的日志记录,尤其是那些一再连续尝试进入失败的日志记录。
非法使用或不正当使用超级用户权限。
无故或者非法重新启动各项网络服务的记录。
不正常的日志记录,如日志残缺不全,或者是诸如 wtmp 这样的日志文件无故缺少了中间的记录文件。
4、用户日志
在 wtmp、btmp、lastlog 等日志文件中,保存了系统用户登录、退出等相关的事件消息。但是这些文件都是二进制的数据文件,不能直接使用 tail、less 等文本查看工具进行浏览,需要使用 who、w、users、last 和 lastb 等用户查询命令来获取日志信息。
(1)查询当前登录的用户情况——users、who、w 命令
users 命令只是简单地输出当前登录的用户名称,每个显示的用户名对应一个登录会话。
who 命令用于报告当前登录到系统中的每个用户的信息。who 的默认输出包括用户名、终端类型、登录日期及远程主机。
w 命令用于显示当前系统中的每个用户及其所运行的进程信息,比 users、who 命令的输出内容要丰富一些。
(2)查询用户登录的历史记录——last、lastb 命令
last 命令用于查询成功登录到系统的用户记录,最近的登录情况将显示在最前面。lastb 命令用于查询登录失败的用户记录,如登录的用户名错误、密码不正确等情况都将记录在案。除了使用 lastb 命令查看以外,也可以直接从安全日志文件/var/log/secure 中获得相关信息。
一个文件想存在Linux文件系统上,需要由block容量和inode数量共同决定
286
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
