Linux日常維護(hù)手冊(cè)大全Linux日常維護(hù)手冊(cè)大全

一、引言

Linux系統(tǒng)作為一種高效穩(wěn)定的操作系統(tǒng)，在日常使用中需要進(jìn)行系統(tǒng)性的維護(hù)工作，以確保其性能、安全性和可靠性。本手冊(cè)旨在提供一套完整的Linux日常維護(hù)指南，幫助用戶掌握系統(tǒng)維護(hù)的基本技能和流程。內(nèi)容涵蓋系統(tǒng)檢查、性能監(jiān)控、安全加固、備份恢復(fù)等方面，適用于Linux系統(tǒng)管理員及日常使用用戶。

二、系統(tǒng)檢查與更新

（一）系統(tǒng)狀態(tài)檢查

1.檢查系統(tǒng)運(yùn)行狀態(tài)

-使用`uptime`命令查看系統(tǒng)運(yùn)行時(shí)間和負(fù)載情況

-使用`top`或`htop`命令查看實(shí)時(shí)進(jìn)程狀態(tài)

-使用`df-h`檢查磁盤空間使用情況

-使用`free-h`檢查內(nèi)存和交換空間使用情況

2.檢查系統(tǒng)日志

-使用`journalctl`查看系統(tǒng)日志

-使用`cat/var/log/syslog`查看傳統(tǒng)系統(tǒng)日志

-使用`tail-f`命令實(shí)時(shí)查看日志文件

3.檢查網(wǎng)絡(luò)狀態(tài)

-使用`ifconfig`或`ipa`查看網(wǎng)絡(luò)接口狀態(tài)

-使用`ping`命令測(cè)試網(wǎng)絡(luò)連通性

-使用`netstat-tulnp`查看監(jiān)聽端口

（二）系統(tǒng)更新管理

1.更新軟件包列表

-Debian/Ubuntu系統(tǒng)：`sudoaptupdate`

-CentOS/RHEL系統(tǒng)：`sudoyumcheck-update`或`sudodnfcheck-update`

2.安裝系統(tǒng)更新

-Debian/Ubuntu系統(tǒng)：`sudoaptupgrade`

-CentOS/RHEL系統(tǒng)：`sudoyumupdate`或`sudodnfupdate`

3.安裝安全更新

-優(yōu)先安裝安全補(bǔ)丁

-定期檢查安全公告并更新

4.清理過時(shí)軟件包

-Debian/Ubuntu系統(tǒng)：`sudoaptautoremove`

-CentOS/RHEL系統(tǒng)：`sudoyumautoremove`或`sudodnfautoremove`

三、性能監(jiān)控與優(yōu)化

（一）性能監(jiān)控工具

1.系統(tǒng)性能監(jiān)控

-使用`vmstat`監(jiān)控CPU、內(nèi)存、磁盤活動(dòng)

-使用`iostat`監(jiān)控磁盤I/O性能

-使用`sar`進(jìn)行歷史性能數(shù)據(jù)收集

2.網(wǎng)絡(luò)性能監(jiān)控

-使用`nload`或`iftop`監(jiān)控網(wǎng)絡(luò)流量

-使用`netstat`分析網(wǎng)絡(luò)連接性能

3.應(yīng)用性能監(jiān)控

-使用`strace`跟蹤進(jìn)程系統(tǒng)調(diào)用

-使用`lsof`查看文件系統(tǒng)資源使用情況

（二）性能優(yōu)化方法

1.調(diào)整系統(tǒng)參數(shù)

-修改`/etc/sysctl.conf`文件調(diào)整內(nèi)核參數(shù)

-使用`sysctl`命令實(shí)時(shí)調(diào)整參數(shù)

2.優(yōu)化內(nèi)存使用

-調(diào)整交換空間參數(shù)

-使用`malloc`庫(kù)優(yōu)化內(nèi)存分配

3.優(yōu)化磁盤性能

-使用`noatime`掛載選項(xiàng)減少磁盤訪問

-調(diào)整文件系統(tǒng)緩存參數(shù)

4.優(yōu)化網(wǎng)絡(luò)性能

-調(diào)整TCP窗口大小

-使用`netfilter`進(jìn)行網(wǎng)絡(luò)流量控制

四、安全加固措施

（一）用戶賬戶管理

1.創(chuàng)建用戶賬戶

-使用`useradd`命令創(chuàng)建新用戶

-設(shè)置強(qiáng)密碼策略

2.修改用戶密碼

-使用`passwd`命令修改密碼

-定期強(qiáng)制用戶更改密碼

3.管理用戶權(quán)限

-使用`sudo`管理特權(quán)命令訪問

-限制root用戶直接登錄

4.刪除閑置賬戶

-定期清理未使用賬戶

-禁用不必要的服務(wù)賬戶

（二）系統(tǒng)安全加固

1.關(guān)閉不必要的服務(wù)

-使用`systemctl`禁用不必要服務(wù)

-編輯`/etc/default`文件禁用服務(wù)

2.配置防火墻

-使用`iptables`或`firewalld`設(shè)置規(guī)則

-僅開放必要的端口

3.限制遠(yuǎn)程登錄

-修改`/etc/ssh/sshd_config`文件

-禁用root遠(yuǎn)程登錄

4.啟用SELinux或AppArmor

-配置SELinux為enforcing模式

-設(shè)置AppArmor強(qiáng)制訪問控制

（三）漏洞掃描與管理

1.定期進(jìn)行漏洞掃描

-使用`OpenVAS`或`Nessus`進(jìn)行掃描

-分析掃描結(jié)果并修復(fù)漏洞

2.管理安全補(bǔ)丁

-建立補(bǔ)丁管理流程

-測(cè)試補(bǔ)丁影響后再應(yīng)用

3.監(jiān)控安全事件

-配置入侵檢測(cè)系統(tǒng)

-設(shè)置安全警報(bào)閾值

五、備份與恢復(fù)

（一）備份策略制定

1.確定備份范圍

-根據(jù)重要程度確定備份對(duì)象

-優(yōu)先備份關(guān)鍵數(shù)據(jù)和配置文件

2.制定備份頻率

-根據(jù)數(shù)據(jù)變化頻率確定備份周期

-日常增量備份、每周差異備份、每月完整備份

3.選擇備份介質(zhì)

-磁盤、磁帶、網(wǎng)絡(luò)存儲(chǔ)等

-考慮備份容量和可靠性

（二）備份工具與實(shí)施

1.使用`rsync`進(jìn)行文件備份

```bash

rsync-avz/source/destination

```

-`-a`歸檔模式，保持權(quán)限和屬性

-`-v`詳細(xì)模式，顯示操作過程

-`-z`壓縮傳輸數(shù)據(jù)

2.使用`tar`進(jìn)行歸檔備份

```bash

tarczvf/backup.tar.gz/source

```

3.使用`備份軟件`進(jìn)行自動(dòng)化備份

-定時(shí)任務(wù)自動(dòng)執(zhí)行備份腳本

-增量備份和差異備份策略

（三）恢復(fù)流程與測(cè)試

1.恢復(fù)步驟

-停止相關(guān)服務(wù)

-使用備份文件恢復(fù)數(shù)據(jù)

-驗(yàn)證恢復(fù)數(shù)據(jù)完整性

2.恢復(fù)測(cè)試

-定期進(jìn)行恢復(fù)演練

-記錄恢復(fù)時(shí)間

3.恢復(fù)策略

-制定不同級(jí)別的恢復(fù)方案

-優(yōu)先恢復(fù)核心系統(tǒng)組件

六、系統(tǒng)清理與優(yōu)化

（一）磁盤清理

1.清理臨時(shí)文件

-刪除`/tmp`目錄內(nèi)容

-清理系統(tǒng)緩存

2.清理日志文件

-輪轉(zhuǎn)日志文件

-保留歷史日志但刪除過時(shí)文件

3.清理包管理器緩存

-Debian/Ubuntu：`sudoaptclean`

-CentOS/RHEL：`sudoyumcleanall`

4.查找和刪除大文件

-使用`find`命令搜索大文件

-刪除不再需要的文件

（二）系統(tǒng)優(yōu)化

1.調(diào)整內(nèi)核參數(shù)

-優(yōu)化網(wǎng)絡(luò)參數(shù)

-調(diào)整文件系統(tǒng)性能參數(shù)

2.優(yōu)化內(nèi)存使用

-調(diào)整Swappiness值

-配置內(nèi)存緩存策略

3.優(yōu)化啟動(dòng)性能

-管理啟動(dòng)項(xiàng)

-優(yōu)化initramfs

4.監(jiān)控系統(tǒng)資源

-使用`vmstat`監(jiān)控系統(tǒng)性能

-調(diào)整資源分配

七、常見問題排查

（一）性能問題排查

1.CPU使用率高

-使用`top`定位高CPU進(jìn)程

-分析進(jìn)程CPU占用原因

2.內(nèi)存不足

-使用`free`檢查內(nèi)存使用

-分析內(nèi)存泄漏原因

3.磁盤I/O慢

-使用`iostat`檢查磁盤活動(dòng)

-優(yōu)化磁盤IO調(diào)度

4.網(wǎng)絡(luò)延遲高

-使用`ping`和`mtr`測(cè)試網(wǎng)絡(luò)

-檢查路由和防火墻設(shè)置

（二）故障恢復(fù)方法

1.系統(tǒng)無法啟動(dòng)

-進(jìn)入單用戶模式

-使用系統(tǒng)恢復(fù)控制臺(tái)

