Linux-centos7-文件系统深入理解与日志分析 理论+数据恢复实验(inode与block详解,软链接与硬链接详解与总结,误删文件恢复实验,日志文件分类与分析)
文章目录
- 前言
- 一:inode与block
- 1.1:元信息,inode和block概述
- 1.2:inode的内容
- 1.2.1:inode包含文件的元信息
- 1.2.2:Linux系统文件三个主要的时间属性
- 1.2.3:目录文件的结构
- 1.2.4:inode的号码
- 1.2.5:文件存储小结
- 1.2.6:inode的大小
- 1.2.7:inode的特殊作用
- 二:硬链接与软链接
- 2.1:硬链接
- 2.2:软链接
- 2.3:软链接与硬链接总结
- 三:恢复误删除的文件
- 3.1:实验:恢复XFS类型的文件
- 3.2:xfsdump使用限制
- 3.3:实验过程:在CentOS 7中恢复xfs类型的数据
- 3.4:实验:恢复EXT类型的文件
- 3.4.1.编译安装 extundelete
- 3.4.2. 添加EXT3格式硬盘,并挂载
- 3.4.3. 创建文件并 查看该文件系统的使用情况
- 3.4.4. 模拟误操作并恢复
- 3.4.5. 恢复文件
- 四:日志文件的分类及分析
- 4.1 日志文件的分类
- 4.2:日志文件分析
- 4.2.1:内核及系统日志
- 4.2.2、用户日志
- 4.2.3:分析工具
- 4.2.4:程序日志
前言
在处理Linux系统出现的各种故障时,故障的症状是最容易发现的,而导致这一故障的原因才是最终排除故障的关键。
熟悉Linux系统中常见的日志文件,了解一般故障的分析与解决办法,将有助于管理员快速定位故障点,“对症下药”,及时解决各种系统问题。
一:inode与block
崭新的操作系统的文件除了实际内容外,通常含有非常多的属性,例如Linux操作系统的文件权限(rwx)与文件属性(所有者,群组,时间参数等)。文件系统通常会将这两部分分别存放在inode和block中
1.1:元信息,inode和block概述
文件数据包括元信息与实际数据
文件存储在硬盘上,硬盘最小存储单元是“扇区”,每个扇区存储512字节
元信息
元信息是关于信息的信息,用于描述信息的结构、语义、用途和用法等,比如文件的创建者,文件的创建日期,文件的大小等
block(块)
操作系统读取硬盘的时候,不会一个个扇区的读取,这样效率太低,而是一次性连续读取多个扇区,即一次性读取一个“块”(block)
连续的八个扇区组成一个block,“块”的大小,最长见的是4KB
是文件存取的最小单位
inode(索引节点)
文件数据存储在“块”中,那么还必须找到一个地方存储文件的元信息,比如文件的创建者,文件的创建日期,文件的大小等
这种存储文件元信息的区域就叫做inode,中文译名为(索引节点),也叫i节点
一个文件必须占用一个inode,但至少占用一个block
1.2:inode的内容
1.2.1:inode包含文件的元信息
inode包含很多的文件元信息,但不包括文件名,例如:
文件的字节数
文件拥有者的UserID
文件的GroupID
文件的读,写,执行权限
文件的时间戳
…
使用stat命令即可查看某个文件的inode信息
1.2.2:Linux系统文件三个主要的时间属性
1.2.3:目录文件的结构
inode不包括文件名,文件名是存放在目录当中的
1.2.4:inode的号码
☆☆☆用户通过文件名打开文件时,系统内部的过程☆☆☆
查看文件系统的inode数量信息(总数,已用,可用)
1.2.5:文件存储小结
1.2.6:inode的大小
inode也会消耗硬盘空间,每个inode的大小一般是128字节或256字节
格式化文件系统时确定inode的总数
使用df -i命令可以查看每个硬盘分区的inode总数和已经使用的数量
df命令
df - 报告文件系统磁盘空间的使用情况
df -a:显示所有文件系统的磁盘使用情况,包括0块(block)的文件系统。
df -h:以容易理解的格式输出文件系统大小,例如124KB、345MB、46GB。
df -i:显示i节点信息,而不是磁盘块。
df -t:显示各指定类型的文件系统的磁盘空间使用情况。
df -x:列出不是某一指定类型文件系统的磁盘空间使用情况。
df -T:显示文件系统类型。
df 以512字节为单位
df –k 以1024字节为单位
1.2.7:inode的特殊作用
这使得软件更新变得简单,可以在不关闭软件的情况下进行更新,不需要重启
因为系统通过inode号码,识别运行中的文件,不通过文件名
