Linux文件系统精讲

Linux文件系统精讲

  • inode与block
    • inode内容
    • inode号码
    • inode的大小
  • 硬链接与软链接
    • 硬链接
    • 软链接
  • 恢复误删文件的方法
    • extundelete工具恢复
      • 编译安装extundelete
      • 模拟删除并执行恢复操作
  • 常见的日志文件及其分析方法
    • 日志文件的分类
    • 日志文件分析
      • 内核及系统日志
      • 用户日志
      • 程序日志

inode与block

文件是存储在硬盘上的,硬盘最小存储单位叫做扇区(sector),每个扇区512字节,操作系统读取硬盘信息,不会一个一个扇区读取,这样效率太低,而是一次性连续读取多个扇区,即一次性读取一个“块(block)”,这种多个扇区组成的“块”是文件存取的最小单位,“块”的大小,最常见的是4KB,即连续8个扇区组成一个Block块,512字节*8=4096字节。
文件数据储存在“块”中,那么还必须找到一个地方存储文件的元信息,比如文件的创建者、文件的创建日期、文件的大小等等,这种存储文件元信息的区域就叫做inode,中文译为“索引节点”,也叫i节点,因此,一个文件必须占用一个inode,但至少占用一个block。
Linux文件系统精讲_第1张图片

inode内容

inode包含很多的文件元信息,但不包含文件名,例如:
1、文件的字节数
2、文件拥有者UserID
3、文件的GroupID
4、文件的rwx权限(读、写、执行)
5、文件时间戳
使用“stat”命令即可查看某个文件的inode信息
Linux文件系统精讲_第2张图片
Linux系统文件有三个主要的时间属性,分别是ctime(change time), atime(access time), mtime(modify time)

  • ctime(change time) 是最后一次改变文件或目录(属性)的时间,例如执行 chmod, chown 等命令
  • atime(access time)是最后一次访问文件或目录的时间
  • mtime(modify time)是最后一次修改文件或目录(内容)的时间

inode中并不包括文件名,其实文件名是放在目录中的,linux系统中一切皆文件,因此目录也是文件。
Linux文件系统精讲_第3张图片

inode号码

每个inode都有一个号码,操作系统用inode号码来识别不同的文件,Linux系统内部不使用文件名,而使用inode号码来识别文件,文件名只是inode号码便于识别的别称。用户在访问文件时候,表面上是用户通过文件名打开的,而实际系统内部的过程分成三步完成的:

1、系统找到文件名对应的inode号码
2、通过inode号码,获取inode信息
3、根据inode信息,找到文件所在的block,并读取数据

使用“ls -i”命令,可以直接查看到文件名所对应的inode号码,使用“stat”命令,则是可以通过查看文件inode信息而查看到inode号码。
Linux文件系统精讲_第4张图片
由此可见,当用户在linux系统中试图访问一个文件时候,系统会先根据文件名去查找对应的inode,看该用户是否具有访问这个文件的权限,如果有,就指向对应的数据block,如果没有,就返回 permission deied 而一块硬盘分区后的结构则如下:
Linux文件系统精讲_第5张图片

inode的大小

inode也会消耗硬盘空间,每个inode的大小,一般为128字节或者256字节,inode的总数,在格式化时就给定,执行命令“df -i”即可查看每个硬盘分区的inode总数和已经使用的数量。
Linux文件系统精讲_第6张图片
由于inode号码与文件名分离,这种机制导致了一些Linux/Unix系统特有的现象。

  • 文件名包含特殊字符,可能无法正常删除。这时直接删除 inode,能够起到删除文 件的作用。
  • 移动文件或重命名文件,只是改变文件名,不影响 inode 号码。
  • 打开一个文件以后,系统就以 inode 号码来识别这个文件,不再考虑文件名。

这种情况使得软件更新变得简单,可以在不关闭软件的情况下进行更新,不需要重启。 因为系统通过 inode 号码,识别运行中的文件,不通过文件名。更新的时候,新版文件以同 样的文件名,生成一个新的 inode,不会影响到运行中的文件。等到下一次运行这个软件的 时候,文件名就自动指向新版文件,旧版文件的 inode 则被回收。

