系統(tǒng)管理培訓(xùn)課件第一章：系統(tǒng)管理概述系統(tǒng)管理員的職責(zé)與角色定位系統(tǒng)管理員作為IT基礎(chǔ)設(shè)施的守護者，承擔(dān)著多重角色與職責(zé)：系統(tǒng)安裝與配置：負責(zé)操作系統(tǒng)及相關(guān)軟件的安裝、配置和優(yōu)化日常運維與監(jiān)控：確保系統(tǒng)穩(wěn)定運行，及時發(fā)現(xiàn)并解決問題安全管理：實施安全策略，防范威脅，保護數(shù)據(jù)安全用戶支持：提供技術(shù)支持，解決用戶問題，確保工作效率資源規(guī)劃：評估需求，合理分配資源，提出升級建議系統(tǒng)管理的重要性與發(fā)展趨勢在數(shù)字化時代，系統(tǒng)管理的重要性日益凸顯：業(yè)務(wù)連續(xù)性：確保關(guān)鍵業(yè)務(wù)系統(tǒng)的持續(xù)可用，減少故障時間效率提升：優(yōu)化系統(tǒng)性能，提高資源利用率風(fēng)險控制：加強安全防護，降低數(shù)據(jù)泄露和系統(tǒng)入侵風(fēng)險發(fā)展趨勢：DevOps整合：系統(tǒng)管理與開發(fā)流程深度融合自動化程度提高：從手動操作向自動化、智能化轉(zhuǎn)變系統(tǒng)管理的挑戰(zhàn)與機遇1復(fù)雜多變的IT環(huán)境現(xiàn)代系統(tǒng)管理員面臨的環(huán)境比以往任何時候都更加復(fù)雜：異構(gòu)系統(tǒng)管理：同時管理Windows、Linux、Unix等多種操作系統(tǒng)分布式架構(gòu)：系統(tǒng)組件分散在不同物理位置和虛擬環(huán)境技術(shù)快速迭代：新技術(shù)層出不窮，學(xué)習(xí)壓力大安全威脅增多：網(wǎng)絡(luò)攻擊手段不斷升級，防護難度增加高可用性要求：業(yè)務(wù)系統(tǒng)對"零停機"的期望越來越高2自動化與智能化管理趨勢數(shù)字化轉(zhuǎn)型帶來新的管理范式：基礎(chǔ)設(shè)施即代碼（IaC）：通過代碼定義和管理基礎(chǔ)設(shè)施AI輔助運維：智能分析、預(yù)測性維護、自動修復(fù)容器化與微服務(wù)：輕量級、高度自動化的部署方式GitOps工作流：基于Git的操作和配置管理SRE實踐：將軟件工程方法應(yīng)用于系統(tǒng)管理第二章：操作系統(tǒng)基礎(chǔ)操作系統(tǒng)的組成與功能操作系統(tǒng)作為硬件和應(yīng)用程序之間的中間層，由以下核心組件組成：內(nèi)核（Kernel）：操作系統(tǒng)的核心，直接與硬件交互，提供最基本的功能系統(tǒng)調(diào)用接口：為應(yīng)用程序提供訪問內(nèi)核功能的統(tǒng)一接口設(shè)備驅(qū)動程序：控制各種硬件設(shè)備的軟件模塊文件系統(tǒng)：管理和組織數(shù)據(jù)的存儲和檢索用戶界面：包括命令行界面（CLI）和圖形用戶界面（GUI）操作系統(tǒng)的主要功能包括：資源管理、進程管理、內(nèi)存管理、文件管理、設(shè)備管理、用戶接口和安全管理等。進程與線程基礎(chǔ)概念進程（Process）是操作系統(tǒng)中資源分配的基本單位，具有獨立的地址空間和系統(tǒng)資源。每個進程包括：程序代碼數(shù)據(jù)（變量、文件等）進程控制塊（PCB）：包含進程ID、狀態(tài)、優(yōu)先級等信息線程（Thread）是進程中的執(zhí)行單元，共享進程的資源。特點包括：輕量級：創(chuàng)建和切換開銷小共享性：同一進程的線程共享地址空間和資源并發(fā)性：多線程可以并發(fā)執(zhí)行，提高效率進程管理詳解進程狀態(tài)與生命周期進程在其生命周期中會經(jīng)歷多種狀態(tài)轉(zhuǎn)換：創(chuàng)建狀態(tài)（New）：進程正在被創(chuàng)建，尚未完成資源分配就緒狀態(tài)（Ready）：進程已獲得除處理器外的所有必要資源，等待分配處理器運行狀態(tài)（Running）：進程正在處理器上執(zhí)行阻塞狀態(tài)（Blocked/Waiting）：進程等待某一事件發(fā)生，如I/O操作完成終止?fàn)顟B(tài)（Terminated）：進程執(zhí)行完畢或被終止，釋放資源進程狀態(tài)轉(zhuǎn)換由操作系統(tǒng)的調(diào)度器控制，基于優(yōu)先級、時間片和資源可用性等因素。Linux中ps命令實戰(zhàn)演示ps命令是Linux系統(tǒng)中最常用的進程查看工具，提供豐富的選項：#查看所有進程ps-ef#查看特定用戶的進程ps-uusername#以樹形結(jié)構(gòu)顯示進程關(guān)系ps-ejH#實時監(jiān)控進程狀態(tài)top#按CPU使用率排序psaux--sort=-%cpu#按內(nèi)存使用率排序psaux--sort=-%mem內(nèi)存管理基礎(chǔ)虛擬內(nèi)存與物理內(nèi)存區(qū)別現(xiàn)代操作系統(tǒng)采用虛擬內(nèi)存技術(shù)，建立虛擬地址到物理地址的映射機制：物理內(nèi)存（PhysicalMemory）：實際存在的硬件內(nèi)存資源，容量有限虛擬內(nèi)存（VirtualMemory）：向進程提供的抽象內(nèi)存空間，容量可超過物理內(nèi)存虛擬內(nèi)存的優(yōu)勢：隔離性：每個進程擁有獨立的地址空間，互不干擾擴展性：突破物理內(nèi)存容量限制，支持更大的內(nèi)存需求安全性：防止進程直接訪問物理內(nèi)存，提高系統(tǒng)安全性簡化程序設(shè)計：程序員無需關(guān)心物理內(nèi)存分配細節(jié)內(nèi)存管理單元（MMU）負責(zé)虛擬地址到物理地址的轉(zhuǎn)換過程。