操作系统的文件数据除了实际内容之外,通常含有非常多的属性,例如 Linux 操作系统的文件权限(rwx)与文件属性(所有者、群组、时间参数等)。文件系统通常会将这两部分内容分别存放在 inode 和 block 中。
inode 包含很多的文件元信息,但不包含文件名,例如:
文件的字节数文件拥有者的 UserID文件的 GroupID文件的读、写、执行权限文件的时间戳…等使用stat命令可以查看i节点信息
格式:stat 文件名
[root@localhost ~]# stat anaconda-ks.cfg File: ‘anaconda-ks.cfg’ Size: 2055 Blocks: 8 IO Block: 4096 regular file Device: fd00h/64768d Inode: 268622926 Links: 1 Access: (0600/-rw-------) Uid: ( 0/ root) Gid: ( 0/ root) Context: system_u:object_r:admin_home_t:s0 Access: 2020-10-14 06:28:47.431000204 +0800 Modify: 2020-10-14 04:20:07.194169820 +0800 Change: 2020-10-14 04:20:07.194169820 +0800 Birth: - [root@localhost ~]# stat 1.txt File: ‘1.txt’ Size: 166 Blocks: 8 IO Block: 4096 regular file Device: fd00h/64768d Inode: 275808756 Links: 1 Access: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 0/ root) Context: unconfined_u:object_r:admin_home_t:s0 Access: 2020-10-16 08:15:30.559079990 +0800 Modify: 2020-10-16 08:15:29.286079963 +0800 Change: 2020-10-16 08:15:29.286079963 +0800 Birth: -Linux 系统文件有三个主要的时间属性,分别是ctime(change time), atime(access time), mtime(modify time)。
ctime(change time) 是最后一次改变文件或目录(属性)的时间,例如执行 chmod, chown 等命令;atime(access time)是最后一次访问文件或目录的时间;mtime(modify time)是最后一次修改文件或目录(内容)的时间。 在Linux系统中一切皆文件,目录也是一种文件每个 inode 都有一个号码,操作系统用 inode 号码来识别不同的文件Linux 系统内部不使用文件名,而使用 inode 号码来识别文件。对于用户来说,文件名只是 inode 号码便于识别的别称。用户在访问文件时,表面上是用户通过文件名来打开文件,而实际系统内部的过程分成 以下三步:
系统找到这个文件名对应的 inode 号码;通过 inode 号码,获取 inode 信息;根据 inode 信息,找到文件数据所在的 block,并读出数据。常见的查看 inode 号码的方式有两种:ls -i 命令:直接查看文件名所对应的 inode 号码;stat 命令:通过查看文件 inode 信息而查看到 inode 号码。 [root@localhost ~]# ls -i ##查看当前位置文件对应的i节点号 275808756 1.txt 75343 Downloads 275510632 mysql.sh 275808759 2.txt 268746645 httpd-2.4.29.tar.bz2 268872132 php-7.1.10.tar.bz2 268622926 anaconda-ks.cfg 275809029 http.sh 275809024 php.sh 268872129 apr-1.6.2.tar.gz 268746634 initial-setup-ks.cfg 134263659 Pictures 268622931 apr-util-1.6.0.tar.gz 75344 Music 270993751 Public 409714608 backup 275809032 mysqla 268622936 smb.sh 404444892 Desktop 268872131 mysql-boost-5.7.20.tar.gz 134263658 Templates 404444898 Documents 275809025 mysqle 270993752 Videos当用户在 Linux 系统中试图访问一个文件时,系统会先根据文件名去查找它对应的 inode,看该用户是否具有访问这个文件的权限。如果有,就指向相对应的数据 block, 如果没有,就返回 Permission denied。
inode 号码与文件名分离,导致一些 Unix/Linux 系统具备以下几种特有的现象。
文件名包含特殊字符,可能无法正常删除。这时直接删除 inode,能够起到删除文件的作用;移动文件或重命名文件,只是改变文件名,不影响 inode 号码;打开一个文件以后,系统就以 inode 号码来识别这个文件,不再考虑文件名。这种情况使得软件更新变得简单,可以在不关闭软件的情况下进行更新,不需要重启。 因为系统通过 inode 号码,识别运行中的文件,不通过文件名。更新的时候,新版文件以同样的文件名,生成一个新的 inode,不会影响到运行中的文件。等到下一次运行这个软件的时候,文件名就自动指向新版文件,旧版文件的 inode 则被回收。
在 Linux 系统下的链接文件有两种:
软链接:类似于 Windows 的快捷方式功能的文件,可以快速连接到目标文件或目录。硬链接:通过文件系统的 inode 链接来产生的新文件名,而不是产生新文件,。一般情况下,文件名和 inode 号码是一一对应关系,每个 inode 号码对应一个文件名。但是 Linux 系统允许多个文件名指向同一个 inode 号码。这意味着,可以用不同的文件名访问同样的内容。ln 命令可以创建硬链接