2.文件系統(tǒng)損壞

-使用`fsck`修復(fù)文件系統(tǒng)

-從備份恢復(fù)數(shù)據(jù)

3.服務(wù)無法啟動(dòng)

-檢查服務(wù)配置文件

-查看服務(wù)日志

4.網(wǎng)絡(luò)連接中斷

-檢查網(wǎng)絡(luò)設(shè)備狀態(tài)

-重新配置網(wǎng)絡(luò)接口

八、自動(dòng)化運(yùn)維

（一）自動(dòng)化工具

1.使用`cron`計(jì)劃任務(wù)

-安排定期執(zhí)行的維護(hù)腳本

-示例：每天凌晨1點(diǎn)清理日志

2.使用`Ansible`進(jìn)行自動(dòng)化管理

-定義主機(jī)清單

-編寫Playbook執(zhí)行任務(wù)

3.使用`SaltStack`進(jìn)行遠(yuǎn)程執(zhí)行

-配置master和minion

-執(zhí)行遠(yuǎn)程命令和狀態(tài)管理

（二）自動(dòng)化腳本

1.系統(tǒng)健康檢查腳本

```bash

!/bin/bash

echo"DiskUsage:"

df-h

echo"MemoryUsage:"

free-h

echo"CPULoad:"

top-bn1|grepload

```

2.日志輪轉(zhuǎn)腳本

```bash

!/bin/bash

logrotate/etc/logrotate.conf

```

3.自動(dòng)備份腳本

```bash

!/bin/bash

rsync-avz/source/destination

```

（三）監(jiān)控告警

1.配置`Nagios`監(jiān)控系統(tǒng)

-定義監(jiān)控主機(jī)和參數(shù)

-設(shè)置告警閾值

2.使用`Zabbix`進(jìn)行監(jiān)控

-配置數(shù)據(jù)收集器

-設(shè)置告警規(guī)則

3.使用`Prometheus`+`Grafana`進(jìn)行監(jiān)控

-配置Prometheus抓取目標(biāo)

-使用Grafana可視化展示

九、總結(jié)

Linux日常維護(hù)是一項(xiàng)持續(xù)性的工作，需要系統(tǒng)管理員掌握全面的維護(hù)技能。通過定期檢查系統(tǒng)狀態(tài)、監(jiān)控性能指標(biāo)、加固系統(tǒng)安全、實(shí)施備份恢復(fù)、優(yōu)化系統(tǒng)配置等措施，可以確保Linux系統(tǒng)的穩(wěn)定運(yùn)行。建議建立完善的維護(hù)流程和自動(dòng)化工具，提高維護(hù)效率，減少人為錯(cuò)誤。本手冊(cè)提供的基本維護(hù)方法適用于大多數(shù)Linux發(fā)行版，可根據(jù)實(shí)際環(huán)境進(jìn)行調(diào)整和擴(kuò)展。

Linux日常維護(hù)手冊(cè)大全

一、引言

Linux系統(tǒng)作為一種高效穩(wěn)定的操作系統(tǒng)，在日常使用中需要進(jìn)行系統(tǒng)性的維護(hù)工作，以確保其性能、安全性和可靠性。本手冊(cè)旨在提供一套完整的Linux日常維護(hù)指南，幫助用戶掌握系統(tǒng)維護(hù)的基本技能和流程。內(nèi)容涵蓋系統(tǒng)檢查、性能監(jiān)控、安全加固、備份恢復(fù)等方面，適用于Linux系統(tǒng)管理員及日常使用用戶。

二、系統(tǒng)檢查與更新

（一）系統(tǒng)狀態(tài)檢查

1.檢查系統(tǒng)運(yùn)行狀態(tài)

-使用`uptime`命令查看系統(tǒng)運(yùn)行時(shí)間和負(fù)載情況

-命令格式：`uptime`

-輸出解釋：顯示系統(tǒng)運(yùn)行時(shí)間、當(dāng)前時(shí)間、平均負(fù)載（1分鐘、5分鐘、15分鐘）

-使用`top`或`htop`命令查看實(shí)時(shí)進(jìn)程狀態(tài)

-命令格式：`top`或`htop`

-功能：實(shí)時(shí)顯示進(jìn)程列表，包括PID、用戶、CPU使用率、內(nèi)存使用率、狀態(tài)、內(nèi)存占用、命令名

-`htop`特性：圖形化界面，支持鼠標(biāo)操作，更直觀顯示進(jìn)程信息

-使用`df-h`檢查磁盤空間使用情況

-命令格式：`df-h`

-輸出解釋：顯示文件系統(tǒng)的掛載點(diǎn)、總空間、已用空間、可用空間、掛載文件系統(tǒng)類型、掛載選項(xiàng)

-使用`free-h`檢查內(nèi)存和交換空間使用情況

-命令格式：`free-h`

-輸出解釋：顯示物理內(nèi)存總量、已用內(nèi)存、空閑內(nèi)存、交換空間總量、已用交換空間、空閑交換空間

2.檢查系統(tǒng)日志

-使用`journalctl`查看系統(tǒng)日志

-命令格式：`journalctl[選項(xiàng)]`

-常用選項(xiàng)：

-`-xe`：顯示所有消息和錯(cuò)誤消息

-`-f`：實(shí)時(shí)跟蹤日志

-`--since`：指定時(shí)間范圍，如`--since"2023-10-0100:00:00"`

-`--since"1hourago"`：顯示過去1小時(shí)的消息

-實(shí)例：`journalctl-xe--since"1hourago"`

-使用`cat/var/log/syslog`查看傳統(tǒng)系統(tǒng)日志

-注意：不是所有系統(tǒng)都使用`syslog`，需根據(jù)系統(tǒng)確認(rèn)日志位置

-常用系統(tǒng)日志文件：

-`/var/log/messages`：通用系統(tǒng)日志

-`/var/log/auth.log`：認(rèn)證相關(guān)日志

-`/var/log/cron`：計(jì)劃任務(wù)日志

-`/var/log/kern.log`：內(nèi)核日志

-使用`tail-f`命令實(shí)時(shí)查看日志文件

-命令格式：`tail-f/path/to/logfile`

-功能：實(shí)時(shí)顯示日志文件的新增內(nèi)容

-示例：`tail-f/var/log/syslog`

3.檢查網(wǎng)絡(luò)狀態(tài)

-使用`ifconfig`或`ipa`查看網(wǎng)絡(luò)接口狀態(tài)

-命令格式：`ifconfig`或`ipa`

-輸出解釋：

-`ifconfig`：顯示網(wǎng)絡(luò)接口的IP地址、子網(wǎng)掩碼、廣播地址、MTU等

-`ipa`：顯示更詳細(xì)的網(wǎng)絡(luò)接口信息，包括鏈接類型、操作狀態(tài)等

-使用`ping`命令測(cè)試網(wǎng)絡(luò)連通性

-命令格式：`ping[主機(jī)名或IP地址]`

-參數(shù)：

-`-c`：指定發(fā)送的ECHO請(qǐng)求次數(shù)，如`ping-c4`

-`-t`：不顯示時(shí)間，只顯示TTL值

-`-W`：指定超時(shí)時(shí)間，如`ping-W2`

-示例：`ping-c4`

-使用`netstat-tulnp`查看監(jiān)聽端口

-命令格式：`netstat-tulnp`

-輸出解釋：

-`-t`：顯示TCP端口

-`-u`：顯示UDP端口

-`-l`：顯示正在監(jiān)聽的服務(wù)

-`-n`：顯示數(shù)字形式的地址和端口號(hào)

-`-p`：顯示正在監(jiān)聽的服務(wù)所使用的進(jìn)程ID和名稱

-示例：`netstat-tulnp`會(huì)顯示所有正在監(jiān)聽的端口及其相關(guān)信息

（二）系統(tǒng)更新管理

1.更新軟件包列表

-Debian/Ubuntu系統(tǒng)：`sudoaptupdate`

-功能：更新本地軟件包索引文件

-注意：此命令不會(huì)安裝或升級(jí)軟件包

-CentOS/RHEL系統(tǒng)：`sudoyumcheck-update`或`sudodnfcheck-update`

-功能：檢查可用的軟件包更新

-示例：`sudodnfcheck-update`

2.安裝系統(tǒng)更新

-Debian/Ubuntu系統(tǒng)：`sudoaptupgrade`

-功能：升級(jí)所有可升級(jí)的軟件包

-注意：可能需要確認(rèn)安裝新軟件包

-CentOS/RHEL系統(tǒng)：`sudoyumupdate`或`sudodnfupdate`

-功能：升級(jí)所有已安裝的軟件包到最新版本

-示例：`sudoyumupdate`或`sudodnfupdate`

3.安裝安全更新

-優(yōu)先安裝安全補(bǔ)丁

-使用包管理器的安全更新功能

-Debian/Ubuntu：`sudoaptupdate&&sudoaptinstallunattended-upgrades&&sudodpkg-reconfigureunattended-upgrades`

-CentOS/RHEL：`sudoyumupdate-security`或`sudodnfupdate-security`

-定期檢查安全公告并更新

-訪問發(fā)行版的安全公告頁(yè)面

-手動(dòng)安裝安全補(bǔ)丁

4.清理過時(shí)軟件包

-Debian/Ubuntu系統(tǒng)：`sudoaptautoremove`

-功能：刪除不再需要依賴的軟件包

-示例：`sudoaptautoremove`

-CentOS/RHEL系統(tǒng)：`sudoyumautoremove`或`sudodnfautoremove`

-功能：刪除不再需要依賴的軟件包

-示例：`sudodnfautoremove`

三、性能監(jiān)控與優(yōu)化

（一）性能監(jiān)控工具

1.系統(tǒng)性能監(jiān)控

-使用`vmstat`監(jiān)控CPU、內(nèi)存、磁盤活動(dòng)

