inode与block概述及模拟inode号耗尽、ext和xfs类型文件恢复
inode和block概述
概述:
➤文件、扇区
文件是存储在硬盘上的,硬盘的最小存储单位叫做“扇区”(sector),每个扇区存储512字节。
➤块(block)
一般连续八个扇区组成一个"块"(block),一个块是4K大小,是文件存取的最小单位,文件数据存储在“块”中。
➤文件数据
1.文件数据包括实际数据与元信息(类似文件属性)。
2.文件数据存储在“块”中,文件元信息存储在inode中。
➤inode(索引节点)
1.inode不包含文件名。文件名是存放在目录当中的。Linux 系统中一切皆文件,因此目录也是一种文件。
2.inode是存储文件元信息(比如文件的创建者、创建日期、文件大小、文件权限等)的区域。
➤结论
当用户在Linux系统中试图访问一个文件时,系统会先根据文件名去查找它对应的inode号码;通过inode号码,获取inode信息;根据inode信息,看该用户是否具有访问这个文件的权限;如果有,就指向相对应的数据block,并读取数据。
➤查看文件的inode号码两种方式:
ls -i 文件
stat 文件
➤Linux系统文件三个主要的时间属性
➤ctime
最后一次改变文件或目录(属性)的时间
➤atime
最后一次访问文件或目录的时间
➤mtime
最后一次修改文件或目录(内容)的时间
➤ inode的内容
1.inode包含文件的元信息
文件的字节数
文件拥有者的User ID
文件的Group ID
文件的读、写、执行权限
文件的时间戳
2.用stat命令可以查看某个文件的inode信息
stat 文件
3.目录文件的结构
➤目录也是一种文件
➤目录文件的结构
4.每个inodea都有一个号码,操作系统用inode号码来识别不同的文件
5.Linux系统内部使用文件名,而使用inode号码来识别文件
6.对于用户,文件名只是inode号码便于识别的别称
➤inode的号码
➤用户通过文件名打开文件时,系统内部的过程
1.系统找到这个文件名对应的inode号码
2.通过inode号码,获取inode信息
3.根据inode信息,找到文件数据所在的block,读出数据
➤inode的大小
1.inode 也会消耗硬盘空间
每个inode的大小:
一般是128字节或者256字节
2.格式化文件系统时确定inode的总数
3.使用df -i 命令可以查看每个硬盘分区的inode总数和已经使用的数量
➤inode的特殊作用
➤由于inode号码与文件名分离,导致一些unix/linux系统具有以下的现象
1.当文件名包含特殊字符,可能无法正常删除文件,直接删除inode,也可以删除文件
2.移动或重命名文件时,只改变文件名,不影响inode号码
3.打开一个文件后,系统通过inode号码来识别该文件,不再考虑文件名
4.文件数据被修改保存后,会生成一个新的inode号码
➤inode节点故障处理
➤步骤如下:
1.fdisk /dev/sdb #管理磁盘,创建新的分区
2.mkfs.xfs /dev/sdb1 #格式化磁盘
3.mkdir /test #创建/目录下sdb1目录,用于挂载
4.mount /dev/sdb1 /mnt #挂载
5.df -i #查询可用inode号
6.模拟inode节点耗尽
for ((i=1;i<=7700;i++));do touch /test$i;done;
或者 touch {1…xxx}.txt
7.df -Th 查看inode 是否占满
8.rm -ef /test/*
9.df -Th 查看inode 号是否恢复正常
➤EXT类型文件恢复
➤extundelete 是一个开源的 Linux 数据恢复工具,支持 ext3、ext4文件系统。(ext4只能在centos6版本恢复)
➤下载网址:extundelete-0.2.4.tar.bz2
➤步骤(一)如下:
fdisk /dev/sdb 创建新的硬盘,新的分区
mkfs.ext3 /dev/sdb2 格式化,并更改类型ext3
mkdir /sdb2 创建挂载空目录
mount /dev/sdb2 /sdb2 挂载
yum -y install e2fsprogs-devel e2fsprogs-libs #安装依赖包
extundelete 编译安装
cd /sdb2
拖入压缩包
tar jxvf extundelete-0.2.4.tar.bz2 #进行解压缩
cd extundelete-0.2.4/
./configure --prefix=/usr/local/extundelete && make && make install
ln -s /usr/local/extundelete/bin/* /usr/bin/ 创建软链接
➤步骤(二)如下:
