System Process & System Performance (系统进程 & 系统性能) – Page 2

October 11, 2022December 9, 2023

[内容] auditd 使用（监控文件或目录的变化）

内容一：auditd 的管理

1.1 启动 auditd

1.1.1 启动 auditd

# service auditd restart

1.1.2 查看 auditd 状态

# auditctl -s

1.1.3 设置 auditd 开机自启

# chkconfig auditd on

1.1.4 查看 auditd 开机自启状态

# chkconfig --list auditd

1.2 查看 auditd 的规则

# auditctl -l

1.3 删除 auditd 的规则

1.3.1 永久删除 auditd 的所有规则

1.3.1.1 清空 /etc/audit/audit.rules 文件里的所有内容

# vi /etc/audit/audit.rules

删除里面的所有内容

1.3.1.2 让刚刚的设置生效

# service auditd restart

或者：

# augenrules

1.3.2 临时删除 auditd 的规则

1.3.2.1 临时删除 auditd 的所有规则

# auditctl -D

（补充：此操作重启后失效）

1.3.2.2 临时删除 auditd 的普通规则（以 -w 开头的规则）

# auditctl -W <policy>

（补充：此操作重启后失效）

1.3.2.3 临时删除 auditd 的使用系统调用和过滤条件的监控规则（以 -a 开头的规则）

# auditctl -d <policy>

（补充：此操作重启后失效）

1.4 显示 auditd 日志

1.4.1 显示 auditd 的所有日志

# cat /var/log/audit/audit.log

1.4.2 显示某文件或目录的日志

# ausearch -f <file/directory>

1.4.3 显示某关键词的日志

# ausearch -k <key_name>

1.5 生成 auditd 日志报告

# aureport -k

内容二：auditd 的规则

2.1 普通监控规则

2.1.1 普通监控规则的格式

2.1.1.1 普通监控规则的格式

-w <file/directory> -p <previlege> -k <key_name>

（
补充：
1) 文件名或目录名，需要绝对路径
2) 监控的权限，可以是 rwxa 其中的任意 1 个或多个，r 代表读权限、w 代表写权限，x 代表执行权限，a 代表文件类型
3) 此类日志的关键词
）

2.1.1.2 添加普通监控规则的格式

2.1.1.2.1 临时添加普通监控规则的格式

# auditctl -w <file/directory> -p <previlege> -k <key_name>

2.1.1.2.2 永久添加普通监控规则的格式

# vim /etc/audit/audit.rules

添加以下内容：

......
-w <file/directory> -p <previlege> -k <key_name>

（
注意：永久添加的规则后要重启 auditd 服务后才会生效

# service auditd restart

或者：

# augenrules

）

2.1.2 添加普通监控规则的案例

2.1.2.1 案例一：添加监控 /etc/nginx/nginx.conf 文件的读、写、执行和文件属性变化的规则

# auditctl -w /etc/nginx/nginx.conf

（补充：这里以临时添加监控 /etc/nginx/nginx.conf 文件的读、写、执行和文件属性变化的规则为例）

2.1.2.2 案例二：添加监控 /etc/nginx/nginx.conf 文件的读、写、执行和文件属性变化，并设置关键词为 nginx 的规则

# auditctl -w /etc/nginx/nginx.conf -p rwxa -k 'nginx'

（补充：这里以临时添加监控 /etc/nginx/nginx.conf 文件的读、写、执行和文件属性变化，并设置关键词为 nginx 的规则为例）

2.2 使用系统调用和过滤条件的监控规则

2.2.1 使用系统调用和过滤条件的监控规则的格式

2.2.1.1 使用系统调用和过滤条件的监控规则的格式

-a <action>,<filter> -S <system_call> -F <field>=<value> -k <key_name>

（
补充：
1) 和用于确定事件被记录，的值可以是 always 或者 never，的值可以是 task、exit、user 或者 exclude
2) 是系统调用，Linux 系统调用的名称在 /usr/include/asm/unistd_64.h 文件中，可以将多个系统调用放在一个规则里，例：-S <system_call> -S <system_call> ……，或者 -S <system_call>,<system_call>……
3) 和是过略条件，可以将多个过略条件放在一个规则里，-F <field>=<value> -F <field>=<value> ……
4) 是此类日志的关键词
）

