1. inode与block概述
2. inode的内容
3. inode的大小
4. 链接文件
5. inode节点耗尽故障处理
6. 恢复EXT类型文件
7. xfs类型文件修复
8. 日志文件
1. inode与block概述
文件数据包括元信息(类似文件属性)与实际数据
- 文件数据存储在“块”中
- 存储文件元信息( 比如文件的创建者、创建日期、文件大小、文件权限等)的区域就叫坐inode
- 一个文件必须占用一个inode, 并且至少占用一个block
文件存储在硬盘上,硬盘最小存储单位是“扇区”(sector),每个扇区存储512字节
block(块)
- 连续的八个扇区组成一个block,一个块大小为4k
- 是文件存取的最小单位
- 操作系统读取硬盘的时候,是一次性连续读取多个扇区,即一个块一个块的读取
inode(索引节点)
- 中文译名为“索引节点”,也叫 i节点
- 用于存储文件元信息
- inode不包含文件名。文件名是存放在目录当中的
每个inode都有一个号码,操作系统用inode号码来识别不同的文件。Linux 系统内部不使用文件名,而使用inode号码来识别文件。对于系统来说,文件名只是inode号码便于识别的别称,文件名和inode号码是一 一对应关系, 每个inode号码对应一个文件名
当用户在Linux系统中试图访问一个文件时,系统会先根据文件名去查找它对应的inode号码;通过inode号码, 获取inode信息;根据inode信息,看该用户是否具有访问这个文件的权限;如果有,就指向相对应的数据block,并读取数据
注:一个文件必须占用一个inode,至少也占用一个block
2. inode的内容
inode包含文件的元信息
- 文件的字节数
- 文件拥有者的User ID
- 文件的Group ID
- 文件的读、写、执行权限
- 文件的时间戳
注:不包含文件名
查看文件的inode信息
用户通过文件名打开文件时,系统内部的过程
- 系统找到这个文件名对应的inode号码
- 通过inode号码,获取inode信息
- 根据inode信息,找到文件数据所在的block,读出数据
1 ls -i 文件名 #查看文件名对应的inode号码 2 stat 文件名 #查看文件inode信息中的inode号码 3 ls -i aa.txt 4 stat aa.txt
Linux系统文件三个主要的时间属性
- ctime(change time)最后一次改变文件或目录(属性)的时间
- 当使用这个文件的时候就会更新这个时间
- atime(access time)最后一次访问文件或目录的时间
- 当修改文件内容数据的时候,就会更新这个时间,而更改权限或者属性,mtime不会改变,这就是和ctime的区别
- mtime(modify time)最后一次修改文件或目录(内容)的时间
- 当修改文件的权限或者属性的时候,就会更新这个时间,ctime并不是create time,更像是change time,只有当更新文件的属性或者权限的时候才会更新这个时间,但是更改内容的话是不会更新这个时间。
目录文件的结构
- 目录也是一种文件
- 目录文件的结构
每个inode都有一个号码,操作系统用inode号码来识别不同的文件
Linux系统内部不使用文件名,而使用inode号码来识别文件
对于用户,文件名只是inode号码便于识别的别称
3. inode的大小
inode也会消耗硬盘空间
- 每个inode的大小
- 一般是128字节或256字节
格式化文件系统时确定inode的总数
查看每个硬盘分区的inode总数和已经使用的数量
inode也会消耗硬盘空间,所以格式化的时候,操作系统自动将硬盘分成两个区域。一个是数据区,存放文件数据;另一个是inode 区,存放inode所包含的信息。
通常情况下不需要关注单个inode的大小,而是需要重点关注inode 总数。inode的总数在格式化时就给定了,执行"df-i"命令即可查看每个硬盘分区对应的的inode总数和已经使用的inode数量。
由于inode号码与文件名分离,导致Linux系统具备以下几种特有的现象
- 文件名包含特殊字符,可能无法正常删除。这时直接删除inode,能够起到删除文件的作用
- 移动文件或重命名文件,只是改变文件名,不影响inode号码
- 打开一个文件以后,系统就以inode号码来识别这个文件,不再考虑文件名
- 文件数据被修改保存后,会生成一个新的inode号码
1 find ./ -inum 67357662 -exec rm -i {} \ ; 2 find ./ -inum 67357667 -delete 3 find ./ -inum 67357669 | xargs rm -rf
4. 链接文件
为文件或目录建立链接文件
链接文件分类
| 软连接 | 硬链接 | |
| 删除原始文件后 | 失效 | 仍旧可用 |
| 使用范围 | 适用于文件或目录 | 只可用于文件 |
| 保存位置 | 与原始文件可以位于不同的文件系统中 |