內(nèi)存分頁與交換機制內(nèi)存分頁（Paging）是虛擬內(nèi)存實現(xiàn)的核心機制：將虛擬地址空間和物理內(nèi)存空間劃分為固定大小的頁（通常為4KB）通過頁表（PageTable）維護虛擬頁到物理頁框的映射關(guān)系頁表緩存（TLB）加速地址轉(zhuǎn)換過程內(nèi)存交換（Swapping）在物理內(nèi)存不足時將部分頁面臨時存儲到磁盤：交換空間（SwapSpace）：硬盤上專門用于存放換出頁面的區(qū)域頁面置換算法：決定換出哪些頁面，如LRU（最近最少使用）、FIFO（先進先出）頁面調(diào)度：根據(jù)需求從磁盤調(diào)入所需頁面第三章：用戶與權(quán)限管理用戶、組及權(quán)限模型Linux/Unix系統(tǒng)采用精細的用戶權(quán)限管理機制：用戶（User）：系統(tǒng)的使用者，每個用戶有唯一的用戶ID（UID）組（Group）：用戶的集合，便于權(quán)限管理，每個組有唯一的組ID（GID）特殊用戶：root（超級用戶，UID=0），具有最高權(quán)限系統(tǒng)用戶：為系統(tǒng)服務(wù)而創(chuàng)建的用戶，通常無法登錄Linux權(quán)限模型基于三類用戶身份和三種權(quán)限類型：用戶身份：文件所有者（u）、所屬組（g）、其他用戶（o）權(quán)限類型：讀取（r）、寫入（w）、執(zhí)行（x）權(quán)限以八進制數(shù)字表示：r=4,w=2,x=1，組合形成權(quán)限數(shù)值（如755表示rwxr-xr-x）常用用戶管理命令用戶創(chuàng)建與修改：#創(chuàng)建新用戶useraddusername#設(shè)置或修改密碼passwdusername#修改用戶信息usermod-c"FullName"username#刪除用戶userdel-rusername組管理：#創(chuàng)建新組groupaddgroupname#將用戶添加到組usermod-aGgroupnameusername#查看用戶所屬組groupsusername#刪除組groupdelgroupname權(quán)限配置實操文件權(quán)限與ACL設(shè)置基本權(quán)限管理：使用chmod命令修改文件權(quán)限#符號法設(shè)置權(quán)限chmodu+x,g+r,o-wfile.txt#數(shù)字法設(shè)置權(quán)限chmod750file.txt#遞歸設(shè)置目錄及其內(nèi)容的權(quán)限chmod-R755directory/#修改文件所有者和所屬組chownuser:groupfile.txt訪問控制列表（ACL）：提供更精細的權(quán)限控制#查看文件ACLgetfaclfile.txt#為特定用戶設(shè)置ACLsetfacl-mu:username:rwxfile.txt#為特定組設(shè)置ACLsetfacl-mg:groupname:rxfile.txt#遞歸設(shè)置目錄ACLsetfacl-R-mu:user:rwxdirectory/sudo權(quán)限管理與安全策略sudo機制允許普通用戶以其他用戶（通常是root）的身份執(zhí)行命令，同時提供細粒度的權(quán)限控制和審計功能。sudo配置：通過編輯/etc/sudoers文件（使用visudo命令）#允許user1執(zhí)行所有命令，無需密碼user1ALL=(ALL)NOPASSWD:ALL#允許admin組成員執(zhí)行特定命令%adminALL=(ALL)/usr/bin/apt,/sbin/reboot#限制user2只能重啟服務(wù)user2ALL=(ALL)/bin/systemctlrestartservice_namesudo安全最佳實踐：嚴(yán)格限制sudo權(quán)限，遵循最小權(quán)限原則開啟命令日志記錄，便于審計定期審查sudoers配置，及時清理不需要的權(quán)限避免使用NOPASSWD選項，除非有特殊需求第四章：服務(wù)與守護進程管理守護進程概念守護進程（Daemon）是在后臺運行的特殊進程，不受終端控制，通常以"d"結(jié)尾（如httpd、sshd）。特點包括：沒有控制終端，不與用戶直接交互通常在系統(tǒng)啟動時自動啟動長期運行，提供持續(xù)的服務(wù)以特定用戶身份（通常是非root）運行配置文件通常位于/etc目錄啟動方式守護進程的啟動方式有多種：自啟動腳本：位于/etc/init.d/或/etc/rc.d/inetd/xinetd：按需啟動網(wǎng)絡(luò)服務(wù)cron作業(yè)：定時啟動的守護進程systemd單元：現(xiàn)代Linux系統(tǒng)的主要服務(wù)管理方式手動啟動：通過命令行直接啟動systemd與傳統(tǒng)init對比systemd是現(xiàn)代Linux發(fā)行版的初始化系統(tǒng)和服務(wù)管理器，相比傳統(tǒng)SysVinit有顯著優(yōu)勢：并行啟動：加快系統(tǒng)啟動速度按需啟動：支持服務(wù)的自動激活依賴管理：自動處理服務(wù)間的依賴關(guān)系狀態(tài)跟蹤：精確跟蹤進程狀態(tài)，自動重啟失敗服務(wù)日志管理：集成的journald日志系統(tǒng)服務(wù)管理實戰(zhàn)啟動、停止、重啟服務(wù)命令systemd命令（現(xiàn)代Linux系統(tǒng)）：#啟動服務(wù)systemctlstartservice_name#停止服務(wù)systemctlstopservice_name#重啟服務(wù)systemctlrestartservice_name#平滑重載配置systemctlreloadservice_name#查看服務(wù)狀態(tài)systemctlstatusservice_name#查看所有服務(wù)狀態(tài)systemctllist-units--type=serviceSysVinit命令（傳統(tǒng)Linux系統(tǒng)）：#啟動服務(wù)serviceservice_namestart#停止服務(wù)serviceservice_namestop#查看狀態(tài)serviceservice_namestatus#查看所有服務(wù)service--status-all服務(wù)自動啟動配置systemd自啟動配置：#啟用服務(wù)自啟動systemctlenableservice_name#禁用服務(wù)自啟動systemctldisableservice_name#檢查服務(wù)是否配置為自啟動systemctlis-enabledservice_name#創(chuàng)建自定義服務(wù)單元vim/etc/systemd/system/myservice.service#內(nèi)容示例：[Unit]Description=MyCustomServiceAfter=network.target[Service]Type=simpleUser=myuserExecStart=/usr/local/bin/myprogramRestart=on-failure[Install]WantedBy=multi-user.target第五章：計劃任務(wù)管理cron與at任務(wù)調(diào)度介紹Linux系統(tǒng)提供多種任務(wù)調(diào)度機制，適應(yīng)不同場景的自動化需求：cron：周期性執(zhí)行任務(wù)的守護進程通過crontab文件配置，格式為"分時日月周命令"支持系統(tǒng)級（/etc/crontab）和用戶級計劃任務(wù)特殊時間表達式：@yearly,@monthly