一.inode号
1.inode表结构
元信息:每个文件的属性信息,比如:文件的大小,时间,类型,权限等,称为文件的元数据(meta data 元信息 )
元数据是存放在inode(index node)表中。inode 表中有很多条记录组成,第一条记录对应的存放了一个文件的元数据信息。
每一个inode表记录对应的保存了以下信息:
-
inode number 节点号
-
文件类型
-
权限
-
UID
-
GID
-
链接数(指向这个文件名路径名称个数)
-
该文件的大小和不同的时间戳
-
指向磁盘上文件的数据块指针
-
有关文件的其他数据
inode 是有限资源,如果消耗完毕,无法继续新建文件 解决方法:删除空文件,无用的文件
inode 号在同一设备中是唯一的
在不同设备中inode号是可以相同的
2.如何查看inode号
ls -i
stat
atime:访问文件时间,需要打开文件时间才会变化
mtime:最近更改时间,文件内容发生改变,时间才会变化
ctime:最近改动时间,文件的元信息发生改变,时间才会改动 属主 属组 大小
1.文件是存储在硬盘上的,硬盘的最小存储单位叫做“扇区”(sector),每个扇区存储512字节。
2.一般连续八个扇区组成一个"块”(block),一个块是4K大小,是文件存取的最小单位。操作系统读取硬盘的时候,是一次性连续读取多个扇区,即一个块一个块的读取的。4k一读,8个扇区一读
3.文件数据包括实际数据与元信息(类似文件属性)。文件数据存储在“块"中,存储文件元信息(比如文件的创建者、创建日期、文件大小、文件权限等)的区域就叫做inode表。 因此,一个文件必须占用一个inode,并且至少占用一个block。du 显示
4.inode不包含文件名。文件名是存放在目录文件夹当中的。Linux 系统中一切皆文件,因此目录也是一种文件。
5.每个inode都有一个号码,操作系统用inode号码来识别不同的文件。Linux系统内部不使用文件名,而使用inode号码来识别文件。对于系统来说,文件名只是inode号码便于识别的别称,文件名和inode号码是一一对应关系,每个inode号码对应一个或多个文件名。
唯一 同一文件系统() 不同的文件
6.所以,当用户在Linux系统中试图访问一个文件时,系统会先根据文件名去查找它对应的inode号码:通过inode号码,获取inode信息;根据inode信息,看该用户是否具有访问这个文件的权限;如果有,就指向相对应的数据block,并读取数据。
硬盘上最小的存储单位为扇区(512字节)
文件存储的最小单位为块8个扇区组成为4k
目录文件的结构非常简单,就是一系列目录项(dirent)的列表。每个目录项,由两部分组成:所包含文件的文件名,以及该文件名对应的inode号码。
3.inode 的大小
inode 消耗磁盘空间
1.每个inode的大小
2.一般是128字节或256字节
格式化文件系统时确定inode的总数
使用df -i 命令可以查看每个硬盘分区的inode总数和已经使用的数量
示例:
4.inode的特殊作用
由于inode号码与文件名分离,导致一些Unix/Linux系统具有一下的现象
(1)当文件名包含特殊字符,可能无法正常删除文件,直接删除inode ,也可以删除文件
(2)移动或重命名文件时,只改变文件名,不影响inode号码
(3)打开一个文件后,系统通过inode号码来识别该文件,不再考虑文件名
二.日志
1.日志的介绍
内核及系统日志由系统服务 rsyslog 统一管理,根据其主配置文件 /etc/rsyslog.conf
Linux 操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/log/下
2.日志的功能
(1)用于记录系统,程序运行中发生的各种事件
(2)通过阅读日志,有助于诊断和解决系统故障
3.常见的一些日志文件
| 日志文件位置 | 日志文件说明 |
|---|---|
| /var/log/messages内核和公共日志 | 它是核心系统日志文件,其中包含了系统启动时的引导信息,以及系统运行时的其他状态消息。I/O 错误、网络错误和其他系统错误都会记录到此文件中。其他信息,比如某个人的身份切换为 root,已及用户自定义安装软件的日志,也会在这里列出。 |
| /var/log/cron 计划任务日志 | 记录与系统定时任务相关的曰志 |
