linux基础——深入理解Linux文件系统(xfs数据恢复)（十一）

一、inode与block详解

崭新的操作系统的文件除了实际内容外，通常含有非常多的属性。
例如Linux操作系统的文件权限（rwx）与文件属性（所有者，群组，时间参数等）。
文件系统通常会将这两部分分别存放在inode和block中。

1.1 inode和block概述

• 文件数据包括元信息与实际数据
• 文件存储在硬盘上，硬盘最小存储单位是扇区，每个扇区存储512字节
• block 块
  • 连续的八个扇区组成一个block
  • 是文件存取的最小单位
• inode 索引节点
  • 中文译名索引节点，也叫i节点
  • 用于存储文件元信息
    
    一个文件必须占用一个inode，但至少占用一个block

1.2 inode的内容

1.2.1 inode包含文件的元信息

文件的字节数
文件拥有者的UserID
文件的GroupID
文件的读，写，执行权限
文件的时间戳
…等

1.2.2 使用stat命令即可查看某个文件的inode信息

stat aa.txt

1.2.3 Linux系统文件三个主要的时间属性

• ctime（change time）最后一次改变文件或目录（属性）的时间，例如执行chmod，chown等命令
• atime（access time）最后一次访问文件或目录的时间
• mtime（modify time）最后一次修改文件或目录（内容）的时间

1.2.4 文件名存放

inode不包括文件名，文件名是存放在目录当中的。
Linux系统中一切皆文件，因此目录也是一种文件。
目录文件的结构，每一行称为一个目录项。

文件名1	inode号码1
文件名2	inode号码2

每个inode都有一个号码，操作系统用inode号码来识别不同的文件，Linux系统内部不使用文件名，而使用inode号码来识别文件。对于系统来说，文件名只是inode号码便于识别的别称。

1.2.5 inode的号码

用户通过文件名打开文件时，系统内部的过程：
1.系统找到这个文件名对应的inode号码
2.通过inode号码，获取inode信息
3.根据inode信息，找到文件数据所在的block，读出数据。

使用ls -i命令，可以直接查看到文件名所对应的inode号码；使用stat命令，则是可以通过查看文件inode信息而查看到inode号码。
inode号码丢失即恢复不了文件。
inode信息就是元信息。

1.2.6 文件存储小结

一个用户在Linux系统中试图访问一个文件时，系统会根据文件名去查找它的inode,看该用户是否具有访问这个文件的权限，如果有，就指向相对应的数据block,如果没有，就返回Permission，denied。硬盘分区后的结构如下图。

1.2.7：inode的大小

inode也会消耗硬盘空间，每个inode的大小一般是128字节或256字节，格式化文件系统时确定inode的总数，使用df -i命令可以查看每个硬盘分区的inode总数和已经使用的数量。
由于inode号码与文件名分离，导致一些Unix/Linux系统具有以下的现象
有时，文件名包含特殊字符，无法正常删除，直接删掉inode，就能删掉文件。
移动或重命名文件，只是改变文件名，不影响inode号码。
打开一个文件以后，系统就以inode号码来识别这个文件，不再考虑文件名。
这个可以让软件更新变得简单，在不关闭软件的情况下进行更新，不需要重启。因为系统通过inode号码，识别运行中的文件，不通过文件名，更新的时候，新版文件以同样的文件名，生成一个新的inode，不会影响到运行中的文件等到下一次运行这个软件的时候，文件名就会自动指向新版文件，旧版文件的inode则被回收
df命令
df - 报告文件系统磁盘空间的使用情况
df -a：显示所有文件系统的磁盘使用情况，包括0块（block）的文件系统。
df -h：以容易理解的格式输出文件系统大小，例如124KB、345MB、46GB。
df -i：显示i节点信息，而不是磁盘块。
df -t：显示各指定类型的文件系统的磁盘空间使用情况。
df -x：列出不是某一指定类型文件系统的磁盘空间使用情况。
df -T：显示文件系统类型。
df 以512字节为单位
df –k 以1024字节为单位

二、硬链接与软链接

在Linux下面的链接文件有两种：
一种类似于Windows的快捷方式功能的文件，可以快速连接到目标文件或目录，这种称为软链接。
另一种则是通过文件系统的inode链接文件来产生新的文件名，而不是产生新文件，这种称之为硬链接。

2.1：硬链接

一般情况下，文件名和inode号码是一一对应关系，每个inode号码对应一个文件名。但是Linux系统允许，多个文件名指向同一个inode号码。这表示可以用不同的文件名来访问同样的内容
ln 源文件 目标

