【linux总结】zsl

extundelete

[root@xuegod63 ~]# lsof -p 43641 #一般用于查看木马进程，在读哪些文件

[root@xuegod63 ~]# lsof -i :22 #用于查看端口，或查看黑客开启的后门端口是哪个进程在使用

原理汇总
电源-bios引导（硬件初始化）-MBR引导（读取分区信息）-grub2引导（加载内核）-内核（内核初始化）-systemd初始（守护进程选择启动级别）

默认启动级别
systemctl set-default name.target 3
systemctl set-default graphical.target 5

vim /etc/default/grub 修改内核启动顺序

ip 4层协议
网络接口（arp协议）-网络ip层（ICMP）-传输层（tcp udp）-应用层

主从同步

是master将数据库的改变写入二进制日志，slave同步这些二进制日志，并根据这些二进制日志进行数据操作

读写分离

让主数据库处理增、改、删操作（INSERT、UPDATE、DELETE），从数据库处理SELECT查询操作。数据一致性通过主从同步

keeplied

vrrp协议 虚拟路由冗余协议

3层通过ping检测主机情况调度

4层通过tcp端口检测主机情况调度

5层就是工作在具体的应用层了，比 Layer3,Layer4 要复杂一点，在网络上占用的带宽也要大一些

lvs dr模式

1）接收client的请求，根据你设定的负载均衡算法选取一台realserver的ip；

2）以选取的这个ip对应的mac地址作为目标mac，然后重新将IP包封装成帧转发给这台RS；（rs配置lo回环ip）

3）在hash table中记录连接信息。

数据包、数据帧的大致流向是这样的：client --> VS --> RS --> client

echo '1' > /proc/sys/net/ipv4/conf/lo/arp_ignore #只应答网卡接口的数据

echo '2' > /proc/sys/net/ipv4/conf/lo/arp_announce #不宣布ip的存在

realserver 内部路由到lo口的vip以本机内

大二层可以不用同一物理网段

删除文件的原理：实际就是将文件名到inode的链接删除了

TCP/IP协议中，TCP协议提供可靠的连接服务，采用三次握手建立一个连接（syn请求建立连接 ack确认建立连接回复的时候对方的syn+1）

（1）第一次握手：建立连接时，客户端A发送SYN包（SYN=j）到服务器B，并进入SYN_SEND状态，等待服务器B确认。

（2）第二次握手：服务器B收到SYN包，必须确认客户A的SYN（ACK=j+1），同时自己也发送一个SYN包（SYN=k），即SYN+ACK包，此时服务器B进入SYN_RECV状态。

（3）第三次握手：客户端A收到服务器B的SYN＋ACK包，向服务器B发送确认包ACK（ACK=k+1），此包发送完毕，客户端A和服务器B进入ESTABLISHED状态，完成三次握手。

完成三次握手，客户端与服务器开始传送数据。

4次挥手断开连接（FIN关闭连接请求）

（1）客户端A发送一个FIN，用来关闭客户A到服务器B的数据传送。

（2）服务器B收到这个FIN，它发回一个ACK，确认序号为收到的序号加1。和SYN一样，一个FIN将占用一个序号。

（3）服务器B关闭与客户端A的连接，发送一个FIN给客户端A。

（4）客户端A发回ACK报文确认，并将确认序号设置为收到序号加1。

netstat -anutp
-a, --all 显示本机所有连接和监听的端口
-n, --numeric don't resolve names 以数字形式显示当前建立的有效连接和端口
-u 显示udp协议连接
-t 显示tcp协议连接
-p, --programs 显示连接对应的PID与程序名

echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout #通过缩短时间time_wait时间来快速释放链接默认60秒

http://ssa.yundun.com/cc

编辑配置文件 vim /etc/rsyslog.conf
*.info;mail.none;authpriv.none;cron.none /var/log/messages
authpriv.* /var/log/secure
mail.* -/var/log/maillog
cron.* /var/log/cron
*.emerg :omusrmsg:*
uucp,news.crit /var/log/spooler
local7.* /var/log/boot.log

/var/log/message 系统启动后的信息和错误日志，是Red Hat Linux中最常用的日志之一
/var/log/secure 与安全相关的日志信息
/var/log/maillog 与邮件相关的日志信息
/var/log/cron 与定时任务相关的日志信息
/var/log/spooler 与UUCP和news设备相关的日志信息
/var/log/boot.log 守护进程启动和停止相关的日志消息
/var/log/wtmp 该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件

debug 信息对开发人员调试应用程序有用，在操作过程中无用
info 正常的操作信息，可以收集报告，测量吞吐量等

. info 大于等于info级别的信息全部记录到某个文件
.=级别 仅记录等于某个级别的日志例:.=info 只记录info级别的日志
.! 级别 除了某个级别意外,记录所有的级别信息例.!err 除了err外记录所有
.none 指的是排除某个类别 例： mail.none 所有mail类别的日志都不记录

误删日志恢复部分记录

rm /var/log/messages

[root@localhost ~]# lsof | grep /var/log/messages
rsyslogd 732 root 3w REG 253,0 18720 70201566 /var/log/messages (deleted)
in:imjour 732 738 root 3w REG 253,0 18720 70201566 /var/log/messages (deleted)
rs:main 732 751 root 3w REG 253,0 18720 70201566 /var/log/messages (deleted)
[root@localhost ~]# cat /proc/732/fd/3 > /var/log/messages

proc目录重要文件整理

进程号

sys系统内核信息-net ip内核信息

devices

cpuinfo

meminfo

/proc/net/arp -arp解析信息