03: Split分離解析 RAID磁碟陣列 程序管理 日誌管理 總結和答疑
阿新 • • 發佈:2018-12-21
NSD SERVICES DAY03
1 案例1:配置並驗證Split分離解析
1.1 問題
本例要求配置一臺智慧DNS伺服器,針對同一個FQDN,當不同的客戶機來查詢時能夠給出不同的答案。需要完成下列任務:
- 從主機192.168.4.207查詢時,結果為:www.tedu.cn ---> 192.168.4.100
- 從其他客戶端查詢時,www.tedu.cn ---> 1.2.3.4
1.2 方案
在配置DNS伺服器時,通過view檢視設定來區分不同客戶機、不同地址庫:
- view "檢視1" {
- match-clients { 客戶機地址1; .. .. ; }; //匹配第1類客戶機地址
- zone "目標域名" IN { //同一個DNS區域
- type master;
- file "地址庫1"; //第1份地址庫
- };
- };
- view "檢視2" {
- match-clients { 客戶機地址2; .. .. ; }; //匹配第2類客戶機地址
- match-clients { any; }; //匹配任意地址
- zone "目標域名" IN { //同一個DNS區域
- type master;
- file "地址庫2"; //第2份地址庫
- };
- };
- .. ..
- view "檢視n" {
- match-clients { any; }; //匹配任意地址
- zone "目標域名" IN { //同一個DNS區域
- type master;
- file "地址庫n"; //第n份地址庫
- };
- };
1.3 步驟
實現此案例需要按照如下步驟進行。
步驟一:配置Split分離解析
1)為tedu.cn區域建立兩份解析記錄檔案
第一份解析記錄檔案提供給客戶機192.168.4.207、網段192.168.7.0/24,對應目標域名www.tedu.cn的A記錄地址為192.168.4.100。相關操作及配置如下:
- [[email protected] ~]# cd /var/named/
- [[email protected] named]# cp -p tedu.cn.zone tedu.cn.zone.lan
- [[email protected] named]# vim tedu.cn.zone.lan
- $TTL 1D
- @ IN SOA @ rname.invalid. (
- 0 ; serial
- 1D ; refresh
- 1H ; retry
- 1W ; expire
- 3H ) ; minimum
- @ NS svr7.tedu.cn.
- svr7 A 192.168.4.7
- pc207 A 192.168.4.207
- www A 192.168.4.100
第二份解析記錄檔案提供給其他客戶機,對應目標域名www.tedu.cn的A記錄地址為1.2.3.4。相關操作及配置如下:
- [[email protected] named]# cp -p tedu.cn.zone tedu.cn.zone.other
- [[email protected] named]# vim tedu.cn.zone.other
- $TTL 1D
- @ IN SOA @ rname.invalid. (
- 0 ; serial
- 1D ; refresh
- 1H ; retry
- 1W ; expire
- 3H ) ; minimum
- @ NS svr7.tedu.cn.
- svr7 A 192.168.4.7
- pc207 A 192.168.4.207
- www A 1.2.3.4
2)修改named.conf配置檔案,定義兩個view,分別呼叫不同解析記錄檔案
- [[email protected] ~]# vim /etc/named.conf
- options {
- directory "/var/named";
- };
- acl "mylan" { //名為mylan的列表
- 192.168.4.207; 192.168.7.0/24;
- };
- .. ..