-命令格式：`vmstat[選項(xiàng)]`

-常用選項(xiàng)：

-`-S`：指定單位（K、M、G）

-`-n`：顯示符號(hào)名稱而不是數(shù)值

-`-t`：顯示時(shí)間戳

-輸出解釋：

-`procs`：進(jìn)程狀態(tài)信息

-`memory`：內(nèi)存使用情況

-`swap`：交換空間使用情況

-`io`：塊設(shè)備I/O統(tǒng)計(jì)

-`system`：系統(tǒng)活動(dòng)統(tǒng)計(jì)

-`cpu`：CPU活動(dòng)統(tǒng)計(jì)

-實(shí)例：`vmstat1`每秒刷新一次輸出

-使用`iostat`監(jiān)控磁盤I/O性能

-命令格式：`iostat[選項(xiàng)]`

-常用選項(xiàng)：

-`-c`：顯示CPU統(tǒng)計(jì)信息

-`-d`：顯示磁盤統(tǒng)計(jì)信息

-`-m`：以MB為單位顯示磁盤活動(dòng)

-`-x`：顯示擴(kuò)展統(tǒng)計(jì)信息

-輸出解釋：

-`Device`：設(shè)備名稱

-`rrqm/s`：每秒讀取請(qǐng)求合并數(shù)

-`wrqm/s`：每秒寫入請(qǐng)求合并數(shù)

-`r/s`：每秒讀取次數(shù)

-`w/s`：每秒寫入次數(shù)

-`bread/s`：每秒讀取塊數(shù)

-`bwrtn/s`：每秒寫入塊數(shù)

-`avgrq-sz`：平均請(qǐng)求大小

-`avgqu-sz`：平均隊(duì)列長(zhǎng)度

-`await`：平均等待時(shí)間

-`svctm`：平均服務(wù)時(shí)間

-實(shí)例：`iostat-dxm1`每秒刷新一次顯示磁盤和CPU統(tǒng)計(jì)信息

-使用`sar`進(jìn)行歷史性能數(shù)據(jù)收集

-命令格式：`sar[選項(xiàng)]`

-常用選項(xiàng)：

-`-u`：CPU使用率

-`-d`：磁盤活動(dòng)

-`-r`：內(nèi)存使用率

-`-n`：網(wǎng)絡(luò)統(tǒng)計(jì)信息

-`-A`：所有項(xiàng)目

-實(shí)例：

-收集1分鐘CPU使用率數(shù)據(jù)，每天收集一次，保留3天：`sar-u11daily3`

-收集1分鐘磁盤活動(dòng)數(shù)據(jù)，每天收集一次，保留3天：`sar-d11daily3`

2.網(wǎng)絡(luò)性能監(jiān)控

-使用`nload`或`iftop`監(jiān)控網(wǎng)絡(luò)流量

-`nload`：

-命令格式：`nload[選項(xiàng)]`

-功能：實(shí)時(shí)顯示網(wǎng)絡(luò)接口的流量使用情況

-示例：`nloadeth0`

-`iftop`：

-命令格式：`iftop[選項(xiàng)]`

-功能：實(shí)時(shí)顯示網(wǎng)絡(luò)接口的流量使用情況，按連接顯示

-示例：`iftop-ieth0`

-使用`netstat`分析網(wǎng)絡(luò)連接性能

-命令格式：`netstat[選項(xiàng)]`

-常用選項(xiàng)：

-`-a`：顯示所有連接和監(jiān)聽端口

-`-n`：顯示數(shù)字形式的地址和端口號(hào)

-`-p`：顯示進(jìn)程ID和名稱

-`-r`：顯示路由表

-示例：`netstat-anp`顯示所有連接和監(jiān)聽端口及其進(jìn)程信息

3.應(yīng)用性能監(jiān)控

-使用`strace`跟蹤進(jìn)程系統(tǒng)調(diào)用

-命令格式：`strace[選項(xiàng)][進(jìn)程名或PID]`

-常用選項(xiàng)：

-`-c`：統(tǒng)計(jì)系統(tǒng)調(diào)用次數(shù)和花費(fèi)時(shí)間

-`-e`：指定要跟蹤的系統(tǒng)調(diào)用

-`-o`：將跟蹤結(jié)果輸出到文件

-示例：`strace-c-o/tmp/strace.log-p1234`跟蹤PID為1234的進(jìn)程

-使用`lsof`查看文件系統(tǒng)資源使用情況

-命令格式：`lsof[選項(xiàng)]`

-常用選項(xiàng)：

-`-i`：顯示網(wǎng)絡(luò)文件描述符

-`-u`：顯示用戶

-`-F`：以特定格式顯示

-`-n`：不解析主機(jī)名

-輸出解釋：

-`COMMAND`：進(jìn)程名稱

-`PID`：進(jìn)程ID

-`USER`：用戶名

-`FD`：文件描述符

-`TYPE`：文件類型

-`DEVICE`：設(shè)備號(hào)

-`SIZE`：文件大小

-`NAME`：文件名

-示例：`lsof-i:80`顯示使用端口80的進(jìn)程

（二）性能優(yōu)化方法

1.調(diào)整系統(tǒng)參數(shù)

-修改`/etc/sysctl.conf`文件調(diào)整內(nèi)核參數(shù)

-常見參數(shù)：

-`net.ipv4.tcp_tw_reuse`：允許重新使用TIME_WAIT狀態(tài)的socket

-`net.ipv4.ip_forward`：?jiǎn)⒂肐P轉(zhuǎn)發(fā)

-`net.core.somaxconn`：設(shè)置最大連接請(qǐng)求隊(duì)列長(zhǎng)度

-`vm.dirty_ratio`：內(nèi)存臟頁(yè)比例

-`vm.dirty_background_ratio`：內(nèi)存臟頁(yè)后臺(tái)比例

-`kernel.shmall`：共享內(nèi)存總量

-`kernel.shmmax`：共享內(nèi)存段最大大小

-示例：

```bash

net.core.somaxconn=4096

net.ipv4.tcp_tw_reuse=1

vm.dirty_ratio=80

vm.dirty_background_ratio=20

```

-使用`sysctl`命令實(shí)時(shí)調(diào)整參數(shù)

-命令格式：`sysctl[選項(xiàng)][參數(shù)]`

-示例：

```bash

設(shè)置最大連接請(qǐng)求隊(duì)列長(zhǎng)度

sysctl-wnet.core.somaxconn=4096

獲取當(dāng)前tcp_tw_reuse值

sysctlnet.ipv4.tcp_tw_reuse

```

2.優(yōu)化內(nèi)存使用

-調(diào)整交換空間參數(shù)

-編輯`/etc/fstab`文件添加交換空間

-示例：

```bash

添加交換文件

none/swapfileswapswapdefaults00

```

-使用`swapon`命令啟用交換空間：`swapon/swapfile`

-使用`malloc`庫(kù)優(yōu)化內(nèi)存分配

-使用`malloc`庫(kù)進(jìn)行內(nèi)存分配和釋放

-避免內(nèi)存泄漏

-使用內(nèi)存池技術(shù)

3.優(yōu)化磁盤性能

-使用`noatime`掛載選項(xiàng)減少磁盤訪問

-編輯`/etc/fstab`文件添加`noatime`選項(xiàng)

-示例：

```bash

/dev/sda1/mntext4defaults,noatime00

```

-調(diào)整文件系統(tǒng)緩存參數(shù)

-使用`vm.dirty_ratio`和`vm.dirty_background_ratio`調(diào)整緩存

-調(diào)整`direct_io`參數(shù)減少緩存使用

4.優(yōu)化網(wǎng)絡(luò)性能

-調(diào)整TCP窗口大小

-使用`net.ipv4.tcp_window_scaling`啟用窗口縮放

-使用`net.ipv4.tcp_rmem`和`net.ipv4.tcp_wmem`調(diào)整TCP緩沖區(qū)大小

-示例：

```bash

net.ipv4.tcp_window_scaling=1

net.ipv4.tcp_rmem="40968738016777216"

net.ipv4.tcp_wmem="40966553616777216"

```

-使用`netfilter`進(jìn)行網(wǎng)絡(luò)流量控制

-使用`iptables`或`nftables`進(jìn)行流量控制

-設(shè)置限速規(guī)則

-示例（iptables限速）：

```bash

限制源IP為00的流量為1Mbps

iptables-AINPUT-s00-mlimit--limit1000/sec-jACCEPT

iptables-AINPUT-s00-jDROP

```

四、安全加固措施

（一）用戶賬戶管理

1.創(chuàng)建用戶賬戶

-使用`useradd`命令創(chuàng)建新用戶

-命令格式：`useradd[選項(xiàng)]用戶名`

-常用選項(xiàng)：

-`-m`：創(chuàng)建用戶主目錄

-`-g`：指定用戶組

-`-G`：指定附加組

-`-s`：指定登錄shell

-示例：

```bash

創(chuàng)建用戶test，主目錄為/home/test，用戶組為test，登錄shell為/bash

useradd-m-gtest-s/bashtest

