目录
一、限制更改GRUB引导参数
方法一:
直接添加密码:grub2-setpassword
[root@localhost ~]# grub2-setpassword
Enter password:
Confirm password:
[root@localhost ~]#
方法二:
通常情况下在系统开机进入GRUB菜单时,按e键可以查看并修改GRUB引导参数,这对服务器时一个极大的威胁。可以为GRUB菜单设置一个密码,只有提供正确的密码才会被允许修改引导参数。
grub2-mkpasswd-pbkdf2 #根据提示设置GRUB菜单的密码
PBKDF2 hash of your password is grub.pbkd… #省略部分内容为经过加密生成的密码字符串
cp /boot/grub2/grub.cfg/boot/grub2/grub.cfg.bak
cp /etc/grub.d//00_header /etc/grub.d//00_header.bak
vim /etc/grub.d//00_header
cat << EOF
set superusers=“root” #设置用户名为root
password_pbkdf2 root grub.pbkd2… #设置密码,省略部分内容为经过加密生成的密码字符串
EOF
grub2-mkconfig -o /boot/grub2/grub.cfg #生成新的grub.cfg文件
重启系统进入GRUB菜单时,按e键将需要输入账号密码才能修改引导参数。
方法二比较复杂,个人建议还是使用方法一。
二、Linux文件系统与日志分析
2.1 inode 表结构
每个文件的属性信息,比如:文件的大小,时间,类型,权限等,称为文件的的元数据(meta data)
元数据时存放在inode 表中,inode表中由很多条记录组成,第一条记录对应的存放了一个文件的元数据信息
每一个inode表记录对应的保存了以下信息:
-
inode number节点号
-
文件类型
-
权限
-
UID
-
GID
-
链接数(指向这个文件名路径名称个数)
-
该文件的大小和不同的时间戳
-
指向磁盘上文件的数据块指针
-
有关文件的其他数据
2.2inode和block概述
文件数据包括元信息与实际数据
文件存储在硬盘上,硬盘最小储存单位时“扇区”,每个扇区存储512字节
block(块)
-
连续的八个扇区组成一个block
-
时文件存取的最小单位
inode(索引节点)
-
中文译名为“索引节点”,也叫i节点
-
用于存储文件元信息
元信息——inode 数据——block
2.3inode包含文件的元信息
文件的字节数
文件拥有者的User ID
文件的Group ID
文件的读、写、执行权限
文件的时间戳
用stat命令可以查看某个文件的inode信息
[root@localhost ~]# mkdir aa.txt
[root@localhost ~]# ls
aa anaconda-ks.cfg initial-setup-ks.cfg 模板 图片 下载 桌面
aa.txt elsfk.sh 公共 视频 文档 音乐
[root@localhost ~]# stat aa.txt
文件:"aa.txt"
大小:6 块:0 IO 块:4096 目录
设备:fd00h/64768d Inode:4680698 硬链接:2
权限:(0755/drwxr-xr-x) Uid:( 0/ root) Gid:( 0/ root)
环境:unconfined_u:object_r:admin_home_t:s0
最近访问:2021-09-25 14:08:26.840285360 +0800
最近更改:2021-09-25 14:08:26.840285360 +0800
最近改动:2021-09-25 14:08:26.840285360 +0800
创建时间:-
2.4Linux系统文件三个主要的时间属性
-
ctime(change time)
最后一次改变文件或目录(属性的时间) -
atime(access time)
最后一次访问文件或目录的时间
-
mtime(modify time)
最后一次修改文件或目录(内容)的时间
2.5目录文件的结构
目录也是一种文件
目录文件的结构
每个inode都有一个号码,操作系统用inode号 来识别不同的文件
Linux系统内部不使用文件名,而使用inode号来识别文件
对于用户,文件名只是inode号码便于识别的别称
2.6cp和inode
cp命令:
- 分配一个空闲的node号,在inode表中生成新条目
- 在目录中创建一个目录项,将名称与inode编号关联
- 拷贝数据生成新的文件
