linux系统安全与日志分析
目录
inode和block
Linux系统文件三个主要的时间属性
inode值和软链接硬链接
ln与ln -s的区别
inode和block
文件数据包括元信息与实际数据
文件存储在硬盘上,硬盘最小存储单位是“扇区”,每个扇区存储512字节
block(块)
连续的8个扇区组成一个block,是文件存取的最小单位,block一个块最小4k
inode(索引节点)
中文译名为“索引节点”,也叫i节点,用于存储文件元信息
一个文件会占用一个Inode(不包含文件名)至少一个block块
inode包含文件的元信息(文件属性)
文件的字节数
文件拥有者的User ID
文件的Group ID
文件的读、写、执行权限;
文件的时间戳
inode节点:(文件属性:文件大小、权限、时间戳)
block块:数据文件即编写文件内容大小
文件数据存在于块中
文件元信息存在于inode
查看文件inode值命令
stat 1.txt df -i ls -i
Linux系统文件三个主要的时间属性
atime(access time ) 最后一次访问文件或目录的时间
mtime(modify time) 最后一次修改文件或目录(内容)的时间
ctime(change time) 最后一次改变文件或目录(属性)的时间
目录文件的结构
1、每个iNode都有一个号码,操作系统用iNode号码来识别不同的文件
2、linux系统内部不使用文件名,而使用iNode号码来识别文件
3、对于用户,文件名只是iNode号码便于识别的别称
注:cp之后是一个文件,所以iNode值会改变
mv移动文件不会改变iNode值,但是mv到其他盘里会改变iNode值
vim编辑时,相当于一个新文件覆盖老文件,所以iNode节点号改变
进入vim之后不管有没有编辑信息,只要wq保存退出了,iNode值就会改变
用户访问文件时,系统找到这个文件名对应的iNode号码,判断用户是否有权限,若有权限则通过iNode值,获取iNode信息,根据iNode信息,找到文件数据所在的block,读取数据;若没有权限则会给出拒绝访问回馈。
inode的大小
inode也会消耗硬盘空间,inode也会消耗硬盘空间,所以硬盘格式化的时候,操作系统自动将硬盘分成两个区域。一个是数据区,存放文件数据;另一个是inode区(inode table),存放inode所包含的信息。
每个inode的大小一般是128字节或256字节,inode节点的总数,在格式化时就给定,一般是每1KB或每2KB就设置一个inode假定在一块1GB的硬盘中,每个inode节点的大小为128字节,每1KB就设置一个inode,那么inode table的大小就会达到128MB,占整块硬盘的12.8%。
格式化文件系统时确定inode的总数
使用df -i命令可以查看每个硬盘分区的inode总数和已经使用的数量
可能出现的问题
由于每个文件都必须有一个inode,因此有可能发生inode已经用光,但是硬盘还未存满的情况。这时,就无法在硬盘上创建新文件,这个时候就需要先把没用的文件给删除,释放inode值即可解决问题
inode的特殊作用
由于inode号码与文件名分离,导致一些Unix/Linux系统具有以下的现象
当文件名包含特殊字符,可能无法正常删除文件,直接删除inode,也可以删除文件
移动或重命名文件时,只改变文件名,不影响inode号码
打开一个文件后,系统通过inode号码来识别该文件,不再考虑文件名
文件数据被修改保存后,会生成一个新的inode号码
找到并删除inode
find ./ -inum inode值 -exec rm -i {} \;
find ./ -inum inode值 -delete
inode值和软链接硬链接
当我们在打开一个文件时候,访问顺序是 文件名---inode---再去链接到数据位置
当我们做了软链接。当我们访问软链接的文件名称---软链接的inode----原文件名---原文件的inode---再去链接到数据位置。所以做软链接的inode的值是不一样的
硬链接则是,硬链接的文件名称----原文件inode值-----数据位置
相当于直接硬链接和原文件一样就是这个数据的硬链接,inode值一样。
ln与ln -s的区别
软链接为快捷方式,硬链接为副本
软链接可以跨区域,硬链接不可以
软链接只占用inode的大小,硬链接则与原文件一样大
软链接可以对目录创建,硬链接不行
日志文件
日志的功能:
用于记录系统、程序运行中发生的各种事件
通过阅读日志,有助于诊断和解决系统故障
日志文件的分类:
内核及系统日志
由系统服务rsyslog统一进行管理,日志格式基本相似
用户日志
记录系统用户登录及退出系统的相关信息
程序日志.