2.2.1.2 添加使用系统调用和过滤条件的监控规则的格式

2.2.1.2.1 临时添加使用系统调用和过滤条件的监控规则的格式

# auditctl -a <action>,<filter> -S <system_call> -F <field>=<value> -k <key_name>

2.2.1.2.2 永久添加使用系统调用和过滤条件的监控规则的格式

# vim /etc/audit/audit.rules

添加以下内容：

......
-a <action>,<filter> -S <system_call> -F <field>=<value> -k <key_name>

（
注意：永久添加的规则后要重启 auditd 服务后才会生效

# service auditd restart

或者：

# augenrules

）

2.2.2 使用系统调用和过滤条件的监控规则的案例

2.2.2.1 案例一：监控所有 UID 大于 1000 的用户的删除操作，并设置关键词为 delete

# auditctl -a always,exit -S rmdir -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=unset -F auid!=4294967295 -k delete

（补充：这里以临时监控所有 UID 大于 1000 的用户删除操作为例）

（注意：这里的 -F auid!=4294967295 是为了排除 login UID 没有被设置的用户）

2.2.2.2 案例二：监控所有 UID 大于 1000 的用户的文件删除操作，并设置关键词为 delete

# auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=unset -F auid!=4294967295 -k delete

（补充：这里以临时监控所有 UID 大于 1000 的用户删除操作为例）

（注意：这里的 -F auid!=4294967295 是为了排除 login UID 没有被设置的用户）

2.2.2.3 案例三：监控所有网络连接

# auditctl -a always,exit -F arch=b64 -S socket
# auditctl -a always,exit -F arch=b64 -S connect
# auditctl -a always,exit -F arch=b64 -S sendmmsg
# auditctl -a always,exit -F arch=b64 -S sendmsg
# auditctl -a always,exit -F arch=b64 -S bind
# auditctl -a always,exit -F arch=b64 -S recvmsg
# auditctl -a always,exit -F arch=b64 -S close

（补充：这里以监控所有网络连接为例）

June 23, 2022July 9, 2023

[命令] Linux 命令 lsof （显示进程）

内容一：lsof 命令输出结果

# lsof | more
COMMAND     PID   TID    USER   FD      TYPE             DEVICE  SIZE/OFF       NODE NAME
systemd       1          root  cwd       DIR              251,1      4096          1 /
......

内容二：lsof 命令输出结果简介

1) COMMAND 进程名
2) PID （Process Id） PID 号
3) USER 用户
4) FD 文件描述信息
（补充：cwd 代表当前目录，txt 代表 txt 文件，rtd 代表 root 目录，mem 代表内存映射文件）
5) TYPE 文件类型
（补充：DIR 代表当前目录，REG 代表普通文件，CHR 代表字符，a_inode 代表 Inode 文件，FIFO 代表管道或者 socket文件，netlink 代表网络，unkonwn 代表未知）
6) DEVICE 设备 ID
7) SIZE/OFF 进程大小
8) NODE 文件的 Inode 号
9) NAME 路径或链接

