linux常见操作命令及sudo配置服务升级手册.docx
- 文档编号:29361148
- 上传时间:2023-07-22
- 格式:DOCX
- 页数:15
- 大小:48.24KB
linux常见操作命令及sudo配置服务升级手册.docx
《linux常见操作命令及sudo配置服务升级手册.docx》由会员分享,可在线阅读,更多相关《linux常见操作命令及sudo配置服务升级手册.docx(15页珍藏版)》请在冰豆网上搜索。
linux常见操作命令及sudo配置服务升级手册
版本号:
1.0
操作指引LINUX
目录
1.前言3
1.1目的3
1.2范围3
2.概述3
3.操作说明3
3.1查看系统性能常用命令3
1.常用命令概括3
2.查看设备硬件信息10
3.2系统安全11
3.2.1禁用ctrl+alt+del热键11
3.2.2grup密码设置11
3.2.3密码策略11
3.2.4文件安全12
3.2.5sudo配置12
3.3服务升级13
1.前言
1.1目的
该手册旨在总结LINUX常用命令的一些参数,系统安全常用规范
1.2范围
SUSE,REDHATLinux系统
2.概述
3.操作说明
3.1查看系统性能常用命令
1.常用命令概括
#uname-a #查看内核/操作系统/CPU信息
#head-n1/etc/issue #查看操作系统版本
#cat/proc/cpuinfo #查看CPU信息
#hostname #查看计算机名
#lsmod #列出加载的内核模块
#env #查看环境变量资源
#free-m #查看内存使用量和交换区使用量
#df-h #查看各分区使用情况
#du-sh #查看指定目录的大小
#grepMemTotal/proc/meminfo #查看内存总量
#grepMemFree/proc/meminfo #查看空闲内存量
#uptime #查看系统运行时间、用户数、负载
#cat/proc/loadavg #查看系统负载磁盘和分区
#mount|column-t #查看挂接的分区状态
#fdisk-l #查看所有分区
#swapon-s #查看所有交换分区
#hdparm-i/dev/hda #查看磁盘参数(仅适用于IDE设备)
#ifconfig #查看所有网络接口的属性
#iptables-L --line-numbers #查看防火墙设置
#route-n #查看路由表
#netstat-lntp #查看所有监听端口
#netstat-antp #查看所有已经建立的连接
#netstat-s #查看网络统计信息进程
#ps-ef #查看所有进程
#top #实时显示进程状态用户
#w #查看活动用户
#id #查看指定用户信息
#last #查看用户登录日志
#crontab-l #查看当前用户的计划任务服务
#chkconfig–list #列出所有系统服务
#chkconfig–list|grepon #列出所有启动的系统服务程序
#rpm-qa #查看所有安装的软件包
1.2Top命令各参数详解
top
top[-][d][p][q][c][C][S][s][n]
1、参数说明
d指定每两次屏幕信息刷新之间的时间间隔。
当然用户可以使用s交互命令来改变之。
p通过指定监控进程ID来仅仅监控某个进程的状态。
q该选项将使top没有任何延迟的进行刷新。
如果调用程序有超级用户权限,那么top将以尽可能高的优先级运行。
S指定累计模式
s使top命令在安全模式中运行。
这将去除交互命令所带来的潜在危险。
i使top不显示任何闲置或者僵死进程。
c显示整个命令行而不只是显示命令名
2、其他扩展参数:
下面介绍在top命令执行过程中可以使用的一些交互命令。
从使用角度来看,熟练的掌握这些命令比掌握选项还重要一些。
这些命令都是单字母的,如果在命令行选项中使用了s选项,则可能其中一些命令会被屏蔽掉。
Ctrl+L擦除并且重写屏幕。
h或者?
