这篇博文参考阿铭linux-28个运维经典面试题,并对其中的一些题目进行扩展和解析。
如有侵权,请联系我删除~再次感谢阿铭老师的分享。
大家有空可以看看阿铭老师的教程~
mount.cifs //IP地址/server /mnt/server -o user=administrator,password=123456
linux 下的server需要自己手动建一个 后面的user与pass 是windows主机的账号和密码 注意空格 和逗号
语法格式如下:
netstat -n | awk '/^tcp/ {++b[$NF]} END {for(a in b) print a,"\t",b[a]}'
如结合netstat和awk命令来统计网络连接数:
# netstat -n | awk '/^tcp/ {++state[$NF]} END {for(key in state) print key,"\t",state[key]}'
会得到类似下面的结果,具体数字会有所不同:
TIME_WAIT 92
CLOSE_WAIT 164
FIN_WAIT1 14
SYN_SENT 25
ESTABLISHED 198
FIN_WAIT2 436
SYN_RECV 11
状态描述:
CLOSED:无连接是活动的或正在进行
LISTEN:服务器在等待进入呼叫
SYN_RECV:一个连接请求已经到达,等待确认
SYN_SENT:应用已经开始,打开一个连接
ESTABLISHED:正常数据传输状态
FIN_WAIT1:应用说它已经完成
FIN_WAIT2:另一边已同意释放
ITMED_WAIT:等待所有分组死掉
CLOSING:两边同时尝试关闭
TIME_WAIT:另一边已初始化一个释放
也就是说,这条命令可以把当前系统的网络连接状态分类汇总。
下面解释一下为什么要这样写:
一个简单的管道符连接了netstat和awk命令。
先来看看netstat:
# netstat -n
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 123.123.123.123:80 234.234.234.234:12345 TIME_WAIT
你实际执行这条命令的时候,可能会得到成千上万条类似上面的记录,不过我们就拿其中的一条就足够了。
再来看看awk:
/^tcp/
滤出tcp开头的记录,屏蔽udp, socket等无关记录。
state[]
相当于定义了一个名叫state的数组
NF(Number of Field,当前记录的field个数)
表示记录的字段数,如上所示的记录,NF等于6
$NF
表示某个字段的值,如上所示的记录,$NF也就是$6,表示第6个字段的值,也就是TIME_WAIT
state[$NF]
表示数组元素的值,如上所示的记录,就是state[TIME_WAIT]状态的连接数
++state[$NF]
表示把某个数加一,如上所示的记录,就是把state[TIME_WAIT]状态的连接数加一
END
表示在最后阶段要执行的命令
for(key in state)
遍历数组
print key,"\t",state[key]
打印数组的键和值,中间用\t制表符分割,美化一下。
如发现系统存在大量TIME_WAIT状态的连接,通过调整内核参数解决:
vim /etc/sysctl.conf
编辑文件,加入以下内容:
net.ipv4.tcp_syncookies = 1 //表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN***,默认为0,表示关闭;
net.ipv4.tcp_tw_reuse = 1 //表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接,默认为0,表示关闭;
net.ipv4.tcp_tw_recycle = 1 //表示开启TCP连接中TIME-WAIT sockets的快速回收,默认为0,表示关闭。
net.ipv4.tcp_fin_timeout = 30 //修改系統默认的 TIMEOUT 时间
然后执行 /sbin/sysctl -p
让参数生效。
下面附上TIME_WAIT
状态的意义:
客户端与服务器端建立TCP/IP连接后关闭SOCKET后,服务器端连接的端口状态为TIME_WAIT
。是不是所有执行主动关闭的socket都会进入TIME_WAIT
状态呢?有没有什么情况使主动关闭的socket直接进入CLOSED
状态呢?
主动关闭的一方在发送最后一个 ack 后,就会进入TIME_WAIT
状态 停留2MSL(max segment lifetime)时间,这个是TCP/IP必不可少的,也就是“解决”不了的。
也就是TCP/IP设计者本来是这么设计的,主要有两个原因:
(1)防止上一次连接中的包,迷路后重新出现,影响新连接。经过2MSL,上一次连接中所有的重复包都会消失。
(2)可靠的关闭TCP连接。在主动关闭方发送的最后一个 ack(fin) ,有可能丢失,这时被动方会重新发 fin,如果这时主动方处于 CLOSED 状态 ,就会响应 rst 而不是 ack。所以主动方要处于 TIME_WAIT 状态,而不能是 CLOSED 。
TIME_WAIT 并不会占用很大资源的,除非受到***。还有,如果一方 send 或 recv 超时,就会直接进入 CLOSED 状态!