内容三：lsof 使用案例

3.1 案例一：显示已经被删除的文件

# lsof | grep deleted

3.2 案例二：显示用户已打开的案例

3.2.1 显示某用户已打开的文件

# lsof -u zhumingyu mingyuzhu

（补充：这里以显示用户 zhumingyu 和 mingyuzhu 已打开的文件为例）

3.2.2 不显示某用户已打开的文件

# lsof -u mingyuzhu

（补充：这里以不显示用户 mingyuzhu 已打开的文件为例）

3.3 案例三：显示进程已打开的文件

3.3.1 显示某进程已打开的文件

# lsof -p 1024

（补充：这里以显示 PID 号是 1024 已打开的文件为例）

3.3.2 不显示某进程已打开的所有文件

# lsof -p ^1024

（补充：这里以不显示 PID 号是 1024 已打开的文件为例）

3.3.3 显示某几个进程已打开的文件

# lsof -p 1,2,3

（补充：这里以显示 PID 号是 1、2 和 3 已打开的文件为例）

3.4 案例四：显示已打开的网络文件

3.4.1 显示所有已打开的网络文件

# lsof -i

3.4.2 显示所有 IPv4 协议已打开的文件

# lsof -i 4

3.4.3 显示所有 IPv6 协议已打开的文件

# lsof -i 6

3.4.4 显示所有 TCP 协议已打开的文件

# lsof -i TCP

3.4.5 显示所有 TCP 协议已打开的文件

# lsof -i UDP

3.4.6 显示某个 TCP 端口或者 UDP 端口已打开的文件

# lsof -i:22

（补充：这里以显示 TCP 或者 UPD 的 22 端口已打开的文件为例）

3.4.7 显示某个 TCP 端口已打开的文件

# lsof -i TCP:22

（补充：这里以显示 TCP 的 22 端口已打开的文件为例）

3.4.8 显示某几个 TCP 端口打开的文件

# lsof -i TCP:1-1024

（补充：这里以显示 TCP 的 1 端口到 1024 端口打开的文件为例）

June 10, 2022July 9, 2023

[排错] 解决 Linux 执行 crontab -e 命令时报错 “You (……) are not allowed to use this program (crontab)”

解决方法

如果在系统中没有 /etc/cron.deny 配置文件，在 /etc/cron.allow 配置文件中添加要使用 crontab -e 命令的用户

# vim /etc/cron.allow

添加以下内容：

......
zhumingyu

（补充：这里以添加用户 zhumingyu 为例）

如果在系统中没有 /etc/cron.allow 配置文件，在 /etc/cron.allow 配置文件中删除要使用 crontab -e 命令的用户

# vim /etc/cron.allow

删除以下内容：

......
zhumingyu
......

（补充：这里以删除用户 zhumingyu 为例）

May 27, 2022July 9, 2023

[命令] Linux 命令 time （显示其它命令所需执行时间）

# time sosreport

（补充：这里以显示 sosreport 命令所需执行时间为例）

April 27, 2022July 9, 2023

[工具] Shell 显示系统常用信息

介绍

基本信息

作者：朱明宇
名称：显示系统常用信息
作用：显示系统常用信息

使用方法

1. 在此脚本的分割线内写入相应的内容
2. 给此脚本添加执行权限
3. 执行此脚本

脚本分割线里的变量

1. times=5 #显示系统常用信息的次数
2. sleeptime=0.3 #大部分行与行之间显示的间隔时间

注意

1. 需要安装 sysstat 软件
2. 执行此脚本的用户能够使用 sudo ip a s 命令
3. 执行此脚本的用户能够使用 sudo ss -ntulap 命令
4. 搭建了 KVM 虚拟化平台后执行此脚本的用户能够使用 sudo virsh list 命令后才能实现

脚本

#!/bin/bash

####################### Separator ########################
times=5
sleeptime=0.3
####################### Separator ########################

nowtime=1

while (( nowtime <= times))
do
        echo -e "Start Monitoring: \c"
	for i in {1..94}
	do
	        echo -e "#\c"
		sleep 0.01
        done
	echo

	sleep $sleeptime
        host=`hostname`
        echo -e "Name:\t\t\t\t\t\t\t \033[1m$host\033[0m"

        ip=`sudo ip a s | awk '/[1-2]?[0-9]{0,2}\.[1-2]?[0-9]{0,2}/&&!/127.0.0.1/{print $2}' | awk -F/ '{print $1}'`
	for iip in $(echo $ip)
        do
		sleep $sleeptime
                echo -e "IP Address:\t\t\t\t\t\t \033[1m$iip\033[0m"
        done

        sleep $sleeptime

        cpu=`top -bn 1 | awk -F',' '/^%Cpu/{print $4 }' | awk '{print $1}' | awk '{print 100-$1}'`
        echo -e "CPU Usage (Total):\t\t\t\t\t \033[1m$cpu%\033[0m"

