【新支点课堂】明明白白你的Linux服务器——日志篇
摘要:对于一个Linux的系统管理员来说,系统日志可谓是相当重要,因为你可以从日志中看到系统做的任何一件事情。熟练的掌握系统日志是一个网管员必不可少的技能。
小编按:日志对于安全来说,非常重要,它记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。日志主要的功能有:审计和监测。他还可以实时的监测系统状态,监测和追踪侵入者等等。正因为如此,小编特地将它整理成一篇比重跟硬件篇、网络篇并列的文章,作为《明明白白你的Linux服务器》系列的第三篇,希望大家能从中学习到对自己有用的东西
一、配置syslog
目前,linux依旧使用syslogd作为日志监控进程,对其进行必要的配置能减少很多麻烦,并且可更有效的从系统日志监控到系统的状态。理解并完善一个syslog的配置,对于系统管理员来说显得尤为重要。
/etc/syslog.conf根据如下的格式定义规则:facility.level action
设备.优先级动作facility.level 字段也被称为seletor(选择条件),选择条件和动作之间用空格或tab分割开。
#号开头的是注释,空白行会自动跳过。
1、facility
facility定义日志消息的范围,其可使用的key有:auth -由pam_pwdb 报告的认证活动。
authpriv -包括特权信息如用户名在内的认证活动
cron -与cron 和at 有关的计划任务信息。
daemon -与inetd 守护进程有关的后台进程信息。
kern -内核信息,首先通过klogd 传递。
lpr -与打印服务有关的信息。
mail -与电子邮件有关的信息
mark - syslog内部功能用于生成时间戳
news -来自新闻服务器的信息
syslog -由syslog 生成的信息
user -由用户程序生成的信息
uucp -由uucp 生成的信息
local0-local7 -与自定义程序使用
* 通配符代表除了mark 以外的所有功能除mark为内部使用外,还有security为一个旧的key定义,等同于auth,已经不再建议使用。
2、level级别
level定义消息的紧急程度。按严重程度由高到低顺序排列为:emerg -该系统不可用,等同panic
alert -需要立即被修改的条件
crit -阻止某些工具或子系统功能实现的错误条件
err -阻止工具或某些子系统部分功能实现的错误条件,等同error
warning -预警信息,等同warn
notice -具有重要性的普通条件
info -提供信息的消息
debug -不包含函数条件或问题的其他信息
none -没有重要级,通常用于排错
* 所有级别,除了none其中,panic、error、warn均为旧的标识符,不再建议使用。
在定义level级别的时候,需要注意两点:1)优先级是由应用程序在编程的时候已经决定的,除非修改源码再编译,否则不能改变消息的优先级;
低的优先级包含高优先级,例如,为某个应用程序定义info的日志导向,则涵盖notice、warning、err、crit、alert、emerg等消息。(除非使用=号定义)
3、selector选择条件
通过小数点符号“.”把facility和level连接在一起则成为selector(选择条件)。
可以使用分号“;”同时定义多个选择条件。也支持三个修饰符:* - 所有日志信息
= - 等于,即仅包含本优先级的日志信息
! - 不等于,本优先级日志信息除外
4、action动作
由前面选择条件定义的日志信息,可执行下面的动作:file-指定日志文件的绝对路径
terminal 或print -发送到串行或并行设备标志符,例如/dev/ttyS2
@host -远程的日志服务器
username -发送信息本机的指定用户信息窗口中,但该用户必须已经登陆到系统中
named pipe -发送到预先使用mkfifo 命令来创建的FIFO 文件的绝对路径※注意,不能通过
“|/var/xxx.sh”方式导向日志到其他脚本中处理。
5、举例
例如:*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages
#把除邮件、新闻组、授权信息、计划任务等外的所有通知性消息都写入messages文件中。
mail,news.=info /var/adm/info
#把邮件、新闻组中仅通知性消息写入info文件,其他信息不写入。
mail.*;mail.!=info /var/adm/mail
#把邮件的除通知性消息外都写入mail文件中。
mail.=info /dev/tty12
#仅把邮件的通知性消息发送到tty12终端设备
*.alert root,joey
#如果root和joey用户已经登陆到系统,则把所有紧急信息通知他们
*.* @finlandia
#把所有信息都导向到finlandia主机(通过/etc/hosts或dns解析其IP地址)※注意:每条消息均会经过所有规则的,并不是唯一匹配的。
也就是说,假设mail.=info信息通过上面范例中定义的规则时,/var/adm/info、/var/adm/mail、/dev/tty12,甚至finalandia主机都会收到相同的信息。这样看上去比较烦琐,但可以带来的好处就是保证了信息的完整性,可供不同地方进行分析。
二、messages日志
首先说下我们最关注的系统/var/log/messages,这东东不仅是咱们服务器的系统日志,很多时候它也做了许多服务的日志,这也是它被称为杂货铺的原因,值得重点关注,大家一般都喜欢用以下命令看最后十条日志
tail -n10 /var/log/messages
其实还可以将一段日志保存成文件,正用练下自己的awk、sed和grep水平;或者直接用vim来查看,这也是算是一种经验之谈吧。我以前配置bind的主从复制,有时因为权限的原因报错;这时可以在一台报错的服务器上用命令tail -f /var/log/messages实时查看服务器的变化情况,从中查找错误的蛛丝马迹;事实证明,效果很好,而且用于lvs+keepalived的排错效也不错,其它事例依此类推。
三、secure的用法
/var/log/secure:记录登入系统存取数据的文件,例如pop3, ssh, telnet, ftp 等都会被记录,我们可以利用此文件找出不安全的登陆IP。
四、记录登陆者的数据
/var/log/wtmp:记录登入者的讯息数据,由于本文件已经被编码过(为二进制文件),所以必须使用last 指令来取出文件的内容,你用cat等命令直接查看此文件是不行的。
五、lastlog记录系统时间
