extundelete
[root@xuegod63 ~]# lsof -p 43641 #一般用于查看木马进程,在读哪些文件
[root@xuegod63 ~]# lsof -i :22 #用于查看端口,或查看黑客开启的后门端口是哪个进程在使用
原理汇总
电源-bios引导(硬件初始化)-MBR引导(读取分区信息)-grub2引导(加载内核)-内核(内核初始化)-systemd初始(守护进程选择启动级别)
默认启动级别
systemctl set-default name.target 3
systemctl set-default graphical.target 5
vim /etc/default/grub 修改内核启动顺序
ip 4层协议
网络接口(arp协议)-网络ip层(ICMP)-传输层(tcp udp)-应用层
主从同步
是master将数据库的改变写入二进制日志,slave同步这些二进制日志,并根据这些二进制日志进行数据操作
读写分离
让主数据库处理增、改、删操作(INSERT、UPDATE、DELETE),从数据库处理SELECT查询操作。数据一致性通过主从同步
keeplied
vrrp协议 虚拟路由冗余协议
3层通过ping检测主机情况调度
4层通过tcp端口检测主机情况调度
5层就是工作在具体的应用层了,比 Layer3,Layer4 要复杂一点,在网络上占用的带宽也要大一些
lvs dr模式
1)接收client的请求,根据你设定的负载均衡算法选取一台realserver的ip;
2)以选取的这个ip对应的mac地址作为目标mac,然后重新将IP包封装成帧转发给这台RS;(rs配置lo回环ip)
3)在hash table中记录连接信息。
数据包、数据帧的大致流向是这样的:client --> VS --> RS --> client
echo '1' > /proc/sys/net/ipv4/conf/lo/arp_ignore #只应答网卡接口的数据
echo '2' > /proc/sys/net/ipv4/conf/lo/arp_announce #不宣布ip的存在
realserver 内部路由到lo口的vip以本机内
大二层可以不用同一物理网段
删除文件的原理:实际就是将文件名到inode的链接删除了
TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接(syn请求建立连接 ack确认建立连接回复的时候对方的syn+1)
(1)第一次握手:建立连接时,客户端A发送SYN包(SYN=j)到服务器B,并进入SYN_SEND状态,等待服务器B确认。
(2)第二次握手:服务器B收到SYN包,必须确认客户A的SYN(ACK=j+1),同时自己也发送一个SYN包(SYN=k),即SYN+ACK包,此时服务器B进入SYN_RECV状态。
(3)第三次握手:客户端A收到服务器B的SYN+ACK包,向服务器B发送确认包ACK(ACK=k+1),此包发送完毕,客户端A和服务器B进入ESTABLISHED状态,完成三次握手。
完成三次握手,客户端与服务器开始传送数据。
4次挥手断开连接(FIN关闭连接请求)
(1)客户端A发送一个FIN,用来关闭客户A到服务器B的数据传送。
(2)服务器B收到这个FIN,它发回一个ACK,确认序号为收到的序号加1。和SYN一样,一个FIN将占用一个序号。
(3)服务器B关闭与客户端A的连接,发送一个FIN给客户端A。
(4)客户端A发回ACK报文确认,并将确认序号设置为收到序号加1。
netstat -anutp
-a, --all 显示本机所有连接和监听的端口
-n, --numeric don't resolve names 以数字形式显示当前建立的有效连接和端口
-u 显示udp协议连接
-t 显示tcp协议连接
-p, --programs 显示连接对应的PID与程序名
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout #通过缩短时间time_wait时间来快速释放链接默认60秒
http://ssa.yundun.com/cc
编辑配置文件 vim /etc/rsyslog.conf
*.info;mail.none;authpriv.none;cron.none /var/log/messages
authpriv.* /var/log/secure
mail.* -/var/log/maillog
cron.* /var/log/cron
*.emerg :omusrmsg:*
uucp,news.crit /var/log/spooler
local7.* /var/log/boot.log
/var/log/message 系统启动后的信息和错误日志,是Red Hat Linux中最常用的日志之一
/var/log/secure 与安全相关的日志信息
/var/log/maillog 与邮件相关的日志信息
/var/log/cron 与定时任务相关的日志信息
/var/log/spooler 与UUCP和news设备相关的日志信息
/var/log/boot.log 守护进程启动和停止相关的日志消息
/var/log/wtmp 该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件
debug 信息对开发人员调试应用程序有用,在操作过程中无用
info 正常的操作信息,可以收集报告,测量吞吐量等
. info 大于等于info级别的信息全部记录到某个文件
.=级别 仅记录等于某个级别的日志例:.=info 只记录info级别的日志
.! 级别 除了某个级别意外,记录所有的级别信息例.!err 除了err外记录所有
.none 指的是排除某个类别 例: mail.none 所有mail类别的日志都不记录
误删日志恢复部分记录
rm /var/log/messages
[root@localhost ~]# lsof | grep /var/log/messages
rsyslogd 732 root 3w REG 253,0 18720 70201566 /var/log/messages (deleted)
in:imjour 732 738 root 3w REG 253,0 18720 70201566 /var/log/messages (deleted)
rs:main 732 751 root 3w REG 253,0 18720 70201566 /var/log/messages (deleted)
[root@localhost ~]# cat /proc/732/fd/3 > /var/log/messages
proc目录重要文件整理
进程号
sys系统内核信息-net ip内核信息
devices
cpuinfo
meminfo
/proc/net/arp -arp解析信息