必须与原始文件在同一个文件系统内 (如一个Linux分区) |
硬链接
In 源文件 目标位置
软链接
In -s 源文件或目录…链接文件或目标位置
5. inode节点耗尽故障处理
1 fdisk /dev/sdb #管理磁盘 2 mkfs.ext3 /dev/sdb #格式化磁盘 3 mkdir /data #创建/目录下sdb1目录,用于挂载 4 mount /dev/sdb1 /data #挂载 5 df -i #查询可用inode号 6 模拟inode节点耗尽 7 for ((i=1;i<=7669;i++));do touch /data$i;done; 8 ↗ ↑ ↖ 9 初始值 变量范围 迭代方式+1 10 df -i 11 df -hT 12 13 rm -rf /data/ * #删除文件恢复 14 df -i 15 df -hT
6. 恢复EXT类型文件
extundelete是一个开源的Linux数据恢复工具, 支持ext3、 ext4文件系统。 (ext4只能在centos6版本恢复)
编译安装extundelete软件包
安装依赖包
1 e2fsprogs-libs-1. 41.12-18.el6.x86_ 64.rpm 2 e2fsprogs-devel-1 .41.12-18.el6.x86_ 64.rpm
配置、编译及安装
extundelete-0.2.4.tar.bz2
1 #使用fdisk创建分区/dev/sdb1,格式化ext3文件系统 2 fdisk /dev/sdb 3 partprobe /dev/sdb 4 mkfs.ext3 /dev/sdb1 5 mkdir /data
6 mount /dev/sdb1 /data 7 df -hT 8 9 #安装依赖包 10 yum -y install e2fsprogs-devel e2fsprogs-libs 11 12 #编译安装extundelete 13 cd /opt 14 wget http: //nchc.dl.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar.bz2 15 16 tar jxvf extundelete-0.2.4.tar.bz2 17 cd extundelete-0.2.4/ 18 ./configure --prefix=/usr/ local/ extundelete && make && make install 19 20 ln -s /usr/ local/extundelete/bin/* /usr/bin/
模拟删除并执行恢复操作
1 cd /data 2 echo a>a 3 echo a>b 4 echo a>c 5 echo a>d 6 ls 7 8 extundelete /dev/sdb1 --inode 2 9 #查看文件系统/dev/sdb1下存在哪些文件,i节点是从2开始的,2代表该文件系统最开始的目录 10 11 rm-rf a b 12 extundelete /dev/sdb1 -- inode 2 13 cd ~ 14 umount /mnt 15 extundelete /dev/sdc1 --restore-all 16 #恢复/dev/sdc1文件系统下的所有内容 17 18 #在当前目录下会出现一个RECOVERED_FILES/目录,里面保存了已经恢复的文件 19 ls RECOVERED_FILES/
7. xfs类型文件修复
CentOS 7 系统默认采用xfs类型的文件,xfs 类型的文件可使用 xfsdump 与 xfsrestore 工具进行备份恢复。
xfsdump 命令常用的选项:
-f:指定备份文件目录
-L:指定标签 session label
-M:指定设备标签 media label
-s:备份单个文件,-s 后面不能直接跟路径
xfsdump使用限制:
- 只能备份已挂载的文件系统
- 必须使用root的权限才能操作
- 只能备份XFS文件系统
- 备份后的数据只能让xfsrestore解析
- 不能备份两个具有相同UUID的文件系统(可用 blkid命令查看)
1 #使用fdisk创建分区/dev/sdb1,格式化xfs文件系统 2 fdisk /dev/sdb 3 partprobe /dev/sdb 4 mkfs.xfs [-f] /dev/sdb1 5 mkdir /data 6 mount /dev/sdb1 /data/ 7 cd /data 8 cp /etc/passwd ./ 9 mkdir test 10 touch test/a 11 12 #使用xfsdump 命令备份整个分区 13 rpm -qa | grep xfsdump 14 yum install -y xfsdump 15 xfsdump -f /opt/dump_sdb1 /dev/sdb1 [-L dump sdb1 -M sdb1 ]不加会手动输入两次 16 17 #模拟数据丢失并使用 x fsrestore 命令恢复文件 18 cd /data/ 19 rm -rf ./* 20 ls 21 22 xfsrestore -f /opt/dump_ sdb1 /data/
