System Operation Others (系统操作其它)

April 24, 2025May 14, 2025

[步骤] Linux 进入紧急模式后的操作建议

步骤一：查看系统日志判断是什么原因导致系统进入了紧急模式

# journalctl -xb

步骤二：判断软件的哪些文件发生了改变或者有缺失

# rpm -Va

步骤三：查看关键的模块是否还在

3.1 查看所需要的模块是否还在

3.1 查看所有的模块是否还在

# depmod -a

3.2 查看所需要的模块是否还在

# lsmod | grep bonding

（补充：这里以查看 bonding 模块是否还在为例）

3.2 尝试加载所需要的模块

# modprobe bonding

（补充：这里以尝试加载 bonding 模块为例）

步骤四：尝试配置临时 IP 地址和临时网关

4.1 查看当前网卡是否接入网络

# ethtool eth0

（补充：这里以查看 eth0 网卡是否接入网路为例）

4.2 尝试配置临时 IP 地址

# ifconfig eth0 192.168.0.2/24

或者：

# ip a add 192.168.0.2/24 dev eth0

（补充：这里以给 eth0 网卡添加临时 IP 地址 192.168.0.2/24 为例）

4.3 尝试配置临时网关

# route add default gw 192.168.0.1

或者：

# ip route add default via 192.168.0.1

4.4 查看配置的临时 IP 地址和临时网关

4.4.1 查看配置的临时 IP 地址

# ip a s

4.4.2 查看配置的临时网关

# route -n

March 20, 2025March 20, 2025

[步骤] Linux audit 日志的查看（判断哪个文件是被哪个用户修改过）

步骤一：查看在 audit 日志中文件被修改的日志编号

# cat /var/log/audit/audit.log | grep test.txt
......
type=PATH msg=audit(1532475291.426:18858423)......
......

（
补充：
1) 这里以查看在 audit 日志中文件 test.txt 被修改的记录为例
2) 从这里的输出结果可以看到此次的修改记录中日志的编号是 18858423
）

步骤二：在 audit 日志中查看和此日志编号相同的的日志里记录的 PPID

# cat /var/log/audit/audit.log | grep ppid | grep 18858423
......
...... ppid=6027281 ......
......

（
补充：
1) 这里以查看在 audit 日志中和日志编号 18858423 相同的的日志里记录的 PPID 为例
2) 这里的日志编号 18858423 是在步骤一中查到的
3) 从这里的输出结果可以看到和此日志编号相同的日志里记录的 PPID 是 6027281
）

步骤三：在系统日志中查看哪个用户登录系统时生成的是此 PPID

# cat /var/log/messages | grep terminal=ssh  | grep 6027281

（
补充：
1) 这里以查看在系统日志中哪个用户登录系统时生成的是 PPID 6027281 为例
2) 这里的 PPID 6027281 是在步骤二中查到的
)

