Directorio de artículos
1. Descripción general de inodo y bloque
1.1 inodo
1.1.1 Comprensión del inodo
- Cada inodo tiene un número y el sistema operativo usa el número de inodo para identificar diferentes archivos
- El nombre del archivo no es aplicable en el sistema Linux, pero el número de inodo se usa para identificar el archivo.
- Para los usuarios, el nombre del archivo es solo otro nombre para el número de inodo para una fácil identificación
1.1.2 El papel del inodo
- La metainformación utilizada para almacenar datos, ya que la metainformación se refiere a algunos atributos y características de los datos.
- Esta área para almacenar metainformación de archivos se llama inodo (nodo índice), también llamado i-nodo. Por lo tanto, un archivo debe ocupar un inodo, pero al menos un bloque.
- El inodo no contiene el nombre del archivo, el nombre del archivo se almacena en el directorio
- Ver el número de inodo del archivo: ls -i [nombre de archivo] o stat [nombre de archivo]
1.1.3 Inode contiene la metainformación del archivo
- Tamaño del archivo
- UID del propietario del archivo
- GID del archivo
- Permisos de lectura, escritura y ejecución de archivos
- Marca de tiempo del archivo
1.1.4 Número de inodo
Cuando un usuario abre un archivo por nombre de archivo, el proceso en el sistema es:
- El sistema encuentra el número de inodo correspondiente a este nombre de archivo
- Obtener información de inodo por número de inodo
- De acuerdo con la información del inodo, busque el bloque donde se encuentran los datos del archivo y lea los datos
1.1.5 Tamaño de inodo
Los inodos también consumen espacio en el disco duro
. El tamaño de cada inodo es generalmente de 128 bytes o 256 bytes
. Determine el número total de inodos al formatear el sistema de archivos.
Utilice el comando df -i para ver el número total de inodos y el número de inodos utilizados en cada partición del disco duro.
1.1.6 Papel especial del inodo
Debido a la separación del número de inodo y el archivo, algunos sistemas Unix / Linux tienen los siguientes fenómenos:
- Cuando el archivo contiene caracteres especiales, es posible que el archivo no se elimine normalmente, puede eliminar el archivo directamente eliminando el número de inodo
- Al mover o cambiar el nombre de un archivo, solo se cambia el nombre del archivo sin afectar el número de inodo
- Después de abrir un archivo, el sistema utiliza el número de inodo para identificar el archivo, independientemente del nombre del archivo.
1.1.7 Experimento de agotamiento de nodos de inodo
Primero, el experimento debe elegir una partición de disco con menos espacio.
df -i 挂载点 ## 查看挂载点的inode使用情况
vi kill.sh ## 进入文件编辑
#! /bin/bash
i=1
while [ $i -le 120 ] ## 120为inode剩余可用节点
do
touch /sdb1/file$i ## 创建feil文件
let i++
done
./kill.sh
df -i
rm -rf file* ## 删除刚才无用的节点,恢复磁盘空间
1.2 Tres atributos de tiempo principales de los archivos del sistema Linux
- ctime (hora de cambio) última vez que se cambió el archivo o directorio (atributo)
- atime (tiempo de acceso) la última vez que se accedió al archivo o directorio
- mtime (tiempo de modificación) última vez que se modificó el archivo o directorio (contenido)
1.3 bloque
- Los archivos se almacenan en el disco duro, la unidad de almacenamiento más pequeña del disco duro es "sector", cada sector almacena 512 bytes
- Bloque (bloque): 8 sectores consecutivos forman un bloque, es decir, el tamaño es de 4 KB, que es la unidad más pequeña para almacenar archivos
2. Recuperar archivos borrados accidentalmente
2.1 Recuperar archivos de tipo XFS
Este experimento requiere el entorno operativo CentOS7. Es decir, la operación de recuperación de archivos se realiza después de eliminar accidentalmente los archivos a, b, cyd en el disco / dev / sdb1 montado en el directorio / data.
xfsdump -f /opt/dump-sdb1 /dev/sdb1 ## 使用xfsdump备份需要备份的文件
xfsdump -I ## 查看操作
rm -rf /data/* ## 实验进行误删除操作
xfsrestore -f /opt/dump_sdb1 /data ## 文件恢复
2.1.1 Restricciones de uso de XFSdump
- Solo se puede realizar una copia de seguridad del sistema de archivos montado
- Debe usar la autoridad de root para operar
- Solo se puede realizar una copia de seguridad del sistema de archivos XFS
- Los datos después de la copia de seguridad solo pueden ser analizados por xfsrestore
- No se pueden realizar copias de seguridad de dos sistemas con el mismo UUID
2.2 Recuperar archivos de tipo EXT
Este experimento requiere el entorno operativo CentOS6.