• 运行此命令后，源文件和目标文件的inode号码相同，都指向同一个inode。inode信息中的“链接数”此时就会增加1。
• 当一个文件拥有多个硬链接时，对文件内容修改，会影响到所有文件名，但删除一个文件名，不会影响另一个文件名的访问，删除一个文件名，就会使得inode信息中的“链接数”减少1。
• 不能对目录做硬链接
• 通过mkdir命令创建一个新目录/app/kgc。其硬链接数应该有两个，因为常见的目录本身为1个硬链接，而目录kgc下面的隐藏目录.是该目录的有一个硬链接，也算一个链接数。
• 

2.2：软链接

软链接就是再创建一个独立的文件，而这个文件会让数据的读取指向它连接的那个文件的文件名。
例如：
文件A和文件B的inode号码虽然不一样，但是文件A的内容是文件B的路径。读取文件A时，系统会自动将访问者导向文件B，此时，文件A就称为文件B的“软链接（soft link）”或者“符号链接（symbolic link）”。
这表示，文件A依赖于文件B而存在，如果删除了文件B ，打开文件A就会报错，这是软链接与硬链接的最大不同：文件A指向文件B的文件名，而不是文件B的inode号码，文件B的inode“链接数”不会因此产生变化。
软链接的创建命令的基本格式为
ln -s 源文件或目录 目标文件或目录

三、恢复误删除的文件

3.1：实验：恢复XFS类型的文件

3.1.1：xfsdump命令

xfsdump命令格式
xfsdump -f 备份存放位置 要备份的路径或者设备文件
1.xfsdump备份级别（默认为0）
0：完全备份
1-9：增量备份
xfsdump常用选项：-f，-L，-M，-s
2.xfsrestore命令格式
xfsrestore -f 恢复文件的位置 存放恢复后文件的位置

3.1.2：xfsdump使用限制

只能备份已挂载的文件系统
必须使用root的权限才能操作
只能备份xfs文件系统
备份后的数据只能用xfsrestore解析
不能备份两个具有相同UUID的文件系统

3.2：实验步骤：在CentOS 7.6中恢复xfs类型的数据

1.创建一块磁盘，重启，新建文件夹并挂载

备份成功

3.3 实验内容：恢复ext文件

添加一块新磁盘，重启

软件包安装完成

四、日志文件的分类

4.1 日志的功能

用于记录系统，程序运行中发生的各种事件，日志文件是用于记录Linux系统中各种运行消息的文件，相当于Linux主机的“日记”，不同的日志文件记载了不同类型的信息，如Linux内核消息，用户登录事件，程序错误等。
通过阅读日志，有助于诊断和解决系统故障，在Linux系统中运行的程序通常会把系统消息和错误消息写入相应的日志文件，当主机遭受攻击时，日志文件还可以帮助寻找攻击者留下的痕迹

4.2：日志文件的分类

内核及系统日志：由系统服务rsyslog统一进行管理，日志格式基本相似。
用户日志：记录系统用户登录及退出系统的相关信息，包括用户名，登录的终端，登录时间，来源主机，正在使用的进程操作等。
程序日志：由各种应用程序独立管理的日志文件，记录格式不统一，程序安装后不会生成日志文件，只有在启动的时候才会生成日志文件，没有访问它，日志文件就是空的。

4.3：日志保存位置

默认位于：/var/log目录下
Linux系统本身和大部分服务器程序的日志文件都默认存放在/var/log下。
一部分程序共用一个日志文件，一部分程序使用单个日志文件，而有些大型服务器程序因日志文件较多，所以会在/var/log目录中建立相应的子目录来存放日志文件。
有相当一部分日志文件只有root用户才有权读取，保证了相关日志信息的安全性。

4.4 主要日志文件介绍

内核及公共消息日志：/var/log/messages。
计划任务日志：/var/log/cron。
系统引导日志：/var/log/dmesg。
邮件系统日志：/var/log/maillog。
用户登录日志：/var/log/lastlog，/var/log/secure，/var/log/wtmp，/var/log/btmp。
/var/log/messages：记录Linux内核消息和各种应用程序的公共日志信息，包括启动，I/O错误，网络错误，程序故障等
对于未使用独立日志文件的应用程序或服务，一般都可以从该日志文件中获得相关的时间记录信息。
/var/log/cron：记录crond计划任务产生的事件信息。
/var/log/dmesg：记录Linux系统在引导过程中的各种事件信息。
/var/log/maillog：记录进入或发出系统的电子邮件活动。
/var/log/lastlog：记录每个用户最近的登录时间。
/var/log/secure：记录用户认证相关的安全事件信息。
/var/log/wtmp：记录每个用户登录，注销及系统启动和停机事件
/var/log/btmp：记录失败的，错误的登录尝试及验证事件
yum安装的都存放在/var/log，手工编译安装的都是自己指定的目录