- view "mylan" {
- match-clients { mylan; }; //檢查客戶機地址是否匹配此列表
- zone "tedu.cn" IN {
- type master;
- file "tedu.cn.zone.lan";
- };
- };
- view "other" {
- match-clients { any; }; //匹配任意客戶機地址
- zone "tedu.cn" IN {
- type master;
- file "tedu.cn.zone.other";
- };
- };
3)重啟named服務
- [[email protected] ~]# systemctl restart named
步驟二:測試分離解析效果
1)從mylan地址列表中的客戶機查詢
在客戶機192.168.4.207(或網段192.168.7.0/24內的任意客戶機)上查詢www.tedu.cn,結果是 192.168.4.100:
- [[email protected] ~]# host www.tedu.cn 192.168.4.7
- Using domain server:
- Name: 192.168.4.7
- Address: 192.168.4.7#53
- Aliases:
- www.tedu.cn has address 192.168.4.100
2)從其他客戶機查詢
在DNS伺服器本機或CentOS真機上查詢www.tedu.cn時,結果為 1.2.3.4:
- [[email protected] ~]# host www.tedu.cn 192.168.4.7
- Using domain server:
- Name: 192.168.4.7
- Address: 192.168.4.7#53
- Aliases:
- www.tedu.cn has address 1.2.3.4
2 案例2:檢視程序資訊
2.1 問題
本例要求掌握檢視程序資訊的操作,使用必要的命令工具完成下列任務:
- 找出程序 gdm 的 PID 編號值
- 列出由程序 gdm 開始的子程序樹結構資訊
- 找出程序 sshd 的父程序的 PID 編號/程序名稱
- 檢視當前系統的CPU負載/程序總量資訊
2.2 方案
檢視程序的主要命令工具:
- ps aux、ps –elf:檢視程序靜態快照
- top:檢視程序動態排名
- pstree:檢視程序與程序之間的樹型關係結構
- pgrep:根據指定的名稱或條件檢索程序
2.3 步驟
實現此案例需要按照如下步驟進行。
步驟一:找出程序 gdm 的 PID 編號值
使用pgrep命令查詢指定名稱的程序,選項-l顯示PID號、-x精確匹配程序名:
- [[email protected] ~]# pgrep -lx gdm
- 1584 gdm
步驟二:列出由程序 gdm 開始的子程序樹結構資訊
使用pstree命令,可以提供使用者名稱或PID值作為引數。通過前一步已知程序gdm的PID為1584,因此以下操作可列出程序gdm的程序樹結構:
- [[email protected] ~]# pstree -p 1584
- gdm(1584)-+-Xorg(1703)
- |-gdm-session-wor(2670)-+-gnome-session(2779)-+-gnom+
- | | |-gnom+
- | | |-{gno+
- | | |-{gno+
- | | `-{gno+
- | |-{gdm-session-wor}(2678)
- | `-{gdm-session-wor}(2682)
- |-{gdm}(1668)
- |-{gdm}(1671)
- `-{gdm}(1702)
步驟三:找出程序 sshd 的父程序的 PID 編號/程序名稱
要檢視程序的父程序PID,可以使用ps –elf命令,簡單grep過濾即可。找到程序sshd所在行對應到的PPID值即為其父程序的PID編號。為了方便直觀檢視,建議先列出ps表頭行,以分號隔開再執行過濾操作。
- [[email protected] ~]# ps -elf | head -1 ; ps -elf | grep sshd
- F S UID PID PPID C PRI NI ADDR SZ WCHAN STIME TTY TIME CMD
- 4 S root 1362 1 0 80 0 - 20636 poll_s Jan05 ? 00:00:00 /usr/sbin/sshd –D
- .. .. //可獲知程序sshd的父程序PID為1
然後再根據pstree –p的結果過濾,可獲知PID為1的程序名稱為systemd:
- [[email protected] ~]# pstree -p | grep '(1)'
- systemd(1)-+-ModemManager(995)-+-{ModemManager}(1018)
步驟四:檢視當前系統的CPU負載/程序總量資訊
使用top命令,直接看開頭部分即可;或者 top -n 次數:
- [[email protected] ~]# top
- top - 15:45:25 up 23:55, 2 users, load average: 0.02, 0.03, 0.05
- Tasks: 485 total, 2 running, 483 sleeping, 0 stopped, 0 zombie
- %Cpu(s): 1.7 us, 1.0 sy, 0.0 ni, 97.3 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
- KiB Mem : 1001332 total, 76120 free, 419028 used, 506184 buff/cache
- KiB Swap: 2097148 total, 2096012 free, 1136 used. 372288 avail Mem
- .. ..
觀察Tasks: 485 total部分,表示程序總量資訊。
觀察load average: 0.02, 0.03, 0.05 部分,表示CPU處理器在最近1分鐘、5分鐘、15分鐘內的平均處理請求數(對於多核CPU,此數量應除以核心數)。
對於多核CPU主機,如果要分別顯示每顆CPU核心的佔用情況,可以在top介面按數字鍵1進行切換:
- [[email protected] ~]# top
- top - 15:47:45 up 23:57, 2 users, load average: 0.02, 0.03, 0.05
- Tasks: 485 total, 2 running, 269 sleeping, 0 stopped, 1 zombie
- Cpu0 : 0.6%us, 7.8%sy, 0.0%ni, 91.6%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%st
- Cpu1 : 0.7%us, 3.7%sy, 0.0%ni, 95.6%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%st
- Cpu2 : 0.7%us, 1.7%sy, 0.0%ni, 97.6%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%st
- Cpu3 : 0.3%us, 1.0%sy, 0.0%ni, 98.3%id, 0.3%wa, 0.0%hi, 0.0%si, 0.0%st
- Mem: 16230564k total, 15716576k used, 513988k free, 326124k buffers
- Swap: 8388604k total, 220656k used, 8167948k free, 11275304k cached
- .. ..