硬链接与软链接

在linux系统下的软件文件有2种,一种类似Windows的快捷方式功能的文件,可以快速连接到文件或者目录,称之为软连接,另外一种是通过inode连接产生新的文件名,而不是产生新的文件,称之为硬连接。
Linux文件系统精讲_第7张图片
Linux文件系统精讲_第8张图片

硬链接

一般情况下,文件名和inode号码是一一对应关系,每个inode号码对应一个文件名。但是linux系统允许多个文件名指向同一个inode号码,这意味着,可以不同的文件名访问同样的内容,ln命令可以创建硬链接,命令的基本格式为:
“In 源文件 目标位置”
运行该命令以后,源文件与目标文件的inode号码相同,都是指向同一个inode,inode信息中的链接数这时就会增加1。

当一个文件拥有多个硬链接时,对文件内容修改,会影响所有文件名,但是删除一个文件名,不会影响另外一个文件名的访问,删除一个文件名,只会使得inode中的链接数减1。

注意:不能对目录做硬链接。
Linux文件系统精讲_第9张图片
Linux文件系统精讲_第10张图片

软链接

软链接就是创建一个独立的文件,而这个文件会让数据的读取指向它连接的那个文件名称例如,文件A和B的inode号码虽然不一样,但是文件A的内容是文件B的路径,读取文件A时系统会自动将访问者导向文件B,这时,文件A就称为文件B的‘软链接’或者“符号连接”。
这意味着文件A依赖于文件B而存在,如果删除了文件B,打开文件A就会报错,这是软链接与硬链接最大的不同,文件A指向文件B的文件名,而不是文件B的inode号码,文件B的inode“链接数”不会因此发生变化。
Linux文件系统精讲_第11张图片
Linux文件系统精讲_第12张图片

恢复误删文件的方法

删除一个文件,实际上并不清除 inode 节点和 block 的数据,只是在这个文件的父目录 里面的 block 中,删除这个文件的名字。Linux 是通过 Link 的数量来控制文件删除的,只有 当一个文件不存在任何 Link 的时候,这个文件才会被删除。 在 Linux 系统运维工作中,经常会遇到因操作不慎、操作错误等导致文件数据丢失的情 况,尤其对于客户企业中一些新手。当然,这里所指的是彻底删除,即已经不能通过“回收 站”找回的情况,比如使用“rm -rf”来删除数据。针对 Linux 下的 EXT 文件系统,可用的恢复工具有 debugfs、ext3grep、extundelete 等。 其中 extundelete 是一个开源的 Linux 数据 恢复工具,支持 ext3、ext4 文件系统。

在数据被误删除后,第一时间要做的就是卸载被删除数据所在的分区,如果是根分区的 数据遭到误删,就需要将系统进入单用户模式,并且将根分区以只读模式挂载。这样做的原 因很简单,因为将文件删除后,仅仅是将文件的 inode 节点中的扇区指针清零,实际文件还 存储在磁盘上,如果磁盘继续以读写模式挂载,这些已删除的文件的数据块就可能被操作系统重新分配出去,在这些数据库被新的数据覆盖后,这些数据就真的丢失了,恢复工具也回 天无力。所以以只读模式挂载磁盘可以尽量降低数据库中数据被覆盖的风险,以提高恢复数 据成功的比例。

extundelete工具恢复

编译安装extundelete

在编译安装 extundelete 之前需要先安装两个依赖包e2fsprogs-libs 和 e2fsprogs-devel
[root@localhost opt]# yum -y install e2fsprogs-devel e2fsprogs-libs
[root@localhost ~]# wget http://nchc.dl.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar.bz2
[root@localhost ~]# tar xvf extundelete-0.2.4.tar.bz2
[root@localhost ~]# cd extundelete-0.2.4/
[root@localhost extundelete-0.2.4]# ./configure --prefix=/usr/local/extundelete && make && make install
[root@localhost extundelete-0.2.4]# cd /usr/local/extundelete/bin
ln -s /usr/local/extundelete/bin/* /usr/sbin/