yum -y install e2fsprogs-devel e2fspprogs-libs gcc gcc-c++ make ## 安装操作环境
tar -jxvf extundelete-0.2.4.tar.bz2 ## 解压缩
cd extundelete-0.2.4
./configure --prefix= /usr/local/extundelete && make && make install
extundelete /dev/sdb1 ## 对文件备份
extundelete /dev/sdb1 --inode 2 ## 查看文件备份的结果
rm -rf a b ## 误删除操作
umount /data ## 卸载挂载点,防止其他用户修改文件,对文件造成无法恢复的操作
extundelete /dev/sdb1 --restore-all ## 恢复文件
mount /dev/sdb1 /data ## 重新挂载
cd RECOVERED_FILES/ ## 文件中 有恢复的文件
mv a b /data ## 移动到原文件中
Tres, archivos de registro
3.1 Función de registro
- Se utiliza para registrar varios eventos que ocurren durante el funcionamiento del sistema y los programas.
- Al leer el registro, es útil diagnosticar y resolver fallas del sistema.
3.2 Clasificación de archivos de registro
- Los registros del kernel y del sistema son
administrados uniformemente por el servicio del sistema rsyslog, y el formato del registro es básicamente similar - Registro de usuario Registre la
información relacionada con el inicio y cierre de sesión del usuario del sistema - Registro del programa
Un archivo de registro administrado de forma independiente por varias aplicaciones, el formato de registro no es uniforme
3.3 Introducción a los archivos de registro principales
| Tipo de registro | Dirección de almacenamiento |
|---|---|
| Kernel y registro de mensajes públicos | ./var/log/messages |
| Registro de tareas programadas | ./var/log/cron |
| Registro de tareas programadas | ./var/log/dmesg |
| Registro del sistema de correo | ./var/log/maillog |
| Registro de inicio de sesión de usuario (inicio de sesión reciente) | ./var/log/lastlog |
| Registro de inicio de sesión (seguridad) | ./var/log/secure |
| Registro de inicio de sesión (fallas como inicio de sesión, cierre de sesión, apagado, etc.) | ./var/log/wtmp |
| Registro de inicio de sesión (fallido, intento de inicio de sesión incorrecto) | ./var/log/btmp |
| Registro de inicio de sesión (problemas relacionados con cada usuario que está conectado actualmente) | ./var/log/utmp |
3.4 Nivel de mensaje de registro
| Nivel de registro | monitor | Explicación | resultado |
|---|---|---|---|
| 0 | EMERG | urgente | Hará que el sistema host no esté disponible |
| 1 | ALERTA | consideración | Problemas que deben resolverse de inmediato |
| 2 | CRIT | grave | Situación más grave |
| 3 | ERRAR | error | Error de ejecución |
| 4 | ADVERTENCIA | recordar | Eventos que pueden afectar las funciones del sistema |
| 5 | AVISO | Nota | Generalmente no afecta al sistema, pero cabe destacar |
| 6 | INFO | información | Información general |
| 7 | DEPURAR | depuración | Información de depuración del programa o del sistema |
3.5 Herramientas de análisis
Opciones de análisis
usuarios 、 quién 、 w 、 último 、 últimob
herramienta de análisis
Visualización de texto, recuperación de filtros grep, visualización de la suite de administración de Webmin que visualiza
awk, sed y otros filtros de texto, herramientas de edición de formato
Webalizer, Awstats y otras herramientas especiales de análisis de registros
Gestión independiente por la aplicación correspondiente
| Servicio | programa |
|---|---|
| servicio web | / var / log / httpd access_log 、 error_log |
| Servicio de Agencia | / var / log / squid access.log 、 cache.log |
| Servicio ftp | / var / log / xferlog |
Estrategia de gestión de registros
- Copia de seguridad y archivo oportunos
- Período de retención de registros retrasado
- Control del tiempo de acceso al registro El
registro puede contener diversa información confidencial, como cuenta, contraseña, etc. - Gestión centralizada de registros
Envíe los archivos de registro del servidor a un servidor de archivos de registro unificado para
facilitar la recopilación, clasificación y análisis unificados de la
información de registro. Evite la pérdida accidental de información de registro, la manipulación o eliminación malintencionada