/var/log/lastlog :记录每个使用者最近签入系统的时间,因此当使用者签入时,就会显示其上次签入的时间,您应该注意一下这个时间,若不是您上次签入的时间,表示您的帐号可能被人盗用了。此档可用/usr/bin/lastlog 指令读取(Freebsd下为/usr/sbin/lastlogin)。
六、用dmesg查看启动消息
dmesg提供了一个简单的方法查看系统启动信息。当Linux启动的时候,内核的信息被存入内核ring 缓存当中,dmesg可以显示缓存中的内容。默认情况下,dmesg打印内容到屏幕上面,当然你可以重定向输出到一个文件。如果硬件损坏的话,在dmesg日志里是有显示的,可用以下命令来查看dmesg | grep error
七、服务器的邮件日志
服务器的邮件为/var/log/messages,如果要用专业的日志分析工具来分析的话,我推荐用Awstats;由于公司的开发对邮件的要求比较低,所以我帮他们配置的就是最简单的sendmail,有时看看邮件日志里的status状态来判断邮件到底有没有正确发送;在配置Nagios服务器,我也习惯用此日志来判断报警邮件到底有没有发送,如果对自己的shell水平足够自信,也可以写脚本来收集邮件服务器的返回状态等,但专业的事情,建议还是由专业的工具来做,特别是邮件负载比较大时,每天几百万条日志或上千万条日志不是开玩笑的。
八、日志文件的专业工具
像系统的一些服务,比如Apache、Nginx、Squid、还有mysql,都有自己的特定的日志文件,由于格式比较复杂,也推荐用专业工具,如Awstats、Cacti来分析,现在用cacti用得比较多是用它分析Nginx负载均衡器的一段时间的并发情况。
九、输出Iptables日志到一个指定的文件
Iptables的man参考页中提到: 我们可以使用Iptables在Linux内核中建立, 维护和检查IP包过滤规则表。几个不同的表可能已经创建, 每一个表包含了很多内嵌的链, 也可能包含用户自定义的链。Iptables默认把日志信息输出到/var/log/messages文件。不过一些情况下你可能需要修改日志输出的位置。下面向大家介绍如何建立一个新的日志文件/var/log/iptables.log。通过修改或使用新的日志文件, 你可以创建更好的统计信息或者帮助你分析网络攻击信息。
(1). Iptables默认的日志文件
例如, 如果你输入下面的命令, 屏幕将显示/var/log/messages文件中的Iptables日志信息:
# tail -f /var/log/messages
输出:
Oct 4 00:44:28 debian gconfd (vivek-4435):Resolved address
"xml:readonly:/etc/gconf/gconf.xml.defaults"to a read-only configuration source at position 2Oct 4 01:14:19 debian kernel:IN=ra0 OUT= MAC=00:17:9a:0a:f6:44:00:08:5c:00:00:01:08:00SRC=200.142.84.36
DST=192.168.1.2LEN=60 TOS=0x00 PREC=0x00 TTL=51 ID=18374DF PROTO=TCP SPT=46040 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0
(2).输出Iptables日志信息到一个指定文件的方法
打开你的/etc/syslog.conf文件:
# vi /etc/syslog.conf
在文件末尾加入下面一行信息:
kern.warning /var/log/iptables.log
保存和关闭文件。
重新启动Syslogd(如果你使用Debian/Ubuntu Linux):
# /etc/init.d/sysklogd restart
另外, 使用下面命令重新启动Syslogd(如果你使用Red Hat/Cent OS/Fedora Core Linux):
# /etc/init.d/syslog restart现在确认你的Iptables使用了log-level 4参数(前面有一个log-prefix标志)。例如:
# DROP everything and Log it
iptables -A INPUT -j LOG –log-level 4
iptables -A INPUT -j DROP
举一个例子, 丢弃和记录所有来自IP地址65.55.11.2的连接信息到/var/log/iptables.log文件。
iptables -A INPUT -s 64.55.11.2 -m limit
limit 5/m --limit-burst 7 -j LOG
log-prefix ‘** HACKERS **’ --log-level 4
iptables -A INPUT -s 64.55.11.2 -j DROP
命令解释:
log-level 4: 记录的级别. 级别4为警告(warning)。
log-prefix ‘*** TEXT ***’: 这里定义了在日志输出信息前加上TEXT前缀。TEXT信息最长可以是29个字符, 这样你就可以在记录文件中方便找到相关的信息。
现在你可以通过/var/log/iptables.log文件参考Iptables的所有信息:
# tail -f /var/log/iptables.log
十、日志轮询
再说下日志的轮询,Linux的日志轮询机制做得相当好,当然我们也可以通过配置/etc/logrotate.conf 来修改它
实验一安装Linux操作系统 【实验目的】 了解Linux操作系统的发行版本;掌握Linux系统安装方法;掌握网络配置和网络环境测试。 【实验内容】 1.Vmware Workstation 6.0下创建Red Hat Linux虚拟机,要求虚拟机的内存为256MB或更大,硬盘为8GB或更大。 2.使用RHEL 5的ISO文件安装Linux系统。 【实验步骤】 1.硬盘和分区知识以及Linux文件系统的组织方式 (1)硬盘和分区知识 磁盘有IDE接口和SCSI接口两种。 磁盘在使用前需分区。磁盘分区有主分区、扩展分区和逻辑分区之分。一块硬盘可以有4个主分区,其中一个主分区的位置可以有一个扩展分区替换,即可以有3个主分区和一个扩展分区,且一块硬盘只能有一个扩展分区,在这个扩展分区中可以划分多个逻辑分区。(2)Linux如何表示分区 在Windows系统中使用盘符来标识不同的分区,而在linux下使用分区的设备名来标识不同的分区,设备名存放在/dev目录中。 