模拟删除并执行恢复操作

虚拟机添加新硬盘,使用 fdisk 命令创建新分区,将其挂载到/data目录下,往该目录下新建一些文件或目录
使用rm -rf 命令删除/data下的a、b文件,当出现误操作时,立即卸载该文件系统,然后使用“extundelete /dev/sdb1 --restore-all”恢复/dev/sdb1文件系统下被删除的内容。
执行完恢复的命令后,在当前目录下会出现一个/RECOVERED_FILES/目录,里面保存了已经恢复的文件
Linux文件系统精讲_第13张图片
Linux文件系统精讲_第14张图片

常见的日志文件及其分析方法

日志文件是用于记录 Linux 操作系统中各种运行消息的文件,相当于 Linux 主机的“日记”。不同的日志文件记载了不同类型的信息,如 Linux 内核消息、用户登录事件、程序错误等。
日志文件对于诊断和解决系统中的问题很有帮助,因为在Linux 操作系统中运行的程序通常会把系统消息和错误消息写入相应的日志文件,这样系统一旦出现问题就会“有据可查”。 此外,当主机遭受攻击时,日志文件还可以帮助寻找攻击者留下的痕迹。

日志文件的分类

在 Linux 操作系统中,日志 数据主要包括以下三种类型:

  • 内核及系统日志:这种日志数据由系统服务 rsyslog 统一管理,根据其主配置文件 /etc/rsyslog.conf 中的设置决定将内核消息及各种系统程序消息记录到什么位置。 系统中有相当一部分程序会把自己的日志文件交由 rsyslog 管理,因而这些程序使 用的日志记录也具有相似的格式。
  • 用户日志:这种日志数据用于记录 Linux 操作系统用户登录及退出系统的相关信息, 包括用户名、登录的终端、登录时间、来源主机、正在使用的进程操作等。
  • 程序日志:有些应用程序会选择由自己独立管理一份日志文件(而不是交给 rsyslog 服务管理),用于记录本程序运行过程中的各种事件信息。由于这些程序只负责管理自己的日志文件,因此不同程序所使用的日志记录格式可能会存在较大的差异。

Linux 操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/log/下。一部分程序共用一个日志文件,一部分程序使用单个日志文件,而有些大型服务器程序由于日志文件不止一个,所以会在/var/log/目录中建立相应的子目录来存放日志文件,这样既保证了日志文件目录的结构清晰,又可以快速定位日志文件。有相当一部分日志文件只有 root 用 户才有权限读取,这保证了相关日志信息的安全性。
对于 Linux 操作系统中的日志文件,有必要了解其各自的用途,这样才能在需要的时候 更快地找到问题所在,及时解决各种故障。下面介绍常见的一些日志文件。

  • /var/log/messages:记录 Linux 内核消息及各种应用程序的公共日志信息,包括启动、I/0 错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息。
  • /var/log/cron:记录 crond 计划任务产生的事件信息。
  • /var/log/dmesg:记录 Linux 操作系统在引导过程中的各种事件信息。
  • /var/log/maillog:记录进入或发出系统的电子邮件活动。
  • /var/log/lastlog:记录每个用户最近的登录事件。
  • /var/log/secure:记录用户认证相关的安全事件信息。
  • /var/log/wtmp:记录每个用户登录、注销及系统启动和停机事件。
  • /var/log/btmp:记录失败的、错误的登录尝试及验证事件。

日志文件分析

分析日志文件的目的在于通过浏览日志查找关键信息、对系统服务进行调试,以及判断发生故障的原因等。
对于大多数文本格式的日志文件(如内核及系统日志、大多数的程序日志),只要使用 tail、more、less、cat 等文本处理工具就可以查看日志内容。而对于一些二进制格式的日志 文件(如用户日志),则需要使用特定的查询命令。