显示帮助画面,给出一些简短的命令总结说明。
k终止一个进程。
系统将提示用户输入需要终止的进程PID,以及需要发送给该进程什么样的信号。
一般的终止进程可以使用15信号;如果不能正常结束那就使用信号9强制结束该进程。
默认值是信号15。
在安全模式中此命令被屏蔽。
i忽略闲置和僵死进程。
这是一个开关式命令。
q退出程序。
r重新安排一个进程的优先级别。
系统提示用户输入需要改变的进程PID以及需要设置的进程优先级值。
输入一个正值将使优先级降低,反之则可以使该进程拥有更高的优先权。
默认值是10。
S切换到累计模式。
s改变两次刷新之间的延迟时间。
系统将提示用户输入新的时间,单位为s。
如果有小数,就换算成ms。
输入0值则系统将不断刷新,默认值是5s。
需要注意的是如果设置太小的时间,很可能会引起不断刷新,从而根本来不及看清显示的情况,而且系统负载也会大大增加。
f或者F从当前显示中添加或者删除项目。
o或者O改变显示项目的顺序。
l切换显示平均负载和启动时间信息。
m切换显示内存信息。
t切换显示进程和CPU状态信息。
c切换显示命令名称和完整命令行。
M根据驻留内存大小进行排序。
P根据CPU使用百分比大小进行排序。
T根据时间/累计时间进行排序。
W将当前设置写入~/.toprc文件中。
这是写top配置文件的推荐方法。
1.3vmstat命令详解
procs
r列表示运行和等待cpu时间片的进程数,如果长期大于CPU的个数,说明cpu不足,需要增加cpu。
b列表示在等待资源的进程数,比如正在等待I/O、或者内存交换等。
memory
swpd切换到内存交换区的内存数量(k表示)。
如果swpd的值不为0,或者比较大,比如超过了100m,只要si、so的值长期为0,系统性能还是正常
free当前的空闲页面列表中内存数量(k表示)
buff作为buffercache的内存数量,一般对块设备的读写才需要缓冲。
cache:
作为pagecache的内存数量,一般作为文件系统的cache,如果cache较大,说明用到cache的文件较多,如果此时IO中bi比较小,说明文件系统效率比较好。
swap
si由内存进入内存交换区数量。
so由内存交换区进入内存数量。
IO
bi从块设备读入数据的总量(读磁盘)(每秒kb)。
bo块设备写入数据的总量(写磁盘)(每秒kb)
这里我们设置的bi+bo参考值为1000,如果超过1000,而且wa值较大应该考虑均衡磁盘负载,可以结合iostat输出来分析。
system显示采集间隔内发生的中断数
in列表示在某一时间间隔中观测到的每秒设备中断数。
cs列表示每秒产生的上下文切换次数,如当cs比磁盘I/O和网络信息包速率高得多,都应进行进一步调查。
cpu表示cpu的使用状态
us列显示了用户方式下所花费CPU时间的百分比。
us的值比较高时,说明用户进程消耗的cpu时间多,但是如果长期大于50%,需要考虑优化用户的程序。
sy列显示了内核进程所花费的cpu时间的百分比。
这里us+sy的参考值为80%,如果us+sy大于80%说明可能存在CPU不足。
wa列显示了IO等待所占用的CPU时间的百分比。
这里wa的参考值为30%,如果wa超过30%,说明IO等待严重,这可能是磁盘大量随机访问造成的,也可能磁盘或者磁盘访问控制器的带宽瓶颈造成的(主要是块操作)。
id列显示了cpu处在空闲状态的时间百分比
vmstat命令输出分成六个部分:
(1)进程procs:
r:
在运行队列中等待的进程数。
b:
在等待io的进程数。
(2)内存memoy:
swpd:
现时可用的交换内存(单位KB)。
free:
空闲的内存(单位KB)。
buff:
缓冲去中的内存数(单位:
KB)。
cache:
被用来做为高速缓存的内存数(单位:
KB)。
(3)swap交换页面
si:
从磁盘交换到内存的交换页数量,单位:
KB/秒。
so:
从内存交换到磁盘的交换页数量,单位:
KB/秒。
(4)io块设备:
bi:
发送到块设备的块数,单位:
块/秒。
bo:
从块设备接收到的块数,单位:
块/秒。
(5)system系统:
in:
每秒的中断数,包括时钟中断。
cs:
每秒的环境(上下文)切换次数。
(6)cpu中央处理器:
cs:
用户进程使用的时间。
以百分比表示。
sy:
系统进程使用的时间。
以百分比表示。
id:
中央处理器的空闲时间。
以百分比表示。
1.4iostat命令详解
用途
报告中央处理器(CPU)统计信息和整个系统、适配器、tty设备、磁盘和CD-ROM的输入/输出统计信息。
语法
iostat[-x][-t][-d|-k][-m][PhysicalVolume...][Interval[Count]]
-d标志,指定显示指定的设备,不指定的话表示显示所有的磁盘及所有的分区
-t,在屏幕中打印时间
-m,以MB单位显示输出
