System Operation (系统操作)

March 27, 2025March 27, 2025

[命令] Linux 命令 loginctl 的使用（查看和管理所有 SSH 登录会话\进程）

内容一：查看所有 SSH 登录会话\进程

# loginctl -a
SESSION   UID USER         SEAT TTY  
     27  1001 mingyuzhu      pts/0

（
补充：从输出结果可以看出
1) 会话\进程的 SESSION 号码为 27
2) 创建会话\进程的用户 UID 是 1001
3) 创建会话\进程的用户是 mingyuzhu
4) 创建会话\进程的 SEAT TTY 是 pts/0
）

内容二：关闭某个 SSH 登录会话\进程

# loginctl terminate-session 27

（补充：这里以关闭 SESSION 号码是 27 的会话\进程为例）

内容三：批量关闭某个用户通过 SSH 登录的所有会话\进程

3.1 批量关闭某个用户通过 SSH 登录的所有会话\进程（显示输出结果）

# loginctl -a | grep mingyuzhu| awk '{print "loginctl terminate-session  "$1;system("loginctl terminate-session "$1"")}'

3.2 批量关闭某个用户通过 SSH 登录的所有会话\进程（不显示输出结果）

# loginctl -a | grep mingyuzhu| awk '{print "loginctl terminate-session  "$1;system("loginctl terminate-session "$1"")}' > /dev/null

或者：

# loginctl -a | grep mingyuzhu| `awk '{print "loginctl terminate-session  "$1;system("loginctl terminate-session "$1"")}'`

March 20, 2025March 20, 2025

[步骤] Linux audit 日志的查看（判断哪个文件是被哪个用户修改过）

步骤一：查看在 audit 日志中文件被修改的日志编号

# cat /var/log/audit/audit.log | grep test.txt
......
type=PATH msg=audit(1532475291.426:18858423)......
......

（
补充：
1) 这里以查看在 audit 日志中文件 test.txt 被修改的记录为例
2) 从这里的输出结果可以看到此次的修改记录中日志的编号是 18858423
）

步骤二：在 audit 日志中查看和此日志编号相同的的日志里记录的 PPID

# cat /var/log/audit/audit.log | grep ppid | grep 18858423
......
...... ppid=6027281 ......
......

（
补充：
1) 这里以查看在 audit 日志中和日志编号 18858423 相同的的日志里记录的 PPID 为例
2) 这里的日志编号 18858423 是在步骤一中查到的
3) 从这里的输出结果可以看到和此日志编号相同的日志里记录的 PPID 是 6027281
）

步骤三：在系统日志中查看哪个用户登录系统时生成的是此 PPID

# cat /var/log/messages | grep terminal=ssh  | grep 6027281

（
补充：
1) 这里以查看在系统日志中哪个用户登录系统时生成的是 PPID 6027281 为例
2) 这里的 PPID 6027281 是在步骤二中查到的
)

March 14, 2025March 14, 2025

[排错] Linux 解决使用 setfacl 命令时报错 “setfacl: …… : Operation not supported”

报错代码：

setfacl: ......: Operation not supported

解决方法（添加 acl 参数）：

临时解决方法（临时在挂载时添加 acl 参数）：

# mount -o remount,acl /mnt

（补充：这里以给挂载的 /mnt 目录添加 acl 参数为例）

永久解决方法（永久在挂载时添加 acl 参数）：

# vi /etc/fstab

将部分内容修改如下：

......
/dev/sda5 /mnt xfs defaults,acl 0 0
......

（补充：这里以给从硬盘 /dev/sda5 挂载到 /mnt 目录的目录添加 acl 参数为例）

December 5, 2024March 14, 2025

[排错] Linux 解决使用 scp 命令时报错 “scp: dest open “……”: Failure”

报错代码：

> scp test.txt 192.168.0.1:
scp: dest open "./test.txt": Failure
scp: failed to upload file test.txt to .

（补充：这里以将 test.txt 文件传到 IP 地址 192.168.0.1 同名用户的家目录然后报错为例）

分析：

可能是目标目录的空间不够了

解决方法：

在目标目录上释放一些空间

November 22, 2024November 22, 2024

[步骤] Linux 排错报告的生成

步骤一：新开 1 个端口开启 tcpdump 命令生成 TCP 报告

# tcpdump -s 0 -i INTERFACE -w /tmp/tcpdump.pcap

（补充：这里以生成名为 /tmp/tcpdump.pcap 的 TCP 报告为例）

步骤二：新开 1 个端口使用 strace 命令生成追踪报告

# strace -fvttTyy -s 4096 -o /tmp/strace.log

（补充：这里以生成名为 /tmp/strace.log 的追踪报告为例）

步骤三：执行会报错的步骤

# mount -vvv -t cifs -o username=<share user>,password=<share password>,domain=<share domain> //<share folder> /mnt

（补充：这里以挂载 Samba 目录为例）

步骤四：分析刚刚生成的 TCP 报告和追踪报告

（注意：在本文章中，在前面生成的 TCP 报告是 /tmp/tcpdump.pcap 追踪报告是 /tmp/strace.log）

内容一：查看所有 SSH 登录会话\进程

内容二：关闭某个 SSH 登录会话\进程

内容三：批量关闭某个用户通过 SSH 登录的所有会话\进程

3.1 批量关闭某个用户通过 SSH 登录的所有会话\进程 （显示输出结果）

3.2 批量关闭某个用户通过 SSH 登录的所有会话\进程 （不显示输出结果）

步骤一：查看在 audit 日志中文件被修改的日志编号

步骤二：在 audit 日志中查看和此日志编号相同的的日志里记录的 PPID

步骤三：在系统日志中查看哪个用户登录系统时生成的是此 PPID

报错代码：

解决方法 （添加 acl 参数）：

临时解决方法（临时在挂载时添加 acl 参数）：

永久解决方法（永久在挂载时添加 acl 参数）：

报错代码：

分析：

解决方法：

步骤一：新开 1 个端口开启 tcpdump 命令生成 TCP 报告

步骤二：新开 1 个端口使用 strace 命令生成追踪报告

步骤三：执行会报错的步骤

步骤四：分析刚刚生成的 TCP 报告和追踪报告

3.1 批量关闭某个用户通过 SSH 登录的所有会话\进程（显示输出结果）

3.2 批量关闭某个用户通过 SSH 登录的所有会话\进程（不显示输出结果）

解决方法（添加 acl 参数）：