更新的时候,新版文件以同样的文件名,生成一个新的inode,不会影响到运行中的文件
等到下一次运行这个软件的时候,文件名就会自动指向新版文件,旧版文件的inode则被回收
二:硬链接与软链接
在Linux下面的链接文件有两种:
一种类似于Windows的快捷方式功能的文件,可以快速连接到目标文件或目录,这种称为软链接
另一种则是通过文件系统的inode链接文件来产生新的文件名,而不是产生新文件,这种称之为硬链接
2.1:硬链接
一般情况下,文件名和inode号码是一一对应关系,每个inode号码对应一个文件名。
但是Linux系统允许,多个文件名指向同一个inode号码。这表示可以用不同的文件名来访问同样的内容
ln命令可以创建硬链接,命令基本格式
ln 源文件 目标
不能对目录做硬链接
运行此命令后,源文件和目标文件的inode号码相同,都指向同一个inode。
inode信息中的“链接数”此时就会增加1
当一个文件拥有多个硬链接时,对文件内容修改,会影响到所有文件名
但删除一个文件名,不会影响另一个文件名的访问
删除一个文件名,就会使得inode信息中的“链接数”减少1
2.2:软链接
软链接就是再创建一个独立的文件,而这个文件会让数据的读取指向它连接的那个文件的文件名
例如:文件A和文件B的inode号码虽然不一样,但是文件A的内容是文件B的路径。
读取文件A时,系统会自动将访问者导向文件B
此时,文件A就称为文件B的“软链接(soft link)”或者“符号链接(symbolic link)”
这表示,文件A依赖于文件B而存在,如果删除了文件B ,打开文件A就会报错
这是软链接与硬链接的最大不同:文件A指向文件B的文件名,而不是文件B的inode号码,文件B的inode“链接数”不会因此产生变化。
软链接的创建命令的基本格式为:
ln -s 源文件或目录 目标文件或目录
2.3:软链接与硬链接总结
链接文件是为文件或目录建立链接文件
软链接与硬链接对比
软链接(符号链接) 硬链接
删除原始文件后 失效 仍旧可用
使用范围 适用于文件或目录 只可用于文件
保存位置 与原始文件可以位于不同的文件系统中 必须与原始文件在同一个文件系统(如一个Linux分区)内
删除原始文件后,软链接无法找到原始文件的文件名,所以会报错。硬链接与原始文件inode相同,所以不影响访问,仍旧可用。
删除一个文件,实际上并不清除inode节点和block的数据,只是在这个文件的父目录里面的block中,删除这个文件的名字
Linux是通过link的数量来控制文件的删除的,只有当一个文件不存在任何link的时候,这个文件才会被删除
三:恢复误删除的文件
3.1:实验:恢复XFS类型的文件
3.1.1:xfsdump命令格式
xfsdump -f 备份存放位置 要备份的路径或者设备文件
xfsdump备份级别(默认为0)
0:完全备份
1-9:增量备份
xfsdump常用选项:-f,-L,-M,-s
xfsrestore命令格式
xfsrestore -f 恢复文件的位置 存放恢复后文件的位置
3.2:xfsdump使用限制
只能备份已挂载的文件系统
必须使用root的权限才能操作
只能备份xfs文件系统
备份后的数据只能用xfsrestore解析
不能备份两个具有相同UUID的文件系统
3.3:实验过程:在CentOS 7中恢复xfs类型的数据
3.4:实验:恢复EXT类型的文件
3.4.1.编译安装 extundelete
在编译安装 extundelete 之前需要先安装两个依赖包 e2fsprogs-libs 和 e2fsprogs-devel,
这两个包在系统安装光盘的/Package 目录下就有,使用 rpm 或 yum 命令将其安装。
e2fsprogs-devel 安装依赖于 libcom_err-devel 包。 安装完依赖包之后,
即可将提前上传的 extundelete 软件包解压、配置、编译、安装
3.4.2. 添加EXT3格式硬盘,并挂载
3.4.3. 创建文件并 查看该文件系统的使用情况
其中–inode 2 代表从 i 节点为 2 的文件开始查看,一般文件系统格式化挂 载之后,i 节点是从 2 开始的,2 代表该文件系统最开始的目录。
3.4.4. 模拟误操作并恢复
3.4.5. 恢复文件
四:日志文件的分类及分析
4.1 日志文件的分类
4.2:日志文件分析
分析日志文件的目的在于通过浏览日志查找关键信息,对系统服务进行调试,以及判断发生故障的原因等