格式:ln 源文件 目标
[root@localhost ~]# cat abc is me [root@localhost ~]# ln abc bcd ##创建硬链接 [root@localhost ~]# cat bcd is me [root@localhost ~]# ls -i abc bcd ##两个文件索引inode相同 275506682 abc 275506682 bcd [root@localhost ~]# rm -rf abc ##删除源文件 [root@localhost ~]# cat bcd ##硬链接文件不受影响 is me建立硬链接,源文件与目标文件的 inode 号码相同,都指向同一个 inode。inode信息中的“链接数”这时就会增加 1
[root@localhost ~]# stat abc ##查看abc文件的i节点 File: ‘abc’ Size: 6 Blocks: 8 IO Block: 4096 regular file Device: fd00h/64768d Inode: 275506682 Links: 2 ##建立了硬链接会显示2 Access: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 0/ root)格式 :ln -s 源文件或目录 目标文件或目录
删除一个文件,实际上并不清除 inode 节点和 block 的数据,只是在这个文件的父目录里面的 block 中,删除这个文件的名字。Linux 是通过 Link 的数量来控制文件删除的,只有当一个文件不存在任何 Link 的时候,这个文件才会被删除。
针对 Linux 下的 EXT 文件系统,可用的恢复工具有 debugfs、ext3grep、extundelete 等。其中 extundelete 是一个开源的 Linux 数据恢复工具,支持 ext3、ext4 文件系统。注意:在数据被误删除后,第一时间要做的就是卸载被删除数据所在的分区,如果是根分区的 数据遭到误删,就需要将系统进入单用户模式,并且将根分区以只读模式挂载。这样做的原 因很简单,因为将文件删除后,仅仅是将文件的 inode 节点中的扇区指针清零,实际文件还存储在磁盘上,如果磁盘继续以读写模式挂载,这些已删除的文件的数据块就可能被操作系统重新分配出去,在这些数据库被新的数据覆盖后,这些数据就真的丢失了,恢复工具也回 天无力。所以以只读模式挂载磁盘可以尽量降低数据库中数据被覆盖的风险,以提高恢复数 据成功的比例。
(1)使用 fdisk 命令创建新分区,将其挂载到/tmp 目录下,往该目录下新建一些文件或目录。
[root@localhost ~]# fdisk -l ...... //省略部分内容 Disk /dev/sdb: 21.5 GB, 21474836480 bytes, 41943040 sectors Units = sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes ...... //省略部分内容[root@localhost ~]# fdisk /dev/sdb ...... //省略部分内容Command (m for help): n Partition type: p primary (0 primary, 0 extended, 4 free) e extended Select (default p): p Partition number (1-4, default 1): First sector (2048-41943039, default 2048): Using default value 2048 Last sector, +sectors or +size{K,M,G} (2048-41943039, default 41943039): Using default value 41943039 Partition 1 of type Linux and of size 20 GiB is set Command (m for help): p Disk /dev/sdb: 21.5 GB, 21474836480 bytes, 41943040 sectors Units = sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Disk label type: dos Disk identifier: 0x30e29e0f Device Boot Start End Blocks Id System /dev/sdb1 2048 41943039 20970496 83 Linux Command (m for help): w The partition table has been altered! Calling ioctl() to re-read partition table. Syncing disks. [root@localhost ~]# partprobe /dev/sdb [root@localhost ~]# mkfs.ext3 /dev/sdb1 mke2fs 1.42.9 (28-Dec-2013) Filesystem label= OS type: Linux Block size=4096 (log=2) ...... //省略部分内容Allocating group tables: done Writing inode tables: done Creating journal (32768 blocks): done Writing superblocks and filesystem accounting information: done [root@localhost ~]# mkdir /test/ [root@localhost ~]# mount /dev/sdb1 /test/ [root@localhost ~]# cd /test/ [root@localhost test]# echo a>a [root@localhost test]# echo a>b [root@localhost test]# echo a>c [root@localhost test]# echo a>d [root@localhost test]# ls a b c d lost+found 执行完命令‘extundelete /dev/sdb1”后输入”y“即可查看该文件系统的使用情况。或者使用“extundelete /dev/sdb1 --inode 2”查看文件系统/dev/sdb1 下存在哪些文件, 具体的使用情况。其中–inode 2 代表从 i 节点为 2 的文件开始查看,一般文件系统格式化挂载之后,i 节点是从 2 开始的,2 代表该文件系统最开始的目录。(2)模拟误操作并恢复