cd /sdb1 创建文件
echo a>a
echo a>b
echo a>c
echo a>d
ls
➤步骤(三)如下:
extundelete /dev/sdb2 --inode 2 查询挂载硬盘的节点文件
rm -rf a b
cd ~
umount /sdb2
extundelete /dev/sdb2 --restore-all 恢复/dev/sdb2文件系统下的所有内容
在当前目录下会出现一个RECOVERED_FILES/目录,里面保存了已经恢复的文件
ls RECOVERED_FILES 查看恢复的文件
➤xfs类型文件修复
➤CentOS 7 系统默认采用 xfs类型的文件,xfs 类型的文件可使用 xfsdump 与 xfsrestore 工具进行备份恢复。
➤xfsdump 命令常用的选项:
-f:指定备份文件目录
-L:指定标签 session label
-M:指定设备标签 media label
-s:备份单个文件,-s 后面不能直接跟路径
➤xfsdump使用限制:
1.只能备份已挂载的文件系统
2.必须使用root的权限才能操作
3.只能备份XFS文件系统
4.备份后的数据只能让xfsrestore解析
5.不能备份两个具有相同UUID的文件系统(可用 blkid命令查看)
步骤(一)如下:
fdisk /dev/sdb 创建新的分区
partprobe /dev/sdb 刷新硬盘
mkfs.xfs /dev/sdb1 格式化成xfs类型
mkdir /sdb1 创建空目录
mount /dev/sdb1 /sdb1 挂载
cd /sdb1 切换到 sdb1目录
cp /etc/passwd ./ 复制passwd 到sdb1目录
➤步骤(二)如下:
yum install -y xfsdump 安装xfsdump
xfsdump -f /opt/dump_sdb1 /dev/sdb1 -L dump_sdb1 -M sdb1 备份
➤步骤(三)如下:
cd /sdb1
rm -rf ./*
xfsrestore -f /opt/dump_sdb1 /sdb1 恢复
日志文件
➤日志的功能
➤用于记录系统,程序运行中发生的各种事件
日志文件是用于记录Linux系统中各种运行消息的文件,相当于Linux主机的“日记”
不同的日志文件记载了不同类型的信息,如Linux内核消息,用户登录事件,程序错误等
➤通过阅读日志,有助于诊断和解决系统故障
在Linux系统中运行的程序通常会把系统消息和错误消息写入相应的日志文件
当 主机遭受攻击时,日志文件还可以帮助寻找攻击者留下的痕迹
➤日志的分类
➤内核及系统日志
由系统服务rsyslog统一进行管理,日志格式基本相似
➤用户日志
记录系统用户登录及退出系统的相关信息,包括用户名,登录的终端,登录时间,来源主机,正在使用的进程操作等。
➤程序日志
由各种应用程序独立管理的日志文件,记录格式不统一
程序安装后不会生成日志文件,只有在启动的时候才会生成日志文件,没有访问它,日志文件就是空的
➤日志保存位置
➤默认位于:/var/log目录下
Linux系统本身和大部分服务器程序的日志文件都默认存放在/var/log下
一部分程序共用一个日志文件,一部分程序使用单个日志文件,而有些大型服务器程序因日志文件较多,所以会在/var/log目录中建立相应的子目录来存放日志文件
有相当一部分日志文件只有root用户才有权读取,保证了相关日志信息的安全性
➤日志文件的介绍
| 内核及公共消息日志 | var/log/messages |
|---|---|
| 计划任务日志 | /var/log/cron |
| 系统引导日志 | var/log/dmesg |
| 邮件系统日志 | /var/log/maillog |
| 用户登录日志 | /var/log/lastlog,/var/log/secure,/var/log/wtmp,/var/log/btmp |
➤/var/log/messages:记录Linux内核消息和各种应用程序的公共日志信息,包括启动,I/O错误,网络错误,程序故障等
➤对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的时间记录信息
➤/var/log/cron:记录crond计划任务产生的事件信息
➤/var/log/dmesg:记录Linux系统在引导过程中的各种事件信息
➤/var/log/maillog:记录进入或发出系统的电子邮件活动
➤/var/log/lastlog:记录每个用户最近的登录时间
➤/var/log/secure:记录用户认证相关的安全事件信息
➤/var/log/wtmp:记录每个用户登录,注销及系统启动和停机事件
➤/var/log/btmp:记录失败的,错误的登录尝试及验证事件