```

-設(shè)置強(qiáng)密碼策略

-使用`chage`命令設(shè)置密碼有效期

-使用`pam_pwquality`模塊設(shè)置密碼復(fù)雜度

-示例：

```bash

設(shè)置密碼有效期最小為30天，最大為90天

chage-M90-m30test

```

2.修改用戶密碼

-使用`passwd`命令修改密碼

-命令格式：`passwd[用戶名]`

-示例：`passwdtest`

3.管理用戶權(quán)限

-使用`sudo`管理特權(quán)命令訪問

-編輯`/etc/sudoers`文件配置sudo

-示例：

```bash

允許test用戶無密碼執(zhí)行所有sudo命令

testALL=(ALL)NOPASSWD:ALL

```

-限制root用戶直接登錄

-編輯`/etc/ssh/sshd_config`文件

-設(shè)置`PermitRootLoginno`

-示例：

```bash

PermitRootLoginno

```

4.刪除閑置賬戶

-定期清理未使用賬戶

-使用`userdel`命令刪除用戶

-示例：`userdeltest`

-禁用不必要的服務(wù)賬戶

-使用`passwd`命令鎖定賬戶

-示例：`passwd-ltest`

（二）系統(tǒng)安全加固

1.關(guān)閉不必要的服務(wù)

-使用`systemctl`禁用不必要服務(wù)

-列出所有服務(wù)：`systemctllist-units--type=service`

-禁用服務(wù)：`systemctldisableservice_name`

-示例：`systemctldisablecups`禁用CUPS服務(wù)

-編輯`/etc/default`文件禁用服務(wù)

-示例：編輯`/etc/default/ssh`文件，將`SSH_ENABLED=no`改為`SSH_ENABLED=yes`

2.配置防火墻

-使用`iptables`或`firewalld`設(shè)置規(guī)則

-`iptables`：

-命令格式：`iptables[選項(xiàng)]`

-常用選項(xiàng)：

-`-A`：添加規(guī)則

-`-D`：刪除規(guī)則

-`-I`：插入規(guī)則

-`-R`：修改規(guī)則

-`-L`：列出規(guī)則

-`-F`：清空規(guī)則鏈

-示例：

```bash

允許SSH連接

iptables-AINPUT-ptcp--dport22-jACCEPT

阻止所有其他入站連接

iptables-AINPUT-jDROP

```

-`firewalld`：

-命令格式：`firewall-cmd[選項(xiàng)]`

-常用選項(xiàng)：

-`--permanent`：永久添加規(guī)則

-`--runtime-to-permanent`：將運(yùn)行時(shí)規(guī)則永久化

-`--list-all`：列出所有規(guī)則

-示例：

```bash

永久允許SSH連接

firewall-cmd--permanent--add-service=ssh

啟用防火墻

firewall-cmd--runtime-to-permanent

```

3.限制遠(yuǎn)程登錄

-修改`/etc/ssh/sshd_config`文件

-設(shè)置`PermitRootLoginno`禁用root遠(yuǎn)程登錄

-設(shè)置`PasswordAuthenticationno`禁用密碼認(rèn)證

-使用密鑰認(rèn)證

-示例：

```bash

PermitRootLoginno

PasswordAuthenticationno

PubkeyAuthenticationyes

```

4.啟用SELinux或AppArmor

-配置SELinux為enforcing模式

-編輯`/etc/selinux/config`文件

-設(shè)置`SELINUX=enforcing`

-示例：

```bash

SELINUX=enforcing

SELINUXTYPE=targeted

```

-設(shè)置AppArmor強(qiáng)制訪問控制

-啟用AppArmor：`systemctlenableapparmor`

-啟動(dòng)AppArmor：`systemctlstartapparmor`

-配置AppArmor策略

（三）漏洞掃描與管理

1.定期進(jìn)行漏洞掃描

-使用`OpenVAS`或`Nessus`進(jìn)行掃描

-安裝OpenVAS：

-Debian/Ubuntu：`sudoaptupdate&&sudoaptinstallopenvas`

-CentOS/RHEL：`sudoyuminstallopenvas`

-啟動(dòng)OpenVAS服務(wù)：`sudogvm-setup`

-使用OpenVASWeb界面進(jìn)行掃描

-分析掃描結(jié)果并修復(fù)漏洞

-根據(jù)漏洞嚴(yán)重程度優(yōu)先修復(fù)

-安裝安全補(bǔ)丁

-修改配置文件

2.管理安全補(bǔ)丁

-建立補(bǔ)丁管理流程

-定期檢查補(bǔ)丁

-測(cè)試補(bǔ)丁影響

-安裝補(bǔ)丁

-驗(yàn)證補(bǔ)丁效果

-示例補(bǔ)丁管理流程：

1.每周檢查安全補(bǔ)丁

2.在測(cè)試環(huán)境中測(cè)試補(bǔ)丁

3.在生產(chǎn)環(huán)境中安裝補(bǔ)丁

4.驗(yàn)證補(bǔ)丁效果

3.監(jiān)控安全事件

-配置入侵檢測(cè)系統(tǒng)

-使用`Snort`或`Suricata`進(jìn)行入侵檢測(cè)

-配置規(guī)則

-實(shí)時(shí)監(jiān)控

-設(shè)置安全警報(bào)閾值

-配置警報(bào)通知

-設(shè)置郵件或短信通知

-示例（配置Snort警報(bào)）：

```bash

編輯Snort規(guī)則文件

echo'alerttcpanyany->$HOME_NETany(msg:"PortScan";content:"|00007d5c7c";sid:1000001;rev:1;)'>/etc/snort/rules/custom.rule

加載規(guī)則

sudosnort-c/etc/snort/snort.conf-l/var/log/snort-r/var/log/snort/snort.log-Afast

```

五、備份與恢復(fù)

（一）備份策略制定

1.確定備份范圍

-根據(jù)重要程度確定備份對(duì)象

-優(yōu)先備份關(guān)鍵數(shù)據(jù)和配置文件

-示例備份范圍：

-`/etc`：系統(tǒng)配置文件

-`/var/log`：系統(tǒng)日志

-`/home`：用戶數(shù)據(jù)

-`/var/www`：Web服務(wù)器數(shù)據(jù)

-`/var/lib/mysql`：MySQL數(shù)據(jù)庫(kù)數(shù)據(jù)

2.制定備份頻率

-根據(jù)數(shù)據(jù)變化頻率確定備份周期

-日常增量備份、每周差異備份、每月完整備份

-示例備份頻率：

-每日增量備份：每天凌晨1點(diǎn)執(zhí)行

-每周差異備份：每周日?qǐng)?zhí)行

-每月完整備份：每月第一天執(zhí)行

3.選擇備份介質(zhì)

-磁盤、磁帶、網(wǎng)絡(luò)存儲(chǔ)等

-考慮備份容量和可靠性

-示例備份介質(zhì)：

-本地磁盤備份

-網(wǎng)絡(luò)附加存儲(chǔ)(NAS)

-云存儲(chǔ)服務(wù)

（二）備份工具與實(shí)施

1.使用`rsync`進(jìn)行文件備份

-命令格式：`rsync[選項(xiàng)]源目錄目標(biāo)目錄`

-常用選項(xiàng)：

-`-a`：歸檔模式，保持權(quán)限和屬性

-`-v`：詳細(xì)模式，顯示操作過程

-`-z`：壓縮傳輸數(shù)據(jù)

-`-r`：遞歸復(fù)制目錄

-`-t`：保持文件時(shí)間戳

-`-p`：保持文件權(quán)限

-`-h`：以可讀形式顯示文件大小

-示例：

```bash

每天凌晨1點(diǎn)將/home目錄備份到/backups目錄

01rsync-avz/home/backups/home

```

2.使用`tar`進(jìn)行歸檔備份

-命令格式：`tar[選項(xiàng)][文件或目錄]`

-常用選項(xiàng)：

-`cvf`：創(chuàng)建歸檔文件

-`tvf`：查看歸檔文件內(nèi)容

-`xf`：提取歸檔文件

-`z`：壓縮歸檔文件

-`j`：使用bz2壓縮

-`P`：保留絕對(duì)路徑

-示例：

```bash

創(chuàng)建/home目錄的歸檔文件并壓縮

tarcvfz/backups/home_2023-10-01.tar.gz/home

```

3.使用`備份軟件`進(jìn)行自動(dòng)化備份

-定時(shí)任務(wù)自動(dòng)執(zhí)行備份腳本

-使用`cron`定時(shí)任務(wù)

-示例：

```bash

編輯cron任務(wù)

crontab-e

添加以下行：每天凌晨1點(diǎn)執(zhí)行備份腳本

01/path/to/backup_script.sh

```

-示例備份腳本：

```bash

!/bin/bash

定義源目錄和目標(biāo)目錄

SOURCE_DIR="/home"

BACKUP_DIR="/backups"

DATE=$(date+%Y-%m-%d)

創(chuàng)建備份文件名

BACKUP_FILE="$BACKUP_DIR/home_$DATE.tar.gz"

創(chuàng)建備份目錄

mkdir-p$BACKUP_DIR

執(zhí)行備份

tarcvfz$BACKUP_FILE$SOURCE_DIR

刪除30天前的備份文件

find$BACKUP_DIR-typef-name"home_.tar.gz"-mtime+30-delete

```

（三）恢復(fù)流程與測(cè)試

1.恢復(fù)步驟

-停止相關(guān)服務(wù)

