inode 与 block
恢复误删除的文件(EXT类型)
xfs类型文件备份和恢复
日志文件
Linux文件系统
inode 与 block的概述
inode:(索引节点)
- 存储文件元信息( 比如文件的创建者、创建日期、文件大小、文件权限等)的区域就叫做inode
- 中文译名为“索引节点”,也叫i节点;
- 用于存储文件元信息
- inode不包含文件名。文件名是存放在目录当中
block:(块)
- 连续的八个扇区组成一个block(4k);
- 是文件存取的最小单位
- 操作系统读取硬盘的时候,是一次性连续读取多个扇区,即一个块一个块的读取
文件数据包括元信息与实际信息;
文件存储在硬盘上,硬盘最小存储单位是“扇区”,每个扇区存储512字节
一个文件必须占用一个inode, 并且至少占用一个block
inode和block的关系
- Linux 系统中一切皆文件,因此目录也是一种文件
- 每个inode都有一个号码,操作系统用inode号码来识别不同的文件。Linux 系统内部不使用文件名,而使用inode号码来识别文件。对于系统来说,文件名只是inode号码便于识别的别称,文件名和inode号码是一 一对应关系, 每个inode号码对应一个文件名
- 当用户在Linux系统中试图访问一个文件时,系统会先根据文件名去查找它对应的inode号码;通过inode号码, 获取inode信息;根据inode信息,看该用户是否具有访问这个文件的权限; 如果有,就指向相对应的数据block,并读取数据
inode的内容
inode包含文件的元信息
- 文件的字节数
- 文件拥有者的User ID
- 文件的Group ID
- 文件的读、写、执行权限
- 文件的时间戳
- ……
用stat命令可以查看某个文件的inode信息
示例:stat aa.txt
Linux系统文件三个主要的时间属性
- ctime(change time):最后一次改变文件或目录(属性)的时间
- atime(access time):最后一次访问文件或目录的时间
- mtime(modify time):最后一次修改文件或目录(内容)的时间
用户通过文件名打开文件时,系统内部的过程
- 系统找到这个文件名对应的inode号码
- 通过inode号码, 获取inode信息
- 根据inode信息,找到文件数据所在的block,读出数据
inode的大小
- inode也会消耗硬盘空间:每个inode的大小一般是128字节或者256字节;
- 格式化文件系统时确定inode的总数;
- 使用
df -i
命令可以查看每个硬盘分区的inode总数和已经使用的数量
inode特点
由于inode 号码与文件名分离,导致Linux系统具备以下几种特有的现象:
- 文件名包含特殊字符,可能无法正常删除。这时直接删除inode,能够起到删除文件的作用;
- 移动文件或重命名文件,只是改变文件名,不影响inode 号,但是复制的话,会生成一个新的inode号
- 打开一个文件以后,系统就以inode号码来识别这个文件,不再考虑文件名。
- 文件数据被修改保存后,会生成一个新的inode 号码
通过inode删除文件的方法
find ./ -inum inode号 -exec rm -rf {} \;
find ./ -inum inode号 -delete
find ./ -inum inode号 | xargs rm -rf
恢复误删除的文件(EXT类型)
extundelete是一个 开源的Linux数据恢复工具, 支持ext3、 ext4文件系统。 (ext4只能在centos6版 本恢复)
#使用fdisk创建分区/dev/sdc1,格式化ext3文件系统
fdisk /dev/sdb
partprobe /dev/sdb
mkfs.ext3 /dev/ sdb1
mkdir /data
mount /dev/sdb1 /data
df -hT
#安装依赖包
yum -y install e2fsprogs-devel e2 fsprogs-libs
#编译安装extundelete
cd /opt
wget http: //nchc.dl.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar.bz2
tar jxvf extundelete-0.2.4.tar.bz2
cd extundelete-0.2.4/
./configure --prefix=/usr/ local/jz/ && make && make install
ln -s /usr/ local/jz/bin/* /usr/bin/
模拟删除并执行恢复操作
cd /data
echo 111 > 123.txt
echo 222 > 234.txt
echo 333 > 456.txt
ls
extundelete /dev/sdb1 --inode 2 #查看文件系统/dev/sdc1下存在哪些文件,i节点是从2开始的,2代表该文件系统最开始的目录
rm-rf 123.txt 234.txt 456.txt
extundelete /dev/sdd1 -- inode 2
cd ~
umount /data/
extundelete /dev/sdb1 --restore-all #恢复/dev/sdc1文件系统下的所有内容
#在当前目录下会出现一-个RECOVERED_ FILES/目录,里面保存了已经恢复的文件
ls RECOVERED_FILES/</code>
xfs类型文件备份和恢复