8. 日志文件
日志的功能
- 用于记录系统、程序运行中发生的各种事件
- 通过阅读日志,有助于诊断和解决系统故障
日志文件的分类
内核及系统日志
- 由系统服务rsyslog统一进行管理 ,日志格式基本相似
- 主配置文件/etc/rsyslog.conf
用户日志
- 记录系统用户登录及退出系统的相关信息
程序日志
由各种应用程序独立管理的日志文件,记录格式不统一(由开发人员定义)
日志保存位置
默认位于:/var/log目录下
主要日志文件介绍
1 内核及公共消息日志 2 /var/log/messages 3 记录Linux内核消息及各种应用程序的公共日志信息,包括启动、Io错误、网络错误、程序故障等 4 5 对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息 6 7 计划任务日志 8 /var/log/cron 9 记录crond计划任务产生的事件信息 10 11 系统引导日志 12 /var/log/dmesg 13 记录Linux系统在引导过程中的各种事件信息 14 15 邮件系统日志 16 /var/log/maillog 17 记录进入或发出系统的电子邮件活动 18 19 用户登录日志 20 /var /log/lastlog 21 记录每个用户最近的登录事件,二进制格式 22 23 /var/log/secure 24 记录用户认证相关的安全事件信息 25 26 /var/log/wtmp 27 记录每个用户登录、注销及系统启动和停机事件,二进制格式 28 29 /var/run/btmp 30 记录失败的、错误的登录尝试及验证事件,二进制格式
1 vim /etc/rsyslog.conf 2 #查看rsyslog.conf配置文件 3 4 *.info;mail.none; authpriv.none; cron.none 5 /var/log/messages 6 7 *.info 8 #表示info等级及以上的所有等级的信息都写到对应的日志文件里 9 10 mail.none 11 #表示某事件的信息不写到日志文件里(这里比如是邮件)
内核及系统日志
内核及系统日志由系统服务rsyslog统一管理
- 软件包:rsyslog-7.4.7-16.e17.x86_64
- 主要程序:/sbin/rsyslogd
- 主配置文件:/etc/rsyslog.conf
Linux操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/log/
日志级别(越小越优先):
| 级号 | 消息 | 级别 | 说明 |
| 0 | EMERG | 紧急 | 会导致主机系统不可用的情况 |
| 1 | ALERT | 警告 | 必须马上采取措施解决的问题 |
| 2 | CRIT | 严重 | 比较严重的情况 |
| 3 | ERR | 错误 | 运行出现错误 |
| 4 | WARNING | 提醒 | 可能会影响系统动能的事件 |
| 5 | NOTICE | 注意 | 不会影响系统但值得注意 |
| 6 | INFO | 信息 | 一般信息 |
| 7 | DEBUG | 调试 | 程序或系统调试信息等 |
公共日志/var/log/messages文件的记录格式
- 时间标签:信息发出的日期和时间
- 主机名:生成消息的计算机的名称
- 子系统名称:发出消息的应用程序的名称
- 消息:消息的具体内容
用户日志分析
保存了用户登录、退出系统等相关信息
1 /var/log/lastlog: #最近的用户登录事件 2 /var/log/wtmp: #用户登录、注销及系统开、关机事件 3 /var/run/utmp: #当前登录的每个用户的详细信息 4 /var/log/secure: #与用户验证相关的安全性事件
分析工具
1 users、who、w、last、lastb 2 3 last命令 #用于查询成功登录到系统的用户记录 4 lastb命令 #用于查询登录失败的用户记录
程序日志分析
由相应的应用程序独立进行管理
1 Web服务:/var/log/httpd/ 2 3 access_log #记录客户访问事件 4 error_log #记录错误事件
1 代理服务:/var/log/squid/ 2 3 access.log 4 cache.log
分析工具
- 文本查看、grep过滤检索、Webmin管理套件中查看
- awk、sed等文本过滤、格式化编辑工具
- Webalizer、Awstats等专用日志分析工具
日志管理策略
及时做好备份和归档
延长日志保存期限
控制日志访问权限
- 日志中可能会包含各类敏感信息,如账户、口令等
集中管理日志
- 将服务器的日志文件发到统一的日志文件服务器
- 便于日志信息的统一收集、整理和分析
- 杜绝日志信息的意外丢失、恶意篡改或删除