第一题:Linux如何挂载windows下的共享目录?

mount.cifs //IP地址/server /mnt/server -o user=administrator,password=123456

linux 下的server需要自己手动建一个 后面的user与pass 是windows主机的账号和密码 注意空格 和逗号


第二题:如何查看http的并发请求数与其TCP连接状态?

语法格式如下:

netstat -n | awk '/^tcp/ {++b[$NF]} END {for(a in b) print a,"\t",b[a]}'

如结合netstat和awk命令来统计网络连接数:

# netstat -n | awk '/^tcp/ {++state[$NF]} END {for(key in state) print key,"\t",state[key]}'

会得到类似下面的结果,具体数字会有所不同:

  1. TIME_WAIT 92
  2. CLOSE_WAIT 164
  3. FIN_WAIT1 14
  4. SYN_SENT 25
  5. ESTABLISHED 198
  6. FIN_WAIT2 436
  7. SYN_RECV 11

状态描述:

  • CLOSED:无连接是活动的或正在进行
  • LISTEN:服务器在等待进入呼叫
  • SYN_RECV:一个连接请求已经到达,等待确认
  • SYN_SENT:应用已经开始,打开一个连接
  • ESTABLISHED:正常数据传输状态
  • FIN_WAIT1:应用说它已经完成
  • FIN_WAIT2:另一边已同意释放
  • ITMED_WAIT:等待所有分组死掉
  • CLOSING:两边同时尝试关闭
  • TIME_WAIT:另一边已初始化一个释放
  • LAST_ACK:等待所有分组死掉

也就是说,这条命令可以把当前系统的网络连接状态分类汇总。

下面解释一下为什么要这样写:

一个简单的管道符连接了netstat和awk命令。

先来看看netstat:

  1. # netstat -n
  2. Active Internet connections (w/o servers)
  3. Proto Recv-Q Send-Q Local Address Foreign Address State
  4. tcp 0 0 123.123.123.123:80 234.234.234.234:12345 TIME_WAIT

你实际执行这条命令的时候,可能会得到成千上万条类似上面的记录,不过我们就拿其中的一条就足够了。

再来看看awk

  • /^tcp/

滤出tcp开头的记录,屏蔽udp, socket等无关记录。

  • state[]

相当于定义了一个名叫state的数组

  • NF(Number of Field,当前记录的field个数)

表示记录的字段数,如上所示的记录,NF等于6

  • $NF

表示某个字段的值,如上所示的记录,$NF也就是$6,表示第6个字段的值,也就是TIME_WAIT

  • state[$NF]

表示数组元素的值,如上所示的记录,就是state[TIME_WAIT]状态的连接数

  • ++state[$NF]

表示把某个数加一,如上所示的记录,就是把state[TIME_WAIT]状态的连接数加一

  • END

表示在最后阶段要执行的命令

  • for(key in state)

遍历数组

  • print key,"\t",state[key]

打印数组的键和值,中间用\t制表符分割,美化一下。

如发现系统存在大量TIME_WAIT状态的连接,通过调整内核参数解决:

vim /etc/sysctl.conf

编辑文件,加入以下内容:

  1. net.ipv4.tcp_syncookies = 1 //表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN***,默认为0,表示关闭;
  2. net.ipv4.tcp_tw_reuse = 1 //表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接,默认为0,表示关闭;
  3. net.ipv4.tcp_tw_recycle = 1 //表示开启TCP连接中TIME-WAIT sockets的快速回收,默认为0,表示关闭。
  4. net.ipv4.tcp_fin_timeout = 30 //修改系統默认的 TIMEOUT 时间

然后执行 /sbin/sysctl -p 让参数生效。

下面附上TIME_WAIT状态的意义:
客户端与服务器端建立TCP/IP连接后关闭SOCKET后,服务器端连接的端口状态为TIME_WAIT。是不是所有执行主动关闭的socket都会进入TIME_WAIT状态呢?有没有什么情况使主动关闭的socket直接进入CLOSED状态呢?
主动关闭的一方在发送最后一个 ack 后,就会进入TIME_WAIT 状态 停留2MSL(max segment lifetime)时间,这个是TCP/IP必不可少的,也就是“解决”不了的。

