Linux 文件系统日志与安全

文章目录

    • 一、inode与block
      • (1)inode包含的元信息
      • (2)Linux系统该文件三个主要的时间属性
      • (3)inode的内容
      • (4)inode的号码
      • (5)图示文件访问的流程
      • (6)inode的大小
      • (6)inode的特殊作用
    • 二、硬链接与软连接
    • 三、日志文件

一、inode与block

  • 文件数据包括元信息与实际数据

  • 文件存储在硬盘上,硬盘最小存储单元是“扇区”,每个扇区存储512字节

  • block(块)

    连续的八个扇区组成一个block

    块是文件存取的最小单位

  • inode(索引节点)

​ 中文译名为“索引节点”,也叫作i节点

​ 用于存储文件元信息
Linux 文件系统日志与安全_第1张图片

(1)inode包含的元信息

  • inode包含文件的元信息

​ 1、文件的字节数

​ 2、文件拥有者的User ID

​ 3、文件的Group ID

​ 4、文件的读、写、执行权限

​ 5、文件的时间戳 等等

  • 用stat命令可以查看某个文件的inode信息
[root@localhost ~]# stat 1.txt 
  文件:"1.txt"
  大小:10        	块:8          IO 块:4096   普通文件
设备:803h/2051d	Inode:100753759   硬链接:1
权限:(0644/-rw-r--r--)  Uid:(    0/    root)   Gid:(    0/    root)
环境:unconfined_u:object_r:admin_home_t:s0
最近访问:2020-07-04 15:50:58.698899562 +0800
最近更改:2020-07-04 15:50:58.698899562 +0800
最近改动:2020-07-04 15:50:58.698899562 +0800
创建时间:-

(2)Linux系统该文件三个主要的时间属性

  • ctime(change time)

​ 最后一次改变文件或目录(属性)的时间

  • atime(access time)

​ 最后一次访问文件或目录的时间

  • mtime(modify time)

​ 最后一次修改文件或目录(内容)的时间

(3)inode的内容

  • 目录文件的结构,目录也是一种文件

  • 每个inode都有一个号码。操作系统用inode号码来识别不同的文件**(注意!不是文件名!)**

  • Linux系统内部不使用文件名,而使用inode号码来识别文件

  • 对于用户,文件名只是inode号码便于识别的别称

(4)inode的号码

  • 用户通过文件名打开文件时,系统内部的过程

    1、系统找到这个文件名对于的inode号码

    2、通过inode号码,获取inode信息

    3、根据inode信息,找到文件数据所在的block,读出数据

  • 查看inode号码的办法

    1、ls -i命令:查看文件名对应的inode号码

    ls -i 1.txt
    

    2、stat命令:查看inode信息中的inode号码

     stat 1.txt
    

(5)图示文件访问的流程

Linux 文件系统日志与安全_第2张图片

(6)inode的大小

  • inode也会消耗硬盘空间

    每个inode的大小一般是128字节或256字节

  • 格式化文件系统时确定inode的总数

  • 使用df -i命令可以查看每个硬盘分区的inode总数和已经使用的数量

(6)inode的特殊作用

  • 由于inode号码与文件名分离,导致一些Unix/Linux系统具有以下现象

    1、当文件名包含特殊字符,可能无法正常删除文件,直接删除inode,也可以删除文件

    2、移动或重命名文件时,只改变文件名,不影响inode号码

    3、打开一个文件后,系统通过inode号码来识别该文件,不再考虑文件名

    • 文件或目录建立链接文件

    • 链接文件分类

二、硬链接与软连接

  • 文件或目录建立链接文件
  • 链接文件分类
软链接 硬链接
删除原始文件后 失效 仍可以使用
使用范围 适用于文件或目录 只可用于文件
保存位置 与原始文件可以位于不同的文件系统中 必须与原始文件在同一个文件系统(如一个Linux分区)内

三、日志文件

  • 日志的功能

    1、用于记录系统、程序运行中发生的各种事件

    2、通过阅读日志,有助于诊断和解决系统故障

  • 日志文件的分类

    1、内核及系统日志

    ​ 由系统服务rsyslog统一进行管理,日志格式基本相似

    2、用户日志

    ​ 记录系统用户登陆及退出系统的相关信息

    3、程序日志

    ​ 由各种应用程序独立管理的日志文件,记录格式不统一

  • 日志保存位置

​ 默认位于:/var/log目录下

  • 主要日志文件介绍
内核及公共消息日志 /var/log/messages
计划任务日志 /var/log/cron
系统引导日志 /var/log/dmesg
邮件系统日志 /var/log/mailiog
用户登陆日志 /var/log/lastlog、/var/log/secure、/var/log/wtmp、/var/log/btmp
  • 日志消息的级别
级号 消息 级别 说明
0 EMERG 紧急 会导致主机系统不可用的情况
1 ALERT 警告 必须马上采取措施解决的问题
2 CRIT 严重 比较严重的情况
3 ERR 错误 运行出现错误
4 WARNING 提醒 可能会影响系统功能的事件
5 NOTICE 注意 不会影响系统但值得注意
6 INFO 信息 一般信息
7 DEBUG 调试 程序或系统调试信息等
  • 用户日志分析

​ 保存了用户登陆、退出系统等相关信息

/var/log/lastlog:最近的用户登陆事件

2、var/log/wtmp:用户登陆、注销及系统开关机事件

3、/var/run/utmp:当前登录的每个用户的详细信息

4、/var/log/secure:与用户验证相关的安全事件

常用分析工具:users、who、w、last、lastb

  • 程序日志分析

    Web服务:/var/log/httpd/ access_log error_log

    代理服务:/var/log/squid/ access.log cache.log

    FTP服务:/var/log/xferlog

  • 分析工具

    1、文本查看、grep过滤检索、Webmin管理套件中查看

    2、awk、sed等文本过滤、格式化编辑工具

    3、Webalizer、Awstats等专用日志分析工具

  • 日志管理策略

    1、及时做好备份和归档

    2、延长日志保存期限

    3、控制日志访问权限(日志中可能会包含各类敏感信息,如账户、密码等)

    4、集中管理日志

xferlog

  • 分析工具

    1、文本查看、grep过滤检索、Webmin管理套件中查看

    2、awk、sed等文本过滤、格式化编辑工具

    3、Webalizer、Awstats等专用日志分析工具

  • 日志管理策略

    1、及时做好备份和归档

    2、延长日志保存期限

    3、控制日志访问权限(日志中可能会包含各类敏感信息,如账户、密码等)

    4、集中管理日志

你可能感兴趣的:(Linux,linux)