- 1我的世界java下载慢怎么办_MC国际版的下载教程
- 2Linux dump命令教程:如何安全快速备份你的文件系统(附实例详解和注意事项)_自动执行dump命令
- 3springboot+vue的前后端分离部署(详细)_springboot vue项目写在一起了怎么分离
- 4vmstat 详解
- 5解决: Gradle DSL method not found: 'apt()'_gradle dsl method not found: 'dependencyresolution
- 6Nuxt3打包部署到Linux(node+pm2安装和运行步骤+nginx代理)
- 7Unity Transparent Video | 用 VideoPlayer 或 AVPro 播放透明影片_ffmpeg hap_alpha
- 8动态规划题目_掌握利 最优性原理求解动态规划问题的过程 实验内容 某企业甲、 、丙
- 9ubuntu-18.04.6部署kubelet的步骤及常用命令
- 10tar -zcvf命令_LINUX常用命令全集
Linux 文件系统日志与安全_linux 数据库配置日志功能,记录对与数据库相关的安全事件
赞
踩
一、inode与block
-
文件数据包括元信息与实际数据
-
文件存储在硬盘上,硬盘最小存储单元是“扇区”,每个扇区存储512字节
-
block(块)
连续的八个扇区组成一个block
块是文件存取的最小单位
-
inode(索引节点)
中文译名为“索引节点”,也叫作i节点
用于存储文件元信息
(1)inode包含的元信息
- inode包含文件的元信息
1、文件的字节数
2、文件拥有者的User ID
3、文件的Group ID
4、文件的读、写、执行权限
5、文件的时间戳 等等
- 用stat命令可以查看某个文件的inode信息
[root@localhost ~]# stat 1.txt
文件:"1.txt"
大小:10 块:8 IO 块:4096 普通文件
设备:803h/2051d Inode:100753759 硬链接:1
权限:(0644/-rw-r--r--) Uid:( 0/ root) Gid:( 0/ root)
环境:unconfined_u:object_r:admin_home_t:s0
最近访问:2020-07-04 15:50:58.698899562 +0800
最近更改:2020-07-04 15:50:58.698899562 +0800
最近改动:2020-07-04 15:50:58.698899562 +0800
创建时间:-
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
(2)Linux系统该文件三个主要的时间属性
- ctime(change time)
最后一次改变文件或目录(属性)的时间
- atime(access time)
最后一次访问文件或目录的时间
- mtime(modify time)
最后一次修改文件或目录(内容)的时间
(3)inode的内容
-
目录文件的结构,目录也是一种文件
-
每个inode都有一个号码。操作系统用inode号码来识别不同的文件**(注意!不是文件名!)**
-
Linux系统内部不使用文件名,而使用inode号码来识别文件
-
对于用户,文件名只是inode号码便于识别的别称
(4)inode的号码
-
用户通过文件名打开文件时,系统内部的过程
1、系统找到这个文件名对于的inode号码
2、通过inode号码,获取inode信息
3、根据inode信息,找到文件数据所在的block,读出数据
-
查看inode号码的办法
1、ls -i命令:查看文件名对应的inode号码
ls -i 1.txt- 1
2、stat命令:查看inode信息中的inode号码
stat 1.txt- 1
(5)图示文件访问的流程
(6)inode的大小
-
inode也会消耗硬盘空间
每个inode的大小一般是128字节或256字节
-
格式化文件系统时确定inode的总数
-
使用df -i命令可以查看每个硬盘分区的inode总数和已经使用的数量
(6)inode的特殊作用
-
由于inode号码与文件名分离,导致一些Unix/Linux系统具有以下现象
1、当文件名包含特殊字符,可能无法正常删除文件,直接删除inode,也可以删除文件
2、移动或重命名文件时,只改变文件名,不影响inode号码
3、打开一个文件后,系统通过inode号码来识别该文件,不再考虑文件名
-
文件或目录建立链接文件
-
链接文件分类
-
二、硬链接与软连接
- 文件或目录建立链接文件
- 链接文件分类
| 软链接 | 硬链接 | |
|---|---|---|
| 删除原始文件后 | 失效 | 仍可以使用 |
| 使用范围 | 适用于文件或目录 | 只可用于文件 |
| 保存位置 | 与原始文件可以位于不同的文件系统中 | 必须与原始文件在同一个文件系统(如一个Linux分区)内 |
三、日志文件
-
日志的功能
1、用于记录系统、程序运行中发生的各种事件
2、通过阅读日志,有助于诊断和解决系统故障
-
日志文件的分类
1、内核及系统日志
由系统服务rsyslog统一进行管理,日志格式基本相似
2、用户日志
记录系统用户登陆及退出系统的相关信息
3、程序日志
由各种应用程序独立管理的日志文件,记录格式不统一
-
日志保存位置
默认位于:/var/log目录下
- 主要日志文件介绍:
| 内核及公共消息日志 | /var/log/messages |
|---|---|
| 计划任务日志 | /var/log/cron |
| 系统引导日志 | /var/log/dmesg |
| 邮件系统日志 | /var/log/mailiog |
| 用户登陆日志 | /var/log/lastlog、/var/log/secure、/var/log/wtmp、/var/log/btmp |
- 日志消息的级别
| 级号 | 消息 | 级别 | 说明 |
|---|---|---|---|
| 0 | EMERG | 紧急 | 会导致主机系统不可用的情况 |
| 1 | ALERT | 警告 | 必须马上采取措施解决的问题 |
| 2 | CRIT | 严重 | 比较严重的情况 |
| 3 | ERR | 错误 | 运行出现错误 |
| 4 | WARNING | 提醒 | 可能会影响系统功能的事件 |
| 5 | NOTICE | 注意 | 不会影响系统但值得注意 |
| 6 | INFO | 信息 | 一般信息 |
| 7 | DEBUG | 调试 | 程序或系统调试信息等 |
- 用户日志分析
保存了用户登陆、退出系统等相关信息
/var/log/lastlog:最近的用户登陆事件
2、var/log/wtmp:用户登陆、注销及系统开关机事件
3、/var/run/utmp:当前登录的每个用户的详细信息
4、/var/log/secure:与用户验证相关的安全事件
常用分析工具:users、who、w、last、lastb
-
程序日志分析
Web服务:/var/log/httpd/ access_log error_log
代理服务:/var/log/squid/ access.log cache.log
FTP服务:/var/log/xferlog
-
分析工具
1、文本查看、grep过滤检索、Webmin管理套件中查看
2、awk、sed等文本过滤、格式化编辑工具
3、Webalizer、Awstats等专用日志分析工具
-
日志管理策略
1、及时做好备份和归档
2、延长日志保存期限
3、控制日志访问权限(日志中可能会包含各类敏感信息,如账户、密码等)
4、集中管理日志
xferlog
-
分析工具
1、文本查看、grep过滤检索、Webmin管理套件中查看
2、awk、sed等文本过滤、格式化编辑工具
3、Webalizer、Awstats等专用日志分析工具
-
日志管理策略
1、及时做好备份和归档
2、延长日志保存期限
3、控制日志访问权限(日志中可能会包含各类敏感信息,如账户、密码等)
4、集中管理日志