也就是TCP/IP设计者本来是这么设计的,主要有两个原因:

(1)防止上一次连接中的包,迷路后重新出现,影响新连接。经过2MSL,上一次连接中所有的重复包都会消失。

(2)可靠的关闭TCP连接。在主动关闭方发送的最后一个 ack(fin) ,有可能丢失,这时被动方会重新发 fin,如果这时主动方处于 CLOSED 状态 ,就会响应 rst 而不是 ack。所以主动方要处于 TIME_WAIT 状态,而不能是 CLOSED 。

TIME_WAIT 并不会占用很大资源的,除非受到***。还有,如果一方 send 或 recv 超时,就会直接进入 CLOSED 状态!

netstat -an | grep SYN | awk '{print $5}' | awk -F: '{print $1}' | sort | uniq -c | sort -nr | more

netstat -tna | cut -b 49- |grep TIME_WAIT | sort 取出目前所有 TIME_WAIT 的连接 IP ( 排序过 )

net.ipv4.tcp_syncookies = 1 //表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN***,默认为0,表示关闭;

net.ipv4.tcp_tw_reuse = 1 //表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接,默认为0,表示关闭;

net.ipv4.tcp_tw_recycle = 1 //表示开启TCP连接中TIME-WAIT sockets的快速回收,默认为0,表示关闭;

net.ipv4.tcp_fin_timeout = 30 //表示如果套接字由本端要求关闭,这个参数决定了它保持在FIN-WAIT-2状态的时间;

net.ipv4.tcp_keepalive_time = 1200 //表示当keepalive起用的时候,TCP发送keepalive消息的频度。缺省是2小时,改为20分钟;

net.ipv4.ip_local_port_range = 1024 65000 //表示用于向外连接的端口范围。缺省情况下很小:32768到61000,改为1024到65000;

net.ipv4.tcp_max_syn_backlog = 8192 //表示SYN队列的长度,默认为1024,加大队列长度为8192,可以容纳更多等待连接的网络连接数;

net.ipv4.tcp_max_tw_buckets = 5000 //表示系统同时保持TIME_WAIT套接字的最大数量,如果超过这个数字,TIME_WAIT套接字将立刻被清除并打印警告信息。默认为180000,改 为5000。对于Apache、Nginx等服务器,上几行的参数可以很好地减少TIME_WAIT套接字数量,但是对于Squid,效果却不大。此项参 数可以控制TIME_WAIT套接字的最大数量,避免Squid服务器被大量的TIME_WAIT套接字拖死。

在怀疑有Dos***的时候,可以输入:

利用netstat和awk发现并阻止DDoS***

netstat -na | grep :80 |awk '{print $5}'|awk -F '::ffff:' '{print $2}' | grep ':' | awk -F: '{print $1}' | sort | uniq -c | sort -r | awk -F' ' '{if ($1 > 50) print $2}' | sed 's/^.*$/iptables -I firewall 1 -p tcp -s & --dport 80 --syn -j REJECT/' | sh

先把冲击量最大的前50个IP给封了.

还可以加几个例外的白名单IP:

netstat -na | grep :80 |awk '{print $5}'|awk -F '::ffff:' '{print $2}' | grep ':' | awk -F: '{print $1}' | sort | uniq -c | sort -r | awk -F' ' '{if ($1 > 50) print $2}' | grep -v xxx.xxx.xxx.xxx | sed 's/^.*$/iptables -I RH-Firewall-1-INPUT 1 -p tcp -m tcp -s & --dport 80 --syn -j REJECT/' | sh

以上的命令还没有实际考证过, 放在这里做参考.

参考文档:结合netstat和awk命令来统计网络连接数


第三题:如何用tcpdump嗅探80端口的访问看看谁最高?

# tcpdump -i eth0 -tnn dst port 80 -c 1000 |awk -F "," '{print $1"."$2"."$3"."$4"."}'|sort |uniq -c|sort -nr|head -5

第四题:如何查看/var/log目录下的文件数?

# ls -lR /var/log |grep "-"|wc -l  //文件与目录的总个数

第五题:如何查看Linux系统每个ip的连接数?