磁盘设备名称如下: ●系统的第1块IDE接口的硬盘称为/dev/hda ●系统的第2块IDE接口的硬盘称为/dev/hdb ●系统的第1块SCSI接口的硬盘称为/dev/sda ●系统的第2块SCSI接口的硬盘称为/dev/sdb 分区使用数字编号表示: ●系统的第1块IDE接口硬盘的第1个分区称为/dev/hda1 ●系统的第1块IDE接口硬盘的第5个分区称为/dev/hda5 ●系统的第2块SCSI接口硬盘的第1个分区称为/dev/sdb1 ●系统的第2块SCSI接口硬盘的第5个分区称为/dev/sdb5 注意:数字编号1-4留给主分区或扩展分区使用,逻辑分区编号从5开始。 (3)Linux文件系统文件系统的组织方式------挂载点 Linux系统只有一个根目录,即只有一个目录树。不同磁盘的不同分区只是这个目录树的一部分,在linux中创建文件系统后(类似format),用户不能直接使用它,要挂载文件系统后才能使用。挂载文件系统首先要选择一个挂载点。 2.利用VMware Workstation 6.0 创建一台新的虚拟机
Linux日志管理篇 操作系统的日志主要具有审计与监测的功能,通过对日志信息的分析,可以检查错误发生的原因,监测追踪入侵者及受到攻击时留下的痕迹,甚至还能实时的进行系统状态的监控。有效利用日志信息并对其进行分析与实时的监控管理,对于系统的安全性具有极为重要的作用。 对于日志信息的管理通常采用两种方法,一种方法是不同服务器的日志信息都存放在各自系统内,系统管理员对各服务器进行分散管理。另一种方法则是使用日志主机系统,这是一个从其他主机收集日志,并将它们存放在同一个地方的系统,很容易使来自多个主机的日志条目关联起来,对其进行统一管理、分析,甚至配合自动化工具进行实时的监控,有效提高管理的效率。 第一种方法往往是大多数系统管理员的常用的方法,这种传统的管理方法在服务器数量较少时还能勉强应付,但在处理多主机状况时却并非一种有效的方法。本文主要讲述二种日志管理方法,探寻一种提高系统管理效率的途径。 一、日志主机系统的部署 日志主机系统包括日志主机及各主机系统两个部分,其中日志主机相当于服务器端,而各主机系统相当于客户端,将日志信息实时的传送到日志主机上来。 1.Linux系统中系统日志服务器的安装 对管理员来说,日志非常有用,但大量的日志又很麻烦。当一些事件运行错误时,日志可以对故障排除起到至关重要的作用,特别是在安全性相关问题上。但是如果攻击者危害到你的主机,日志将会告诉你,对于主机来说这很有用;你需要给数据中心发信息。保护日志非常重要,一个中央日志服务器会更容易管理、分析和查找它们。针对这一点,我将向你展示如何把多个主机的系统日志集中收集到一个主机上来管理,即Linux上的中央系统日志服务器。 首先,所有集中的系统日志服务器都应该建成一个安全和硬化的主机。在主机上没有一点关于保护和集中化你们日志方面。其次,你怎样能从你的主机上获得日志呢? 让我们开始安装中央系统日志服务器。我将举例说明如果使用rSyslog,实际的标准Linux系统日志。Ubuntu和红帽常使用它,并且通过文件/etc/rsyslog.conf进行管理。文件中包含许多指定的特殊系统日志:有的是控制台方面的,有的是文件方面或其它主机的。 首先,我们需要载入合适的TCP和UDP插件以支持接收系统日志。把下面的代码添加到rsyslog.conf的头部: $modload imtcp
阿里云主机Linux服务器配置步骤详解 编辑:restart 来源:转载 下面我们一起来看看关于阿里云主机Linux服务器配置步骤详解,如果你正在使用阿里云主机我们可进入参考一下配置步骤哦,有兴趣的同学可进入参考。 一提到云主机,大家肯定熟知国内最知名品牌——阿里云了,后来居上的它受到不少的站长所追捧,它的稳定与服务让它的性价比直线上升,现在阿里云的最低端配置云主机年费只需要550元了,在同类产品中可谓最有性价了。如果想做个小站,又想速度上去,阿里云也是一个不错的选择。用过阿里云的站长都知道,阿里云主机是需要自己动手配置的,一些站长就有夸大其词说“没有一定的技术,最好不要用阿里云”。其实,配置阿里云主机也不是很难,只要按照本文的方法一步一步去做就可以了。 第一步:远程连接阿里云主机。 下载xshell和xftp 并安装。这2个软件可以到网站下载。xshell 是一个强大的安全终端模拟软件,它支持SSH1, SSH2, 以及Microsoft Windows 平台的TELNET 协议,可以方便地远程登录阿里云主机。Xftp 是一个基于MS windows 平台的功能强大的S 文件传输软件,可以通过它来上传文件到主机。 这2个软件的安装这里就不说了。下面来看看怎么使用这两个软件。 一、打开xshell
二、设置云服务器登录信息,点击认证(新版本可能是“用户身份验证”)。填写阿里云主机用户名和密码。 三、设置服务器帐号密码。再点击“连接”,填写在“主机”处填写你购买的阿里云主机的IP地址。
四、设置字符集编码。点击”终端“,然后在“编码”选项选择“ UTF-8″。然后按确定保存配置。接着就开始连接主机了。 五、连接后的阿里云主机的庐山正面目。
SUSE Linux搭建企业服务器的双机配置过程 当集群中的某个节点由于软件或硬件原因发生故障时,集群系统可以把资源切换到其他健康的节点上,使整个系 统能连续不间断的对外提供服务,从而为机构24x365的关键业务提供了可靠的保障,达到了系统99.999%的高可用性和可靠性。SuSE Enterprise Linux 10.0是内置Linux 2.6.16内核的企业级服务器,较之SuSE Enterprise Linux 9.0,它在性能、可扩展性、易管理性和安全等方面都予以加强,并有众多硬件和应用软件支持。 最近,笔者使用SuSE Enterprise Linux 10.0作为系统平台(使用其它Linux平台在安装部署时可能有小差异),在其上采用HeartBeat、Mon和Rsync等开源软件打造了一个高可用系统,挖掘了SuSE Linux的高可用性。下面我为大家 详细介绍如何在Suse Linux搭建双机的配置过程。 一、HeartBeat、Mon、Rsync简介 二、安装环境 首先,需要准备两台PC服务器,每台服务器有两块网卡,其物理网络图如图 1 安装环境 图1 网络拓扑图 虽然在YaST2控制中心里有"高可用性"图形化的配置向导,我们这里不介绍一个过程,中在讲述原理和方法,主 要是基于命令行的配置方式。首先在PC服务器上安装SuSE Enterprise Linux 10.0系统,并将eth0配置为192.168.8.*网段,eth1配置为10.1.1.*网段,eth0链接对外的交换机,eth1用于两台机器的对连。 修改/etc /hosts文件,修改内容如下:
服务器部署方案 应用架构 3台服务器,操作系统要求red hat linux enterprise 4 内核版本2.6.9-67. 注:在安装的时候要安装防火墙 基础软件要求: 1. Java环境: jdk-6u13-linux-i586-rpm.bin 2. Tomcat 环境: apache-tomcat-7.0.6.tar.gz 3.MYSQlDB 环境: MySQL-server-5.1.57-1.glibc23.i386.rpm,MySQL-client-5.1.57-1.glibc23.i386.rpm 4. memcached缓存环境: libevent-1.3.tar.gz ,memcached-1.2.2.tar.gz
基础软件安装 Jdk安装: 安装步骤: 1. 新建temp文件夹在linux上比如根目录/temp 2.拷贝jdk-6u13-linux-i586-rpm.bin 到temp 下 3.chmod +x jdk-6u13-linux-i586.rpm.bin 4../jdk-6u13-linux-i586.rpm.bin 5.此时会生成文件jdk-6u13-linux-i58 6.rpm,同样给所有用户添加可执行的 权限 6.chmod +x jdk-6u13-linux-i586.rpm 7.安装程序 rpm -ivh jdk-6u13-linux-i586.rpm 8.出现安装协议等,按接受即可 设置步骤: 1.vi /etc/profile 在文件的最下面添加下面内容 JAVA_HOME=/usr/java/jdk1.6.0_13 CLASSPATH=.:$JAVA_HOME/lib/tools.jar:$JAVA_HOME/lib/dt.jar PATH=$JAVA_HOME/bin:/usr/bin:/usr/sbin:/bin:/sbin:/usr/X11R6/bin export JAVA_HOME CLASSPATH PATH 2.保存退出 3.检查 java -version 4.如果看到JVM版本及相关信息,即安装成功
在Linux中使用日志来排错 人们创建日志的主要原因是排错。通常你会诊断为什么问题发生在你的 Linux 系统或应用程序中。错误信息或一系列的事件可以给你提供找出根本原因的线索,说明问题是如何发生的,并指出如何解决它。这里有几个使用日志来解决的样例。 登录失败原因 如果你想检查你的系统是否安全,你可以在验证日志中检查登录失败的和登录成功但可疑的用户。当有人通过不正当或无效的凭据来登录时会出现认证失败,这通常发生在使用 SSH 进行远程登录或 su 到本地其他用户来进行访问权时。这些是由插入式验证模块(PAM)来记录的。在你的日志中会看到像 Failed password 和 user unknown 这样的字符串。而成功认证记录则会包括像Accepted password 和 session opened 这样的字符串。 失败的例子: 1.pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.2.2 2.Failed password for invalid user hoover from 10.0.2.2 port 4791 ssh2 3.pam_unix(sshd:auth): check pass; user unknown 4.PAM service(sshd) ignoring max retries; 6 > 3 成功的例子:
1.Accepted password for hoover from 10.0. 2.2 port 4792 ssh2 2.pam_unix(sshd:session): session opened for user hoover by (uid=0) 3.pam_unix(sshd:session): session closed for user hoover 你可以使用 grep 来查找哪些用户失败登录的次数最多。这些都是潜在的攻击者正在尝试和访问失败的账户。这是一个在 ubuntu 系统上的例子。 1.$ grep "invalid user" /var/log/auth.log | cut -d ' ' -f 10 | sort | uniq -c | sort -nr 2.23 oracle 3.18 postgres 4.17 nagios 5.10 zabbix 6.6 test 由于没有标准格式,所以你需要为每个应用程序的日志使用不同的命令。日志管理系统,可以自动分析日志,将它们有效的归类,帮助你提取关键字,如用户名。 日志管理系统可以使用自动解析功能从 Linux 日志中提取用户名。这使你可以看到用户的信息,并能通过点击过滤。在下面这个例子中,我们可以看到,root 用户登录了 2700 次之多,因为我们筛选的日志仅显示 root 用户的尝试登录记录。 日志管理系统也可以让你以时间为做坐标轴的图表来查看,使你更容易发现异常。如果有人在几分钟内登录失败一次或两次,它可能是一个真正的用户而忘记了密码。但是,如果有几百个失败的登录并且使用的都是不同的用户名,它更可能是在试图攻击系统。在这里,你可以看到在3月12日,有人试图登录 Nagios 几百次。这显然不是一个合法的系统用户。
DNS BIND包位于第4张光盘上,软件包为bind-9.2.4 BIND服务器的服务程序名称是named,需使用chkconfig在35级别启用 基本配置 1. cat /etc/named.conf 2. BIND服务器的工作目录 ls /var/named 3. BIND服务器的启动与停止 Service named restart 4. DNS 服务器的3种类型 缓存域名服务器主域名服务器从域名服务器 构建缓存域名服务器 1.1 安装caching-nameserver 软件包在第一张光盘中 在系统中安装了caching-nameserver软件包后,缓存域名服务器的配置已经保存在named.conf 配置文件中 option { directory “/var/named”; 设置BIND服务器的工作目录 dump-file “/var/named/data/cache_dump.db”;设置域名缓存文件的保存位置和文件名statistics-file “/var/named/data/named_stars.txt”; }; 1.2根区域设置及根区域文件 在缓存域名服务器的named.conf文件中包括根区域的配置信息如下: Zone “.” IN { type hint; 类型为根区域 file “named.ca”; 设置区域文件,根区域文件的名称是name.ca }; named.ca文件在/var/named/chroot/var/named/ 1.2 localhost 正向解析 localhost 区域的作用是对主机名称localhost和回环地址127.0.0.1之间进行解析,因此localhost总是代表本地 zone “localhost” IN { type master; 类型为主服务器 file “localhost.zone”; 区域文件名为localhost.zone allow-update { none; }; }; cat /var/named/chroot/var/named/localhost.zone $TTL 86400 时间生存期 @ IN SOA @ root ( @ IN NS @ IN A 127.0.0.1 IN AAAA ::1 SOA(起始受权记录) @ 在区域文件所表示默认的域(当前域)