由各种应用程序独立管理的日志文件,记录格式不统一
日志保存位置
默认位于: /var/log目录下
主要日志文件介绍
/var/log/messages: 记录Linux内核消息及各种应用程序的公共日志信息,包括启动、IO错误、网络错误、程序故障等。
对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息。
/var/log/cron: 记录crond计划任务产生的事件信息
/var/log/dmesg: 记录Linux系统在引导过程中的各种事件信息。
/var/log/maillog:记录进入或发出系统的电子邮件活动。
/var/log/secure: 记录用户认证相关的安全事件信息。
/var/log/lastlog: 记录每个用户最近的登录事件。二进制格式
/var/log/wtmp: 记录每个用户登录、注销及系统启动和停机事件。二进制格式
/var/run/btmp: 记录失败的、错误的登录尝试及验证事件。二进制格式
Linux系统内核日志消息的优先级别
优先级 消息 级别 具体描述
0 EMERG 紧急 会导致主机系统不可用的情况
1 ALERT 警告 必须马上采取措施解决的问题
2 CRIT 严重 比较严重的情况
3 ERR 错误 运行出现错误
4 WARNING 提醒 可能影响系统功能,需要提醒用户的重要事件
5 NOTICE 注意 下会影响正常功能,但是需要注意的事件
6 INFO 信息 一般信息
7 DEBUG 调试 程序或系统调试信息等
(数字等级越小,优先级越高,消息越重要)
4和3用的多
越是重要的程序或者服务,应该保存优先级越低的日志信息
linux系统安全与日志分析相关推荐
- RV1126 Linux系统开机启动日志分析(开机异常)
DDR Version V1.08 20210825 LPDDR3, 328MHz //ddr类型是LPDDR4X,最高频率2112MHz //DDR 1个通道每个通道1024MB容量,总共1G容量 ...
- Linux系统存储交换机日志
Linux系统存储交换机日志 日志记录是为系统设备在运行过程中报告其运行情况而设的, 为了保证系统正常运行, 解决每一天可能遇到的各种各样的问题, 网络管理员必须认真地读取日志记录.目前公司系 ...
- linux显示 cron 服务是否正在运行_通过Linux系统自带日志监控系统安全
引 言 如今绝大多数网络监控运维服务系统都是基于Linux操作系统开发的,作为一款网络安全检测防护设备,其本身的安全防护也是需要关注的重要环节之一.而几乎所有需要分析的信息均来源于各种日志,日志对于安 ...
- linux系统中的日志管理
Linux系统中的日志管理 1 实验环境 2 journald日志服务 2.1 journalctl命令的用法 2.2 用journald服务永久存放日志 3 rsyslog日志服务 3.1 自定义日 ...
- linux物理内存地址与iomem,一种Linux系统物理内存镜像文件分析方法_4
模块信息,如图7所示,给出了本发明的实施例中 模块结构关系图,modules变量指向某一个已加载模块结构体module地址,所有已加载模 块其module形成一个双向链表,如图7所示,据此可以获取到所 ...
- Windows系统安全登录日志分析工具logonTracer汉化修正版
logonTracer基础使用指南 Windows系统安全登录日志分析工具logonTracer汉化修正版 安装neo4j cd neo4j ./bin/neo4j start 下载logonTrac ...
- 一款好用的Linux系统服务器性能监控分析工具介绍
软件性能测试过程中经常要对服务器性能指标(比如CPU.内存.磁盘IO及网络IO等等)进行监控以分析出软件在此服务器上的性能瓶颈以便进行后续的服务器调优及软件性能优化.下面为大家介绍一款小编认为比较好用 ...
- 10、Linux系统中的日志管理及时间设定
Linux系统中的日志管理 实验环境 一.journald 1.journalctl命令的用法 2.永久存放日志 二.rsyslog 1.自定义日志采集路径 2.日志的远程同步 3.更改日志采集格式 ...
- linux系统安全(二): 日志(转)
为什么80%的码农都做不了架构师?>>> 当我们用上面的方法进行了 Linux 服务器的安装和一些基本的设置后,我们的服务器应该说来是比较安全的.但是总是还会有黑客可以通过各种 ...
最新文章
- Conventions and patterns for multi-platform development
- windows popen 获取不到输出_彻底明白os.system、os.popen、subprocess.popen的用法和区别...
- 团队作业8——测试与发布(Beta阶段)
- 树莓派python_树莓派中如何创建python文件
- leetcode 178. 分数排名(SQL)
- Epson C1100报错“Service Req E511”的处理方法
- 【Python爬虫】Re(正则表达式)库入门
- PLSQL_案例优化系列_明白索引是如何让SQL运行飞快(案例5)
- 资源成本双优化!看 Serverless 颠覆编程教育的创新实践
- [总结]RTMP流媒体技术零基础学习方法
- Spring Batch 4.2.0.M1 发布,批处理应用编写框架
- 拓扑次序(Topological Order)
- gmm聚类python_GMM-实现聚类的代码示例
- Calcite的RelFieldTrimmer简介
- MEMS智能传感器技术的新进展
- 启用计算机的无线同屏,Windows10如何使用无线同屏功能?
- mysql客户端连接10060,Navicat远程连接MySQL出现10060解决办法小结
- python开源库——h5py快速指南
- 计算机组装师分为哪几步,电脑组装主要需要学习哪几个方面?难学吗?
- 【毕业设计】【期末作业】新闻发布系统(php+mysql)