删除/tmp/下的 a 文件和 b 文件,当出现误操作时,立刻卸载该文件系统,然后使用“extundelete /dev/sdb1 --restore-all"恢复/dev/sdb1 文件系统下的所有内容
[root@localhost test]# rm -rf a b [root@localhost test]# ls c d lost+found [root@localhost test]# cd [root@localhost ~]# umount /test/ [root@localhost ~]# extundelete /dev/sdb1 --restore-all NOTICE: Extended attributes are not restored. Loading filesystem metadata ... 160 groups loaded. Loading journal descriptors ... 26 descriptors loaded. Searching for recoverable inodes in directory / ... 2 recoverable inodes found. Looking through the directory structure for deleted files ... 0 recoverable inodes still lost.数据恢复后,会在当前目录下会出现一个/RECOVERED_FILES/目录,里面保 存了已经恢复的文件。
[root@localhost ~]# ls anaconda-ks.cfg extundelete-0.2.4 extundelete-0.2.4.tar.bz2 RECOVERED_FILES [root@localhost ~]# cd RECOVERED_FILES/ [root@localhost RECOVERED_FILES]# ls a b针对 xfs 文件系统目前也没有比较成熟的文件恢复工具,所以建议提前做好数据备份,以避免数据丢失。xfs 类型的文件可使用 xfsdump 与 xfsrestore 工具进行备份恢复
xfsdump 按照inode 顺序备份一个 xfs 文件系统。xfsdump 的备份级别有两种:0 表示完全备份;1-9 表示增量备份。xfsdump 的备份级别默认为 0命令格式为:xfsdump -f 备份存放位置
常用的备份参数包括以下几种:
参数含义-f指定备份文件目录;-L指定标签 session label;-M指定设备标签 media label;-s备份单个文件,-s 后面不能直接跟路径。1. 首先添加一款新硬盘并格式化为 xfs 类型的文件系统,然后挂在到/date 目录下。
[root@localhost ~]# fdisk /dev/sdb ...... //省略部分内容Command (m for help): n Partition type: p primary (0 primary, 0 extended, 4 free) e extended Select (default p): p Partition number (1-4, default 1): First sector (2048-41943039, default 2048): Using default value 2048 Last sector, +sectors or +size{K,M,G} (2048-41943039, default 41943039): Using default value 41943039 Partition 1 of type Linux and of size 20 GiB is set Command (m for help): p Disk /dev/sdb: 21.5 GB, 21474836480 bytes, 41943040 sectors Units = sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Disk label type: dos Disk identifier: 0x30e29e0f Device Boot Start End Blocks Id System /dev/sdb1 2048 41943039 20970496 83 Linux Command (m for help): w The partition table has been altered! Calling ioctl() to re-read partition table. Syncing disks. [root@localhost ~]# partprobe /dev/sdb [root@localhost ~]# mkfs.xfs /dev/sdb1 meta-data=/dev/sdb1 isize=512 agcount=4, agsize=1310656 blks = sectsz=512 attr=2, projid32bit=1 = crc=1 finobt=0, sparse=0 data = bsize=4096 blocks=5242624, imaxpct=25 = sunit=0 swidth=0 blks naming =version 2 bsize=4096 ascii-ci=0 ftype=1 log =internal log bsize=4096 blocks=2560, version=2 = sectsz=512 sunit=0 blks, lazy-count=1 realtime =none extsz=4096 blocks=0, rtextents=0 [root@localhost ~]# mkdir /date [root@localhost ~]# mount /dev/sdb1 /date/2. 准备测试文件。