本文由我司收集整编,推荐下载,如有疑问,请与我司联系 Linux日志管理指南 2016/12/14 0 管理日志的一个最好做法是将你的日志集中或整合到一个地方,特别是在你有许多服务器或多层级架构时。我们将告诉你为什么这是一个好主意,然后给出如何更容易的做这件事的一些小技巧。 ? ?集中管理日志的好处如果你有很多服务器,查看某个日志文件可能会很麻烦。现代的网站和服务经常包括许多服务器层级、分布式的负载均衡器,等等。找到正确的日志将花费很长时间,甚至要花更长时间在登录服务器的相关问题上。没什么比发现你找的信息没有被保存下来更沮丧的了,或者本该保留的日志文件正好在重启后丢失了。 ?集中你的日志使它们查找更快速,可以帮助你更快速的解决产品问题。你不用猜测那个服务器存在问题,因为所有的日志在同一个地方。此外,你可以使用更强大的工具去分析它们,包括日志管理解决方案。一些解决方案能转换纯文本日志为一些字段,更容易查找和分析。 ?集中你的日志也可以使它们更易于管理: ?它们更安全,当它们备份归档到一个单独区域时会有意无意地丢失。如果你的服务器宕机或者无响应,你可以使用集中的日志去调试问题。 ?你不用担心ssh或者低效的grep命令在陷入困境的系统上需要更多的资源。 ?你不用担心磁盘占满,这个能让你的服务器死机。 ?你能保持你的产品服务器的安全性,只是为了查看日志无需给你所有团队登录权限。给你的团队从日志集中区域访问日志权限更安全。 ?随着集中日志管理,你仍需处理由于网络联通性不好或者耗尽大量网络带宽从而导致不能传输日志到中心区域的风险。在下面的章节我们将要讨论如何聪明的解决这些问题。 ?流行的日志归集工具在Linux 上最常见的日志归集是通过使用syslog 守护进程或者日志代理。syslog 守护进程支持本地日志的采集,然后通过syslog 协议传输日
Linux是一个性能优异、安全的操作系统,许多大型的Web应用都是基于Linux作为服务器,所以系统的学习一下Linux操作系统是非常有必要的。本文不以Linux基础为例,主要以Linux服务器端开发环境搭建为主,适合有一定Linux基础的朋友。 本文采用的Linux环境为RedHat Enterprise Linux Server4。本文主要讲解以下内容: Java开发环境的安装和配置(JDK安装、环境变量的配置) Tomcat服务器安装和配置(Tomcat安装、环境变量配置) 基于源码的MySQL数据库安装(此处之所以采用源码编译安装,为了后面的PHP 环境做准备) Oracle数据库的安装(包括服务器端和客户端的安装) Apache服务器的安装和配置(主要用来运行PHP程序) PHP环境安装和配置 Flex开发环境搭建 从上面可以看到,我们这篇教程要讲解的内容很多,所以我们需要准备如下的必备环境: 必备工具: VMware-workstation-6.5或更高版本 RedHat Enterprise Linux 4的iso文件,共4个 SSHSecureShellClient,用于远程连接Linux jdk-6u18-linux-i586.bin,可以从sun网站下载 mysql-5.1.41.tar.gz,MySQL的Linux源码分发包 SQLyog Enterprise,MySQL的可视化操作工具 10201_database_linux32.zip,Oracle的Linux版本 10201_client.zip,Oracle在Win下的客户端,注意根据操作系统选择 PL/SQL Developer,操作Oracle的可视化工具 PHP相关组件 ?php-5.2.14.tar.gz ?freetype-2.1.10.tar.gz ?gd-2.0.35.tar.gz ?jpegsrc.v6b.tar.gz ?libpng-1.2.29.tar.gz ?libxml2-2.6.2.tar.gz ?zlib-1.2.3.tar.gz ?curl-7.15.0.tar.gz httpd-2.2.16.tar.gz,Apache服务器 flex_sdk_3.5.0.12683.zip,Flex SDK
Linux系统的LOG日志文件及入侵后日志的清除 UNIX网管员主要是靠系统的LOG,来获得入侵的痕迹.当然也有第三方工具记录入侵系统 的痕迹,UNIX系统存放LOG文件,普通位置如下: /usr/adm - 早期版本的UNIX /var/adm - 新一点的版本使用这个位置 /var/log - 一些版本的Solaris,linux BSD,Free BSD使用这个位置 /etc - 多数UNIX版本把utmp放在这里,有些也把wtmp放在这里,syslog.conf在这里 下面的一些文件根据你所在的目录不同而不同: acct 或pacct -- 记录每个用户使用的命令记录 access_log -- 主要当服务器运行NCSA HTTPD时, 记录什么站点连接过你的服务器aculog -- 保存着你拨出去的MODEMS记录 lastlog -- 记录了用户最近的LOGIN记录和每个用户的最初目的地,有时是最后不 成功LOGIN的记录,当一个用户登陆到unix系统,注册程序在lastlog文件中查找该用户的uid,如果该程序找到了 该用户的uid,unix就会显示最后一次登陆的时间和tty(终端号) loginlog -- 记录一些不正常的LOGIN记录 messages -- 记录输出到系统控制台的记录,另外的信息由syslog来生成 security -- 记录一些使用UUCP系统企图进入限制范围的事例 sulog -- 记录使用su命令的记录.它通常在/var/adm/sulog.如果你在机器上使用了su命令,别忘了清除哦. utmp -- 记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化.它还会为系统中的用户保持很长的历史记录,utmp日志通常存放在/var/adm/utmp目录下.可以用w和who命令查看,其他命令也可以访问这个文件.如:finger root就可以.现在的utmp一般都有utmpx文件作为日志记录的补充. utmpx -- UTMP的扩展 wtmp -- 记录用户登录和退出事件.它和utmp日志文件相似,但它随着登陆次数的增加,它会变的越来越大,有些系统的ftp访问也在这个文件里记录,同时它也记录正常的系统退出时间,可以用ac和last命令访问. syslog -- 最重要的日志文件,使用syslogd守护程序来获得日志信息,通常情况下通过查看/etc/syslog.conf.我们可以知道syslog记录些什么.缺省时,它把大多的消息传给 /var/adm/message. /dev/log -- 一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息