,@daily,@reboot等at：一次性任務(wù)執(zhí)行工具適合執(zhí)行不需要重復(fù)的任務(wù)支持多種時間格式：at10:00pm,atnow+1hour等相關(guān)命令：at（提交任務(wù)）、atq（查看隊列）、atrm（刪除任務(wù)）systemdtimer：現(xiàn)代Linux系統(tǒng)的定時器機制基于.timer單元文件配置支持更精確的定時控制和依賴管理與systemd服務(wù)集成，便于管理和監(jiān)控編寫crontab任務(wù)示例編輯用戶的crontab文件：#編輯當(dāng)前用戶的crontabcrontab-e#查看當(dāng)前用戶的crontabcrontab-l#刪除當(dāng)前用戶的所有crontab任務(wù)crontab-r常見crontab時間表達式示例：計劃任務(wù)案例分析自動備份腳本調(diào)度數(shù)據(jù)備份是系統(tǒng)管理的核心任務(wù)，通過計劃任務(wù)可實現(xiàn)自動化備份：數(shù)據(jù)庫備份案例：#!/bin/bash#MySQL數(shù)據(jù)庫備份腳本#設(shè)置變量DATE=$(date+%Y%m%d)BACKUP_DIR="/backup/mysql"MYSQL_USER="backup"MYSQL_PASS="secure_password"RETENTION_DAYS=7#創(chuàng)建備份目錄mkdir-p$BACKUP_DIR/$DATE#備份所有數(shù)據(jù)庫mysqldump-u$MYSQL_USER-p$MYSQL_PASS--all-databases|\gzip>$BACKUP_DIR/$DATE/all_db_$DATE.sql.gz#刪除超過保留期的備份find$BACKUP_DIR-typed-mtime+$RETENTION_DAYS|\xargsrm-rf計劃任務(wù)設(shè)置（每天凌晨2點執(zhí)行）：02***/usr/local/bin/db_backup.sh日志清理任務(wù)設(shè)計日志文件管理對系統(tǒng)健康至關(guān)重要，防止磁盤空間耗盡：日志輪轉(zhuǎn)與清理腳本：#!/bin/bash#日志清理腳本#設(shè)置變量LOG_DIR="/var/log/app"MAX_SIZE_MB=100RETENTION_DAYS=30#壓縮大文件find$LOG_DIR-typef-name"*.log"\-size+${MAX_SIZE_MB}M-not-name"*.gz"\-execgzip{}\;#刪除過期日志find$LOG_DIR-typef-name"*.log.gz"\-mtime+$RETENTION_DAYS-delete#檢查磁盤空間并報警DISK_USAGE=$(df-h$LOG_DIR|awk'NR==2{print$5}'|sed's/%//')if[$DISK_USAGE-gt90];thenecho"警告：$LOG_DIR所在磁盤使用率超過90%"|\mail-s"磁盤空間警告"admin@fi計劃任務(wù)設(shè)置（每天凌晨4點和下午4點執(zhí)行）：04,16***/usr/local/bin/log_cleanup.sh第六章：系統(tǒng)日志管理常見日志文件介紹Linux系統(tǒng)的主要日志文件集中在/var/log目錄，包括：/var/log/syslog或/var/log/messages：記錄系統(tǒng)主要事件，是故障排查的第一參考點/var/log/auth.log或/var/log/secure：記錄身份驗證和授權(quán)信息，包括登錄嘗試/var/log/kern.log：內(nèi)核相關(guān)消息，對排查硬件和驅(qū)動問題有幫助/var/log/dmesg：系統(tǒng)啟動時的硬件檢測和驅(qū)動加載信息/var/log/boot.log：系統(tǒng)啟動過程的詳細記錄/var/log/cron：計劃任務(wù)執(zhí)行記錄/var/log/faillog：用戶登錄失敗記錄/var/log/httpd/或/var/log/apache2/：Web服務(wù)器日志/var/log/mysqld.log：MySQL數(shù)據(jù)庫日志日志查看與分析工具有效分析日志需要掌握多種工具：基本命令行工具：#實時查看日志尾部tail-f/var/log/syslog#查看最近100行tail-n100/var/log/messages#查找包含"error"的行g(shù)rep"error"/var/log/apache2/error.log#組合使用grep和tailtail-f/var/log/syslog|grep--color"warning"journalctl（systemd日志查詢工具）：#查看所有日志journalctl#查看特定服務(wù)的日志journalctl-unginx.service#查看特定時間范圍的日志journalctl--since"2023-10-01"--until"2023-10-0203:00"#查看特定優(yōu)先級的日志journalctl-perr日志安全與審計日志輪轉(zhuǎn)機制日志輪轉(zhuǎn)（LogRotation）是防止日志文件無限增長的重要機制，通常由logrotate工具實現(xiàn)：logrotate配置：位于/etc/logrotate.conf和/etc/logrotate.d/目錄#典型的logrotate配置示例/var/log/app/*.log{daily#每天輪轉(zhuǎn)missingok#如果日志不存在，不報錯rotate14#保留14個輪轉(zhuǎn)后的日志compress#壓縮舊日志delaycompress#延遲壓縮直到下次輪轉(zhuǎn)notifempty#空文件不輪轉(zhuǎn)create0640appadm#創(chuàng)建新日志，設(shè)置權(quán)限和所有者sharedscripts#腳本僅執(zhí)行一次postrotate#輪轉(zhuǎn)后執(zhí)行的腳本systemctlreloadappendscript}輪轉(zhuǎn)策略考慮因素：日志增長速度和總量存儲空間限制法規(guī)和合規(guī)性要求數(shù)據(jù)保留策略備份和歸檔需求審計日志配置與合規(guī)要求Linux審計系統(tǒng)（auditd）：記錄系統(tǒng)調(diào)用和安全相關(guān)事件#安裝審計系統(tǒng)aptinstallauditdaudispd-plugins#啟動服務(wù)systemctlenableauditdsystemctlstartauditd#配置文件位置#/etc/audit/auditd.conf#主配置文件#/etc