前往顾页
以后地位: 主页 > 精通Office > Ubuntu教程 >

非常全面的Linux知识点总结

时候:2016-04-25 20:48来源:知行网www.zhixing123.cn 编辑:麦田守望者

$1 我的Linux需求

Linux博年夜高深。我只在此会商一些我对线上Linux机器保护职员的根基需求,比如装机,加硬盘,配收集。只会商CentOS 6,或近似的RHEL,当然Ubuntu也能够此类推,但是一些新特性不予会商,因为我不懂,比如CentOS 7的xfs不予会商,其实不是说xfs不好,而是以目前我的Linux程度需求更新很多xfs的知识,把握需求时候。CentOS 7将ifconfig,netstat等本来常常利用的号令也干失落了,用ip,lsof替代是更加好的东西,但是年夜部分的线上机器都应当还没有更新到 CentOS 7。下面我们以CentOS 6作为根本,谈我以为最根基的4点。

$1.1 最小化装置

CentOS有一个minimal版本,相对标准版去失落了很多Service,比如Network Manager,装置最小版本今后的收集建设是需求admin进行写建设文件的。我小我以为如许是比较好的,因为如许才气晓得Linux内核真正关心的是 哪些建设文件,中转核心。一些需求的监控东西,完整可以经由过程yum install来完成。作为线上机器,还是最小化装置,做到能不开的办事就不开,能关失落的端口就关失落,如许既能将贵重的硬件资本留上去给利用法度,也能够或许做到更加的宁静。

$1.2 充足宁静

除将能关的端口关失落,能不消的办事关失落以外,宁静还需求做到特定的办事只能拜候特定的内容。哪怕是root账户,不克不及拜候的文件和文件夹还是不克不及 拜候,更加不克不及操纵。开启SELinux今后,可以或许做到在不点窜SELinux的环境下,指定的办事只能拜候指定的资本。对ssh要做到封闭账户暗码登 录,只能经由过程秘钥登录,如许在包管秘钥不被盗用的环境下是最宁静的。

$1.3 资本按需调剂

我们常常会碰到如许一个问题,假定将磁盘sda挂载到/var目次,但是因为log太多或上传的文件等等其他身分将硬盘吃光了,再建立一块sdb 磁盘就无法挂载到/var目次了,其实Linux自带的lvm已处理了这个问题,并且CentOS默许就是用lvm来办理磁盘的。我们需求学会若何格局 化一块硬盘为lvm,然后挂载到对应目次,在空间北Ш掴前可以或许增加一块硬盘就主动扩容。

$1.4 收集监控

Linux本地要操纵好net_filter,也就是iptables,来打算办事哪些收集流量,丢弃哪些收集流量。和在进行组网的时候需求用 router来进行网关的建立,在碰到收集问题的时候经由过程netstat来检察收集拜候异常。收集这块内容很多很杂,各种参数,TCP/IP和谈栈等等, 但是常常问题还就是出在收集这块,所以要授予高度的存眷。

$2 Linux的理念与根本

小谈几点我对Linux的熟谙。

$2.1 Linux的文件体系

Linux将所有的事物都当作文件,这一点人尽皆知。我想说的是,除传统的ext文件体系,Linux在笼统不合的资本的时候其实有各种不合的文 件体系,都是从需乞降利用解缆,比如proc文件体系就是针对过程的笼统,使得点窜对应过程的值便可以直接改变过程的行动。再比如,对长途ssh登录的 pts装备,Linux有对应的devpts文件体系。看下面表哥的type一栏。

file_system dir type options dump pass
/dev/mapper/VolGroup-lv_root / ext4 defaults 1 1
UUID=xxx /boot ext4 defaults 1 2
/dev/mapper/VolGroup-lv_swap swap swap defaults 0 0
tmpfs /dev/shm tmpfs defaults 0 0
devpts /dev/pt devpts gid=5,mod=620 0 0
sysfs /sys sysfs defaults 0 0
proc /proc proc defaults 0 0

$2.2 Linux的权限办理

Linux的-rwxrwxrwx权限办理也可谓人尽皆知,其实Linux本身也意想到了如许的权限办理所带来的一些范围性。起首rwx的权限办理是基于用户和组的,并且只是年夜致的分为owner|group|other这三类,无法再作更加细粒度的分别。有鉴于此,Linux目前默许是有ACL(Access Control List)办理的,所谓ACL就是可以或许供应更加细粒度的用户和组办理,比如可以明白哪个user可以有甚么样的权限。以下示例

getfacl abc
# file: abc
# owner: someone
# group: someone
user::rw-
user:johny:r-x
group::r--
mask::r-x
other::r--

而SELinux供应了不基于用户与组的权限办理,SELinux是基于利用法度的,甚么样的利用法度可利用甚么资本,对这些资本这个利用法度无能吗,这个就是SELinux的办理体例。

$2.3 Linux上的Service

Linux上的Service构造得非常清楚,/etc/init.d/内里包含了所有的Service启动脚本,对应的二进制文件在/usr/bin 、 /usr/sbin 、 /usr/local/bin等目次下,一般而言建设文件在/etc/app_name下,另有一个chkconfig的东西来办理各个runlevel下需求启动的Service。如许的商定俗成使得办理员在建设和利用的时候非常便利。Linux标准的Service都会将log记录到/var/log/messages中,使得体系办理员不需求翻阅各种log,直接在/var/log/messages中便可以找到绝年夜部分的log来判定以后体系是不是一般。更甚者,syslogdrsyslogd替代今后,可以将/var/log/messages中的内容经由过程UDP发送到苑芷鹈专业的log阐发东西进行阐发。我们需求学习Linux上Service的这些优良的编程习惯和技能。