-停止可能受影響的系統(tǒng)服務(wù)

-示例：`sudosystemctlstopnginx`

-使用備份文件恢復(fù)數(shù)據(jù)

-使用`tar`恢復(fù)：

```bash

tarxvf/path/to/backup.tar.gz-C/destination

```

-使用`rsync`恢復(fù)：

```bash

rsync-avz/path/to/source/destination

```

-驗(yàn)證恢復(fù)數(shù)據(jù)完整性

-檢查文件數(shù)量和大小

-使用`md5sum`或`sha256sum`校驗(yàn)和

-示例：

```bash

計(jì)算備份文件的校驗(yàn)和

sha256sum/path/to/backup.tar.gz>/path/to/checksum.sha256

計(jì)算恢復(fù)后文件的校驗(yàn)和

sha256sum-c/path/to/checksum.sha256

```

2.恢復(fù)測(cè)試

-定期進(jìn)行恢復(fù)演練

-每季度進(jìn)行一次恢復(fù)測(cè)試

-記錄恢復(fù)時(shí)間

-示例恢復(fù)測(cè)試計(jì)劃：

1.選擇一個(gè)備份文件

2.執(zhí)行恢復(fù)操作

3.記錄恢復(fù)時(shí)間

4.驗(yàn)證恢復(fù)結(jié)果

3.恢復(fù)策略

-制定不同級(jí)別的恢復(fù)方案

-災(zāi)難恢復(fù)：完全恢復(fù)系統(tǒng)到特定時(shí)間點(diǎn)

-恢復(fù)特定文件：只恢復(fù)特定文件或目錄

-恢復(fù)單個(gè)用戶數(shù)據(jù)：只恢復(fù)用戶數(shù)據(jù)

-優(yōu)先恢復(fù)核心系統(tǒng)組件

-優(yōu)先恢復(fù)系統(tǒng)配置文件

-優(yōu)先恢復(fù)數(shù)據(jù)庫(kù)

-優(yōu)先恢復(fù)關(guān)鍵服務(wù)

Linux日常維護(hù)手冊(cè)大全

一、引言

Linux系統(tǒng)作為一種高效穩(wěn)定的操作系統(tǒng)，在日常使用中需要進(jìn)行系統(tǒng)性的維護(hù)工作，以確保其性能、安全性和可靠性。本手冊(cè)旨在提供一套完整的Linux日常維護(hù)指南，幫助用戶掌握系統(tǒng)維護(hù)的基本技能和流程。內(nèi)容涵蓋系統(tǒng)檢查、性能監(jiān)控、安全加固、備份恢復(fù)等方面，適用于Linux系統(tǒng)管理員及日常使用用戶。

二、系統(tǒng)檢查與更新

（一）系統(tǒng)狀態(tài)檢查

1.檢查系統(tǒng)運(yùn)行狀態(tài)

-使用`uptime`命令查看系統(tǒng)運(yùn)行時(shí)間和負(fù)載情況

-使用`top`或`htop`命令查看實(shí)時(shí)進(jìn)程狀態(tài)

-使用`df-h`檢查磁盤空間使用情況

-使用`free-h`檢查內(nèi)存和交換空間使用情況

2.檢查系統(tǒng)日志

-使用`journalctl`查看系統(tǒng)日志

-使用`cat/var/log/syslog`查看傳統(tǒng)系統(tǒng)日志

-使用`tail-f`命令實(shí)時(shí)查看日志文件

3.檢查網(wǎng)絡(luò)狀態(tài)

-使用`ifconfig`或`ipa`查看網(wǎng)絡(luò)接口狀態(tài)

-使用`ping`命令測(cè)試網(wǎng)絡(luò)連通性

-使用`netstat-tulnp`查看監(jiān)聽端口

（二）系統(tǒng)更新管理

1.更新軟件包列表

-Debian/Ubuntu系統(tǒng)：`sudoaptupdate`

-CentOS/RHEL系統(tǒng)：`sudoyumcheck-update`或`sudodnfcheck-update`

2.安裝系統(tǒng)更新

-Debian/Ubuntu系統(tǒng)：`sudoaptupgrade`

-CentOS/RHEL系統(tǒng)：`sudoyumupdate`或`sudodnfupdate`

3.安裝安全更新

-優(yōu)先安裝安全補(bǔ)丁

-定期檢查安全公告并更新

4.清理過時(shí)軟件包

-Debian/Ubuntu系統(tǒng)：`sudoaptautoremove`

-CentOS/RHEL系統(tǒng)：`sudoyumautoremove`或`sudodnfautoremove`

三、性能監(jiān)控與優(yōu)化

（一）性能監(jiān)控工具

1.系統(tǒng)性能監(jiān)控

-使用`vmstat`監(jiān)控CPU、內(nèi)存、磁盤活動(dòng)

-使用`iostat`監(jiān)控磁盤I/O性能

-使用`sar`進(jìn)行歷史性能數(shù)據(jù)收集

2.網(wǎng)絡(luò)性能監(jiān)控

-使用`nload`或`iftop`監(jiān)控網(wǎng)絡(luò)流量

-使用`netstat`分析網(wǎng)絡(luò)連接性能

3.應(yīng)用性能監(jiān)控

-使用`strace`跟蹤進(jìn)程系統(tǒng)調(diào)用

-使用`lsof`查看文件系統(tǒng)資源使用情況

（二）性能優(yōu)化方法

1.調(diào)整系統(tǒng)參數(shù)

-修改`/etc/sysctl.conf`文件調(diào)整內(nèi)核參數(shù)

-使用`sysctl`命令實(shí)時(shí)調(diào)整參數(shù)

2.優(yōu)化內(nèi)存使用

-調(diào)整交換空間參數(shù)

-使用`malloc`庫(kù)優(yōu)化內(nèi)存分配

3.優(yōu)化磁盤性能

-使用`noatime`掛載選項(xiàng)減少磁盤訪問

-調(diào)整文件系統(tǒng)緩存參數(shù)

4.優(yōu)化網(wǎng)絡(luò)性能

-調(diào)整TCP窗口大小

-使用`netfilter`進(jìn)行網(wǎng)絡(luò)流量控制

四、安全加固措施

（一）用戶賬戶管理

1.創(chuàng)建用戶賬戶

-使用`useradd`命令創(chuàng)建新用戶

-設(shè)置強(qiáng)密碼策略

2.修改用戶密碼

-使用`passwd`命令修改密碼

-定期強(qiáng)制用戶更改密碼

3.管理用戶權(quán)限

-使用`sudo`管理特權(quán)命令訪問

-限制root用戶直接登錄

4.刪除閑置賬戶

-定期清理未使用賬戶

-禁用不必要的服務(wù)賬戶

（二）系統(tǒng)安全加固

1.關(guān)閉不必要的服務(wù)

-使用`systemctl`禁用不必要服務(wù)

-編輯`/etc/default`文件禁用服務(wù)

2.配置防火墻

-使用`iptables`或`firewalld`設(shè)置規(guī)則

-僅開放必要的端口

3.限制遠(yuǎn)程登錄

-修改`/etc/ssh/sshd_config`文件

-禁用root遠(yuǎn)程登錄

4.啟用SELinux或AppArmor

-配置SELinux為enforcing模式

-設(shè)置AppArmor強(qiáng)制訪問控制

（三）漏洞掃描與管理

1.定期進(jìn)行漏洞掃描

-使用`OpenVAS`或`Nessus`進(jìn)行掃描

-分析掃描結(jié)果并修復(fù)漏洞

2.管理安全補(bǔ)丁

-建立補(bǔ)丁管理流程

-測(cè)試補(bǔ)丁影響后再應(yīng)用

3.監(jiān)控安全事件

-配置入侵檢測(cè)系統(tǒng)

-設(shè)置安全警報(bào)閾值

五、備份與恢復(fù)

（一）備份策略制定

1.確定備份范圍

-根據(jù)重要程度確定備份對(duì)象

-優(yōu)先備份關(guān)鍵數(shù)據(jù)和配置文件

2.制定備份頻率

-根據(jù)數(shù)據(jù)變化頻率確定備份周期

-日常增量備份、每周差異備份、每月完整備份

3.選擇備份介質(zhì)

-磁盤、磁帶、網(wǎng)絡(luò)存儲(chǔ)等

-考慮備份容量和可靠性

（二）備份工具與實(shí)施

1.使用`rsync`進(jìn)行文件備份

```bash

rsync-avz/source/destination

```

-`-a`歸檔模式，保持權(quán)限和屬性

-`-v`詳細(xì)模式，顯示操作過程

-`-z`壓縮傳輸數(shù)據(jù)

2.使用`tar`進(jìn)行歸檔備份

```bash

tarczvf/backup.tar.gz/source

```

3.使用`備份軟件`進(jìn)行自動(dòng)化備份

-定時(shí)任務(wù)自動(dòng)執(zhí)行備份腳本

-增量備份和差異備份策略

（三）恢復(fù)流程與測(cè)試

1.恢復(fù)步驟

-停止相關(guān)服務(wù)

-使用備份文件恢復(fù)數(shù)據(jù)