[root@localhost ~]# cd /date [root@localhost date]# cp /etc/passwd ./ [root@localhost date]# mkdir test [root@localhost date]# touch test/a [root@localhost date]# tree /date /date ├── passwd └── test └── a 1 directory, 2 files3. 使用 xfsdump 命令备份整个分区。
[root@localhost ~]# xfsdump -f /opt/dump_sdb1 /dev/sdb1 xfsdump: using file dump (drive_simple) strategy xfsdump: version 3.1.7 (dump format 3.0) - type ^C for status and control ============================= dump label dialog ============================== please enter label for this dump session (timeout in 300 sec) -> dump_sdb1 //指定备份会话标签 session label entered: "dump_sdb1" ……省略部分 ============================= media label dialog ============================= please enter label for media in drive 0 (timeout in 300 sec) -> sdb1 //指定设备标签,就是对要备份的设备做一个描述 media label entered: "sdb1" [root@localhost ~]# xfsdump -I //查看备份信息与内容4. 删除之前创建的内容,模拟数据丢失。
[root@localhost ~]# cd /date/ [root@localhost date]# ls passwd test [root@localhost date]# rm -rf ./* [root@localhost date]# ls [root@localhost date]#5. 使用 xfsrestore 命令恢复文件。
xfsrestore 命令的语法为:xfsrestore -f 恢复文件的位置 存放恢复后文件的路径。
[root@localhost ~]# xfsrestore -f /opt/dump_sdb1 /date/ ...... // 省 略 部 分 内 容 xfsrestore: Restore Status: SUCCESS [root@localhost ~]# ls /date/ passwd test6. 使用 xfsdump 时,需要注意以下的几个限制:
xfsdump 不支持没有挂载的文件系统备份,所以只能备份已挂载的;
xfsdump 必须使用 root 的权限才能操作(涉及文件系统的关系);
xfsdump 只能备份 XFS 文件系统;
xfsdump 备份下来的数据(档案或储存媒体)只能让 xfsrestore 解析;
xfsdump 是透过文件系统的 UUID 来分辨各个备份档的,因此不能备份两个具有相同UUID 的文件系统。
在 Linux 操作系统中,日志数据主要包括以下三种类型。
内核及系统日志:这种日志数据由系统服务 rsyslog 统一管理,根据其主配置文件/etc/rsyslog.conf 中的设置决定将内核消息及各种系统程序消息记录到什么位置。 系统中有相当一部分程序会把自己的日志文件交由 rsyslog 管理,因而这些程序使用的日志记录也具有相似的格式。用户日志:这种日志数据用于记录 Linux 操作系统用户登录及退出系统的相关信息, 包括用户名、登录的终端、登录时间、来源主机、正在使用的进程操作等。程序日志:有些应用程序会选择由自己独立管理一份日志文件(而不是交给 rsyslog 服务管理),用于记录本程序运行过程中的各种事件信息。 由于这些程序只负责管理自己的日志文件,因此不同程序所使用的日志记录格式可能会存在较大的差异。下面介绍常见的一些日志文件:
/var/log/messages:记录 Linux 内核消息及各种应用程序的公共日志信息,包括启动、I/0 错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务,一般都可以从该日 志文件中获得相关的事件记录信息。/var/log/cron:记录 crond 计划任务产生的事件信息。/var/log/dmesg:记录 Linux 操作系统在引导过程中的各种事件信息。/var/log/maillog:记录进入或发出系统的电子邮件活动。/var/log/lastlog:记录每个用户最近的登录事件。/var/log/secure:记录用户认证相关的安全事件信息。/var/log/wtmp:记录每个用户登录、注销及系统启动和停机事件。/var/log/btmp:记录失败的、错误的登录尝试及验证事件。示例[root@localhost ~]# grep -v “^$” /etc/rsyslog.conf //过滤掉空行
从配置文件/etc/rsyslog.conf 中可以看到,受 rsyslogd 服务管理的日志文件都是 Linux 操作系统中主要的日志文件,它们记录了 Linux 操作系统中内核、用户认证、电子邮件、计划任务等基本的系统消息。 在 Linux 内核中,根据日志消息的重要程度不同,将其分为不同的优先级别(数字等级越小,优先级越高,消息越重要)。