一、NFS文件共享服务 1.建立NFS服务器(服务器IP地址为19 2.168.0.109) (1)通过配置yum源安装NFS软件包 # yum -y install nfs-utils (2)修改主机名 # vim /etc/sysconfig/network 修改主机名为nfsserver: HOSTNAME=nfsserver (3)设置NFS服务器和NFS客户机IP地址(设置成为同一网段),并 能相互ping通 (4)在NFS服务器上设置子目录 #mkdir /tmp/share (5)向子目录中创建123.txt文件,并自主添加文本内容 #touch 123.txt (6)编辑/etc/exports文件(该文件用来指定哪些资源让网络上的哪些 客户端设备可共享时的读写权限) #vim /etc/exports --->进入文字编辑工具,添加如下内容: /tmp/share 192.168.0.108(rw,sync) 保存退出编辑 (7)重新读取/etc/exports #exportfs -a
(8)启动NFS服务器 #service nfs start 检查NFS守护进程是否启动: #service nfs stuatus (9)查看所在运行的注册的RPC(远程过程调用)程序 #rpcinfo -p #rpcinfo -p nfsserver (10)查看NFS服务器提供的可挂载文件子目录 #showmount -e 192.168.0.108 (11)关闭NFS服务器防火墙 #service iptables stop 2.建立NFS客户机(客户机IP地址为192.168.0.108)(1)通过配置yum源安装NFS软件包 # yum -y install nfs-utils (2)查看NFS共享目录信息 #showmount -e 192.168.0.108 (3)将服务器上共享目录挂接到客户机上 #mount - t nfs 192.168.0.109 : /tmp/share /media (4)查看挂接目录 #mount (5)切换到挂载目录下,查看NFS共享目录下的内容 #cd /media #ls -al
Linux常用服务器配置 文件修改记录表 版权声明和保密须知 本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属江苏金智教育信息技术有限公司所有,受到有关产权及版权法保护。任何单位和个人未经江苏金智教育信息技术有限公司的书面授权许可,不得复制或引用本文件的任何片断,无论通过电子形式或非电子形式。 Copyright 2011 江苏金智教育信息技术有限公司版权所有
目录目录
说明 文档目的 为了能够让部门工程师在以后的部署实施过程中熟悉linux下常用的业务配置,遂整理此文档。 本文详细列出了在常见环境中Linux下常用业务配置;并对具体业务进行了分析和配置示例,希望大家在以后的部署中能够严格去执行此规范。 规范文档中,尚有欠妥之处。请各位实施部署工程师及时指正! 文档适用范围 本文档使用江苏金智教育信息技术有限公司所有项目范围(含北京分公司、上海分公司、福建区域) 文档约定 XXX字符标示着根据现场实际情况来填写 红色加粗标示着必须严格按照要求填写
1NFS服务的配置 1.1NFS服务的简介 NFS(Network File Service)的设计是为了在不同的unix系统间进行档案共享。当使用者想用远端档案时只要用“mount”就可把remote文件系统挂接在自己的文件系统之下,使得远端的文件使用上和local机器的档案没两样。其目的就是让不同unix操作系统之间可以彼此共享文件。 NFS服务器的常用功能:1、可以把服务器的文件象本地一样的操作,很方便;2、NFS 服务器对系统资源占用也少;3、NFS可以支持很多其他服务,比如kickstart(kickstart是无人值守,网络批量安装服务),NIS等等。 NFS服务建立在RPC(远程过程调用)协议上的服务,使用时需要先打开portmap(端口映射)服务进程。因为本身NFS服务的功能非常多,所以通常该服务开启的端口是随机的,当NFS需要使用某个功能时,我们通常是将开启的请求发送给RPC协议上的portmap 进程,做一个端口开启与映射工作。 作为一名运维工程师,对于NFS服务的配置一定要非常的熟悉。NFS服务也是类unix 平台下最基本的常用业务。 1.2NFS服务侧写 1)NFS 服务的进程通常有:nfsd,nfslockd,rpciod,,, 2)服务启动脚本:/etc/portmap, /etc/nfs 3)使用端口:111(portmap进程的端口,通常只有这一个是固定使用端口) 4)所需RPM包:nfs-utils 5)相关RPM包:portmap(必需) 6)配置文件:/etc/exports 1.3NFS服务端的配置 通常来说,NFS服务端的配置主要是基于/etc/exports文件的编辑。初始状态下,/etc/exports文件为空。文件中的每一行,表示一个开放的目录,并记录着它开放权限。每一行中都分为三列关系:第一列,写入你需要共享的目录路径;第二列写入客户端描述,也就是哪些客户端可以使用你的服务器共享的资源;第三列是紧挨着第二列的,内容是共享信息开放的权限。具体配置实例如下:
Linux 日志文件 utmp,wtmp,lastlog,messages Linux 日志文件 utmp 、wtmp 、lastlog 、 messages : 1、有关当前登录用户的信息记录在文件 utmp 中; 录信息 注意: wtmp 和 utmp 文件都是二进制文件, 不能被诸如 tail 命令剪贴或合并(使用 cat 命令)。用户 last 命令往回搜索 wtmp 来显示自从文件第一次创建以 来登录过的用户 QUOTE: chyang pts/9 202.38.68.242 Tue Aug 1 08:34 - 11:23 (02:49) cfan pts/6 202.38.64.224 Tue Aug 1 08:33 - 08:48 (00:14) chyang pts/4 202.38.68.242 Tue Aug 1 08:32 - 12:13 (03:40) lewis pts/3 202.38.64.233 Tue Aug 1 08:06 - 11:09 (03:03) lewis pts/2 202.38.64.233 Tue Aug 1 07:56 - 11:09 (03:12) 如果指明了用户, 那么 last 只报告该用户的近期活动, 例如, 匚=f - who 命令 2、登录进入和退出纪录在文件 wtmp w 命令 3 、最后一次登录文件可以用 lastlog 命令察看; 4、messages 从 syslog 中记 他们 要使用 who 、 w 、 users 、 last 和 ac 来使用这两个文件包含 的信息。 例子:
键入 last ynguo 命令,然后按回车键,将显示如下内容: QUOTE: ynguo pts/4 https://www.doczj.com/doc/9013420859.html,tc.e Fri Aug 4 16:50 - 08:20 (15:30) ynguo pts/4 https://www.doczj.com/doc/9013420859.html,tc.e Thu Aug 3 23:55 - 04:40 (04:44) ynguo pts/11 https://www.doczj.com/doc/9013420859.html,tc.e Thu Aug 3 20:45 - 22:02 (01:16) ynguo pts/0 https://www.doczj.com/doc/9013420859.html,tc.e Thu Aug 3 03:17 - 05:42 (02:25) ynguo pts/0 https://www.doczj.com/doc/9013420859.html,tc.e Wed Aug 2 01:04 - 03:16 1+02:12) ynguo pts/0 https://www.doczj.com/doc/9013420859.html,tc.e Wed Aug 2 00:43 - 00:54 (00:11) ynguo pts/9 https://www.doczj.com/doc/9013420859.html,tc.e Thu Aug 1 20:30 - 21:26 (00:55) users 用单独的一行打印出当前登录的用户,每 件并显示当前系统中每个用户和它所运行的进程信息 who 命令查询 utmp 文件并报告当前登录的每个用户 命令根据当前的 /var/log/wtmp 文件中的登录进入和退出来 报告用户连结的时间(小时) 例如,键入 ac 命令,然后按回车键,将显示如下内容: 个显示的用户名对应一个登录会话 w 命令查询 utmp 文 ac
创建文件夹mkdir /home/yjq 挂在光盘:Mount /dev/cdrom /mnt/yjq(yjq指文件夹) 查看安装包:rpm –qa | grep 安装程序 从关盘安装rpm – ivh /mnt/yjq/Packages/安装程序 Linux关防火墙首先用setup进入控制面板 选择fieewall configuration 第一项是开启防火墙第二项是关闭防火墙 customize配置防火墙 关闭Selinux Vi/etc/sysconfig/selinux SELINUX=enforcing 改成SELINUX=disabled 禁止ip被某主机ping iptables –A INPUT –p icmp –s 对方主机–j DROP(例如iptables –A INPUT –p -s icmp 192.168.104.26 –j DROP Linux账户创建useradd 用户名 Linux 账户密码创建修改passwd 密码 Linux 创建组groupadd 组名
Linux设置用户为系统账户但没登入系统的权限编辑/vim /etc/passwd{把/bin/bash改为:/sbin/nologin} Linux 用户加组usermod – g 组名 Linux 创建目录:mkdir /home/文件夹名(home为主目录) Linux为目录授权chowm 777 /home/文件夹注777为最高权限 Linux创建文件vi 文件名 Linux启动服务service 服务名start Linux重启服务service 服务名restart Linux设置开机启动ntsysv 空格选中要开机启动的服务 配置服务之samba 限制samba可访问的范围host allow= Samba设置打印机:load printers =yes 打印机配置文件路径printcap name =/etc/printcap ;printing=cups(打印机类型:bsb,sysv,plp,lprng,aix,hpux,qnx,cups) ;security=user(安全级别,share,user,server,domalin) [global]这是全局配置 [global]这段是全局配置,是必段写的。其中有如下的几行;
Linux服务器配置课程教学大纲 一、课程的任务及性质 Linux是高性能,开放源代码的操作系统,具有广泛的网络应用领域。本课程目的是讲授Linux作为网络操作系统的应用、配置与管理技术,使学生掌握基于Linux系统的网络组建,调试和网络服务器配置的技能和方法。通过对Linux网络应用的学习,使学生对网络组建、网络服务器配置与应用有更全面的认识,能够进行Linux局域网、服务器的日常维护和远程管理,并对网络资源与通信进行有效的管理以提高网络性能,旨在培养面向计算机行业的Linux网络技术人才。 二、课程的教学目标 1、知识教学目标 ①理解Linux网络操作系统的概念;②了解Linux在网络中的应用与前景; ③理解网络服务器概念,理解Linux网络资源与通讯,了解Linux的多媒体技术;④理解交换空间的概念,以及计划任务和硬件驱动安装;⑤理解Linux网络资源的备份,提高Linux 网络的安全性能;⑥进一步认识Shell,以及Shell的应用和Shell编程;⑦Linux网络基础,理解远程管理与控制Linux网络的作用; ⑧深入理解网络配置命令与文件,以及Linux与其它操作系统系统的网络共享; ⑨DHCP服务器,DNS服务器,FTP服务器,SAMBA服务器 NFS服务器,VPN网络技术,WEB 服务器(APACHE技术),SQUID代理服务器,FIREWALL技术等的配置、管理与应用;⑩Linux 网络接入技术,Linux局域网组建与无盘Linux系统的网络应用。 