-驗(yàn)證恢復(fù)數(shù)據(jù)完整性

2.恢復(fù)測(cè)試

-定期進(jìn)行恢復(fù)演練

-記錄恢復(fù)時(shí)間

3.恢復(fù)策略

-制定不同級(jí)別的恢復(fù)方案

-優(yōu)先恢復(fù)核心系統(tǒng)組件

六、系統(tǒng)清理與優(yōu)化

（一）磁盤清理

1.清理臨時(shí)文件

-刪除`/tmp`目錄內(nèi)容

-清理系統(tǒng)緩存

2.清理日志文件

-輪轉(zhuǎn)日志文件

-保留歷史日志但刪除過時(shí)文件

3.清理包管理器緩存

-Debian/Ubuntu：`sudoaptclean`

-CentOS/RHEL：`sudoyumcleanall`

4.查找和刪除大文件

-使用`find`命令搜索大文件

-刪除不再需要的文件

（二）系統(tǒng)優(yōu)化

1.調(diào)整內(nèi)核參數(shù)

-優(yōu)化網(wǎng)絡(luò)參數(shù)

-調(diào)整文件系統(tǒng)性能參數(shù)

2.優(yōu)化內(nèi)存使用

-調(diào)整Swappiness值

-配置內(nèi)存緩存策略

3.優(yōu)化啟動(dòng)性能

-管理啟動(dòng)項(xiàng)

-優(yōu)化initramfs

4.監(jiān)控系統(tǒng)資源

-使用`vmstat`監(jiān)控系統(tǒng)性能

-調(diào)整資源分配

七、常見問題排查

（一）性能問題排查

1.CPU使用率高

-使用`top`定位高CPU進(jìn)程

-分析進(jìn)程CPU占用原因

2.內(nèi)存不足

-使用`free`檢查內(nèi)存使用

-分析內(nèi)存泄漏原因

3.磁盤I/O慢

-使用`iostat`檢查磁盤活動(dòng)

-優(yōu)化磁盤IO調(diào)度

4.網(wǎng)絡(luò)延遲高

-使用`ping`和`mtr`測(cè)試網(wǎng)絡(luò)

-檢查路由和防火墻設(shè)置

（二）故障恢復(fù)方法

1.系統(tǒng)無法啟動(dòng)

-進(jìn)入單用戶模式

-使用系統(tǒng)恢復(fù)控制臺(tái)

2.文件系統(tǒng)損壞

-使用`fsck`修復(fù)文件系統(tǒng)

-從備份恢復(fù)數(shù)據(jù)

3.服務(wù)無法啟動(dòng)

-檢查服務(wù)配置文件

-查看服務(wù)日志

4.網(wǎng)絡(luò)連接中斷

-檢查網(wǎng)絡(luò)設(shè)備狀態(tài)

-重新配置網(wǎng)絡(luò)接口

八、自動(dòng)化運(yùn)維

（一）自動(dòng)化工具

1.使用`cron`計(jì)劃任務(wù)

-安排定期執(zhí)行的維護(hù)腳本

-示例：每天凌晨1點(diǎn)清理日志

2.使用`Ansible`進(jìn)行自動(dòng)化管理

-定義主機(jī)清單

-編寫Playbook執(zhí)行任務(wù)

3.使用`SaltStack`進(jìn)行遠(yuǎn)程執(zhí)行

-配置master和minion

-執(zhí)行遠(yuǎn)程命令和狀態(tài)管理

（二）自動(dòng)化腳本

1.系統(tǒng)健康檢查腳本

```bash

!/bin/bash

echo"DiskUsage:"

df-h

echo"MemoryUsage:"

free-h

echo"CPULoad:"

top-bn1|grepload

```

2.日志輪轉(zhuǎn)腳本

```bash

!/bin/bash

logrotate/etc/logrotate.conf

```

3.自動(dòng)備份腳本

```bash

!/bin/bash

rsync-avz/source/destination

```

（三）監(jiān)控告警

1.配置`Nagios`監(jiān)控系統(tǒng)

-定義監(jiān)控主機(jī)和參數(shù)

-設(shè)置告警閾值

2.使用`Zabbix`進(jìn)行監(jiān)控

-配置數(shù)據(jù)收集器

-設(shè)置告警規(guī)則

3.使用`Prometheus`+`Grafana`進(jìn)行監(jiān)控

-配置Prometheus抓取目標(biāo)

-使用Grafana可視化展示

九、總結(jié)

Linux日常維護(hù)是一項(xiàng)持續(xù)性的工作，需要系統(tǒng)管理員掌握全面的維護(hù)技能。通過定期檢查系統(tǒng)狀態(tài)、監(jiān)控性能指標(biāo)、加固系統(tǒng)安全、實(shí)施備份恢復(fù)、優(yōu)化系統(tǒng)配置等措施，可以確保Linux系統(tǒng)的穩(wěn)定運(yùn)行。建議建立完善的維護(hù)流程和自動(dòng)化工具，提高維護(hù)效率，減少人為錯(cuò)誤。本手冊(cè)提供的基本維護(hù)方法適用于大多數(shù)Linux發(fā)行版，可根據(jù)實(shí)際環(huán)境進(jìn)行調(diào)整和擴(kuò)展。

Linux日常維護(hù)手冊(cè)大全

一、引言

Linux系統(tǒng)作為一種高效穩(wěn)定的操作系統(tǒng)，在日常使用中需要進(jìn)行系統(tǒng)性的維護(hù)工作，以確保其性能、安全性和可靠性。本手冊(cè)旨在提供一套完整的Linux日常維護(hù)指南，幫助用戶掌握系統(tǒng)維護(hù)的基本技能和流程。內(nèi)容涵蓋系統(tǒng)檢查、性能監(jiān)控、安全加固、備份恢復(fù)等方面，適用于Linux系統(tǒng)管理員及日常使用用戶。

二、系統(tǒng)檢查與更新

（一）系統(tǒng)狀態(tài)檢查

1.檢查系統(tǒng)運(yùn)行狀態(tài)

-使用`uptime`命令查看系統(tǒng)運(yùn)行時(shí)間和負(fù)載情況

-命令格式：`uptime`

-輸出解釋：顯示系統(tǒng)運(yùn)行時(shí)間、當(dāng)前時(shí)間、平均負(fù)載（1分鐘、5分鐘、15分鐘）

-使用`top`或`htop`命令查看實(shí)時(shí)進(jìn)程狀態(tài)

-命令格式：`top`或`htop`

-功能：實(shí)時(shí)顯示進(jìn)程列表，包括PID、用戶、CPU使用率、內(nèi)存使用率、狀態(tài)、內(nèi)存占用、命令名

-`htop`特性：圖形化界面，支持鼠標(biāo)操作，更直觀顯示進(jìn)程信息

-使用`df-h`檢查磁盤空間使用情況

-命令格式：`df-h`

-輸出解釋：顯示文件系統(tǒng)的掛載點(diǎn)、總空間、已用空間、可用空間、掛載文件系統(tǒng)類型、掛載選項(xiàng)

-使用`free-h`檢查內(nèi)存和交換空間使用情況

-命令格式：`free-h`

-輸出解釋：顯示物理內(nèi)存總量、已用內(nèi)存、空閑內(nèi)存、交換空間總量、已用交換空間、空閑交換空間

2.檢查系統(tǒng)日志

-使用`journalctl`查看系統(tǒng)日志

-命令格式：`journalctl[選項(xiàng)]`

-常用選項(xiàng)：

-`-xe`：顯示所有消息和錯(cuò)誤消息

-`-f`：實(shí)時(shí)跟蹤日志

-`--since`：指定時(shí)間范圍，如`--since"2023-10-0100:00:00"`

-`--since"1hourago"`：顯示過去1小時(shí)的消息

-實(shí)例：`journalctl-xe--since"1hourago"`

-使用`cat/var/log/syslog`查看傳統(tǒng)系統(tǒng)日志

-注意：不是所有系統(tǒng)都使用`syslog`，需根據(jù)系統(tǒng)確認(rèn)日志位置

-常用系統(tǒng)日志文件：

-`/var/log/messages`：通用系統(tǒng)日志

-`/var/log/auth.log`：認(rèn)證相關(guān)日志

-`/var/log/cron`：計(jì)劃任務(wù)日志

-`/var/log/kern.log`：內(nèi)核日志

-使用`tail-f`命令實(shí)時(shí)查看日志文件

-命令格式：`tail-f/path/to/logfile`

-功能：實(shí)時(shí)顯示日志文件的新增內(nèi)容

-示例：`tail-f/var/log/syslog`

3.檢查網(wǎng)絡(luò)狀態(tài)

-使用`ifconfig`或`ipa`查看網(wǎng)絡(luò)接口狀態(tài)

-命令格式：`ifconfig`或`ipa`

-輸出解釋：

-`ifconfig`：顯示網(wǎng)絡(luò)接口的IP地址、子網(wǎng)掩碼、廣播地址、MTU等

-`ipa`：顯示更詳細(xì)的網(wǎng)絡(luò)接口信息，包括鏈接類型、操作狀態(tài)等

-使用`ping`命令測(cè)試網(wǎng)絡(luò)連通性

-命令格式：`ping[主機(jī)名或IP地址]`

-參數(shù)：

-`-c`：指定發(fā)送的ECHO請(qǐng)求次數(shù)，如`ping-c4`

-`-t`：不顯示時(shí)間，只顯示TTL值

-`-W`：指定超時(shí)時(shí)間，如`ping-W2`

-示例：`ping-c4`

-使用`netstat-tulnp`查看監(jiān)聽端口

-命令格式：`netstat-tulnp`

-輸出解釋：

-`-t`：顯示TCP端口

-`-u`：顯示UDP端口

-`-l`：顯示正在監(jiān)聽的服務(wù)