五、日志文件分析

分析日志文件的目的在于通过浏览日志查找关键信息，对系统服务进行调试，以及判断发生故障的原因等。
对于大多数文本格式的日志文件（如内核及系统日志，大多数的程序日志），只要使用tail，more，less，cat等文本处理工具就可以查看日志内容。
对于一些二进制格式的日志文件（如用户日志），需要使用特定的查询命令。

5.1内核及系统日志

5.1.1由系统服务rsyslogd统一管理

软件包：rsyslog-7.4.7-16.el7.x86_64
主要程序：/sbin/rsyslogd
配置文件：/etc/rsyslog.conf

5.1.2 日志消息的级别

受rsyslogd服务管理的日志文件都是Linux系统中最重要的日志文件，它们记录了Linux系统中内核，用户认证，邮件，计划任务等最基本的系统消息，Linux内核中，根据日志消息的重要程度不同，将其分为不同的优先级（数字等级越小，优先级越高，消息越重要）。
0 EMERG（紧急） 会导致主机系统不可用的情况
1 ALERT（警告） 必须马上采取措施解决的问题
2 CRIT（严重） 比较严重的情况（某些功能不可用）
3 ERR（错误） 运行出现错误
4 WARNING（提醒） 可能会影响系统功能的事件
5 NOTICE（注意） 不会影响系统但值得注意
6 INFO（信息） 一般信息
7 DEBUG（调试） 程序或系统调试信息等（做维护的时候可能会用到）
内核及大多数系统消息都被记录到公共日志文件/var/log/messages中，而其他一些程序消息被记录到各自独立的日志文件中，志消息还可以记录到特定的存储设备中，或者直接发送给指定用户。

5.2 户日志

5.2.1 存目录

保存了用户登录，退出系统等相关信息
/var/log/lastlog：最近的用户登录事件
/var/log/wtmp：用户登录，注销及系统开，关机事件
/var/log/utmp：当前登录的每个用户的详细信息
/var/log/secure：与用户验证相关的安全性事件

5.2.2 析工具

分析工具
users，who，w，last，lastb。
查询当前登录的用户情况：users，who，w命令。
user命令只简单的输出当前登录的用户名称，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名将显示与其相同的次数。
who命令用户报告当前登录到系统中的每个用户的信息,使用该命令，系统管理员可以查看当前系统存在哪些不合法用户，从而对其进行审计和处理,who命令的默认输出包括用户名，终端类型，登录日期及远程主机.
w命令用于显示当前系统中的每个用户及其所运行的进程信息，比users，who命令的输出内容要更加丰富一些。
查询用户登录的历史记录：last，lastb命令。
last命令用于查询成功登录到系统的用户记录，最近的登录情况将显示在最前面。
通过last命令可以及时掌握Linux主机的登录情况，若发现未经授权的用户登录过，则表示当前主机可能已被入侵。
lastb命令用于查询登录失败的用户记录，如登录的用户名错误，密码不正确等情况都会记录在案。登录失败的情况属于安全事件，因为这表示可能有人在尝试猜出你的密码。除了使用lastb命令查看以外，还可以直接从安全日志文件/var/log/secure中获得相关信息。

5.3：程序日志

5.3.1：由相应的程序独立进行管理

web服务：/var/log/httpd/
access_log,error_log（httpd网站服务程序使用的两个日志文件access_log和error_log，分别记录客户访问事件，错误事件。）
代理服务：/var/log/squid/
access.log , cache.log
FTP服务：/var/log/xferlog

5.3.2：分析工具

文本查看，grep过滤检索，webmin管理套件中查看
awk，sed等文本过滤，格式化编辑工具
webalizer，awstats等专用日志分析工具

5.3.3：日志管理策略

1.及时做好备份和归档
2.延长日志保存期限
3.控制日志访问权限
日志中可能会包含各类敏感信息，如账户，口令等
4.几种管理日志
将服务器的日志文件发到统一的日志文件服务器，便于日志信息的统一收集，整理和分析。