- Centos 7系统默认采用xfs类型的文件,xfs类型的文件可使用xfsdump 与xfsrestore 工具进行备份恢复。
- xfsdump的备份级别有两种: 0表示完全备份; 1-9表示增量备份。xfsdump的备份级别默认为0。
xfsdump的命令格式
xfsdump -f 备份存放位置 要备份的路径或设备文件
常用选项
- -f:指定备份文件目录
- -L:指定标签session label
- -M:指定设备标签media label
- -S:备份单个文件,-s后面不能直接跟路径
xfsdump使用限制:
- 只能备份已挂载的文件系统
- 必须使用root的权限才能操作
- 只能备份XFS文件系统
- 备份后的数据只能让xfsrestore解析
- 不能备份两个具有相同UUID的文件系统(可用blkid命令查看)
操作步骤
#使用fdisk创建分区/dev/sdb1,格式化xfs文件系统
fdisk /dev/ sdb
partprobe /dev/ sdb
mkfs.xfs [-f] /dev/ sdb1
mkdir /data
mount /dev/ sdb1 /data/
cd /data
cp /etc/passwd ./
mkdir test
touch test/a
#使用xfsdump 命令备份整个分区
rpm -qa| grep xfsdump
yum install -y xfsdump
xfsdump -f /opt/dump_sdb1 /dev/sdb1 [-L dump sdb1 -M sdb1 ]
#模拟数据丢失并使用 x fsrestore 命令恢复文件
cd /data/
rm -rf ./*
ls
xfsrestore -f /opt/dump_ sdb1 /data/
日志文件
日志的功能
? 用于记录系统、程序运行中发生的各种事件
? 通过阅读日志,有助于诊断和解决系统故障
内核及系统日志
- 由系统服务rsyslog统一进行管理 ,日志格式基本相似
- 主配置文件/etc/rsyslog.conf
用户日志.
- 记录系统用户登录及退出系统的相关信息
程序日志
- 由各种应用程序独立管理的日志文件,记录格式不统一
日志保存位置
- 内核及系统日志由系统服务rsyslog 统一管理,主配置文件为/etc/rsyslog.conf
- LINUX操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/log/下
主要日志文件介绍
-
内核及公共消息日志:/var/log/messages
记录Linux内核消息及各种应用程序的公共日志信息,包括启动、Io错误、网络错误、程序故障等
对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息
- 计划任务日志:/var/log/cron
记录crond计划任务产生的事件信息
-
系统引导日志:/var/log/dmesg
记录Linux系统在引导过程中的各种事件信息
-
邮件系统日志:/var/log/maillog
记录进入或发出系统的电子邮件活动 -
用户登录日志:
/var /log/lastlog 记录每个用户最近的登录事件,二进制格式
/var/log/secure 记录用户认证相关的安全事件信息
/var/log/wtmp 记录每个用户登录、注销及系统启动和停机事件,二进制格式
/var/run/btmp 记录失败的、错误的登录尝试及验证事件,二进制格式
日志配置文件
vim /etc/rsyslog.conf #查看rsyslog.conf配置文件
* . info;mail.none;authpriv.none;cron.none /var/log/messages
*.info #表示info等级及以上的所有等级的信息都写到对应的日志文件里
mail.none #表示某事件的信息不写到日志文件里(这里比如是邮件)
Linux系统内核日志消息的优先级别(数字等级越小,优先级越高,消息越重要)
级别 | 消息 | 级别 | 具体描述 |
0 | EMERG | 紧急 | 会导致主机系统不可用的情况 |
1 | ALERT | 警告 | 必须马上采取措施解决的问题 |
2 | CRIT | 严重 | 比较严重的情况 |
3 | ERR | 错误 | 运行出现错误 |
4 | WARNING | 提醒 | 可能影响系统功能,需要提醒用户的重要事件 |
5 | NOTICE | 注意 | 不会影响正常功能,但是需要注意的事件 |
6 | INFO | 信息 | 一般信息 |
7 | DEBUG | 调试 | 程序或系统调试信息等 |
日志记录的一般格式
分析工具
-
users、who、 W、last、 lastb
-
last命令用于查询成功登录到系统的用户记录
-
lastb命令用于查询登录失败的用户记录
程序日志分析:由相应的应用程序独立进行管理
Web服务:/var/log/httpd/
- access_log ——记录客户访问事件
- error_log ——记录错误事件
代理服务:/var/log/squid/
- access.log、cache.log
分析工具
- 文本查看、grep过来检索、Webmin管理套件中查看
- awk、sed等文本过滤、格式化编辑工具
- Webalizer、Awstats等专用日志分析工具
日志管理策略
及时做好备份和归档
延长日志保存期限
控制日志访问权限
- 日志中可能会包含各类敏感信息,如账户和口令等
集中管理日志
- 将服务器的日志文件发到统一-的日志文件服务器
- 便于日志信息的统- -收集、 整理和分析
- 杜绝日志信息的意外丢失、恶意篡改或删除