/audit/audit.rules#審計規(guī)則常見審計規(guī)則示例：#監(jiān)控文件訪問-w/etc/passwd-pwa-kidentity-w/etc/shadow-pwa-kidentity#監(jiān)控用戶執(zhí)行sudo命令-w/usr/bin/sudo-px-ksudo_usage#監(jiān)控網(wǎng)絡(luò)配置更改-w/etc/sysconfig/network-pwa-knetwork_changes合規(guī)性要求：不同行業(yè)有特定的日志管理規(guī)范PCIDSS：要求保留至少1年的審計日志HIPAA：醫(yī)療行業(yè)數(shù)據(jù)保護要求SOX：財務(wù)報告相關(guān)IT控制GDPR：歐盟數(shù)據(jù)保護法規(guī)第七章：文件系統(tǒng)管理文件系統(tǒng)類型Linux支持多種文件系統(tǒng)類型，各有特點：ext4：Linux的默認文件系統(tǒng)，穩(wěn)定可靠XFS：高性能文件系統(tǒng)，適合大文件和大容量存儲Btrfs：新一代文件系統(tǒng)，支持快照、校驗和等高級功能ZFS：高級存儲平臺，提供數(shù)據(jù)完整性保護NTFS/FAT32：Windows兼容性文件系統(tǒng)掛載管理掛載是將存儲設(shè)備連接到目錄樹的過程：#手動掛載mount/dev/sdb1/mnt/data#查看已掛載的文件系統(tǒng)mountdf-h#卸載文件系統(tǒng)umount/mnt/data#開機自動掛載（/etc/fstab）/dev/sdb1/mnt/dataext4defaults02磁盤分區(qū)分區(qū)工具和命令：#查看磁盤分區(qū)fdisk-lparted-l#創(chuàng)建分區(qū)fdisk/dev/sdb#或parted/dev/sdb#格式化分區(qū)mkfs.ext4/dev/sdb1mkfs.xfs/dev/sdb2LVM基礎(chǔ)邏輯卷管理（LVM）提供靈活的存儲管理：物理卷（PV）：物理磁盤或分區(qū)卷組（VG）：多個物理卷的集合邏輯卷（LV）：從卷組分配的虛擬分區(qū)文件系統(tǒng)維護實操磁盤使用監(jiān)控監(jiān)控磁盤使用情況是系統(tǒng)管理的日常工作：磁盤空間監(jiān)控命令：#查看文件系統(tǒng)使用情況df-h#查看目錄占用空間du-sh/path/to/directory#按大小排序顯示目錄內(nèi)容du-h--max-depth=1/var|sort-hr#查找大文件find/-typef-size+100M-execls-lh{}\;#實時監(jiān)控I/O活動iotopiostat-x1磁盤空間警報設(shè)置：#!/bin/bash#磁盤空間監(jiān)控腳本THRESHOLD=90EMAIL="admin@"formountin$(df-h|grep-v"tmpfs"|grep-v"Filesystem"|awk'{print$6}')dousage=$(df-h$mount|tail-1|awk'{print$5}'|sed's/%//')if[$usage-ge$THRESHOLD];thenecho"警告:$mount使用率達到$usage%"|\mail-s"磁盤空間警告"$EMAILfidone文件系統(tǒng)檢查與修復(fù)工具文件系統(tǒng)檢查是維護數(shù)據(jù)完整性的關(guān)鍵步驟：ext4文件系統(tǒng)檢查：#檢查文件系統(tǒng)（非掛載狀態(tài)）fsck.ext4-f/dev/sdb1#自動修復(fù)問題fsck.ext4-y/dev/sdb1#在維護模式下檢查根文件系統(tǒng)#1.系統(tǒng)啟動時進入單用戶模式#2.以只讀方式重新掛載根分區(qū)mount-oremount,ro/#3.執(zhí)行檢查fsck.ext4-f/dev/sda1XFS文件系統(tǒng)工具：#檢查XFS文件系統(tǒng)xfs_repair/dev/sdc1#查看XFS文件系統(tǒng)信息xfs_info/dev/sdc1#備份XFS元數(shù)據(jù)xfs_metadump/dev/sdc1/root/sdc1_metadata.dumpSMART磁盤健康監(jiān)控：第八章：網(wǎng)絡(luò)管理基礎(chǔ)網(wǎng)絡(luò)接口配置網(wǎng)絡(luò)配置是系統(tǒng)連接外部世界的基礎(chǔ)：臨時配置命令：#查看網(wǎng)絡(luò)接口ipaddrshowifconfig#啟用/禁用網(wǎng)絡(luò)接口iplinkseteth0upiplinkseteth0down#配置IP地址ipaddradd00/24deveth0ipaddrdel00/24deveth0#配置默認網(wǎng)關(guān)iprouteadddefaultvia永久配置方法：Debian/Ubuntu（/etc/network/interfaces）:autoeth0ifaceeth0inetstaticaddress00netmaskgatewaydns-nameserversRHEL/CentOS（/etc/sysconfig/network-scripts/ifcfg-eth0）:TYPE=EthernetBOOTPROTO=staticIPADDR=00NETMASK=GATEWAY=DNS1=DNS2=ONBOOT=yes常用網(wǎng)絡(luò)診斷命令連通性測試：#ICMP測試ping#跟蹤路由traceroutemtr#DNS解析測試dignslookup端口和連接狀態(tài)：#查看開放端口netstat-tulnss-tulnlsof-i#查看活動連接netstat-tanss-tan#查看特定端口狀態(tài)netstat-tuln|grep80lsof-i:80網(wǎng)絡(luò)性能測試：網(wǎng)絡(luò)安全基礎(chǔ)防火墻配置iptables防火墻：傳統(tǒng)的Linux防火墻工具#查看當(dāng)前規(guī)則iptables-L-n#允許SSH連接iptables-AINPUT-ptcp--dport22-jACCEPT#允許已建立的連接iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT#默認拒絕其他入站流量iptables-AINPUT-jDROP#保存規(guī)則iptables-save>/etc/iptables/rules.v4firewalld：新一代防火墻管理工具#查看狀態(tài)firewall-cmd--state#查看區(qū)域信息firewall-cmd--list-all#開放服務(wù)firewall-cmd--permanent