内核及系统日志

内核及系统日志功能主要由默认安装的 rsyslog-7.4.7-16.el7.x86_64.rpm 软件包提供。 rsyslog 服务所使用的配置文件为/etc/rsyslog.conf。通过查看/etc/rsyslog.conf 文件中的内 容,可以了解到系统默认的日志设置。
Linux文件系统精讲_第15张图片
Linux文件系统精讲_第16张图片
从配置文件/etc/rsyslog.conf 中可以看到,受 rsyslogd 服务管理的日志文件都是 Linux 操作系统中主要的日志文件,它们记录了 Linux 操作系统中内核、用户认证、电子邮件、计 划任务等基本的系统消息。在 Linux 内核中,根据日志消息的重要程度不同,将其分为不同 的优先级别(数字等级越小,优先级越高,消息越重要)。

  • 0 EMERG(紧急):会导致主机系统不可用的情况。
  • 1 ALERT(警告):必须马上采取措施解决的问题。
  • 2 CRIT(严重):比较严重的情况。
  • 3 ERR(错误):运行出现错误。
  • 4 WARNING(提醒):可能影响系统功能,需要提醒用户的重要事件。
  • 5 NOTICE(注意):不会影响正常功能,但是需要注意的事件。
  • 6 INFO(信息):一般信息。
  • 7 DEBUG(调试):程序或系统调试信息等。

内核及大多数系统消息被记录到公共日志文件/var/log/messages 中,而其他一些程序消息被记录到各自独立的日志文件中,此外日志消息还能够记录到特定的存储设备中,或者直接发送给指定用户。查看/var/log/messages 文件的内容
Linux文件系统精讲_第17张图片
对于 rsyslog 服务统一管理的大部分日志文件,使用的日志记录格式基本上是相同的。 以公共日志/var/log/messages 文件的记录格式为例,其中每一行表示一条日志消息,每 一条消息均包括以下四个字段。

  • 时间标签:消息发出的日期和时间。
  • 主机名:生成消息的计算机的名称。
  • 子系统名称:发出消息的应用程序的名称。
  • 消息:消息的具体内容。

在有些情况下,可以设置 rsyslog,使其在把日志信息记录到文件的同时将日志信息发 送到打印机进行打印,这样无论网络入侵者怎样修改日志都不能清除入侵的痕迹。rsyslog 日志服务是一个常会被攻击的显著目标,破坏了它将使管理员难以发现入侵及入侵的痕迹, 因此要特别注意监控其守护进程及配置文件。

用户日志

在 wtmp、btmp、lastlog 等日志文件中,保存了系统用户登录、退出等相关的事件消息。但是这些文件都是二进制的数据文件,不能直接使用 tail、less 等文本查看工具进行浏览,需要使用 who、w、users、last 和 lastb 等用户查询命令来获取日志信息。
(1)查询当前登录的用户情况——users、who、w 命令

users 命令只是简单地输出当前登录的用户名称,每个显示的用户名对应一个登录会话。 如果一个用户有不止一个登录会话,那他的用户名将显示与其相同的次数。
在这里插入图片描述
who 命令用于报告当前登录到系统中的每个用户的信息。使用该命令,系统管理员可 以查看当前系统存在哪些不合法用户,从而对其进行审计和处理。who 的默认输出包括用 户名、终端类型、登录日期及远程主机。
Linux文件系统精讲_第18张图片
w命令用于显示当前系统中的每个用户及其所运行的进程信息,比users、who命令的输出内容要更加丰富一些。
在这里插入图片描述
(2)查询用户登录的历史记录——last、lastb 命令

last 命令用于查询成功登录到系统的用户记录,最近的登录情况将显示在最前面。通过 last 命令可以及时掌握 Linux 主机的登录情况,若发现未经授权的用户登录过,则表示当前 主机可能已被入侵。
Linux文件系统精讲_第19张图片

lastb 命令用于查询登录失败的用户记录,如登录的用户名错误、密码不正确等情况都 将记录在案。登录失败的情况属于安全事件,因为这表示可能有人在尝试猜解你的密码。除 了使用 lastb 命令查看以外,也可以直接从安全日志文件/var/log/secure 中获得相关信息。
Linux文件系统精讲_第20张图片

程序日志

在Linux系统中,还有相当一部分应用程序并没有使用rsyslog服务来管理日志,而是由程序自己维护日志记录。
Linux文件系统精讲_第21张图片

你可能感兴趣的:(Linux基础)