实验要求:

1.在终端tty3中使用administrator用户登录(系统中不存在该账号),登录结果为失败。

2.使用系统用户fjctty4终端登陆,第一次输入错的密码,第二次输入正确的密码。

3.使用root用户登录系统后,查看上面两个用户登录的情况记录。

4.Root管理员的密码遗忘,开机时进入单用户模式进行root密码的重设。

5.提前备份sda上的MBR扇区数据,然后模拟该扇区的损坏,之后进行修复。

6.模拟GRUB引导故障,然后恢复。

7.模拟i节点耗尽故障

8.检测硬盘坏道

 




1.日志文件分析

wKiom1gSGdaTXJupAAAD6LqnDsY431.png

新添加一块磁盘并创建两个分区,永久挂载到/test1/test2文件夹下,分别用来存储备份文件和之后的模拟实验。

 

wKiom1gSGTmyGG1zAAAF_L12sGA474.png

使用组合键ctrl+alt+f3  切换到终端tty3,使用不存在的账号登录,登录失败。

 

wKioL1gSGTmgIFD_AAAEakbj3uI179.png

登录用户账号fjc,第一次输错密码,第二次正常登陆。


wKioL1gSGTnATBIJAAAD12UlN1g444.png

命令:last查询成功登录到系统的历史记录,最近的登录情况显示在最前面。


wKiom1gSGTrwGo0RAAAE6kkA5Bw956.png

命令:lastb查询登录失败的用户记录。


wKioL1gSGTqhO136AAAzc3oOiAc186.png

查看日志文件/var/log/secure,可以看到用户administratorfjcroot失败和成功登录的信息。

 

补充内容:

Linux系统中,日志数据主要包括三种:内核及系统日志、用户日志、程序日志。

1)内核及系统日志

·使用的配置文件为/etc/rsyslog.conf

·常见的内核和系统日志文件有:

/var/log/message:公共日志信息,包括启动、I/O错误、网络错误、程序故障等。未使用独立日志文件的应用程序或服务,一般可以从该日志文件中获得相关的时间记录信息。

/var/log/secure:记录用户认证相关的安全事件信息。

/var/log/maillog:记录进入或发出系统的电子邮件活动。

/var/log/cron:记录crond计划任务产生的事件信息。

·日志消息的重要程度不同,分为不同的优先级(数字越小,优先级越高,消息越重要)。

0    EMERG(紧急):会导致主机系统不可用的情况。

1    ALERT(警告):必须马上采取措施解决的问题。

2    CRIT(严重):比较严重的情况。

3    ERR(错误):运行出现错误。

4    WARNING(提醒):可能影响系统功能,需要提醒用户的重要事件。

5    NOTICE(注意):不会影响正常功能,但需要注意的事件。

6    INFO(信息):一般信息。

7    DEBUG(调试):程序或系统调试信息等。

·每一行日志消息均包括四个字段:

时间标签:消息发出的日期和时间。

主机名:生成消息的计算机的名称。

子系统名称:发出消息的应用程序的名称。

消息:消息的具体内容。

2)用户日志

·常见的用户日志:

/var/log/wtmp:记录每个用户成功登录、注销及系统启动和停机事件。

/var/log/btmp:记录失败的、错误的登录尝试及验证时间。

/var/log/lastlog:记录每个用户最近的登录事件。

·这些文件都是二进制的数据文件,不能直接使用tailless等文本查看工具进行浏览,需要使用whowuserslastlastb等命令来获取日志信息。


wKiom1gSGTrAXa0gAAAB5zsG50U247.png

users简单的输出当前登录的用户名称,每个显示的用户名对应一个登陆会话。


wKiom1gSGomC5E8wAAADsDkiePA136.png

who报告当前登录到系统中的每个用户的信息

默认输出包括:用户名、终端类型、登录日期及远程主机

 

wKioL1gSGomADRbwAAAJ7ppj7iA699.png

w显示每个用户及其所运行的进程信息

 

last  lastb()

 

3)程序日志

·常见的程序日志:

/var/log/httpd/access_logerror_log           Web服务

/var/log/squid/access_logcache.logsquid.outstore.log          代理服务

/var/log/xferlog     FTP服务

·一般由程序自己维护日志记录

·分析工具:

文本查看、grep过滤检索、Webmin管理套件中查看

awksed等文本过滤、格式化编辑工具

WebalizerAwstats等专用日志分析工具


2.遗忘root用户的密码

1)单用户模式重设root密码

wKiom1gSGomjgq7RAAAZta2us0A329.png

重新启动主机后,进入编辑模式。


wKioL1gSGomgcrVaAAAb1IUXwS4875.png


wKiom1gSGonSxpk6AAAMQjQ5-hU076.png

quiet后,按空格并输入1,按Enter键确认,再按b键进入单用户模式,直接进入shell环境。


wKioL1gSGomDFMdfAAAQJd4uysk880.png

需要先关闭selinux,然后就可以重新设置root的密码

 

2)急救模式重设root密码

wKioL1gSGy-SHIE8AAV8apKIvbQ698.png


wKiom1gSGzDx4as1AAAPB_nXd8U880.png

按照向导,进入该界面后选择第一项,进入Bash Shell环境。


wKioL1gSGzDQQfkbAAAJ5f_h1GI639.png

命令:chroot /mnt/sysp_w_picpath切换到待修复的linux系统根环境

重置root密码后,退出chroot环境并重启系统

 

3.MBR扇区故障

wKioL1gSGzCiTFD4AAAG6LPPD6M544.png

wKiom1gSGzCRFSZcAAADrtijNj8277.png

注:MBR引导记录位于物理硬盘的第一个扇区(512B),前446字节是主引导记录,从第447字节开始后的64字节,每16字节为一组,是硬盘的分区表。

这里将MBR引导记录备份到另一块磁盘中


wKiom1gSGzDBMuenAAANMI7YyGw502.png

重启系统后,发现无法从硬盘启动。所以,再次重启系统,进入急救模式。


wKiom1gSG6mSpZlOAAANUQQgJKw674.png

MBR损害,已无法获得有效分区表

 

wKioL1gSG6mw45PjAAAIqSahFcA635.png

将带有备份的分区挂载到目录/tmpdir中,然后将备份文件恢复到启动磁盘中,最后重启系统。

 

4.GRUB引导故障

故障的原因    配置文件/boot/grub/grub.conf丢失

  引导程序遭到破坏

(1)模拟配置文件/boot/grub/grub.conf丢失

wKioL1gSG6qzOVVbAAAJBdzQmm4468.png

同样,先备份grub.conf配置文件,删掉源文件后重启系统。


wKioL1gSHNTTyy3dAAALWDIJjSk887.png

重启后,进入该提示界面,在这里可以进行编辑,输入对应的应到命令,但是,由于命令复杂,所以采取另一种方法,即使用系统光盘引导进入急救模式,恢复备份文件。


wKioL1gSHNTz6sphAAACJJJfC94893.png

wKiom1gSHNWAapk-AAAGgAIEU1s974.png

切换到待修复的linux系根环境,将备份文件恢复到原目录,然后退出chroot环境,重启系统即可。

(2)引导程序被破坏(MBR扇区中的GRUB引导程序破坏),可以恢复MBR引导文件,也可以重新安装grub引导程序,方法:同样是进入急救模式,切换到chroot环境,执行

grub-install /dev/sda即可。

 

5.i节点耗尽故障

wKiom1gSHNXAizD0AAAFeSKbncQ992.png

命令:df -i 文件夹名查看该文件夹最多可以存放多少个文件


wKioL1gSHNWC_9cfAAAB8Jt77KA045.png

wKioL1gSHNWB_ss8AAAFx4DLqXY205.png

写入一个重复创建文件的脚本


wKiom1gSHS_QpDOaAAACH1f_JeI346.png

运行脚本文件


wKioL1gSHS_RKrgtAAAJA2UqbIQ173.png

i节点耗尽以后,无法再创建新的文件


wKiom1gSHS_xLH6MAAAGr6Ajvhc774.png

解决方法就是对这些细小文件,进行转移或删除,对于公用文件系统,建议为相关用户设置磁盘配额。

 

6.检测磁盘坏道

wKiom1gSHS-Dyy41AAAIwWBuc_o171.png

命令:badblocks 检测磁盘的坏道情况

选项:-s显示进度信息

      -v显示详情