一、Linux权限划分原则
权限分离。Linux系统权限、数据库权限不要掌握在同一部门
权限在满足使用的情况下,最小优先
减少使用root用户,尽量用“普通用户+sudo提权” 进行日常操作
重要系统文件,如/etc/passwd、/etc/shadow、/etc/fstab、/etc/sudoers等,日常建议使用chattr锁定,需要操作时再打开
使用脚本检查系统中新增的SUID、SGID文件
可以利用工具(如chkrootkit等)检测rootkit脚本
开启SSH服务密钥对登录,修改SSH服务端口
二、系统有zhangsan、lisi用户,根目录下有一my.cfg文件,该文件所属者和所属组都为root,要求zhangsan有对该文件读写执行权限,而lisi只有读权限。
setfacl -Rm u:zhangsan:rwx /my.cfg
setfacl -Rm u:lisi:r /my.cfg
三、如果一个系统没有任何备份策略,请写出一个较为全面的备份方案
1、重要目录
/etc/ /home/ /root/ /var/spoo/
2、网络服务数据
MySQL数据库:
RPM包安装的MySQL:/var/lib/mysql/ 源码包安装:/usr/local/mysql/data/
Apache服务:
网站内容:/var/www/html/ 源码安装:/usr/local/apache/htdocs/
配置文件:/etc/httpd/conf/httpd.conf /usr/local/apache/conf/http
日志文件:/var/log/httpd/ /usr/local/apache/logs/
如有其他重要服务,需备份数据与配置文件
3、备份策略
完整备份。 cp tar dump xfsdump
增量备份。 每次备份以前一次备份为参照
实现命令 : CentOS6.X :dump工具 CentOS7.X :xfsdump工具
差异备份:每次备份以弟一次备份为参照
实现命令: CentOS6.X :dump工具 CentOS7.X :xfsdump工具
4、备份频率
实时备份 定时备份
5、备份存储位置
本地备份 异地备份
四、网站Web服务器产生日志数量较大,问如何备份
系统日志管理工具:logrotate
日志切割
日志轮替
Apache服务配置文件自带日志切割功能,但需通过脚本进行切割。
五、Raid0、Raid1、Raid5、Raid6、Raid10的特点与原理
Raid0:需两块或两块以上硬盘组成;硬盘容量大小必须一致;损坏几率相对最高;没有磁盘容错功能
Raid1:由两块或2的倍数硬盘组成;硬盘容量大小必须一致;硬盘使用率只有50%,写入速度最慢;拥有磁盘容错功能
Raid5:由三块或三块以上硬盘组成;硬盘容量大小必须一致;磁盘利用率是n-1块硬盘;利用奇偶检验,拥有磁盘容错功能(只允许1块硬盘损坏)
Raid6:Raid5的增强版;由4块或以上硬盘组成;硬盘容量大小必须一致;磁盘利用率是n-2块硬盘;支持磁盘容错,可以支持2块硬盘损坏
Raid10:必须4块等大小硬盘组成;两个硬盘先组成Raid1,再组成Raid0;兼顾Raid0和Raid1的特点
六、软Raid与硬Raid的区别
软Raid:由操作系统模拟的Raid,一旦硬盘损坏,操作系统损坏,则Raid丧失作用
硬Raid:由独立硬盘之外的,硬件Raid卡组成;就算硬盘损坏,也不会导致Raid卡损坏,磁盘容错才能起作用。
七、系统资源监管查看命令
八、CentOS6与CentOS7启动流程
CentOS6.x启动过程
服务器加电,加载BIOS信息,BIOS进行系统检测
加载启动引导程序(grub)
由grub加载系统内核
系统内核重新自检,并加载硬件驱动
由内核启动系统第一个进程/sbin/init
由/sbin/init进程调用/etc/init/rcS.conf,进行系统初始化配置
由/etc/init/rcS.conf调用/etc/inittab,确定系统的默认运行级别
调用/etc/init/rc.conf配置文件,运行相应运行级别目录/etc/rc[0-6].d/中的脚本
在启动登录界面之前,执行/etc/rc.d/rc.local文件
CentOS7.x启动过程
服务器加电,加载BIOS信息,BIOS进行系统检测
加载启动引导程序(grub2)
由grub2加载系统内核,系统内核重新自检
由grub2加载inintamfs虚拟文件系统
内核初始化,以加载动态模块的形式加载部分硬件驱动
内核启动系统的第一个进程systemd
systemd开始调用默认单元组(default.target),并按照默认顺序执行子单元组
九、Linux系统优化策略
1、禁用不需要的服务。ntsysv命令
2、避免直接使用root用户,普通用户通过sudo授权操作
3、通过chattr锁定重要系统文件
/etc/passwd /etc/shadow
4、配置国内yum源或者光盘yum源,加快下载速度
5、配置系统最大文件数
vi /etc/profile
ulimit -SHn 65535
6、配置时间服务器
7、更改ssh服务默认端口,配置SSH密钥对登录
8、配置合理的IPtables防火墙规则
9、指定合理的监控策略
10、定时备份系统重要文件