-`-n`：顯示數(shù)字形式的地址和端口號(hào)

-`-p`：顯示正在監(jiān)聽的服務(wù)所使用的進(jìn)程ID和名稱

-示例：`netstat-tulnp`會(huì)顯示所有正在監(jiān)聽的端口及其相關(guān)信息

（二）系統(tǒng)更新管理

1.更新軟件包列表

-Debian/Ubuntu系統(tǒng)：`sudoaptupdate`

-功能：更新本地軟件包索引文件

-注意：此命令不會(huì)安裝或升級(jí)軟件包

-CentOS/RHEL系統(tǒng)：`sudoyumcheck-update`或`sudodnfcheck-update`

-功能：檢查可用的軟件包更新

-示例：`sudodnfcheck-update`

2.安裝系統(tǒng)更新

-Debian/Ubuntu系統(tǒng)：`sudoaptupgrade`

-功能：升級(jí)所有可升級(jí)的軟件包

-注意：可能需要確認(rèn)安裝新軟件包

-CentOS/RHEL系統(tǒng)：`sudoyumupdate`或`sudodnfupdate`

-功能：升級(jí)所有已安裝的軟件包到最新版本

-示例：`sudoyumupdate`或`sudodnfupdate`

3.安裝安全更新

-優(yōu)先安裝安全補(bǔ)丁

-使用包管理器的安全更新功能

-Debian/Ubuntu：`sudoaptupdate&&sudoaptinstallunattended-upgrades&&sudodpkg-reconfigureunattended-upgrades`

-CentOS/RHEL：`sudoyumupdate-security`或`sudodnfupdate-security`

-定期檢查安全公告并更新

-訪問發(fā)行版的安全公告頁(yè)面

-手動(dòng)安裝安全補(bǔ)丁

4.清理過時(shí)軟件包

-Debian/Ubuntu系統(tǒng)：`sudoaptautoremove`

-功能：刪除不再需要依賴的軟件包

-示例：`sudoaptautoremove`

-CentOS/RHEL系統(tǒng)：`sudoyumautoremove`或`sudodnfautoremove`

-功能：刪除不再需要依賴的軟件包

-示例：`sudodnfautoremove`

三、性能監(jiān)控與優(yōu)化

（一）性能監(jiān)控工具

1.系統(tǒng)性能監(jiān)控

-使用`vmstat`監(jiān)控CPU、內(nèi)存、磁盤活動(dòng)

-命令格式：`vmstat[選項(xiàng)]`

-常用選項(xiàng)：

-`-S`：指定單位（K、M、G）

-`-n`：顯示符號(hào)名稱而不是數(shù)值

-`-t`：顯示時(shí)間戳

-輸出解釋：

-`procs`：進(jìn)程狀態(tài)信息

-`memory`：內(nèi)存使用情況

-`swap`：交換空間使用情況

-`io`：塊設(shè)備I/O統(tǒng)計(jì)

-`system`：系統(tǒng)活動(dòng)統(tǒng)計(jì)

-`cpu`：CPU活動(dòng)統(tǒng)計(jì)

-實(shí)例：`vmstat1`每秒刷新一次輸出

-使用`iostat`監(jiān)控磁盤I/O性能

-命令格式：`iostat[選項(xiàng)]`

-常用選項(xiàng)：

-`-c`：顯示CPU統(tǒng)計(jì)信息

-`-d`：顯示磁盤統(tǒng)計(jì)信息

-`-m`：以MB為單位顯示磁盤活動(dòng)

-`-x`：顯示擴(kuò)展統(tǒng)計(jì)信息

-輸出解釋：

-`Device`：設(shè)備名稱

-`rrqm/s`：每秒讀取請(qǐng)求合并數(shù)

-`wrqm/s`：每秒寫入請(qǐng)求合并數(shù)

-`r/s`：每秒讀取次數(shù)

-`w/s`：每秒寫入次數(shù)

-`bread/s`：每秒讀取塊數(shù)

-`bwrtn/s`：每秒寫入塊數(shù)

-`avgrq-sz`：平均請(qǐng)求大小

-`avgqu-sz`：平均隊(duì)列長(zhǎng)度

-`await`：平均等待時(shí)間

-`svctm`：平均服務(wù)時(shí)間

-實(shí)例：`iostat-dxm1`每秒刷新一次顯示磁盤和CPU統(tǒng)計(jì)信息

-使用`sar`進(jìn)行歷史性能數(shù)據(jù)收集

-命令格式：`sar[選項(xiàng)]`

-常用選項(xiàng)：

-`-u`：CPU使用率

-`-d`：磁盤活動(dòng)

-`-r`：內(nèi)存使用率

-`-n`：網(wǎng)絡(luò)統(tǒng)計(jì)信息

-`-A`：所有項(xiàng)目

-實(shí)例：

-收集1分鐘CPU使用率數(shù)據(jù)，每天收集一次，保留3天：`sar-u11daily3`

-收集1分鐘磁盤活動(dòng)數(shù)據(jù)，每天收集一次，保留3天：`sar-d11daily3`

2.網(wǎng)絡(luò)性能監(jiān)控

-使用`nload`或`iftop`監(jiān)控網(wǎng)絡(luò)流量

-`nload`：

-命令格式：`nload[選項(xiàng)]`

-功能：實(shí)時(shí)顯示網(wǎng)絡(luò)接口的流量使用情況

-示例：`nloadeth0`

-`iftop`：

-命令格式：`iftop[選項(xiàng)]`

-功能：實(shí)時(shí)顯示網(wǎng)絡(luò)接口的流量使用情況，按連接顯示

-示例：`iftop-ieth0`

-使用`netstat`分析網(wǎng)絡(luò)連接性能

-命令格式：`netstat[選項(xiàng)]`

-常用選項(xiàng)：

-`-a`：顯示所有連接和監(jiān)聽端口

-`-n`：顯示數(shù)字形式的地址和端口號(hào)

-`-p`：顯示進(jìn)程ID和名稱

-`-r`：顯示路由表

-示例：`netstat-anp`顯示所有連接和監(jiān)聽端口及其進(jìn)程信息

3.應(yīng)用性能監(jiān)控

-使用`strace`跟蹤進(jìn)程系統(tǒng)調(diào)用

-命令格式：`strace[選項(xiàng)][進(jìn)程名或PID]`

-常用選項(xiàng)：

-`-c`：統(tǒng)計(jì)系統(tǒng)調(diào)用次數(shù)和花費(fèi)時(shí)間

-`-e`：指定要跟蹤的系統(tǒng)調(diào)用

-`-o`：將跟蹤結(jié)果輸出到文件

-示例：`strace-c-o/tmp/strace.log-p1234`跟蹤PID為1234的進(jìn)程

-使用`lsof`查看文件系統(tǒng)資源使用情況

-命令格式：`lsof[選項(xiàng)]`

-常用選項(xiàng)：

-`-i`：顯示網(wǎng)絡(luò)文件描述符

-`-u`：顯示用戶

-`-F`：以特定格式顯示

-`-n`：不解析主機(jī)名

-輸出解釋：

-`COMMAND`：進(jìn)程名稱

-`PID`：進(jìn)程ID

-`USER`：用戶名

-`FD`：文件描述符

-`TYPE`：文件類型

-`DEVICE`：設(shè)備號(hào)

-`SIZE`：文件大小

-`NAME`：文件名

-示例：`lsof-i:80`顯示使用端口80的進(jìn)程

（二）性能優(yōu)化方法

1.調(diào)整系統(tǒng)參數(shù)

-修改`/etc/sysctl.conf`文件調(diào)整內(nèi)核參數(shù)

-常見參數(shù)：

-`net.ipv4.tcp_tw_reuse`：允許重新使用TIME_WAIT狀態(tài)的socket

-`net.ipv4.ip_forward`：?jiǎn)⒂肐P轉(zhuǎn)發(fā)

-`net.core.somaxconn`：設(shè)置最大連接請(qǐng)求隊(duì)列長(zhǎng)度

-`vm.dirty_ratio`：內(nèi)存臟頁(yè)比例

-`vm.dirty_background_ratio`：內(nèi)存臟頁(yè)后臺(tái)比例

-`kernel.shmall`：共享內(nèi)存總量

-`kernel.shmmax`：共享內(nèi)存段最大大小

-示例：

```bash

net.core.somaxconn=4096

net.ipv4.tcp_tw_reuse=1

vm.dirty_ratio=80

vm.dirty_background_ratio=20

```

-使用`sysctl`命令實(shí)時(shí)調(diào)整參數(shù)

-命令格式：`sysctl[選項(xiàng)][參數(shù)]`

-示例：

```bash

設(shè)置最大連接請(qǐng)求隊(duì)列長(zhǎng)度

sysctl-wnet.core.somaxconn=4096

獲取當(dāng)前tcp_tw_reuse值

sysctlnet.ipv4.tcp_tw_reuse

```

2.優(yōu)化內(nèi)存使用

-調(diào)整交換空間參數(shù)

-編輯`/etc/fstab`文件添加交換空間

-示例：

```bash

添加交換文件

none/swapfileswapswapdefaults00

```

-使用`swapon`命令啟用交換空間：`swapon/swapfile`

-使用`malloc`庫(kù)優(yōu)化內(nèi)存分配

-使用`malloc`庫(kù)進(jìn)行內(nèi)存分配和釋放

-避免內(nèi)存泄漏

-使用內(nèi)存池技術(shù)