-k,以KB单位显示输出
-x,显示扩展信息(详细信息)
PhysicalVolume参数,那么可以指定一个或者更多的字母或者字母数字的物理卷。
Interval参数指定了在每个报告之间的以秒计算的时间量。
Count参数,它的记数值就确定在Interval秒间生成的报告
#Iostat–x1
rrqm/s:
每秒进行merge的读操作数目。
wrqm/s:
每秒进行merge的写操作数目。
减少磁盘寻道时间
r/s:
经过合并后每秒完成的读I/O设备次数。
w/s:
经过合并每秒完成的写I/O设备次数。
rsec/s:
每秒读扇区数。
wsec/s:
每秒写扇区数。
avgrq-sz:
平均每次设备I/O操作的数据大小(扇区)。
avgqu-sz:
平均I/O队列长度。
await:
平均每次设备I/O操作的等待时间(毫秒)。
此时间包括io排队的时间
svctm:
平均每次设备I/O操作的服务时间(毫秒)。
表示花寻道时的时间
%util:
一秒中CPU有百分之多少的时间用于I/O操作,或者说一秒中有多少时间I/O队列是非空的。
注:
如果%util接近100%,说明产生的I/O请求太多,I/O系统已经满负荷,该磁盘可能存在瓶颈。
svctm一般要小于await(因为同时等待的请求的等待时间被重复计算了),svctm的大小一般和磁盘性能有关,CPU/内存的负荷也会对其有影响,请求过多也会间接导致svctm的增加。
await的大小一般取决于服务时间(svctm)以及I/O队列的长度和I/O请求的发出模式。
如果svctm比较接近await,说明I/O几乎没有等待时间;如果await远大于svctm,说明I/O队列太长,应用得到的响应时间变慢,如果响应时间超过了用户可以容许的范围,这时可以考虑更换更快的磁盘,调整内核elevator算法,优化应用,或者升级CPU。
队列长度(avgqu-sz)也可作为衡量系统I/O负荷的指标,但由于avgqu-sz是按照单位时间的平均值,所以不能反映瞬间的I/O洪水
I/O调度算法是各个进程竞争磁盘I/O的时候担当了裁判的角色。
他要求请求的次序和时机做最优化的处理,以求得尽可能最好的整体I/O性能。
在linux下面列出4种调度算法
CFQ(CompletelyFairQueuing完全公平的排队)(eleva问tor=cfq):
这是默认算法,对于通用服务器来说通常是最好的选择。
它试图均匀地分布对I/O带宽的访。
在多媒体应用,总能保证audio、video及时从磁盘读取数据。
但对于其他各类应用表现也很好。
每个进程一个queue,每个queue按照上述规则进行merge和sort。
进程之间roundrobin调度,每次执行一个进程的4个请求。
Deadline(elevator=deadline):
小文件的应用(1k)
这个算法试图把每次请求的延迟降至最低。
该算法重排了请求的顺序来提高性能。
NOOP(elevator=noop):
这个算法实现了一个简单FIFO队列。
他假定I/O请求由驱动程序或者设备做了优化或者重排了顺序(就像一个智能控制器完成的工作那样)。
在有些SAN环境下,这个选择可能是最好选择。
适用于随机存取设备,noseekcost,非机械可随机寻址的磁盘。
Anticipatory(elevator=as):
这个算法推迟I/O请求,希望能对它们进行排序,获得最高的效率。
同deadline不同之处在于每次处理完读请求之后,不是立即返回,而是等待几个微妙在这段时间内,任何来自临近区域的请求都被立即执行.超时以后,继续原来的处理.基于下面的假设:
几个微妙内,程序有很大机会提交另一次请求.调度器跟踪每个进程的io读写统计信息,以获得最佳预期.
linux中IO调度方法的查看和设置的方法
查看当前IO
cat/sys/block/{DEVICE-NAME}/queue/scheduler
cat/sys/block/sd*/queue/scheduler
例:
输出结果如下
noopanticipatorydeadline[cfq]
设置当前IO
echo{SCHEDULER-NAME}>/sys/block/{DEVICE-NAME}/queue/scheduler
echonoop>/sys/block/hda/queue/scheduler
对IO调度使用的建议
DeadlineI/Oscheduler使用轮询的调度器,简洁小巧,提供了最小的读取延迟和尚佳的吞吐量,特别适合于读取较多的环境(比如数据库,Oracle10G之类).
AnticipatoryI/Oscheduler假设一个块设备只有一个物理查找磁头(例如一个单独的SATA硬盘),将多个随机的小写入流合并成一个大写入流,用写入延时换取最大的写入吞吐量.适用于大多数环境,特别是写入较多的环境(比如文件服务器)Web,App等应用我们可以采纳as调度.