        sleep $sleeptime

        mem=`free | grep Mem | awk '{print $3/$2 * 100.0}' | egrep -o "[1]?[0-9]{0,2}\.[0-9]"`
        echo -e "Memory Usage (Total):\t\t\t\t\t \033[1m$mem%\033[0m"

	directory=`df -h | grep -v run | grep -v boot | awk '$1~/\/dev/{print $6}'`
        for idirectory in `echo $directory`
        do
                sleep $sleeptime
                directoryusage=`df -h | grep -v run | grep -v boot | awk '$1~/\/dev/{print}' | grep $idirectory$ | awk '{print $5}'`
		if [ $idirectory == / -o $idirectory == /sda -o $idirectory == /sdb  ];then
                        echo -e "Directory Usage ($idirectory):\t\t\t\t\t \033[1m$directoryusage\033[0m"
	        else
                        echo -e "Directory Usage ($idirectory):\t\t\t\t \033[1m$directoryusage\033[0m"
		fi
        done

	sudo -l | grep 'virsh list' &> /dev/null
        if [ $? -eq 0 ];then
	        sleep $sleeptime
	        virtual=`sudo virsh list | egrep [0-9] | wc -l`
	        echo -e "Number of Virtual Machines (Total):\t\t\t \033[1m$virtual\033[0m"
        fi

        sleep $sleeptime

        user=`who | wc -l`
        echo -e "Number of User Logins (Total):\t\t\t\t \033[1m$user\033[0m"

        soft=`rpm -qa | wc -l`
        echo -e "Number of Softwares (Total):\t\t\t\t \033[1m$soft\033[0m"

        sleep $sleeptime

        port=`sudo ss -ntulap | wc -l`
        echo -e "Number of Open Ports (Total):\t\t\t\t \033[1m$port\033[0m"

        which sar &> /dev/null
        if [ $? -eq 0 ];then
                networkcard=`ifconfig | awk -F: '/flags/&&!/lo/{print $1}'`
                for inetworkcard in `echo $networkcard`
                do
                        networkread="`sar -n DEV 1 1 | grep $inetworkcard | awk '/[0-9][0-9]:[0-9][0-9]/{print $3/1000}'` m/s"
                        networkwrite="`sar -n DEV 1 1 | grep $inetworkcard | awk '/[0-9][0-9]:[0-9][0-9]/{print $4/1000}'` m/s"
			echo $inetworkcard | grep eth &> /dev/null
			if [ $?  -ne 0 ];then
	                echo -e "Network Card IO ($inetworkcard):\t\t\t\t \033[1m$networkread\033[0m (Read)\t\033[1m$networkwrite\033[0m (Write)"
		        else
	                echo -e "Network Card IO ($inetworkcard):\t\t\t\t\t \033[1m$networkread\033[0m (Read)\t\033[1m$networkwrite\033[0m (Write)"
			fi
                done
        fi

        which iostat &> /dev/null
        if [ $? -eq 0 ];then
	        disk=`iostat -d -k 1 1 | awk '!/^$/&&!/Device/&&!/Linux/{print $1}'`
                for idisk in `echo $disk`
	        do
			sleep $sleeptime
		        diskread="`iostat -d -k 1 1 | grep $idisk |  awk '{print $3/1000}'` m/s"
		        diskwrite="`iostat -d -k 1 1 | grep $idisk |  awk '{print $4/1000}'` m/s"
			echo $idisk | grep 'nvme' &> /dev/null
			if [ $? -eq 0 ];then
		                echo -e "Disk IO (/dev/$idisk):\t\t\t\t\t \033[1m$diskread\033[0m (Read)\t\033[1m$diskwrite\033[0m (Write)"
		        else
		                echo -e "Disk IO (/dev/$idisk):\t\t\t\t\t \033[1m$diskread\033[0m (Read)\t\033[1m$diskwrite\033[0m (Write)"
			fi
	        done

        fi

        echo -e "Complete Monitoring: \c"
        for i in {1..91}
        do
                echo -e "#\c"
                sleep 0.01
        done
        echo
        sleep $sleeptime