3 案例3:程序排程及終止
3.1 問題
本例要求掌握排程及終止程序的操作,使用必要的工具完成下列任務:
- 執行“sleep 600”命令,再另開一個終端,查出sleep程式的PID並殺死
- 執行多個vim程式並都放入後臺,然後殺死所有vim程序
- su切換為zhsan使用者,再另開一個終端,強制踢出zhsan使用者
3.2 方案
程序排程及終止的主要命令工具:
- 命令列 &:將命令列在後臺執行
- Ctrl + z 組合鍵:掛起當前程序(暫停並轉入後臺)
- jobs:列出當前使用者當前終端的後臺任務
- bg 編號:啟動指定編號的後臺任務
- fg 編號:將指定編號的後臺任務調入前臺執行
- kill [-9] PID...:殺死指定PID值的程序
- kill [-9] %n:殺死第n個後臺任務
- killall [-9] 程序名...:殺死指定名稱的所有程序
- pkill:根據指定的名稱或條件殺死程序
3.3 步驟
實現此案例需要按照如下步驟進行。
步驟一:根據PID殺死程序
1)開啟sleep測試程序
- [[email protected] ~]# sleep 600
- //.. .. 進入600秒等待狀態
2)找出程序sleep的PID
另開一個終端,ps aux並過濾程序資訊(第2列為PID值):
- [[email protected] ~]# ps aux | grep sleep
- root 32929 0.0 0.0 4312 360 pts/1 S+ 17:25 0:00 sleep 600
3)殺死指定PID的程序
- [[email protected] ~]# kill -9 32929
返回原終端會發現sleep程序已經被殺死:
- [[email protected] ~]# sleep 600
- Killed
步驟二:根據程序名殺死多個程序
1)在後臺開啟多個vim程序
- [[email protected] ~]# vim a.txt &
- [1] 33152
- [[email protected] ~]# vim b.txt &
- [2] 33154
- [1]+ 已停止 vim a.txt
- [[email protected] ~]# vim c.txt &
- [3] 33155
- [2]+ 已停止 vim b.txt
2)確認vim程序資訊
- [[email protected] ~]# jobs -l
- [1] 33152 停止 (tty 輸出) vim a.txt
- [2]- 33154 停止 (tty 輸出) vim b.txt
- [3]+ 33155 停止 (tty 輸出) vim c.txt
3)強制殺死所有名為vim的程序
- [[email protected] ~]# killall -9 vim
- [1] 已殺死 vim a.txt
- [2]- 已殺死 vim b.txt
- [3]+ 已殺死 vim c.txt
4)確認殺程序結果
- [[email protected] ~]# jobs -l
- [[email protected] ~]#
步驟三:殺死屬於指定使用者的所有程序
1)登入測試使用者zhsan
- [[email protected] ~]# useradd zhsan
- [[email protected] ~]# su - zhsan
- [[email protected] ~]$
2)另開一個終端,以root使用者登入,查詢屬於使用者zhsan的程序
- [[email protected] ~]# pgrep -u zhsan
- 33219
- [[email protected] ~]# pstree -up 33219 //檢查程序樹
- bash(33219,zhsan)
3)強制殺死屬於使用者zhsan的程序
- [[email protected] ~]# pkill -9 -u zhsan
- [[email protected] ~]#
4)返回原來使用者zhsan登入的終端,確認已經被終止
- [[email protected] ~]$ 已殺死
- [[email protected] ~]#
4 案例4:系統日誌分析
4.1 問題
本例要求熟悉Linux系統中的常見日誌檔案,使用必要的命令工具完成下列任務:
- 列出所有包含關鍵詞8909的系統日誌訊息
- 檢視啟動時識別的滑鼠裝置資訊
- 列出最近2條成功/不成功的使用者登入訊息
- 列出最近10條重要程度在 ERR 及以上的日誌訊息
- 列出所有與服務httpd相關的訊息
- 列出前4個小時內新記錄的日誌
4.2 方案
常見的系統日誌及各自用途:
- /var/log/messages,記錄核心訊息、各種服務的公共訊息
- /var/log/dmesg,記錄系統啟動過程的各種訊息
- /var/log/cron,記錄與cron計劃任務相關的訊息
- /var/log/maillog,記錄郵件收發相關的訊息
- /var/log/secure,記錄與訪問限制相關的安全訊息
日誌訊息的優先順序(高-->低):
- EMERG(緊急):級別0,系統不可用的情況
- ALERT(警報):級別1,必須馬上採取措施的情況
- CRIT(嚴重):級別2,嚴重情形
- ERR(錯誤):級別3,出現錯誤
- WARNING(警告):級別4,值得警告的情形
- NOTICE(注意):級別5,普通但值得引起注意的事件
- INFO(資訊):級別6,一般資訊
- DEBUG(除錯):級別7,程式/服務除錯訊息
RHEL7提供的journalctl日誌工具的常見用法:
- journalctl | grep 關鍵詞
- journalctl -u 服務名 -p 優先順序
- journalctl -n 訊息條數
- journalctl --since="yyyy-mm-dd HH:MM:SS" --until="yyyy-mm-dd HH:MM:SS"
4.3 步驟
實現此案例需要按照如下步驟進行。
步驟一:分析系統日誌及使用者日誌
1)列出所有包含關鍵詞8909的系統日誌訊息
簡單模擬一個故障(SELinux阻止Web開放8909埠):
- [[email protected] ~]# vim /etc/httpd/conf.d/8909.conf //新增開8909埠配置
- Listen 8909
- [[email protected] ~]# setenforce 1 //開啟強制模式
- [[email protected] ~]# systemctl restart httpd //起服務失敗