  1. # netstat -n|head -n 100|awk ‘/^tcp/ {print $4}’|awk -F “:” ‘{print $1}’|sort |uniq -c|sort -rn
  2. 42 123.78.121.167
  3. 29 10.145.134.120
  4. 27 127.0.0.1

第六题:shell下生成32位随机密码

# cat /dev/urandom |head -1 |md5sum |head -c 32

第七题:统计出apache的access.log中访问量最多的5个ip

  1. # cat access.log |awk ‘{print $1}’|sort |uniq -c |sort -nr|head -n5
  2. 353 100.112.231.35
  3. 349 100.136.223.222
  4. 345 100.134.222.111
  5. 343 100.123.224.156
  6. 340 100.125.231.232

第八题:如何查看二进制文件的内容?

我们一般通过hexdump命令 来查看二进制文件的内容。hexdump -C XXX(文件名) -C是参数 不同的参数有不同的意义:

  • -C 是比较规范的 十六进制和ASCII码显示
  • -c 是单字节字符显示
  • -b 单字节八进制显示
  • -o 是双字节八进制显示
  • -d 是双字节十进制显示
  • -x 是双字节十六进制显示

第九题:ps aux 中的VSZ代表什么意思,RSS代表什么意思?

VSZ:虚拟内存集,进程占用的虚拟内存空间;RSS:物理内存集,进程占用实际物理内存空间。


第十题:如何检测并修复/dev/hda5?

fsck用来检查和维护不一致的文件系统。若系统掉电或磁盘发生问题,可利用fsck命令对文件系统进行检查。


第十一题:介绍下Linux系统的开机启动顺序

加载BIOS–>读取MBR–>Boot Loader–>加载内核–>用户层init用inittab文件来设定系统运行的等级(一般3或者5,3是多用户命令行,5是界面)–>init进程执行rc.syninit–>启动内核模块–>执行不同级别运行的脚本程序–>执行/etc/rc.d/rc.local(本地运行服务)–>执行/bin/login,就可以登录了。


第十二题:符号链接与硬链接的区别

我们可以把符号链接,也就是软连接 当做是 windows系统里的 快捷方式。硬链接就好像是又复制了一份,举例说明:

ln 3.txt 4.txt 这是硬链接,相当于复制,不可以跨分区,但修改3,4会跟着变,若删除3,4不受任何影响。

ln -s 3.txt 4.txt 这是软连接,相当于快捷方式。修改4,3也会跟着变,若删除3,4就坏掉了。不可以用了。


第十三题:保存当前磁盘分区的分区表

dd 命令是以个强大的命令,在复制的同时进行转换:

# dd  if=/dev/sda of=./mbr.txt bs=1 count=512

第十四题:如何在文本里面进行复制、粘贴,删除行,删除全部,按行查找和按字母查找?

注意⚠️:以下操作全部在命令行状态操作,不要在编辑状态操作。

  • 在文本里 移动到想要复制的行 按yy 想复制到哪就移动到哪,然后按P 就黏贴了;
  • 删除行 移动到改行 按dd;
  • 删除全部 dG 这里注意G一定要大写;
  • 按行查找 :90 这样就是找到第90行;
  • 按字母查找 /path 这样就是 找到path这个单词所在的位置,文本里可能存在多个,多次查找会显示在不同的位置;

第十五题:手动安装grub

# grub-install /dev/sda

第十六题:修改内核参数

  1. vi /etc/sysctl.conf 这里修改参数
  2. sysctl -p 刷新后可用

第十七题:在1-39内取随机数

# expr $(($RANDOM%39+1))  //RANDOM随机数,%39取余数范围0-38

第十八题:限制apache每秒新建连接数为1,峰值为3

每秒新建连接数 一般都是由防火墙来做,apache本身好像无法设置每秒新建连接数,只能设置最大连接:

# iptables -A INPUT -d 172.16.100.1 -p tcp –dport 80 -m limitlimit 1/second -j ACCEPT

第十九题:FTP的主动模式和被动模式

FTP协议有两种工作方式:PORT方式和PASV方式,中文意思为主动式和被动式。

PORT(主动)方式的连接过程是:客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。当需要传送数据时,客户端在命令链路上用 PORT 命令告诉服务器:“我打开了XX端口,你过来连接我”。于是服务器从20端口向客户端的 XX 端口发送连接请求,建立一条数据链路来传送数据。