netstat -an | grep SYN | awk '{print $5}' | awk -F: '{print $1}' | sort | uniq -c | sort -nr | more
netstat -tna | cut -b 49- |grep TIME_WAIT | sort
取出目前所有 TIME_WAIT 的连接 IP ( 排序过 )
net.ipv4.tcp_syncookies = 1
//表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN***,默认为0,表示关闭;
net.ipv4.tcp_tw_reuse = 1
//表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接,默认为0,表示关闭;
net.ipv4.tcp_tw_recycle = 1
//表示开启TCP连接中TIME-WAIT sockets的快速回收,默认为0,表示关闭;
net.ipv4.tcp_fin_timeout = 30
//表示如果套接字由本端要求关闭,这个参数决定了它保持在FIN-WAIT-2状态的时间;
net.ipv4.tcp_keepalive_time = 1200
//表示当keepalive起用的时候,TCP发送keepalive消息的频度。缺省是2小时,改为20分钟;
net.ipv4.ip_local_port_range = 1024 65000
//表示用于向外连接的端口范围。缺省情况下很小:32768到61000,改为1024到65000;
net.ipv4.tcp_max_syn_backlog = 8192
//表示SYN队列的长度,默认为1024,加大队列长度为8192,可以容纳更多等待连接的网络连接数;
net.ipv4.tcp_max_tw_buckets = 5000
//表示系统同时保持TIME_WAIT套接字的最大数量,如果超过这个数字,TIME_WAIT套接字将立刻被清除并打印警告信息。默认为180000,改 为5000。对于Apache、Nginx等服务器,上几行的参数可以很好地减少TIME_WAIT套接字数量,但是对于Squid,效果却不大。此项参 数可以控制TIME_WAIT套接字的最大数量,避免Squid服务器被大量的TIME_WAIT套接字拖死。
在怀疑有Dos***的时候,可以输入:
利用netstat和awk发现并阻止DDoS***
netstat -na | grep :80 |awk '{print $5}'|awk -F '::ffff:' '{print $2}' | grep ':' | awk -F: '{print $1}' | sort | uniq -c | sort -r | awk -F' ' '{if ($1 > 50) print $2}' | sed 's/^.*$/iptables -I firewall 1 -p tcp -s & --dport 80 --syn -j REJECT/' | sh
先把冲击量最大的前50个IP给封了.
还可以加几个例外的白名单IP:
netstat -na | grep :80 |awk '{print $5}'|awk -F '::ffff:' '{print $2}' | grep ':' | awk -F: '{print $1}' | sort | uniq -c | sort -r | awk -F' ' '{if ($1 > 50) print $2}' | grep -v xxx.xxx.xxx.xxx | sed 's/^.*$/iptables -I RH-Firewall-1-INPUT 1 -p tcp -m tcp -s & --dport 80 --syn -j REJECT/' | sh
以上的命令还没有实际考证过, 放在这里做参考.
参考文档:结合netstat和awk命令来统计网络连接数
# tcpdump -i eth0 -tnn dst port 80 -c 1000 |awk -F "," '{print $1"."$2"."$3"."$4"."}'|sort |uniq -c|sort -nr|head -5
# ls -lR /var/log |grep "-"|wc -l //文件与目录的总个数
# netstat -n|head -n 100|awk '/^tcp/ {print $4}'|awk -F ":" '{print $1}'|sort |uniq -c|sort -rn
42 123.78.121.167
29 10.145.134.120
27 127.0.0.1
# cat /dev/urandom |head -1 |md5sum |head -c 32
# cat access.log |awk '{print $1}'|sort |uniq -c |sort -nr|head -n5
353 100.112.231.35
349 100.136.223.222
345 100.134.222.111
343 100.123.224.156
340 100.125.231.232
我们一般通过hexdump
命令 来查看二进制文件的内容。hexdump -C XXX(文件名)
-C是参数 不同的参数有不同的意义:
-C
是比较规范的 十六进制和ASCII码显示
-c
是单字节字符显示
-b
单字节八进制显示
-o
是双字节八进制显示
-d
是双字节十进制显示
-x
是双字节十六进制显示VSZ:虚拟内存集,进程占用的虚拟内存空间;RSS:物理内存集,进程占用实际物理内存空间。
fsck用来检查和维护不一致的文件系统。若系统掉电或磁盘发生问题,可利用fsck命令对文件系统进行检查。
加载BIOS–>读取MBR–>Boot Loader–>加载内核–>用户层init用inittab文件来设定系统运行的等级(一般3或者5,3是多用户命令行,5是界面)–>init进程执行rc.syninit–>启动内核模块–>执行不同级别运行的脚本程序–>执行/etc/rc.d/rc.local(本地运行服务)–>执行/bin/login,就可以登录了。