CFQI/Oscheduler使用QoS策略为所有任务分配等量的带宽,避免进程被饿死并实现了较低的延迟,可以认为是上述两种调度器的折中.适用于有大量进程的多用户系统
linux启动时设置默认IO调度,让系统启动时就使用默认的IO方法,只需在grub.conf文件中加入类似如下行
#vim/boot/grub/grub.conf
kernel/vmlinuz-2.6.24roroot=/dev/sda1elevator=deadline
2.查看设备硬件信息
查看CPU信息:
cat/proc/cpuinfo或top1
查看内存信息:
cat/proc/meminfo
cat/proc/version:
查看版本,类似uname–r
cat/proc/ioports:
查看设备io端口
cat/proc/partitions:
查看硬盘和分区
查看系统硬盘信息和使用情况:
fdisk&disk-l&df
dmidecode查看硬件信息,包括bios、cpu、内存等信息
mii-tool网卡名称,查看网卡状态
3.2系统安全
3.2.1禁用ctrl+alt+del热键
#vim/etc/inittab
#ca:
:
ctrlaltdel:
/sbin/shutdown-t3-rnow//注释掉
#initq--让更改的配置马上生效,不需要重启服务器。
3.2.2grup密码设置
密码设置行的位置
全局部分(第一个“title”之前)
系统引导参数部分(每个“title”部分之后)
#vi/boot/grub/grub.conf
default=0
timeout=5
splashimage=(hd0,0)/grub/splash.xpm.gz
password--md5xxxxxxxxx//修改启动菜单时需要输入此密码,grup-md5-crypt加密后值
titleRedHatEnterpriseLinuxServer(2.6.18-8.el5)
root(hd0,0)
……
3.2.3密码策略
1.检查系统中有无空密码账号:
#awk-F:
'($2==""){print}'/etc/shadow
#awk-F:
'($2==""){print}'/etc/passwd
2.检查系统中有无多余的管理员账号:
#awk-F:
'($3=="0"){print}'/etc/passwd
3.设置账号的属性:
账号的过期时间设置:
#usermod-e2015-10-1username--修改一个已经存在的账号的过期时间
#useradd-e2015-10-1username--在新建用户时指定过期时间
#chage-M30-m7-W7-I3userName
#chage-d0userName
-M多长时间改一次密码
-m修改密码的最小间隔
-W密码过期警告时间
-I密码过期延时时间
-d定义最一次修改密码的时间,-d0从来都没改过密码,所以第一次登录时需要修改密码
4.检查程序用户的登录Shell是否异常
#awk-F:
'$7!
="/sbin/nologin"{print$1,$7}'/etc/passwd
3.2.4文件安全
锁定重要文件的i(inode)节点
chattr命令、lsattr命令
#chattr+i/etc/passwd--完全锁定inode
#useraddusername
useradd:
无法打开密码文件
#lsattr/etc/passwd
----i--------/etc/passwd
#chattr+-a/file--只锁定旧inode与block的对应关系,允许追加新的block
建议加锁的文件:
/boot/grub/grub.conf
/etc/passwd
/etc/shadow
/etc/sudoers
3.2.5sudo配置
sudo--权限最小化,只分配指定权限而且不需要知道目标用户(root)的密码,最有效的权限分割
以下2种方法都可以编辑/etc/sudoers文件
#visudo--使用专业工具修改配置文件,可以检查语法错误,不需要强制就能保存
#vim/etc/sudoers--直接编辑配置文件,这种不能检查配置文件的语法问题,而且需要强制保存
配置文件的格式:
rootALL=(ALL)ALL
授予用户登录linux客户的源地址用户身份命令
组:
%
常用命令选项:
sudo-l查看允许执行的命令列表
sudo-k清除用户密码验证的时间戳
sudo-v重新校验密码
sudols通过sudo执行命令(sudo命令行)
sudo通配符:
*Matchesanysetofzeroormorecharacters.
?
Matchesanysinglecharacter.
[...]Matchesanycharacterinthespecifiedrange.
[0-9]
[abc]
[a-Z]
[0-9]
[1-2][0-9]10-29
[!
...]Matchesanycharacternotinthespecifiedrange.
例如:
用户管理的权限:
1、能新建和删除用户
2、能够设置密码,过期时间
3、能将用户加入某个组,或者从组里边清出去
#visudo
u01ALL=/usr/sbin/useradd,/usr/sbin/userdel,/usr/sbin/usermod,/usr/bin/chage,/usr/bin/passwd
3.3服务升级
举例:
SSH服务升级
服务升级主要考虑
1.如果升级不成功,有没有应对措施
2.升级时是否关联到其它软件包,有无影响
3.如果失败怎么恢复
以下为操作指引,需测试成功后再实施
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- linux 常见 操作 命令 sudo 配置 服务 升级 手册