        let nowtime++
done

        echo -e "Terminal Monitoring: \c"
        for i in {1..91}
        do
                echo -e "#\c"
                sleep 0.01
        done

exit

内容一：auditd 的管理

1.1 启动 auditd

1.1.1 启动 auditd

1.1.2 查看 auditd 状态

1.1.3 设置 auditd 开机自启

1.1.4 查看 auditd 开机自启状态

1.2 查看 auditd 的规则

1.3 删除 auditd 的规则

1.3.1 永久删除 auditd 的所有规则

1.3.1.1 清空 /etc/audit/audit.rules 文件里的所有内容

1.3.1.2 让刚刚的设置生效

1.3.2 临时删除 auditd 的规则

1.3.2.1 临时删除 auditd 的所有规则

1.3.2.2 临时删除 auditd 的普通规则 （以 -w 开头的规则）

1.3.2.3 临时删除 auditd 的使用系统调用和过滤条件的监控规则 （以 -a 开头的规则）

1.4 显示 auditd 日志

1.4.1 显示 auditd 的所有日志

1.4.2 显示某文件或目录的日志

1.4.3 显示某关键词的日志

1.5 生成 auditd 日志报告

内容二：auditd 的规则

2.1 普通监控规则

2.1.1 普通监控规则的格式

2.1.1.1 普通监控规则的格式

2.1.1.2 添加普通监控规则的格式

2.1.1.2.1 临时添加普通监控规则的格式

2.1.1.2.2 永久添加普通监控规则的格式

2.1.2 添加普通监控规则的案例

2.1.2.1 案例一：添加监控 /etc/nginx/nginx.conf 文件的读、写、执行和文件属性变化的规则

2.1.2.2 案例二：添加监控 /etc/nginx/nginx.conf 文件的读、写、执行和文件属性变化，并设置关键词为 nginx 的规则

2.2 使用系统调用和过滤条件的监控规则

2.2.1 使用系统调用和过滤条件的监控规则的格式

2.2.1.1 使用系统调用和过滤条件的监控规则的格式

2.2.1.2 添加使用系统调用和过滤条件的监控规则的格式

2.2.1.2.1 临时添加使用系统调用和过滤条件的监控规则的格式

2.2.1.2.2 永久添加使用系统调用和过滤条件的监控规则的格式

2.2.2 使用系统调用和过滤条件的监控规则的案例

2.2.2.1 案例一：监控所有 UID 大于 1000 的用户的删除操作，并设置关键词为 delete

2.2.2.2 案例二：监控所有 UID 大于 1000 的用户的文件删除操作，并设置关键词为 delete

2.2.2.3 案例三：监控所有网络连接

内容一：lsof 命令输出结果

内容二：lsof 命令输出结果简介

内容三：lsof 使用案例

3.1 案例一：显示已经被删除的文件

3.2 案例二：显示用户已打开的案例

3.2.1 显示某用户已打开的文件

3.2.2 不显示某用户已打开的文件

3.3 案例三：显示进程已打开的文件

3.3.1 显示某进程已打开的文件

3.3.2 不显示某进程已打开的所有文件

3.3.3 显示某几个进程已打开的文件

3.4 案例四：显示已打开的网络文件

3.4.1 显示所有已打开的网络文件

3.4.2 显示所有 IPv4 协议已打开的文件

3.4.3 显示所有 IPv6 协议已打开的文件

3.4.4 显示所有 TCP 协议已打开的文件

3.4.5 显示所有 TCP 协议已打开的文件

3.4.6 显示某个 TCP 端口或者 UDP 端口已打开的文件

3.4.7 显示某个 TCP 端口已打开的文件

3.4.8 显示某几个 TCP 端口打开的文件

解决方法

介绍

基本信息

使用方法

脚本分割线里的变量

注意

脚本

1.3.2.2 临时删除 auditd 的普通规则（以 -w 开头的规则）

1.3.2.3 临时删除 auditd 的使用系统调用和过滤条件的监控规则（以 -a 开头的规则）