我们可以把符号链接,也就是软连接 当做是 windows系统里的 快捷方式。硬链接就好像是又复制了一份,举例说明:
ln 3.txt 4.txt 这是硬链接,相当于复制,不可以跨分区,但修改3,4会跟着变,若删除3,4不受任何影响。
ln -s 3.txt 4.txt 这是软连接,相当于快捷方式。修改4,3也会跟着变,若删除3,4就坏掉了。不可以用了。
dd 命令是以个强大的命令,在复制的同时进行转换:
# dd if=/dev/sda of=./mbr.txt bs=1 count=512
注意⚠️:以下操作全部在命令行状态操作,不要在编辑状态操作。
在文本里 移动到想要复制的行 按yy 想复制到哪就移动到哪,然后按P 就黏贴了;
删除行 移动到改行 按dd;
删除全部 dG 这里注意G一定要大写;
按行查找 :90 这样就是找到第90行;
# grub-install /dev/sda
vi /etc/sysctl.conf 这里修改参数
sysctl -p 刷新后可用
# expr $(($RANDOM%39+1)) //RANDOM随机数,%39取余数范围0-38
每秒新建连接数 一般都是由防火墙来做,apache本身好像无法设置每秒新建连接数,只能设置最大连接:
# iptables -A INPUT -d 172.16.100.1 -p tcp –dport 80 -m limit –limit 1/second -j ACCEPT
FTP协议有两种工作方式:PORT方式和PASV方式,中文意思为主动式和被动式。
PORT(主动)方式的连接过程是:客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。当需要传送数据时,客户端在命令链路上用 PORT 命令告诉服务器:“我打开了XX端口,你过来连接我”。于是服务器从20端口向客户端的 XX 端口发送连接请求,建立一条数据链路来传送数据。
PASV(被动)方式的连接过程是:客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。当需要传送数据时,服务器在命令链路上用PASV 命令告诉客户端:“我打开了XX端口,你过来连接我”。于是客户端向服务器的 XX 端口发送连接请求,建立一条数据链路来传送数据。
从上面可以看出,两种方式的命令链路连接方法是一样的,而数据链路的建立方法就完 全不同。
# grep "^#\{1,\}[ ^ ]" /etc/inittab
# inittab is no longer used when using systemd.
# ADDING CONFIGURATION HERE WILL HAVE NO EFFECT ON YOUR SYSTEM.
# Ctrl-Alt-Delete is handled by /usr/lib/systemd/system/ctrl-alt-del.target
# systemd uses 'targets' instead of runlevels. By default, there are two main targets:
# multi-user.target: analogous to runlevel 3
# graphical.target: analogous to runlevel 5
# To view current default target, run:
# systemctl get-default
# To set a default target, run:
# systemctl set-default TARGET.target
# grep "\:[0-9]\{1\}:" /etc/inittab
在脚本里加入:
#!/bin/bash
# chkconfig: 345 85 15
# description: httpd
然后保存,chkconfig httpd –add
创建系统服务,现在就可以使用service 来 start or restart~
#!/bin/bash
#description: useradd
for i in $(seq -f"%02g" 1 20);do
useradd user$i
echo "user$i-$(echo $RANDOM|md5sum|cut -c 1-5)"|passwd –stdinuser$i >/dev/null 2>&1
done
#!/bin/bash
for ip in $(seq 1 255)
do
ping -c 1 192.168.1.$ip > /dev/null 2>&1
if [ $? -eq 0 ]; then
echo 192.168.1.$ip UP
else
echo 192.168.1.$ip DOWN
fi
done
wait
详见shell练习题:使用for循环批量修改文件扩展名
详见通过脚本判断远程Web服务器状态码是否正常
现在好多企业喜欢使用Svn,随着公司业务和人员的增加,运维人员需要对公司的svn平台有个比较直观的认识,如人员的增删,人员查询等。
下面的代码的作用是:一键添加、查找和查找人员信息:
详见老男孩shell实战读书笔记 (6-10章节)
详见接入邮件和微信提供报警信息服务
$ HISTTIMEFORMAT="%Y-%m-%d %H:%M:%S"
$ export HISTTIMEFORMAT
$ history
1 2019-01-10 13:15:28cd
2 2019-01-10 13:15:31HISTTIMEFORMAT=”%Y-%m-%d %H:%M:%S”
3 2019-01-10 13:15:40HISTTIMEFORMAT="%Y-%m-%d %H:%M:%S"
4 2019-01-10 13:15:47export HISTTIMEFORMAT
5 2019-01-10 13:15:49history
重新开机后会还原,可以写 /etc/profile
里。
阿铭linux-28个运维经典面试题
转载于:https://blog.51cto.com/wutengfei/2341019