对于大多数文本格式的日志文件(如内核及系统日志,大多数的程序日志),只要使用tail,more,less,cat等文本处理工具就可以查看日志内容
对于一些二进制格式的日志文件(如用户日志),需要使用特定的查询命令
4.2.1:内核及系统日志
由系统服务rsyslogd统一管理
软件包:rsyslog-7.4.7-16.el7.x86_64
主要程序:/sbin/rsyslogd
配置文件:/etc/rsyslog.conf
内核及大多数系统消息被记录到公共日志文件/var/log/messages 中,而其他一些程序 消息被记录到各自独立的日志文件中,
此外日志消息还能够记录到特定的存储设备中,或者 直接发送给指定用户。查看/var/log/messages 文件的内容如下
more /var/log/messages
对于 rsyslog 服务统一管理的大部分日志文件,使用的日志记录格式基本上是相同的。
以公共日志/var/log/messages 文件的记录格式为例,其中每一行表示一条日志消息,每 一条消息均包括以下四个字段。
时间标签:消息发出的日期和时间。
主机名:生成消息的计算机的名称。
子系统名称:发出消息的应用程序的名称。
消息:消息的具体内容。
在有些情况下,可以设置 rsyslog,使其在把日志信息记录到文件的同时将日志信息发 送到打印机进行打印,
这样无论网络入侵者怎样修改日志都不能清除入侵的痕迹。rsyslog 日志服务是一个常会被攻击的显著目标,
破坏了它将使管理员难以发现入侵及入侵的痕迹, 因此要特别注意监控其守护进程及配置文件
4.2.2、用户日志
在 wtmp、btmp、lastlog 等日志文件中,保存了系统用户登录、退出等相关的事件消息。
但是这些文件都是二进制的数据文件,不能直接使用 tail、less 等文本查看工具进行浏览,
需要使用 who、w、users、last 和 lastb 等用户查询命令来获取日志信息
(1)查询当前登录的用户情况——users、who、w 命令
users 命令只是简单地输出当前登录的用户名称,每个显示的用户名对应一个登录会话。
如果一个用户有不止一个登录会话,那他的用户名将显示与其相同的次数。user 命令的具 体操作如下:
4.2.3:分析工具
分析工具
users,who,w,last,lastb
查询当前登录的用户情况:users,who,w命令
user命令只简单的输出当前登录的用户名称,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示与其相同的次数
who命令用户报告当前登录到系统中的每个用户的信息
使用该命令,系统管理员可以查看当前系统存在哪些不合法用户,从而对其进行审计和处理
who命令的默认输出包括用户名,终端类型,登录日期及远程主机
w命令用于显示当前系统中的每个用户及其所运行的进程信息,比users,who命令的输出内容要更加丰富一些
查询用户登录的历史记录:last,lastb命令
last命令用于查询成功登录到系统的用户记录,最近的登录情况将显示在最前面
通过last命令可以及时掌握Linux主机的登录情况,若发现未经授权的用户登录过,则表示当前主机可能已被入侵
也可以直接从安全日志文件/var/log/secure 中获得相关信息。
4.2.4:程序日志
在 Linux 操作系统中,还有相当一部分应用程序没有使用 rsyslog 服务来管理日志,而 是由程序自己维护日志记录。例如,httpd 网站服务程序使用两个日志文件 access_log 和 error_log
分别记录客户访问事件和错误事件。不同应用程序的日志记录格式差别较大,且 没有严格使用统一的格式,这里不再详细介绍。 总的来说,作为一名合格的系统管理人员,应该提高警惕,随时注意各种可疑状况,定 期并随机检查各种系统日志文件,包括一般信息日志、网络连接日志、文件传输日志及用户登录日志记录等。在检查这些日志时,要注意是否有不合常理的时间或操作记录。例如,出 现以下现象就应多加注意。
●用户在非常规的时间登录,或者用户登录系统的 IP 地址和以往的不一样。
●用户登录失败的日志记录,尤其是那些一再连续尝试进入失败的日志记录。
●非法使用或不正当使用超级用户权限。
●无故或者非法重新启动各项网络服务的记录。
●不正常的日志记录,如日志残缺不全,或者是诸如 wtmp 这样的日志文件无故缺少 了中间的记录文件。
另外,需要提醒管理人员注意的是,日志并不是完全可靠的,高明的黑客在入侵系统后 经常会打扫现场。
所以管理人员需要综合运用以上的系统命令,全面、综合地进行审查和检 测,切忌断章取义,
否则将可能做出错误的判断。