1.ps命令:查进程,参数如下:
ps a 显示现行终端机下的所有程序(其他用户的程序)。
ps u 以用户为主的格式来显示程序状况。
ps x 显示所有程序(自己的进程)。
ps -A 显示所有程序。
ps c 列出程序时,显示每个程序真正的指令名称,而不包含路径,参数或常驻服务的标示。
ps -e 此参数的效果和指定"A"参数相同。
ps e 列出程序时,显示每个程序所使用的环境变量。
ps f 用ASCII字符显示树状结构,表达程序间的相互关系。
ps -H 显示树状结构,表示程序间的相互关系。
ps -N 显示所有的程序,除了执行ps指令终端机下的程序之外。
ps s 采用程序信号的格式显示程序状况。
ps S 列出程序时,包括已中断的子程序资料。
ps -t<终端机编号> 指定终端机编号,并列出属于该终端机的程序的状况。
最常用的方法是 ps aux,再通过管道使用grep name(查找命令)命令过滤查找特定的进程,例如: ps -u root| grep nginx,-u加上用户名就可以查找特定用户的进程。
查看进程也可以用top加回车命令,与ps命令的区别是ps命令只是打印了当前的进程,而top命令是实时更新的,相当于win下的资源管理器。进入top以后,按P(大写)就可以按照cpu来排序,按M(大写)就可以用占用内存来排序,按C(大写)就可以显示或者不显示进程的详细信息。top也可以用-u 加上用户名来查看指定用户的进程,ctrl+c就可以退出top。
2.netstat命令:监控tcp/ip网络,参数如下:
-a或--all:显示所有连线中的Socket;
-A<网络类型>或--<网络类型>:列出该网络类型连线中的相关地址;
-c或--continuous:持续列出网络状态;
-C或--cache:显示路由器配置的快取信息;
-e或--extend:显示网络其他相关信息;
-F或--fib:显示FIB;
-g或--groups:显示多重广播功能群组组员名单;
-h或--help:在线帮助;
-i或--interfaces:显示网络界面信息表单;
-l或--listening:显示监控中的服务器的Socket;
-M或--masquerade:显示伪装的网络连线;
-n或--numeric:直接使用ip地址,而不通过域名服务器;
-N或--netlink或--symbolic:显示网络硬件外围设备的符号连接名称;
-o或--timers:显示计时器;
-p或--programs:显示正在使用Socket的程序识别码和程序名称;
-r或--route:显示Routing Table;
-s或--statistice:显示网络工作信息统计表;
-t或--tcp:显示TCP传输协议的连线状况;
-u或--udp:显示UDP传输协议的连线状况;
-v或--verbose:显示指令执行过程;
-V或--version:显示版本信息;
-w或--raw:显示RAW传输协议的连线状况;
-x或--unix:此参数的效果和指定"-A unix"参数相同;
--ip或--inet:此参数的效果和指定"-A inet"参数相同。
常用的命令有查看端口:netstat -anp,列出所有端口最后一列显示的是端口对应的进程的情况。 -anpt就只看tcp端口信息。
3.Linux下的常用命令和简单用法:
(1)溯源中登录管理系统需要查看当前操作系统的Linux内核和发行版本,查看内核用 uname -a, 发行版本用 lsb_release –a
(2)常规的目录和文件操作:
cat test.txt: 可以输出test.txt文件的全部内容。如果文件比较大,就可以只输出文件的头部内容和尾部内容。
head和tail输出文件的头部和尾部内容,用-n参数来指定输出的行数,例如:head test.txt –n 1,就可以输出这个文件的头部的一行。使用-f参数可以实时的输出最新的日志,例如:head –f test.txt 。
vim(或者vi)加上文件的路径就可以打开文件,进入文件的编辑模式,在命令模式下来移动光标,j向下移动,k向上移动,l向右移动,h向左移动。在命令模式下搜索关键字,按问号斜线那个键,在最左下面就会出现,输入关键字回车就可以查找,继续查找下一个关键字的话按小写的n,向上找就按大写的n。如果要退出vi的话,按 :q 就可以了,在左下角依旧会有提示(vi中所有的动作在左下角都会有提示)。进入vi以后是命令模式,在命令模式下是不可以修改文件的,按 i- 进入编辑模式左下角提示INSERT,就可以移动光标进行修改了,因为已经进入了编辑模式,所以移动光标用上下左右。修改完成后要进行保存的话还需要进入命令模式,从命令摸进入编辑模式按i,从编辑模式进入命令模式按esc,然后 :w 进行保存。
touch 3.txt可以生成一个名字为3的空文件。
(3)crontab类似于win中的计划任务,crontab -l 列表系统的计划任务,crontab -e 进入编辑模式,linux系统下的计划任务是分用户的,所以用 –u定义某个特定用户的计划任务,crontab -u root –e.
(4)history历史命令的操作记录,按上下方向键在命令行中就可以显示当前命令的上一个历史命令和下一个历史命令,和方向键相同功能的就是ctrl+p(前面执行过的命令),ctrl+n(后面执行过的命令)
-d 删除指定的命令
-c 清空命令
-a 手工追加当前会话的命令历史到历史文件中去
n 显示最近的n条命令
!# 重复执行第#条命令
!! 重复执行上一条命令
!str 执行指定str开头的命令(最后一个)
!? 获得最后执行的状态码
(5)lastlog 可以查看最后的登录信息, last –f/var/log/wtmp可以查看历史用户登录信息
(6)ifconfig(win下是ipconfig),查看IP信息。
(7) find. -name ‘*.txt’,在当前文件夹下面查找后缀是txt的文件,点(.)代表的是当前文件夹下面,*是个通配符
touch -t 201803110000 t_start touch –t 201803140000 t_end黑客用touch命令指定时间生成两个文件
find. –type f –newer t_start ! –newer t_end 查找更改时间比t_start新比t_end旧的文件
(8)关键的文件和目录:
vi ~/.bash_history 命令的操作历史
/var/spool/cron/crontabs/ 对应不同用户的计划任务
/var/log是日志目录,auth.log是系统登录日志,入侵以后要删除该目录
(9)ls –lh /proc/3054查看pid为3054对应的进程的具体信息