3.優(yōu)化磁盤性能

-使用`noatime`掛載選項(xiàng)減少磁盤訪問

-編輯`/etc/fstab`文件添加`noatime`選項(xiàng)

-示例：

```bash

/dev/sda1/mntext4defaults,noatime00

```

-調(diào)整文件系統(tǒng)緩存參數(shù)

-使用`vm.dirty_ratio`和`vm.dirty_background_ratio`調(diào)整緩存

-調(diào)整`direct_io`參數(shù)減少緩存使用

4.優(yōu)化網(wǎng)絡(luò)性能

-調(diào)整TCP窗口大小

-使用`net.ipv4.tcp_window_scaling`啟用窗口縮放

-使用`net.ipv4.tcp_rmem`和`net.ipv4.tcp_wmem`調(diào)整TCP緩沖區(qū)大小

-示例：

```bash

net.ipv4.tcp_window_scaling=1

net.ipv4.tcp_rmem="40968738016777216"

net.ipv4.tcp_wmem="40966553616777216"

```

-使用`netfilter`進(jìn)行網(wǎng)絡(luò)流量控制

-使用`iptables`或`nftables`進(jìn)行流量控制

-設(shè)置限速規(guī)則

-示例（iptables限速）：

```bash

限制源IP為00的流量為1Mbps

iptables-AINPUT-s00-mlimit--limit1000/sec-jACCEPT

iptables-AINPUT-s00-jDROP

```

四、安全加固措施

（一）用戶賬戶管理

1.創(chuàng)建用戶賬戶

-使用`useradd`命令創(chuàng)建新用戶

-命令格式：`useradd[選項(xiàng)]用戶名`

-常用選項(xiàng)：

-`-m`：創(chuàng)建用戶主目錄

-`-g`：指定用戶組

-`-G`：指定附加組

-`-s`：指定登錄shell

-示例：

```bash

創(chuàng)建用戶test，主目錄為/home/test，用戶組為test，登錄shell為/bash

useradd-m-gtest-s/bashtest

```

-設(shè)置強(qiáng)密碼策略

-使用`chage`命令設(shè)置密碼有效期

-使用`pam_pwquality`模塊設(shè)置密碼復(fù)雜度

-示例：

```bash

設(shè)置密碼有效期最小為30天，最大為90天

chage-M90-m30test

```

2.修改用戶密碼

-使用`passwd`命令修改密碼

-命令格式：`passwd[用戶名]`

-示例：`passwdtest`

3.管理用戶權(quán)限

-使用`sudo`管理特權(quán)命令訪問

-編輯`/etc/sudoers`文件配置sudo

-示例：

```bash

允許test用戶無密碼執(zhí)行所有sudo命令

testALL=(ALL)NOPASSWD:ALL

```

-限制root用戶直接登錄

-編輯`/etc/ssh/sshd_config`文件

-設(shè)置`PermitRootLoginno`

-示例：

```bash

PermitRootLoginno

```

4.刪除閑置賬戶

-定期清理未使用賬戶

-使用`userdel`命令刪除用戶

-示例：`userdeltest`

-禁用不必要的服務(wù)賬戶

-使用`passwd`命令鎖定賬戶

-示例：`passwd-ltest`

（二）系統(tǒng)安全加固

1.關(guān)閉不必要的服務(wù)

-使用`systemctl`禁用不必要服務(wù)

-列出所有服務(wù)：`systemctllist-units--type=service`

-禁用服務(wù)：`systemctldisableservice_name`

-示例：`systemctldisablecups`禁用CUPS服務(wù)

-編輯`/etc/default`文件禁用服務(wù)

-示例：編輯`/etc/default/ssh`文件，將`SSH_ENABLED=no`改為`SSH_ENABLED=yes`

2.配置防火墻

-使用`iptables`或`firewalld`設(shè)置規(guī)則

-`iptables`：

-命令格式：`iptables[選項(xiàng)]`

-常用選項(xiàng)：

-`-A`：添加規(guī)則

-`-D`：刪除規(guī)則

-`-I`：插入規(guī)則

-`-R`：修改規(guī)則

-`-L`：列出規(guī)則

-`-F`：清空規(guī)則鏈

-示例：

```bash

允許SSH連接

iptables-AINPUT-ptcp--dport22-jACCEPT

阻止所有其他入站連接

iptables-AINPUT-jDROP

```

-`firewalld`：

-命令格式：`firewall-cmd[選項(xiàng)]`

-常用選項(xiàng)：

-`--permanent`：永久添加規(guī)則

-`--runtime-to-permanent`：將運(yùn)行時(shí)規(guī)則永久化

-`--list-all`：列出所有規(guī)則

-示例：

```bash

永久允許SSH連接

firewall-cmd--permanent--add-service=ssh

啟用防火墻

firewall-cmd--runtime-to-permanent

```

3.限制遠(yuǎn)程登錄

-修改`/etc/ssh/sshd_config`文件

-設(shè)置`PermitRootLoginno`禁用root遠(yuǎn)程登錄

-設(shè)置`PasswordAuthenticationno`禁用密碼認(rèn)證

-使用密鑰認(rèn)證

-示例：

```bash

PermitRootLoginno

PasswordAuthenticationno

PubkeyAuthenticationyes

```

4.啟用SELinux或AppArmor

-配置SELinux為enforcing模式

-編輯`/etc/selinux/config`文件

-設(shè)置`SELINUX=enforcing`

-示例：

```bash

SELINUX=enforcing

SELINUXTYPE=targeted

```

-設(shè)置AppArmor強(qiáng)制訪問控制

-啟用AppArmor：`systemctlenableapparmor`

-啟動(dòng)AppArmor：`systemctlstartapparmor`

-配置AppArmor策略

（三）漏洞掃描與管理

1.定期進(jìn)行漏洞掃描

-使用`OpenVAS`或`Nessus`進(jìn)行掃描

-安裝OpenVAS：

-Debian/Ubuntu：`sudoaptupdate&&sudoaptinstallopenvas`

-CentOS/RHEL：`sudoyuminstallopenvas`

-啟動(dòng)OpenVAS服務(wù)：`sudogvm-setup`

-使用OpenVASWeb界面進(jìn)行掃描

-分析掃描結(jié)果并修復(fù)漏洞

-根據(jù)漏洞嚴(yán)重程度優(yōu)先修復(fù)

-安裝安全補(bǔ)丁

-修改配置文件

2.管理安全補(bǔ)丁

-建立補(bǔ)丁管理流程

-定期檢查補(bǔ)丁

-測(cè)試補(bǔ)丁影響

-安裝補(bǔ)丁

-驗(yàn)證補(bǔ)丁效果

-示例補(bǔ)丁管理流程：

1.每周檢查安全補(bǔ)丁

2.在測(cè)試環(huán)境中測(cè)試補(bǔ)丁

3.在生產(chǎn)環(huán)境中安裝補(bǔ)丁

4.驗(yàn)證補(bǔ)丁效果

3.監(jiān)控安全事件

-配置入侵檢測(cè)系統(tǒng)

-使用`Snort`或`Suricata`進(jìn)行入侵檢測(cè)

-配置規(guī)則

-實(shí)時(shí)監(jiān)控

-設(shè)置安全警報(bào)閾值

-配置警報(bào)通知

-設(shè)置郵件或短信通知

-示例（配置Snort警報(bào)）：

```bash

編輯Snort規(guī)則文件

echo'alerttcpanyany->$HOME_NETany(msg:"PortScan";content:"|00007d5c7c";sid:1000001;rev:1;)'>/etc/snort/rules/custom.rule

加載規(guī)則

sudosnort-c/etc/snort/snort.conf-l/var/log/snort-r/var/log/snort/snort.log-Afast

```

五、備份與恢復(fù)

（一）備份策略制定

1.確定備份范圍

-根據(jù)重要程度確定備份對(duì)象

-優(yōu)先備份關(guān)鍵數(shù)據(jù)和配置文件

-示例備份范圍：

-`/etc`：系統(tǒng)配置文件

-`/var/log`：系統(tǒng)日志

-`/home`：用戶數(shù)據(jù)

-`/var/www`：Web服務(wù)器數(shù)據(jù)

-`/var/lib/mysql`：MySQL數(shù)據(jù)庫(kù)數(shù)據(jù)

2.制定備份頻率

-根據(jù)數(shù)據(jù)變化頻率確定備份周期

-日常增量備份、每周差異備份、每月完整備份

-示例備份頻率：

-每日增量備份：每天凌晨1點(diǎn)執(zhí)行

-每周差異備份：每周日?qǐng)?zhí)行

-每月完整備份：每月第一天執(zhí)行

3.選擇備份介質(zhì)

-磁盤、磁帶、網(wǎng)絡(luò)存儲(chǔ)等

-考慮備份容量和可靠性

-示例備份介質(zhì)：

-本地磁盤備份

-網(wǎng)絡(luò)附加存儲(chǔ)(NAS)

-云存儲(chǔ)服務(wù)

（二）備份工具與實(shí)施

1.使用`rsync`進(jìn)行文件備份

-命令格式：`rsync[選項(xiàng)]源目錄目標(biāo)目錄`

-常用選項(xiàng)：

-`-a`：歸檔模式，保持權(quán)限和屬性

-`-v`：詳細(xì)模式，顯示操作過程

-`-z`：壓縮傳輸數(shù)據(jù)

-`-r`：遞歸復(fù)制目錄

-`-t`：保持文件時(shí)間戳

-