--add-service=httpfirewall-cmd--permanent--add-service=https#開放端口firewall-cmd--permanent--add-port=8080/tcp#重新加載firewall-cmd--reloadSSH安全加固SSH是系統(tǒng)遠程管理的主要工具，需要特別注意安全性：配置文件：/etc/ssh/sshd_config安全加固措施：#禁用root直接登錄PermitRootLoginno#使用密鑰認證，禁用密碼認證PasswordAuthenticationnoPubkeyAuthenticationyes#限制允許登錄的用戶AllowUsersuser1user2#更改默認端口Port2222#啟用登錄失敗限制MaxAuthTries3#空閑超時設(shè)置ClientAliveInterval300ClientAliveCountMax0#禁用不安全的算法Cipherschacha20-poly1305@,aes256-gcm@SSH密鑰管理：第九章：系統(tǒng)安全管理密碼策略與賬戶安全賬戶安全是系統(tǒng)防護的第一道防線：密碼策略配置：通過PAM模塊實現(xiàn)#編輯/etc/pam.d/common-password或/etc/pam.d/system-authpasswordrequisitepam_pwquality.soretry=3minlen=12\dcredit=1ucredit=1ocredit=1lcredit=1difok=3\reject_usernameenforce_for_root參數(shù)說明：minlen=12：最小密碼長度為12dcredit=1：至少包含1個數(shù)字ucredit=1：至少包含1個大寫字母lcredit=1：至少包含1個小寫字母ocredit=1：至少包含1個特殊字符difok=3：與上一個密碼至少有3個字符不同密碼過期設(shè)置：/etc/login.defsPASS_MAX_DAYS90#密碼最長有效期PASS_MIN_DAYS7#兩次修改密碼的最小間隔PASS_WARN_AGE7#過期前警告天數(shù)賬戶鎖定策略：防止暴力破解#安裝配置fail2banaptinstallfail2ban#配置文件：/etc/fail2ban/jail.local常見安全威脅與防范措施權(quán)限提升漏洞：定期更新系統(tǒng)和應(yīng)用程序限制SUID/SGID文件權(quán)限實施最小權(quán)限原則惡意軟件與病毒：安裝防病毒軟件（如ClamAV）限制可執(zhí)行文件的來源使用應(yīng)用程序白名單網(wǎng)絡(luò)攻擊：實施深度防御策略配置入侵檢測系統(tǒng)（IDS）使用VPN保護遠程連接實施網(wǎng)絡(luò)分段內(nèi)部威脅：建立審計和日志記錄機制實施職責(zé)分離定期權(quán)限審查社會工程學(xué)攻擊：員工安全意識培訓(xùn)建立明確的安全政策和程序安全事件響應(yīng)流程入侵檢測基礎(chǔ)入侵檢測系統(tǒng)（IDS）是主動安全防御的重要組成部分：常用開源IDS工具：Snort：網(wǎng)絡(luò)入侵檢測系統(tǒng)（NIDS），基于規(guī)則匹配Suricata：高性能網(wǎng)絡(luò)IDS，支持多線程OSSEC：主機入侵檢測系統(tǒng)（HIDS），監(jiān)控日志和文件變化Wazuh：OSSEC的增強版，提供更好的可視化和分析能力入侵跡象（IoC）：異常的登錄嘗試意外的網(wǎng)絡(luò)連接或流量系統(tǒng)文件修改未授權(quán)的用戶或進程日志異?；騽h除資源使用異常（CPU、內(nèi)存、硬盤）監(jiān)控實施：#檢查登錄失敗記錄grep"Failedpassword"/var/log/auth.log#檢查當(dāng)前活動用戶wwho#查找異常進程psaux|grep-v"^$(whoami)\|^root"惡意軟件防護與恢復(fù)安全事件響應(yīng)流程：準(zhǔn)備建立響應(yīng)團隊、制定計劃、配置工具和培訓(xùn)人員檢測與分析識別事件、確定影響范圍和嚴(yán)重程度遏制隔離受影響系統(tǒng)，阻止進一步損害根除移除惡意軟件，修復(fù)漏洞恢復(fù)從備份恢復(fù)系統(tǒng)，驗證系統(tǒng)功能總結(jié)教訓(xùn)記錄事件，分析原因，改進流程惡意軟件清除工具：第十章：備份與恢復(fù)策略備份類型與工具介紹備份類型：完全備份（FullBackup）：備份所有數(shù)據(jù)，恢復(fù)簡單但占用空間大增量備份（IncrementalBackup）：只備份上次備份后的變化，節(jié)省空間但恢復(fù)復(fù)雜差異備份（DifferentialBackup）：備份自上次完全備份后的所有變化，平衡了空間和恢復(fù)復(fù)雜度備份級別：文件級備份：備份單個文件和目錄映像級備份：備份整個磁盤或分區(qū)的完整映像應(yīng)用級備份：備份特定應(yīng)用程序的數(shù)據(jù)（如數(shù)據(jù)庫）常用備份工具：rsync：高效的文件同步工具，支持增量傳輸tar：打包多個文件為單個歸檔文件dd：低級別的磁盤復(fù)制工具Bacula：企業(yè)級網(wǎng)絡(luò)備份解決方案Amanda：開源備份系統(tǒng)，支持多種備份介質(zhì)Duplicity：加密增量備份工具Borg：重復(fù)數(shù)據(jù)刪除、壓縮和加密備份工具制定合理的備份計劃備份策略設(shè)計考慮因素：RPO（恢復(fù)點目標(biāo)）：能夠容忍的最大數(shù)據(jù)丟失量，決定備份頻率RTO（恢復(fù)時間目標(biāo)）：系統(tǒng)恢復(fù)所需的最長時間，影響備份和恢復(fù)方法數(shù)據(jù)重要性：不同數(shù)據(jù)可能需要不同的備份策略數(shù)據(jù)變化率：數(shù)據(jù)變化快慢影響備份類型和頻率存儲限制：可用備份存儲空間的限制帶寬限制：網(wǎng)絡(luò)備份時的帶寬考量備份計劃示例：#分層備份策略-關(guān)鍵數(shù)據(jù)：每小時增量，每天完全-重要數(shù)據(jù)：每天增量，每周完全-一般數(shù)據(jù)：每周增量，每月完全#備份輪轉(zhuǎn)-保留最近7天的每日備份-保留最近4周的每周備份-保留最近12個月的每月備份-永久保存每年年底的年度備份備份驗證：定期測試備份的完整性執(zhí)行恢復(fù)演練，驗證恢復(fù)過程記錄并優(yōu)化備份和恢復(fù)時間恢復(fù)演練與案例分享恢復(fù)流程實操系統(tǒng)級恢復(fù)步驟：準(zhǔn)備恢復(fù)環(huán)境：引導(dǎo)至救援模式或使用LiveCD評估損壞情況：確定故障范圍和類型恢復(fù)系統(tǒng)文件：從備份還原或重新安裝恢復(fù)用戶數(shù)據(jù)：從備份媒介還原驗證恢復(fù)結(jié)果：檢查文件完整性和系統(tǒng)功能更新系統(tǒng)：應(yīng)用最新補丁和更新記錄過程：詳細記錄恢復(fù)步驟和結(jié)果文件級恢復(fù)示例：#使用tar恢復(fù)文件tar-xvfbackup.tar-C/restore/path#使用rsync恢復(fù)目錄rsync-avbackup_server:/backup/dir/restore/path#從快照恢復(fù)LVM卷lvcreate-s-nbackup_snap-L5G/dev/vg0/datamount/dev/vg0/backup_snap/mnt/snapcp-a/mnt/snap/important_file/home/user/umount/mnt/snaplvremove/dev/vg0/backup_snap真實故障案例分析案例一：數(shù)據(jù)庫服務(wù)器故障故障描述：生產(chǎn)環(huán)境MySQL數(shù)據(jù)庫服務(wù)器突然無法訪問，業(yè)務(wù)系統(tǒng)報告連接錯誤。故障分析：系統(tǒng)日志顯示磁盤I/O錯誤數(shù)據(jù)目錄所在磁盤出現(xiàn)多個壞扇區(qū)部分?jǐn)?shù)據(jù)文件損壞恢復(fù)過程：立即切換到備用服務(wù)器從前一天的全量備份還原基礎(chǔ)數(shù)據(jù)應(yīng)用二進制日志恢復(fù)最新事務(wù)執(zhí)行數(shù)據(jù)一致性檢查啟動數(shù)據(jù)庫服務(wù)并驗證功能經(jīng)驗教訓(xùn)：實施RAID和磁盤監(jiān)控，提前發(fā)現(xiàn)硬件問題改進備份策略，增加備份頻率建立完整的高可用方案，減少切換時間定期執(zhí)行恢復(fù)演練，熟悉恢復(fù)流程第十一章：自動化運維工具腳本編寫基礎(chǔ)（Shell）Shell腳本是系統(tǒng)管理員的基本工具：#!/bin/bash#基本Shell腳本結(jié)構(gòu)#變量定義SERVER_NAME="web-server"THRESHOLD=90#條件判斷if[$THRESHOLD-gt80];thenecho"閾值過高"fi#循環(huán)結(jié)構(gòu)forserverinserver1server2server3;doping-c1$server&>/dev/nullif[$?-eq0];thenecho"$server可訪問"elseecho"$server不可訪問"fidone#函數(shù)定義check_service(){systemctlis-active$1&>/dev/nullreturn$?}#函數(shù)調(diào)用check_servicenginxif[$?-eq0];thenecho"Nginx運行中"fi常用Shell腳本應(yīng)用：系統(tǒng)監(jiān)控和報警批量用戶和權(quán)限管理日志分析和處理定期維護任務(wù)腳本編寫基礎(chǔ)（Python）Python提供更強大的功能和更簡潔的語法：#!/usr/bin/envpython3#基本Python腳本示例importosimportsysimportsubprocessimportdatetime#變量和函數(shù)servers=["server1","server2","server3"]log_file="/var/log/server_check.log"defcheck_server(server):"""檢查服務(wù)器連通性"""try:response=subprocess.run(["ping","-c","1",server],capture_output=True,text=True,timeout=5)returnresponse.returncode==0exceptExceptionase:returnFalse#主邏輯now=datetime.datetime.now()withopen(log_file,"a")aslog:log.write(f"===檢查開始:{now}===\n")forserverinservers:status="在線"ifcheck_server(server)else"離線"log.write(f"{server}:{status}\n")print(f"{server}:{status}")log.write(f"===檢查結(jié)束===\n\n")Python優(yōu)勢：豐富的標(biāo)準(zhǔn)庫和第三方模塊更好的錯誤處理機制跨平臺兼容性面向?qū)ο缶幊讨С峙渲霉芾砉ぞ吆喗锳nsible：簡單高效的自動化工具無客戶端架構(gòu)，通過SSH連接使用YAML語法的playbook豐富的模塊庫易于學(xué)習(xí)和使用#AnsiblePlaybook示例name:配置Web服務(wù)器hosts:webserversbecome:yestasks:-name:安裝Nginxapt:name:nginxstate:present-name:啟動Nginx服務(wù)service:name:nginxstate:startedenabled:yes其他配置管理工具：Puppet：成熟的配置管理平臺，使用自己的DSL語言Chef：使用Ruby編寫的自動化平臺，強大但學(xué)習(xí)曲線較陡SaltStack：高速、可擴展的系統(tǒng)管理平臺Terraform：基礎(chǔ)設(shè)施即代碼（IaC）工具，專注于云資源管理自動化實踐示例自動化部署流程使用Ansible實現(xiàn)Web應(yīng)用的自動化部署：#AnsiblePlaybook:deploy_webapp.ymlname:部署Web應(yīng)用hosts:web_serversbecome:yesvars:app_name:myappapp_version:"1.2.3"app_port:8080db_host:tasks:-name:安裝依賴包apt:name:-nginx-nodejs-npmstate:presentupdate_cache:yes-name:創(chuàng)建應(yīng)用目錄file:path:"/opt/{{app_name}}"state:directoryowner:www-datagroup:www-data-name:從Git倉庫克隆代碼git:repo:"/example/{{app_name}}.git"dest:"/opt/{{app_name}}"version:"v{{app_version}}"-name:安裝Node.js依賴npm:path:"/opt/{{app_name}}"state:present-name:配置應(yīng)用環(huán)境變量