| /var/log/dmesg 系统引导日志 | 记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息 |
| /var/log/maillog 邮件日志 | 记录邮件信息的曰志 |
| 用户日志 | |
| /var/log/lastlog | 记录系统中所有用户最后一次的登录时间的曰志。这个文件也是二进制文件.不能直接用Vi 查看。而要使用lastlog命令查看 |
| /var/log/secure | 记录验证和授权方面的倍息,只要涉及账户和密码的程序都会记录,比如系统的登录、ssh的登录、su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中 |
| /var/log/wtmp | 永久记录所有用户的登陆、注销信息,同时记录系统的启动、重启、关机事件。同样,这个文件也是二进制文件.不能直接用Vi查看,而要使用last命令查看 |
| /var/tun/ulmp | 记录当前已经登录的用户的信息。这个文件会随着用户的登录和注销而不断变化,只记录当前登录用户的信息。同样,这个文件不能直接用Vi查看,而要使用w、who、users等命令查看 |
日志 作用 命令
btmp 查看登录失败的用户 lastb
lastlog 查看最后一次登录情况 lastlog
wtmp 用户成功登录的日志 last
日志文件的格式包含以下 4 列:
-
事件产生的时间。
-
产生事件的服务器的主机名。
-
产生事件的服务名或程序名。
-
事件的具体信息。
4.日志的级别
在 Linux 内核中,根据日志消息的重要程度不同,将其分为不同 的优先级别(数字等级越小,优先级越高,消息越重要)。
| 级号 | 消息 | 级别 | 说明 |
| 0 | EMERG | 紧急 | 会导致主机系统不可用的情况 |
| 1 | ALERT | 警告 | 必须马上采取措施解决的问题 |
| 2 | CRIT | 严重 | 比较严重的情况 |
| 3 | ERR | 错误 | 运行出现错误 |
| 4 | WARNING | 提醒 | 可能影响系统功能,需要提醒用户的重要事件 |
| 5 | NOTICE | 注意 | 不会影响正常功能,但是需要注意的事件 |
| 6 | INFO | 信息 | 一般信息 |
| 7 | DEBUG | 调试 | 程序或系统调试信息等 |
5.日志的实际案例
系统安全日志
文件位置:/var/log/secure
文件格式:文本文件
示例:登录失败的信息
远程登录192.168.240.11
使用 lastb 命令查询 登录失败的日志
6.rsyslog配置文件
/etc/rsyslog.conf配置文件格式由三部分组成
(1)MODULES:相关模块配置
(2)GLOBAL DIRECTIVES:全局配置
(3)RULES:日志记录相关的规划配置
RULES配置格式:
facility.priority;
#分类 日志的级别*:所有级别
none:没有级别,即不记录
PRIORITY:指定级别(含以上的所有级别)
=PRIORITY:仅记录指定级别的日志信息文件路径:通常在/var/log/,文件路径前的 “-”表示异步写入
异步写入:内存中记录一段时间后再存入磁盘用户:将日志事件通知给指定用户,* 表示所有用户
日志服务器:@host,把日志送往至指定的远程UDP日志服务器 @@host 将日志发送到远程TCP日志服务器
管道:| COMMAND,转发给其他命令处理
7.实验
1.生成独立的日志文件
ssh是远程登陆的程序,软件默认的日志在 /var/log/secure ,利用rsyslog程序给ssh生成独立的日志文件,ssh配置文件/etc/ssh/sshd_config
(1)进入ssh配置文件和rsyslog配置文件并进行修改
(2)重新启动修改过的程序,并使用另一台机器远程连接
(3)使用tail -f 命令实时查看可以看到zxy12远程登录的信息
2.搭建日志服务器
(1)进入到rsyslog 配置文件修改
(2)在messages增加一条,路径为c7-12的ip地址
(3)将程序重新启动,实时查看/var/log/messages 并模拟生成日志文件
![[BT]BUUCTF刷题第20天(4.22)](https://img-blog.csdnimg.cn/direct/9c1d6a5066594a6491083345ec98b2a5.png)