- Job for httpd.service failed because the control process exited with error code. See "systemctl status httpd.service" and "journalctl -xe" for details.
從日誌檔案/var/log/messages中檢索資訊:
- [[email protected] ~]# grep 8909 /var/log/messages
- Jan 6 17:53:48 svr7 setroubleshoot: SELinux is preventing /usr/sbin/httpd from name_bind access on the tcp_socket port 8909. For complete SELinux messages. run sealert -l 6d37b8f0-ab8a-4082-9295-c784f4f57190
- Jan 6 17:53:48 svr7 python: SELinux is preventing /usr/sbin/httpd from name_bind access on the tcp_socket port 8909.#012#012***** Plugin bind_ports (92.2 confidence) suggests ************************#012#012If you want to allow /usr/sbin/httpd to bind to network port 8909#012Then you need to modify the port type.#012Do#012# semanage port -a -t PORT_TYPE -p tcp 8909#012 where PORT_TYPE is one of the following: http_cache_port_t, http_port_t, jboss_management_port_t, jboss_messaging_port_t, ntop_port_t, puppet_port_t.#012#012***** Plugin catchall_boolean (7.83 confidence) suggests ******************#012#012If you want to allow nis to enabled#012Then you must tell SELinux about this by enabling the 'nis_enabled' boolean.#012#012Do#012setsebool -P nis_enabled 1#012#012***** Plugin catchall (1.41 confidence) suggests **************************#012#012If you believe that httpd should be allowed name_bind access on the port 8909 tcp_socket by default.#012Then you should report this as a bug.#012You can generate a local policy module to allow this access.#012Do#012allow this access for now by executing:#012# grep httpd /var/log/audit/audit.log | audit2allow -M mypol#012# semodule -i mypol.pp#012
- .. ..
使用完畢記得刪除測試配置檔案:
- [[email protected] ~]# rm -rf /etc/httpd/conf.d/8909.conf
- [[email protected] ~]# systemctl restart httpd
2)檢視啟動時識別的滑鼠裝置資訊
- [[email protected] ~]# dmesg | grep -i mouse
- [ 1.020385] mousedev: PS/2 mouse device common for all mice
- [ 1.249422] input: ImPS/2 Generic Wheel Mouse as /devices/platform/i8042/serio1/input/input2
- [ 2.279665] usb 2-1: Product: VMware Virtual USB Mouse
- [ 2.603999] input: VMware VMware Virtual USB Mouse as /devices/pci0000:00/0000:00:11.0/0000:02:00.0/usb2/2-1/2-1:1.0/input/input3
- [ 2.604222] hid-generic 0003:0E0F:0003.0001: input,hidraw0: USB HID v1.10 Mouse [VMware VMware Virtual USB Mouse] on usb-0000:02:00.0-1/input0
3)列出最近2條成功/不成功的使用者登入訊息
檢視成功登入的事件訊息:
- [[email protected] ~]# last -2
- zhsan pts/2 192.168.4.207 Fri Jan 6 18:00 - 18:00 (00:00)
- root pts/2 192.168.4.110 Fri Jan 6 17:26 - 17:59 (00:33)
- wtmp begins Thu Aug 4 00:10:16 2016
檢視失敗登入的事件訊息:
- [[email protected] ~]# lastb -2
- anonymou ssh:notty 192.168.4.207 Fri Jan 6 18:00 - 18:00 (00:00)
- anonymou ssh:notty 192.168.4.207 Fri Jan 6 18:00 - 18:00 (00:00)
- btmp begins Fri Jan 6 18:00:34 2017
步驟二:使用journalctl日誌提取工具
1)列出最近10條重要程度在 ERR 及以上的日誌訊息
- [[email protected] ~]# journalctl -p err -n 10
- -- Logs begin at Thu 2017-01-05 15:50:08 CST, end at Fri 2017-01-06 18:01:01 CST. --
- Jan 06 14:56:57 svr7 setroubleshoot[23702]: SELinux is preventing /usr/sbin/vsftpd from getattr access on the file /rhel7/repodata/repomd.xml. For complete SELinux mes
- Jan 06 14:56:57 svr7 setroubleshoot[23702]: SELinux is preventing /usr/sbin/vsftpd from read access on the file repomd.xml. For complete SELinux messages. run sealert
- Jan 06 14:56:57 svr7 setroubleshoot[23702]: SELinux is preventing /usr/sbin/vsftpd from read access on the file repomd.xml. For complete SELinux messages. run sealert
- Jan 06 14:56:57 svr7 setroubleshoot[23702]: SELinux is preventing /usr/sbin/vsftpd from lock access on the file /rhel7/repodata/repomd.xml. For complete SELinux messag
- Jan 06 17:53:48 svr7 setroubleshoot[33743]: Plugin Exception restorecon_source
- Jan 06 17:53:48 svr7 setroubleshoot[33743]: SELinux is preventing /usr/sbin/httpd from name_bind access on the tcp_socket port 8909. For complete SELinux messages. run
- Jan 06 17:53:53 svr7 setroubleshoot[33743]: SELinux is preventing /usr/sbin/httpd from name_connect access on the tcp_socket port 8909. For complete SELinux messages.
- Jan 06 17:53:54 svr7 systemd[1]: Failed to start The Apache HTTP Server.
- .. ..
- lines 1-11/11 (END)
2)列出所有與服務httpd相關的訊息
- [[email protected] ~]# journalctl -u httpd
- -- Logs begin at Thu 2017-01-05 15:50:08 CST, end at Fri 2017-01-06 18:01:01 CST. --
- Jan 06 14:57:16 svr7 systemd[1]: Starting The Apache HTTP Server...
- Jan 06 14:57:16 svr7 httpd[23812]: AH00557: httpd: apr_sockaddr_info_get() failed for svr7
- Jan 06 14:57:16 svr7 httpd[23812]: AH00558: httpd: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1. Set the 'ServerName' directi
- Jan 06 14:57:16 svr7 systemd[1]: Started The Apache HTTP Server.
- Jan 06 17:53:44 svr7 systemd[1]: Stopping The Apache HTTP Server...
- Jan 06 17:53:46 svr7 systemd[1]: Starting The Apache HTTP Server...
- Jan 06 17:53:46 svr7 httpd[33741]: AH00557: httpd: apr_sockaddr_info_get() failed for svr7
- .. ..
3)列出前4個小時內新記錄的日誌
根據當前日期時間往前推4個小時,確定--since起始和--until結束時刻:
- [[email protected] ~]# journalctl --since "2017-01-06 14:11" --until "2017-01-06 18:11"
- -- Logs begin at Thu 2017-01-05 15:50:08 CST, end at Fri 2017-01-06 18:10:01 CST. --
- Jan 06 14:20:01 svr7 systemd[1]: Started Session 160 of user root.
- Jan 06 14:20:01 svr7 CROND[22869]: (root) CMD (/usr/lib64/sa/sa1 1 1)
- Jan 06 14:20:01 svr7 systemd[1]: Starting Session 160 of user root.
- Jan 06 14:30:01 svr7 systemd[1]: Started Session 161 of user root.
- Jan 06 14:30:01 svr7 CROND[23028]: (root) CMD (/usr/lib64/sa/sa1 1 1)
- Jan 06 14:31:39 svr7 systemd[1]: Starting Session 162 of user root.
- Jan 06 14:32:17 svr7 sshd[23046]: pam_unix(sshd:session): session closed for user root
- Jan 06 14:31:39 svr7 systemd[1]: Started Session 162 of user root.
- Jan 06 14:31:39 svr7 sshd[23046]: pam_unix(sshd:session): session opened for user root by (uid=0)
- Jan 06 14:31:39 svr7 systemd-logind[985]: New session 162 of user root.
- .. .