template:src:env.j2dest:"/opt/{{app_name}}/.env"owner:www-datagroup:www-datamode:'0600'-name:配置Nginx虛擬主機template:src:nginx_vhost.j2dest:"/etc/nginx/sites-available/{{app_name}}"notify:restartnginx-name:啟用Nginx站點file:src:"/etc/nginx/sites-available/{{app_name}}"dest:"/etc/nginx/sites-enabled/{{app_name}}"state:linknotify:restartnginx-name:創(chuàng)建systemd服務(wù)單元template:src:systemd_service.j2dest:"/etc/systemd/system/{{app_name}}.service"notify:reloadsystemd-name:啟動應(yīng)用服務(wù)service:name:"{{app_name}}"state:startedenabled:yeshandlers:-name:restartnginxservice:name:nginxstate:restarted-name:reloadsystemdsystemd:daemon_reload:yes監(jiān)控報警自動化配置使用Python腳本配置Prometheus監(jiān)控和Alertmanager報警：#!/usr/bin/envpython3#監(jiān)控配置自動化腳本importyamlimportosimportsubprocessimportargparse#命令行參數(shù)parser=argparse.ArgumentParser(description='配置監(jiān)控和報警')parser.add_argument('--target',required=True,help='監(jiān)控目標(biāo)')parser.add_argument('--email',required=True,help='報警郵箱')args=parser.parse_args()#Prometheus監(jiān)控配置prometheus_config={'global':{'scrape_interval':'15s','evaluation_interval':'15s',},'rule_files':['/etc/prometheus/rules/*.yml',],'alerting':{'alertmanagers':[{'static_configs':[{'targets':['localhost:9093'],}]}]},'scrape_configs':[{'job_name':'prometheus','static_configs':[{'targets':['localhost:9090'],}]},{'job_name':'node','static_configs':[{'targets':[f"{args.target}:9100"],'labels':{'instance':args.target}}]}]}#Alertmanager配置alertmanager_config={'global':{'smtp_smarthost':':587','smtp_from':'alertmanager@','smtp_auth_username':'alertmanager','smtp_auth_password':'password',},'route':{'group_by':['alertname','instance'],'group_wait':'30s','group_interval':'5m','repeat_interval':'4h','receiver':'email',},'receivers':[{'name':'email','email_configs':[{'to':args.email,'send_resolved':True,}]}]}#告警規(guī)則alert_rules={'groups':[{'name':'node_alerts','rules':[{'alert':'HighCPULoad','expr':'node_load1>0.8','for':'5m','labels':{'severity':'warning',},'annotations':{'summary':'{{$labels.instance}}:高CPU負載','description':'{{$labels.instance}}CPU負載超過80%',}},{'alert':'LowDiskSpace','expr':'node_filesystem_free_bytes/node_filesystem_size_bytes*100<10','for':'5m','labels':{'severity':'critical',},'annotations':{'summary':'{{$labels.instance}}:磁盤空間不足','description':'{{$labels.instance}}{{$labels.mountpoint}}剩余空間不足10%',}}]}]}#寫入配置文件withopen('/etc/prometheus/prometheus.yml','w')asf:yaml.dump(prometheus_config,f,default_flow_style=False)withopen('/etc/alertmanager/alertmanager.yml','w')asf:yaml.dump(alertmanager_config,f,default_flow_style=False)os.makedirs('/etc/prometheus/rules',exist_ok=True)withopen('/etc/prometheus/rules/node_alerts.yml','w')asf:yaml.dump(alert_rules,f,default_flow_style=False)#重啟服務(wù)subprocess.run(['systemctl','restart','prometheus'])subprocess.run(['systemctl','restart','alertmanager'])print(f"監(jiān)控配置已完成。