November 22, 2024November 22, 2024

[步骤] Linux 排错报告的生成

步骤一：新开 1 个端口开启 tcpdump 命令生成 TCP 报告

# tcpdump -s 0 -i INTERFACE -w /tmp/tcpdump.pcap

（补充：这里以生成名为 /tmp/tcpdump.pcap 的 TCP 报告为例）

步骤二：新开 1 个端口使用 strace 命令生成追踪报告

# strace -fvttTyy -s 4096 -o /tmp/strace.log

（补充：这里以生成名为 /tmp/strace.log 的追踪报告为例）

步骤三：执行会报错的步骤

# mount -vvv -t cifs -o username=<share user>,password=<share password>,domain=<share domain> //<share folder> /mnt

（补充：这里以挂载 Samba 目录为例）

步骤四：分析刚刚生成的 TCP 报告和追踪报告

（注意：在本文章中，在前面生成的 TCP 报告是 /tmp/tcpdump.pcap 追踪报告是 /tmp/strace.log）

November 21, 2024April 8, 2025

[内容] Linux 用户属于哪个软件的判断思路

方法一：通过 /etc/passwd 中记录的用户描述判断

# cat /etc/passwd | grep <user>

（补充：以冒号 “：” 为分隔符，第 5 列是这个用户的描述）

方法二：通过 /etc/passwd 中记录的家目录判断

2.1 查看这个用户的家目录

# cat /etc/passwd | grep <user>

（补充：以冒号 “：” 为分隔符，第 6 列是这个用户的家目录）

2.2 确认这个家目录属于哪个软件

# rpm -qf <homedirectory>

方法三：通过此用户所拥有的目录或文件判断

3.1 查看这个用户的 UID

# cat /etc/passwd | grep <user>

（补充：以冒号 “：” 为分隔符，第 3 列是这个用户的 UID）

（注意：这里需要记住 UID，因为下个步骤需要使用）

3.2 查找属于这个 UID 的文件

# find / -uid <UID>

（
注意：
1) 这里的 UID，必须和上个步骤输出命令后显示的 UID 一致
2) 这里需要记住查找到的文件，因为下个步骤需要使用
）

3.3 确认属于这个 UID 的文件属于哪个软件

# rpm -qf <file>

（注意：这里的文件，必须和上个步骤输出命令后显示的文件一致）

方法四：通过目前系统的进程判断

# ps -aux | grep <user>

方法五：通过系统日志判断

# cat /var/log/messages | grep <user>

方法六：通过 rpm 命令查找此用户是被哪个软件安装时附带创建的

# rpm -q --scripts `rpm -qa`  | grep -E '<user>|useradd'

方法七：有时候删错用户时，会删除失败，并提示此账号正在被哪个进程使用，此时可以通过此进程确定此用户属于哪个软件（注意：此方法请勿使用）

7.1 删除某个认为没有用的用户（注意：此步骤请勿使用）

# userdel -r usbmux
userdel: user usbmux is currently used by process 222

（
补充：
1) 这里以删除 usbmux 用户为例
2) 从输出结果可以看到，此时这个用户正在被 222 进程使用
）

7.2 通过进程查找此进程是由哪个文件使用的

# ps -aux | grep 222
......
nscd       222  0.0  0.2 825757  4393 ?        Ssl  Oct29   3:13 /usr/sbin/nscd
......

（
补充：
1) 这里以查看使用进程 222 的文件为例
2) 从输出结果可以看到，此时在使用进程 222 的文件是 /usr/sbin/nscd
）

7.3 查看此文件是属于哪个软件的

# rpm -qf /usr/sbin/nscd

（补充：这里以查看 /usr/sbin/nscd 文件是属于哪个软件为例）

October 17, 2024October 17, 2024

[步骤] Linux 同步软件源到本地（Rocky Linux 版）

步骤一：查看所有的软件源

# yum repolist

步骤二：同步软件源里的软件包到本地

2.1 同步软件源里的软件包到本地的格式

# reposync -r <software source> <local directory>

2.2 同步软件源里的软件包到本地的案例

# reposync -r base -p /tmp/repository/
# reposync -r extras -p /tmp/repository/
# reposync -r updates -p /tmp/repository/
# reposync -r epel -p /tmp/repository/

（补充：这里以同步软件源 base、extras、updates 和 epel 分到目录 /tmp/repository/、/tmp/repository/、/tmp/repository/、/tmp/repository/ 为例）

步骤三：创建本地 YUM 源

# cd /tmp/repository/base && createrepo ./
# cd /tmp/repository/extras && createrepo ./
# cd /tmp/repository/updates && createrepo ./
# cd /tmp/repository/epel && createrepo ./

（补充：这里以在目录 /tmp/repository/base、/tmp/repository/extras、/tmp/repository/updates 和 /tmp/repository/epel 里创建本地 YUM 源为例）

步骤四：更新本地 YUM 源

4.1 再次同步软件源里的软件包到本地

4.1.1 同步软件源里的软件包到本地的格式

# reposync -r <software source> <local directory>

4.1.2 同步软件源里的软件包到本地的案例

# reposync -r base -p /tmp/repository/
# reposync -r extras -p /tmp/repository/
# reposync -r updates -p /tmp/repository/
# reposync -r epel -p /tmp/repository/