System Network & System Security & System Log (系统网络 & 系统安全 & 系统日志)

April 14, 2024April 14, 2024

[步骤] Linux Kdump 的开启（用于收集内核崩溃时的信息）（CentOS 7 & Rocky Linux 8 & RHEL 7 & RHEL 8 版）

步骤一：开启 Kdump

1.1 确保 crash 和 kernel-debuginfo 两个软件包已安装

# rpm -qa | grep crash || yum install crash ; rpm -qa | grep kernel-debug || yum install kernel-debug

1.2 设置内核崩溃信息的存放位置

# vim /etc/kdump.conf

修改以下内容：

......
/var/crash
......

（
补充：
1) 默认的存放位置是 /var/crash
2) 把这里修改成想要存放内核崩溃信息的目录
3) 为了保险起见存放内核崩溃信息的位置最好有大于内存大小的剩余空间
）

1.3 重新启动 kdump 服务并设置为开机自启

# systemctl restart kdump ; systemctl enable kdump

1.4 确保 kdump 服务已经开启

# systemctl status kdump

（补充：当显示输出结果里包含 operational 或者 Active: active (exited) 时，则说明 Kdump 已经启用）

步骤二：设置收集内核崩溃信息的触发条件

2.1 当内核崩溃时自动收集内核崩溃信息

2.1.1 修改 /etc/sysctl.conf 文件

# vim /etc/sysctl.conf

添加以下内容：

......
kernel.hung_task_panic=1

2.1.2 让修改的 /etc/sysctl.conf 文件生效

# sysctl -p /etc/sysctl.conf

2.1.3 当内核崩溃时，系统会自动收集内核崩溃信息

（步骤略）

2.2 当内核崩溃时使用魔术键收集内核崩溃信息

2.2.1 修改 /etc/sysctl.conf 文件

# vim /etc/sysctl.conf

添加以下内容：

......
kernel.sysrq = 1

2.2.2 让修改的 /etc/sysctl.conf 文件生效

# sysctl -p /etc/sysctl.conf

2.2.3 当内核崩溃时，使用魔术键收集内核崩溃信息

同时先后按下以下三个按键：

ALT + PRINTSCREEN + C

2.3 当内核崩溃时使用硬件发送 NMI 收集内核崩溃信息

2.3.1 修改 /etc/sysctl.conf 文件

# vim /etc/sysctl.conf

添加以下内容：

......
kernel.unknown_nmi_panic = 1
kernel.panic_on_unrecovered_nmi = 1
kernel.panic_on_io_nmi = 1

2.3.2 让修改的 /etc/sysctl.conf 文件生效

# sysctl -p /etc/sysctl.conf

2.3.3 当内核崩溃时，联系硬件技术支持使用硬件发送 NMI 收集内核崩溃信息

（步骤略）

步骤三：手动触发内核崩溃测试 Kdmup

# echo c > /proc/sysrq-trigger

（注意：此操作会造成系统重启）

参考文献：

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/system_design_guide/installing-and-configuring-kdump_system-design-guide
https://access.redhat.com/solutions/916043
https://access.redhat.com/solutions/3698411
https://access.redhat.com/solutions/6038
https://access.redhat.com/solutions/23069

April 12, 2024April 12, 2024

[内容] iptables 防火墙数据接收情况和发出情况的查看

# iptables -nvL

Chain INPUT (policy ACCEPT 5 packets, 500 bytes)
......
Chain FORWARD (policy DROP 0 packets, 0 bytes)
......
Chain OUTPUT (policy DROP 1000 packets, 200K bytes)
......

（
补充：
1) 这里的 policy ACCEPT 5 packets, 500 bytes 是指接收了 5 个数据包和 500 bytes 流量，ACCEPT 是指接收的状态
2) 这里的 policy DROP 1000 packets, 200K bytes 是指发出了 1000 数据包和 200K bytes 流量。DROP 是拒绝的状态
）

March 12, 2024March 12, 2024

[步骤] Linux journal 日志的永久存储

正文：

步骤一：理解 journal 日志存储机制

默认情况下，journal 的日志存储在 /run/log/journal，而 /run 目录只是一个临时目录。

将 Storage 参数设置为 persistent 后，journal 的日志将存储在 /var/log/journal，/var/log 则是一个永久的目录。

步骤二：将 journal 日志设置为永久存储

2.1 修改 /etc/systemd/journald.conf 文件

# vi /etc/systemd/journald.conf

将部分内容修改如下：

[Journal]
......
Storage=persistent
......

2.2 重启 systemd-journald 服务

# systemctl restart systemd-journald.service

参考文献：

https://linuxconfig.org/introduction-to-the-systemd-journal

February 9, 2024February 9, 2024

[现象] Linux 普通用户使用 df -h 命令时不显示挂载的目录

当一个用户没有某些挂载目录的读权限时，使用 df -h 命令会不显示这些目录。但是如果给 df 命令加上 –all 选项，则又可以看到这些目录。例如：

$ df --all
Filesystem                    1K-blocks     Used Available Use% Mounted on
 ...
/dev/mapper/share2           -        -         -    - /test/02
/dev/mapper/share1           -        -         -    - /test/01

February 9, 2024February 9, 2024

[排错] Linux 解决使用 wget 命令时报错 “Unable to establish SSL connection.”

报错代码：

GnuTLS: No or insufficient priorities were set.
Unable to establish SSL connection.

分析：

如果客户端和服务端的 TLS 版本不匹配，就会出现此类报错

解决方法：

# wget --secure-protocol=TLSv1 <URL>