➤yum安装的都存放在/var/log
➤手工编译安装的都是自己指定的目录
vim /etc/rsyslong.conf 查看rsyslong.conf配置文件
➤日志文件分析
➤分析日志文件的目的在于通过浏览日志查找关键信息,对系统服务进行调试,以及判断发生故障的原因等
➤对于大多数文本格式的日志文件(如内核及系统日志,大多数的程序日志),只要使用tail,more,less,cat等文本处理工具就可以查看日志内容
➤对于一些二进制格式的日志文件(如用户日志),需要使用特定的查询命令
内核及系统日志
➤由系统服务rsyslogd统一管理
➤软件包:rsyslog-7.4.7-16.el7.x86_64
➤主要程序:/sbin/rsyslogd
➤配置文件:/etc/rsyslog.conf
➤系统日志消息的级别
➤受rsyslogd服务管理的日志文件都是Linux系统中最重要的日志文件,它们记录了Linux系统中内核,用户认证,邮件,计划任务等最基本的系统消息
➤在Linux内核中,根据日志消息的重要程度不同,将其分为不同的优先级(数字等级越小,优先级越高,消息越重要)
| 级别 | 说明 |
|---|---|
| 0 EMERG(紧急) | 会导致主机系统不可用的情况 |
| 1 ALERT(警告) | 必须马上采取措施解决的问题 |
| 2 CRIT(严重) | 比较严重的情况(某些功能不可用) |
| 3 ERR(错误) | 运行出现错误 |
| 4 WARNING(提醒) | 可能会影响系统功能的事件 |
| 5 NOTICE(注意) | 不会影响系统但值得注意 |
| 6 INFO(信息) | 一般信息 |
| 7 DEBUG(调试) | 程序或系统调试信息等(做维护的时候可能会用到) |
*.info 表示info等级及以上的所有等级的信息都写到对应的日志文件里
mail.none 表示某事件的信息不写到日志文件里(比如邮寄的内容)
➤内核及大多数系统消息都被记录到公共日志文件/var/log/messages中,而其他一些程序消息被记录到各自独立的日志文件中
➤日志消息还可以记录到特定的存储设备中,或者直接发送给指定用户
➤公共日志记录的一般格式
➤系统保存目录
保存了用户登录,退出系统等相关信息
➤/var/log/lastlog:最近的用户登录事件
➤/var/log/wtmp:用户登录,注销及系统开,关机事件
➤/var/log/utmp:当前登录的每个用户的详细信息
➤/var/log/secure:与用户验证相关的安全性事件
➤系统日志分析工具
➤分析工具
users,who,w,last,lastb
➤查询当前登录的用户情况:users,who,w命令
1.user命令只简单的输出当前登录的用户名称,每个显示的户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示与其相同的次数
2.who命令用户报告当前登录到系统中的每个用户的信息
使用该命令,系统管理员可以查看当前系统存在哪些不合法用户,从而对其进行审计和处理
who命令的默认输出包括用户名,终端类型,登录日期及远程主机
3.w命令用于显示当前系统中的每个用户及其所运行的进程信息,比users,who命令的输出内容要更加丰富一些
4.查询用户登录的历史记录:last,lastb命令
*last命令用于查询成功登录到系统的用户记录,最近的登录情况将显示在最前面
通过last命令可以及时掌握Linux主机的登录情况,若发现未经授权的用户登录过,则表示当前主机可能已被入侵
*lastb命令用于查询登录失败的用户记录,如登录的用户名错误,密码不正确等情况都会记录在案。
登录失败的情况属于安全事件,因为这表示可能有人在尝试猜出你的密码
除了使用lastb命令查看以外,还可以直接从安全日志文件/var/log/secure中获得相关信息
程序日志
➤由相应的程序独立进行管理
➤web服务:/var/log/httpd/
access_log,error_log(httpd网站服务程序使用的两个日志文件access_log和error_log,分别记录客户访问事件,错误事件。)
➤代理服务:/var/log/squid/
access.log , cache.log
➤FTP服务:/var/log/xferlog
➤程序日志分析工具
文本查看,grep过滤检索,webmin管理套件中查看
awk,sed等文本过滤,格式化编辑工具
webalizer,awstats等专用日志分析工具
➤日志管理策略
➤及时做好备份和归档
➤延长日志保存期限
➤控制日志访问权限
日志中可能会包含各类敏感信息,如账户,口令等
➤集中管理日志
将服务器的日志文件发到统一的日志文件服务器
便于日志信息统计收集,整理和分析
杜绝日志信息的意外丢失,篡改和或恶意删除