rm命令 - 硬链接数递减,从而释放的inode号可以被重用
- 把数据块放在空闲列表中
- 删除目录项
- 数据实际上不会马上被删除,但当另一个文件使用数据块时将被覆盖
mv和inode - 如果mv命令的目标和源在同一设备, 不影响inode表(除时间戳)或磁盘上的数据位置:没有数据被移动!删除旧的目录对应关系新建目录对应关系
[root@localhost ~]# cd aa
[root@localhost aa]# find -inum 67 -delete
[root@localhost aa]# ls
[root@localhost aa]# touch b.txt
[root@localhost aa]# ls -i
102004793 b.txt
[root@localhost aa]# find -inum 137985 -exec rm {} \;
[root@localhost aa]# ls
b.txt
[root@localhost aa]#
三种时间戳
当新创建一个文件时,这个文件的最后访问时间、最后内容修改时间、最后状态更新时间都是一致的。
修改一个文件的权限状态信息,只会更新这个文件的最后状态修改时间
对比事例2,这里最后状态时间、最后内容改变时间都被更新了。 当修改一个文件时,文件的Modify、Change会被更新
当查看文件时,文件的 Access time 会更新。
当需要了解这个文件有没有被修改过 - Modify Time 当需要了解这个文件最后被查看的时间 - Access Time
当需要了解这个文件权限最后变动的时间 - Change Time
2.7文件存储
硬盘分区后的结构
2.8inode的大小
inode也会消耗硬盘空间
-
每个inode的大小
-
一般是128字节或256字节
格式化文件系统时确定inode的总数
使用df -i命令可以查看每个硬盘分区的inode总数和已经使用的数量
2.9inode的特殊作用
由于inode号码与文件名分离,导致一些Unix/Linux系统具有以下的现象
-
当文件名包含特殊字符,可能无法正常删除文件,直接删除inode,也可以删除文件
-
移动或重命名文件时,只改变文件名,不影响inode号码
-
打开一个文件后,系统通过inode号码来识别该文件,不再考虑文件名
2.10链接文件
为文件或目录建立链接文件
链接文件分类
2.11硬连接与软连接
硬连接 同一个文件取不同的名或者叫多个名字不支持文件夹,创建一个链接数加一,多路径访问。
软连接 类似于windows里快捷方式,软连接,符号连接
ln(link)
ln [-s]源文件或目录…链接文件或目标位置
加s是软连接 符号连接
[root@localhost aa]# ll -d /test/
drwxr-xr-x. 2 root root 6 9月 25 16:21 /test/
[root@localhost aa]# cd /test/
[root@localhost test]# ls
[root@localhost test]# mkdir a
[root@localhost test]# ll -d
drwxr-xr-x. 3 root root 15 9月 25 16:23 .
三、日志
3.1内核及系统日志
Linux操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/log/下
3.2常见的一些日志文件:
四、分析日志文件
日志文件位置默认位于:/var/log目录下 日志的功能:
- 用于记录系统、程序运行中发生的各种事件
- 通过阅读日志,有助于诊断和解决系统故障
4.1日志文件的分类
- 内核及系统日志:这种日志数据由系统服务rsyslog同一管理,根据其主配置文件/etc/rsyslog.conf中的设置决定将内核消息及各种系统程序消息记录到什么位置
- 用户日志:这种日志数据用于记录Linux系统用户登录及退出系统通过的相关信息,包括用户名、登录的终端、登录时间、来源主机、正在使用的进程操作等
- 程序日志:有些应用程序会选择由自己独立管理一份日志文件(而不是交给rsyslog服务管理),用于记录本程序运行中的各种信息
4.2日志文件的格式
- 事件产生的时间。
- 产生事件的服务器的主机名。
- 产生事件的服务名或程序名。
- 事件的具体信息。
4.3日志管理
- 及时做好备份和归档
- 延长日志保存期限
- 控制日志访问权限
- 日志中可能会包含各类敏感信息,如账户和口令等
- 集中管理日志
- 将服务器的日志文件发到统一-的日志文件服务器
- 便于日志信息的统- -收集、 整理和分析
- 杜绝日志信息的意外丢失、恶意篡改或删除