0EMERG(紧急):会导致主机系统不可用的情况。1ALERT(警告):必须马上采取措施解决的问题。2CRIT(严重):比较严重的情况。3ERR(错误):运行出现错误。4WARNING(提醒):可能影响系统功能,需要提醒用户的重要事件。5NOTICE(注意):不会影响正常功能,但是需要注意的事件。6INFO(信息):一般信息。7DEBUG(调试):程序或系统调试信息等。内核及大多数系统消息被记录到公共日志文件/var/log/messages 中,而其他一些程序消息被记录到各自独立的日志文件中,此外日志消息还能够记录到特定的存储设备中,或者直接发送给指定用户。
查看/var/log/messages 文件的内容如下:
[root@localhost ~]# more /var/log/messages May 7 09:35:46 localhost dhclient[923]: DHCPREQUEST on ens33 to 192.168.12.254 port 67 (xid=0x4f7f013a) May 7 09:35:46 localhost dhclient[923]: DHCPACK from 192.168.12.254 (xid=0x4f7f013a) May 7 09:35:46 localhost NetworkManager[819]: <info> [1494164146.8289] dhcp4 (ens33): …… //省略部分内容对于 rsyslog 服务统一管理的大部分日志文件,使用的日志记录格式基本上是相同的。
以公共日志/var/log/messages 文件的记录格式为例,其中每一行表示一条日志消息,每一条消息均包括以下四个字段。
时间标签:消息发出的日期和时间。主机名:生成消息的计算机的名称。子系统名称:发出消息的应用程序的名称。消息:消息的具体内容。有些情况下,可以设置 rsyslog,使其在把日志信息记录到文件的同时将日志信息发送到打印机进行打印,这样无论网络入侵者怎样修改日志都不能清除入侵的痕迹。 rsyslog 日志服务是一个常会被攻击的显著目标,破坏了它将使管理员难以发现入侵及入侵的痕迹, 因此要特别注意监控其守护进程及配置文件。
在 wtmp、btmp、lastlog 等日志文件中,保存了系统用户登录、退出等相关的事件消息。 但是这些文件都是二进制的数据文件,不能直接使用 tail、less 等文本查看工具进行浏览, 需要使用 who、w、users、last 和 lastb 等用户查询命令来获取日志信息。 (1)查询当前登录的用户情况——users、who、w 命令
users 命令只是简单地输出当前登录的用户名称,每个显示的用户名对应一个登录会话。 示例:
[root@localhost ~]# users root root root //root 用户打开三个终端who 命令用于报告当前登录到系统中的每个用户的信息。使用该命令,系统管理员可以查看当前系统存在哪些不合法用户,从而对其进行审计和处理。 who 的默认输出包括用户名、终端类型、登录日期及远程主机。 示例:
[root@localhost ~]# who root :0 2017-05-07 10:27 (:0) root pts/1 2017-05-07 10:27 (:0) root pts/2 2017-05-07 10:28 (192.168.12.1)w 命令用于显示当前系统中的每个用户及其所运行的进程信息,比 users、who 命令的输出内容要丰富一些。 示例:
[root@localhost ~]# w 11:48:26 up 1:32, 3 users, load average: 0.03, 0.02, 0.05 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT root :0 :0 10:27 ?xdm? 51.22s 0.27s gdm-session-worker(2)查询用户登录的历史记录——last、lastb 命令
last 命令用于查询成功登录到系统的用户记录,最近的登录情况将显示在最前面。通过last 命令可以及时掌握 Linux 主机的登录情况,若发现未经授权的用户登录过,则表示当前主机可能已被入侵。 示例:
[root@localhost ~]# last root pts/0 192.168.12.1 Sun May 7 11:11 - 11:46 (00:34) root pts/2 192.168.12.1 Sun May 7 10:28 still logged in hackli tty2 Sun May 7 10:27 - 10:29 (00:01) root pts/1 :0 Sun May 7 10:27 still logged in root :0 :0 Sun May 7 10:27 still logged in …… //省略部分内容lastb 命令用于查询登录失败的用户记录,如登录的用户名错误、密码不正确等情况都将记录在案。 登录失败的情况属于安全事件,因为这表示可能有人在尝试猜解你的密码。 除了使用 lastb 命令查看以外,也可以直接从安全日志文件/var/log/secure 中获得相关信息。
示例:
[root@localhost ~]# lastb teacher tty3 Sun May 7 09:51 - 09:51 (00:00) root tty3 Sun May 7 09:51 - 09:51 (00:00) teacher tty3 Sun May 7 09:51 - 09:51 (00:00)或者
[root@localhost ~]# tail /var/log/secure ##查看在 Linux 操作系统中,还有相当一部分应用程序没有使用 rsyslog 服务来管理日志,而是由程序自己维护日志记录。 例如,httpd 网站服务程序使用两个日志文件 access_log 和error_log 分别记录客户访问事件和错误事件。
在检查这些日志时,要注意是否有不合常理的时间或操作记录。例如,出现以下现象就应多加注意。
用户在非常规的时间登录,或者用户登录系统的 IP 地址和以往的不一样。用户登录失败的日志记录,尤其是那些一再连续尝试进入失败的日志记录。非法使用或不正当使用超级用户权限。无故或者非法重新启动各项网络服务的记录。不正常的日志记录,如日志残缺不全,或者是诸如 wtmp 这样的日志文件无故缺少了中间的记录文件。