PASV(被动)方式的连接过程是:客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。当需要传送数据时,服务器在命令链路上用PASV 命令告诉客户端:“我打开了XX端口,你过来连接我”。于是客户端向服务器的 XX 端口发送连接请求,建立一条数据链路来传送数据。

从上面可以看出,两种方式的命令链路连接方法是一样的,而数据链路的建立方法就完 全不同。


第二十题:显示/etc/inittab中以#开头,且后面跟了一个或者多个空白字符,而后又跟了任意非空白字符的行

  1. # grep “^#\{1,\}[ ^ ]” /etc/inittab
  2. # inittab is no longer used when using systemd.
  3. # ADDING CONFIGURATION HERE WILL HAVE NO EFFECT ON YOUR SYSTEM.
  4. # Ctrl-Alt-Delete is handled by /usr/lib/systemd/system/ctrl-alt-del.target
  5. # systemd uses ‘targets’ instead of runlevels. By default, there are two main targets:
  6. # multi-user.target: analogous to runlevel 3
  7. # graphical.target: analogous to runlevel 5
  8. # To view current default target, run:
  9. # systemctl getdefault
  10. # To set a default target, run:
  11. # systemctl setdefault TARGET.target

第二十一题:显示/etc/inittab中包含了:一个数字:(即两个冒号中间一个数字)的行

# grep "\:[0-9]\{1\}:" /etc/inittab

第二十二题:怎么把脚本添加到系统服务里,即用service来调用?

在脚本里加入:

  1. #!/bin/bash
  2. # chkconfig: 345 85 15
  3. # description: httpd

然后保存,chkconfig httpd –add 创建系统服务,现在就可以使用service 来 start or restart~


第二十三题:写一个脚本,实现批量添加20个用户,用户名为user01-20,密码为user后面跟5个随机字符

  1. #!/bin/bash
  2. #description: useradd
  3. for i in $(seq -f“%02g” 1 20);do
  4. useradd user$i
  5. echo “user$i$(echo $RANDOM|md5sum|cut -c 1-5)|passwd –stdinuser$i >/dev/null 2>&1
  6. done

第二十四题:写一个脚本,实现判断192.168.1.0/24网络里,当前在线的IP有哪些,能ping通则认为在线

  1. #!/bin/bash
  2. for ip in $(seq 1 255)
  3. do
  4. ping -c 1 192.168.1.$ip > /dev/null 2>&1
  5. if [ $? -eq 0 ]; then
  6. echo 192.168.1.$ip UP
  7. else
  8. echo 192.168.1.$ip DOWN
  9. fi
  10. done
  11. wait

第二十五题:使用for循环批量修改文件扩展名

详见shell练习题:使用for循环批量修改文件扩展名


第二十六题:通过脚本判断远程Web服务器状态码是否正常

详见通过脚本判断远程Web服务器状态码是否正常


第二十七题:Shell函数+case 应用

现在好多企业喜欢使用Svn,随着公司业务和人员的增加,运维人员需要对公司的svn平台有个比较直观的认识,如人员的增删,人员查询等。

下面的代码的作用是:一键添加、查找和查找人员信息:

详见老男孩shell实战读书笔记 (6-10章节)


第二十八题:接入邮件和微信提供报警信息服务思路

详见接入邮件和微信提供报警信息服务


第二十九题:如何让history命令显示具体时间?

  1. $ HISTTIMEFORMAT=“%Y-%m-%d %H:%M:%S”
  2. $ export HISTTIMEFORMAT
  3. $ history
  4. 1 20190110 13:15:28cd
  5. 2 20190110 13:15:31HISTTIMEFORMAT=”%Y-%m-%d %H:%M:%S”
  6. 3 20190110 13:15:40HISTTIMEFORMAT=“%Y-%m-%d %H:%M:%S”
  7. 4 20190110 13:15:47export HISTTIMEFORMAT
  8. 5 20190110 13:15:49history

重新开机后会还原,可以写 /etc/profile 里。