2、能力培养目标 ①掌握Shell技术,以及Shell的应用和Shell驱动程序开发; ②掌握Linux网络基础知识,远程管理与控制Linux网络的方法与技术;④掌握网络配置命令与文件的编辑,Linux与其它系统系统的网络共享技术; ⑤掌握DHCP,DNS,FTP,SAMBA,NFS,VPN网络,WEB(APACHE),SQUID代理等服务器的配置、管理与应用; ⑥掌握Linux FIREWALL等安全技术与方法,及使用Linux下的多媒体技术。 3、思想教育目标 ①培养学生理论与实践相结合的能力,及实事求是的正确科学态度;②树立使用开源软件关乎国家与民族IT产业发展与未来的意识;③培养学生创新意识和敬业精神,支持国产开源软件产品。 三、教学内容及要求一、课程理论教学安排 1.Linux网络应用概述 Linux的网络应用现状Linux在网络应用中的特点 Linux的网络领域的发展前景 说明:1)了解Linux的在网络应用中的现状。 2)了解Linux在网络应用中的特点与发展。 2.Linux交换空间(swap)与计划任务 1) Linux交换空间概念与技术= 2) Linux swap的使用 3)计划任务的设置与启动 4) Linux计划任务的运行 说明:1)介绍Linux交换空间、计划任务的基本概念、作用。 2.Linux交换空间(swap)与计划任务 1) Linux交换空间概念与技术= 2) Linux swap的使用 3)计划任务的设置与启动 4) Linux计划任务的运行 说明:1)介绍Linux交换空间、计划任务的基本概念、作用。 2) 演示Linux交换空间、计划任务使用方法。 3)掌握Linux交换空间的设置、启动与运行控制。 3.Linux 硬件驱动的安装使用与SHELL编程 1)硬件驱动的安装与配置:显卡、网卡、声卡、打印机、扫描仪等 2)Linux SHELL编程基础 说明:1)掌握Linux硬件驱动的安装配置。
?CH12 远程登录管理 一、远程登录简介 ?远程登录就是使自己的计算机成为远程主机的一个仿真终端。 ?利用远程登录可以对系统进行远程维护。 ?远程登录系统是一c/s结构,因此需要两个程序:客户端程序和服务器端程序。 二、安装telnet ?客户端程序为: telnet-0.17-42.fc9.i386.rpm 在安装光盘中,默认已经安装。 ?服务器端程序为: telnet-server-0.17-42.fc9.i386.rpm 安装光盘中没有,可从https://www.doczj.com/doc/9013420859.html,下载(也可google)。 ?安装方法:rpm –ivh file.rpm ?要安装telnet服务器端需先安装xinetd,安装文件为xinetd-2.3.14-20.fc9.i386.rpm,可从https://www.doczj.com/doc/9013420859.html, 下载。 ?检验软件包是否被安装的方法为: ?rpm –qa | grep telnet ?或者: ?rpm –q telnet rpm –q telnet-server 三、xinetd简介 ?xinetd是一种网络服务管理程序,其默认配置文件是/etc/xinetd.conf,/etc/xinetd.d是存放各项网络服务的核 心目录。 ?网络服务描述既可追加到/etc/xinetd.conf中,也可在/etc/xinetd.d 中建立文件。 ?service xinetd restart 相当于 service xinetd stop/start 两条命令。 四、启动telnet服务 ?法1:在命令模式下,
[setup][系统服务][telnet] , 或用ntsysv命令,重启后telnet服务会随系统启动。 ?法2:在图形界面下, [系统][管理][服务][telnet] ?法3:vim /etc/xinetd.d/telnet 将disable行改为disable=no ,然后启动: service xinetd restart 五、telnet使用示例
Linux 系统日志收集分析系统 一、搭建环境 系统:centos6.5 软件:lamp、rsyslog、rsyslog-mysql 、loganalyzer rsyslog用来收集远程服务器系统日志信息 rsyslog-mysql是rsyslog连接数据库的模块 loganalyzer用来分析系统日志 二、软件安装 a、httpd安装 tar -jxvf apr-1.5.1.tar.bz2 ./configure --prefix=/usr/local/apr make && make install tar -zxvf apr-util-1.5.4.tar.gz ./configure --prefix=/usr/local/apr-util --with-apr=/usr/local/apr/ make && make install tar -zxvf httpd-2.4.12.tar.gz yum install -y pcre-devel zlib-devel openssl-devel ./configure --prefix=/data/program/apache2 --enable-so --enable-rewrite --enable-ssl --enable-cgi --enab le-cgid --enable-modules=most --enable-mods-shared=most --enable- mpms-share=all --with-apr=/usr/local/apr --with-apr-util=/usr/local/apr-util --enable-deflate make -j 6 && make install ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 修改httpd配置文件,添加如下两行 AddType application/x-httpd-php .php AddType application/x-httpd-php-source .phps 定位至DirectoryIndex index.htm DirectoryIndex index.php index.html 注释掉主服务的站点目录 #DocumentRoot "/data/program/apache2/htdocs" 开启虚拟主机需要加载 Include conf/extra/httpd-vhosts.conf LoadModule log_config_module modules/mod_log_config.so 添加虚拟主机