$3 磁盘

按照$1中的需求,下面是我记录的一些根基的磁盘操纵。

  • df -lah 检察磁盘的利用环境
  • fdisk -l 检察拔出到磁盘驱动器中的硬盘; sd(a,b,c)(1,2,3),此中a是第一块磁盘,b是第二块磁盘,1,2,3表示磁盘上的主分区,最多4个。用fdisk从磁盘建立分区并且格局化。
  • LVM(logical volume manager),首要就是满足加硬盘就可以直接写数据的服从,而不会呈现磁盘满了,新的磁盘只能挂载其他目次的环境。lvm有几个观点,VG, PV。将磁盘lvm格局化,建立PV, 建立VG,将建立的PV插手VG,然后在VG中建立lvm,然后便可以静态增加年夜小了。重视,将磁盘格局化为lvm,但是lv的格局化需求用ext,然后 才气mount上去。参考这篇文章CentOS 6 卷组挂载硬盘教程
  • mount -t type(ext4|nfs) /dev/sdxn /path/dir 来挂载。如果要重启见效,必须将挂载信息写入到/etc/fstab
  • 磁盘IO效力(IOPS)需求用vmstattop等东西来检察。和机能相关的调优和监控留待后续文章胪陈。

$4 收集

收集的坑很多,需求把收集搞通没个3,4年很难。下面从收集的建设文件着手,简朴理一下收集方面的内容。收集最难的方面应当是若何搭建一个公道的高效的局域网或城域网,这个需求有专业的收集知识。

$4.1 建设文件

  • /etc/hosts公有IP对应主机名
  • /etc/resolv.confnameserver DNS的IP
  • /etc/sysconfig/network此中NETWORKING=要不要有收集,HOSTNAME=主机名,NETWORKING_IPV6=支撑ipv6否
  • /etc/sysconfig/network-scripts/ifcfg-xxx此中DEVICE=网卡代号,BOOTPROTO=是不是利用dhcp,HWADDR,IPADDR,NETMASK,ONBOOT,GATEWAY

$4.2 与收集有关的一些号令

  • router -n检察路由的号令,特别是要看带G的,表示gateway,而带U的表示up。
  • netstat -anp检察所有启动的tcp,udp,unix stream的利用法度,和他们的状况,详细可以参考TCP/IP,JavaSocket简朴阐发一文。

$5 宁静

$5.1 PAM

PAM只需求简朴体味就行,是一个可插拔的认证模块。我的了解是:开辟Linux的极客们搞出来的可复用的一个组件。举个例子,现在有一个app,想要考证以后的登任命户是不是有权限操纵某个目次,那么在PAM内里有现成的模块,app只需求include这个模块,给出一个建设文件,便可以了。有一个非常好的关于PAM的视频教程,请看这里

  • PAM是利用法度用来进行身份考证的。初期的身份考证和利用法度本身耦合,后来把身份考证伶仃抽出来,经由过程PAM来进行办理
  • /etc/pam.d/xxx 是能用pam来进行办理的利用法度PAM设置,在装置利用法度的时候装置。/etc/security/mmm/lib/security/pam_mmm是一套。

$5.2 SELinux

SELinux也有一个非常好的视频教程,请看这里

  • getenforce来检察SELinux是不是被启用
  • /etc/sysconfig/selinux enforcing启用SELinux
  • SELinux对“运行法度”建设和查抄其是不是有权限操纵“工具”(文件体系),而浅显的ACL(rwx)就是按照文件所属owner及其组来判定。SELinux是看可履行文件的type和目次文件的type是不是兼容,来决定可履行文件是不是能操纵资本

$5.3 防火墙

下面是学习时候的一些摘录。特别一点,要开启内核参数net.ipv4.ip_forward=1,在/etc/sysctl.conf文件中,用sysctl -p来保存。所谓ip_forward指的是内核供应的从一个iface到别的一个iface的IP包转发,比如将IP包从192.168.1.10的eth0转发到10.0.0.123的eth1上。防火墙建设是需求专业技术的。

  • tcp_wrapper需求libwrap.so的支撑,可履行文件在ldd bin_file出来没有libwrap.so的,都不克不及用tcp_wrapper
  • iptables是遵循法则进行短路判定的,即 满足前提1->履行action1->结束
  • iptables-save来更加清楚的检察
  • 先删失落全数法则,然后增加,比较简朴。增加的时候,先增加战略,再增加细部法则。一般来讲,我们需求存眷的是filter这个表的INPUT与OUTPUT
  • iptables -A(I) INPUT(OUTPUT,FORWARD) -i(o) iface -p tcp(ump,imp,all) -s (!)source -d dest -j ACCEPT(REJECT,DROP), 还支撑的参数 —dport —sport

$6 东西

一个好的Linux号令参考网站

$6.1 CPU

  • top 特别重视load
  • ps auxps -ef 特别重视过程状况
  • vmstat 1表示每秒汇集一次
  • sar -u 1 检察所有cpu相关的运行时候

$6.2 Memory

  • free
  • vmstat 1 重视此中的swap ram block之间的关系
  • sar -r 1 内存利用率
  • sar -W 1 检察swap,查询是不是因为内存不足产生年夜量内存互换

$6.3 IO

  • lsof -i:port 查询哪个过程占用了这个端标语
  • lsof -u username 用户翻开的文件
  • lsof -p pid 过程翻开的文件
顶一下
(1)
100%
踩一下
(0)
0%
------分开线----------------------------
标签(Tag):Linux Ubuntu 操纵体系 Unix Android fedora debian
------分开线----------------------------
颁发评论
请自发遵循互联网相关的政策法规,严禁公布色情、暴力、革命的谈吐。
评价:
神色:
考证码:点击我更换图片
猜你感兴趣