目標(biāo):{args.target},報警郵箱:{args.email}")第十二章：性能監(jiān)控與優(yōu)化CPU性能指標(biāo)CPU是系統(tǒng)處理能力的核心指標(biāo)：CPU使用率：整體和各類型（用戶、系統(tǒng)、IO等）使用率負載平均值：1分鐘、5分鐘、15分鐘系統(tǒng)負載運行隊列長度：等待CPU處理的進程數(shù)上下文切換：進程/線程切換頻率中斷處理：硬/軟中斷處理頻率監(jiān)控工具：#CPU使用情況tophtopmpstat-PALL2#進程CPU使用詳情pidstat-u1內(nèi)存性能指標(biāo)內(nèi)存管理直接影響系統(tǒng)穩(wěn)定性和響應(yīng)速度：物理內(nèi)存使用率：已用內(nèi)存百分比可用內(nèi)存：系統(tǒng)可分配的內(nèi)存量緩存/緩沖區(qū)使用：用于提升性能的內(nèi)存交換空間使用率：虛擬內(nèi)存使用情況頁面調(diào)度：頁面換入/換出頻率監(jiān)控工具：#內(nèi)存使用概況free-hvmstat2#詳細內(nèi)存統(tǒng)計cat/proc/meminfo#進程內(nèi)存使用psaux--sort=-%mempmap-x[PID]IO性能指標(biāo)磁盤I/O常是性能瓶頸：吞吐量：單位時間讀寫的數(shù)據(jù)量IOPS：每秒I/O操作次數(shù)I/O等待時間：I/O請求的平均響應(yīng)時間I/O隊列長度：等待處理的I/O請求數(shù)磁盤利用率：磁盤忙碌百分比監(jiān)控工具：#I/O統(tǒng)計信息iostat-xz2#詳細I/O監(jiān)控iotop#文件系統(tǒng)I/Odstat-d網(wǎng)絡(luò)性能指標(biāo)網(wǎng)絡(luò)性能對分布式系統(tǒng)至關(guān)重要：帶寬使用率：網(wǎng)絡(luò)接口的吞吐量網(wǎng)絡(luò)連接數(shù)：TCP/UDP連接狀態(tài)和數(shù)量網(wǎng)絡(luò)延遲：網(wǎng)絡(luò)請求的響應(yīng)時間丟包率：網(wǎng)絡(luò)傳輸中丟失的數(shù)據(jù)包比例網(wǎng)絡(luò)錯誤率：傳輸錯誤和沖突統(tǒng)計監(jiān)控工具：#網(wǎng)絡(luò)接口統(tǒng)計netstat-iip-slink#網(wǎng)絡(luò)連接狀態(tài)netstat-tunaplss-tunapl#實時網(wǎng)絡(luò)監(jiān)控iftopnload性能瓶頸診斷與調(diào)優(yōu)資源使用分析性能分析方法論：建立基準(zhǔn)：記錄正常工作負載下的性能指標(biāo)識別癥狀：確定問題的表現(xiàn)形式（響應(yīng)慢、高負載等）收集數(shù)據(jù)：使用監(jiān)控工具收集相關(guān)指標(biāo)分析瓶頸：確定限制性能的資源和原因驗證假設(shè)：通過測試確認瓶頸原因應(yīng)用優(yōu)化：實施改進措施驗證結(jié)果：比較優(yōu)化前后的性能差異常見瓶頸診斷工具：SAR（SystemActivityReporter）：全面的系統(tǒng)性能歷史數(shù)據(jù)Perf：Linux性能分析工具，支持硬件性能計數(shù)器Strace：跟蹤進程的系統(tǒng)調(diào)用和信號Ltrace：跟蹤進程的庫調(diào)用FlameGraphs：直觀顯示CPU使用的層次結(jié)構(gòu)#使用perf分析CPU事件perfrecord-a-gsleep30perfreport#跟蹤進程系統(tǒng)調(diào)用strace-p[PID]#監(jiān)控一段時間的系統(tǒng)活動sar-A-o/tmp/sar.data512優(yōu)化方案與實施CPU優(yōu)化：優(yōu)化進程優(yōu)先級（使用nice和renice）啟用CPU親和性（使用taskset）控制進程數(shù)量，避免過度調(diào)度升級至多核處理器或增加CPU核心優(yōu)化應(yīng)用程序算法和代碼效率內(nèi)存優(yōu)化：調(diào)整交換空間使用策略（vm.swappiness）優(yōu)化內(nèi)存分配和回收（sysctl參數(shù)）控制應(yīng)用程序內(nèi)存泄漏增加物理內(nèi)存容量使用內(nèi)存緩存加速應(yīng)用（如Redis）磁盤I/O優(yōu)化：使用適當(dāng)?shù)腎/O調(diào)度器（deadline,noop,cfq）調(diào)整文件系統(tǒng)參數(shù)（noatime等）使用SSD替代機械硬盤實施RAID提高性能和可靠性優(yōu)化數(shù)據(jù)庫存儲引擎和配置網(wǎng)絡(luò)優(yōu)化：調(diào)整TCP/IP堆棧參數(shù)使用內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）實施負載均衡優(yōu)化應(yīng)用協(xié)議和數(shù)據(jù)傳輸升級網(wǎng)絡(luò)設(shè)備和帶寬第十三章：云平臺與虛擬化管理1虛擬機基礎(chǔ)虛擬機（VM）是在物理硬件上模擬完整計算機系統(tǒng)的技術(shù)：虛擬化類型：全虛擬化：完全模擬硬件，客戶機操作系統(tǒng)無需修改半虛擬化：客戶機知道自己運行在虛擬環(huán)境中，需要特殊驅(qū)動硬件輔助虛擬化：利用CPU虛擬化擴展（如IntelVT-x、AMD-V）常用虛擬化平臺：VMwareESXi/vSphere：企業(yè)級虛擬化平臺MicrosoftHyper-V：Windows環(huán)境虛擬化解決方案KVM（Kernel-basedVirtualMachine）：Linux內(nèi)核集成的虛擬化技術(shù)Xen：開源的虛擬機監(jiān)視器VirtualBox：適合桌面和測試環(huán)境的虛擬化軟件虛擬機管理：#使用virsh管理KVM虛擬機virshlist--allvirshstartvm_namevirshshutdownvm_namevirshdestroyvm_name#強制關(guān)閉virshconsolevm_name#連接到虛擬機控制臺2容器基礎(chǔ)容器是輕量級的虛擬化技術(shù)，共享主機內(nèi)核：容器與虛擬機對比：資源效率：容器開銷小，啟動快，密度高隔離級別：虛擬機提供更強的隔離保證操作系統(tǒng)：容器共享主機內(nèi)核，虛擬機有獨立的客戶機內(nèi)核可移植性：容器更易于在不同環(huán)境間移動主要容器技術(shù)：Docker：最流行的容器平臺Kubernetes：容器編排和管理平臺containerd：高級容器運行時Podman：無守護進程的容器引擎LXC/LXD：Linux容器技術(shù)容器管理基礎(chǔ)命令：#Docker基本命令dockerps-a#列出所有容器dockerimages#列出鏡像dockerrun-d-p80:80nginx#啟動Nginx容器dockerstopcontaine