1、系統(tǒng)管理工具包: 問(wèn)題和陷阱注意那些陷阱簡(jiǎn)介： 避免常見(jiàn)的缺陷和陷阱，以幫助確保您的系統(tǒng)正常地運(yùn)行。了解處理磁盤(pán)已滿(mǎn)或受損壞的系統(tǒng)的正確方法，這與在工具庫(kù)中配備各種工具以確保準(zhǔn)備好快速地處理丟失的文件或不安全的系統(tǒng)一樣重要。本文重點(diǎn)關(guān)注于 UNIX® 管理員所面臨的一些最常見(jiàn)的問(wèn)題，以及實(shí)現(xiàn)安全且有效的解決方案的方法。關(guān)于本系列典型的 UNIX® 管理員擁有一套經(jīng)常用于輔助管理過(guò)程的關(guān)鍵實(shí)用工具、訣竅和系統(tǒng)。存在各種用于簡(jiǎn)化不同過(guò)程的關(guān)鍵實(shí)用工具、命令行鏈和腳本。其中一些工具來(lái)自于操作系統(tǒng)，而大部分的訣竅則來(lái)源于長(zhǎng)期的經(jīng)驗(yàn)積累和減輕系統(tǒng)管理員工作壓力的要求。本系列文章主要專(zhuān)

2、注于最大限度地利用各種 UNIX 環(huán)境中可用的工具，包括簡(jiǎn)化異構(gòu)環(huán)境中的管理任務(wù)的方法。刪除打開(kāi)的日志文件在您完成管理任務(wù)的過(guò)程中可能會(huì)注意到，由于磁盤(pán)空間的原因，系統(tǒng)變得運(yùn)行緩慢。如果這是個(gè)非常重要的系統(tǒng)，那么不大可能關(guān)閉計(jì)算機(jī)并添加更多的存儲(chǔ)設(shè)備，而且您可能已經(jīng)采用了配額系統(tǒng)以防止個(gè)別用戶(hù)占用過(guò)多的磁盤(pán)空間。最合適的方法是查找那些可以刪除的、存檔到另一個(gè)系統(tǒng)的、或脫機(jī)存儲(chǔ)的內(nèi)容。為了實(shí)現(xiàn)這個(gè)目的，日志文件通常首當(dāng)其沖，因?yàn)槌３?duì) /tmp 和 /var 文件系統(tǒng)設(shè)置了有限的空間。（清單 1 向您顯示了我的 iBook 上的 /tmp 和 /var，這臺(tái)計(jì)算機(jī)上并沒(méi)有運(yùn)行任何繁忙的 服務(wù)。）

3、某些服務(wù)，如 Web 服務(wù)器、Java2 Enterprise Edition (Java EE) Web 應(yīng)用程序和數(shù)據(jù)庫(kù)，都可能創(chuàng)建大量的日志，特別是在有人將其配置為調(diào)試模式的情況下。清單 1. /tmp 和 /var 中可能堆積了大量的數(shù)據(jù)，即使在個(gè)人工作站上chrishBender 530$ sudo du -sh /tmp/ /var/ 44K /tmp/1.0G /var/在證實(shí)了沒(méi)有人需要這些日志數(shù)據(jù)之后，您可以快速地使用 rm 命令刪除它們。但是這樣做，您無(wú)法重新獲得任何磁盤(pán)空間。如果不熟悉 UNIX 文件系統(tǒng)的語(yǔ)義學(xué)，您可能會(huì)認(rèn)為需要重新啟動(dòng)計(jì)算機(jī)并且執(zhí)行非常耗時(shí)的文件系統(tǒng)完

4、整性檢查（在單用戶(hù)模式中使用 fsck 命令）。在標(biāo)準(zhǔn)的 UNIX 文件系統(tǒng)中，您可以在文件打開(kāi)或?qū)懭氲臅r(shí)候刪除它。這將從文件系統(tǒng)中刪除該文件的名稱(chēng)，當(dāng)使用該文件的程序關(guān)閉它時(shí)，操作系統(tǒng)可以重新獲得其存儲(chǔ)空間。許多程序常常使用這種特性來(lái)創(chuàng)建臨時(shí)文件，它們可以創(chuàng)建文件、打開(kāi)文件并刪除文件。如果程序崩潰或正常退出，則將自動(dòng)刪除相應(yīng)的文件，所以程序員不需要關(guān)閉文件或稍后對(duì)其進(jìn)行刪除操作。因?yàn)榉?wù)器保持打開(kāi)相應(yīng)的日志文件以便寫(xiě)入數(shù)據(jù)，而這些日志文件占用了大量的空間，所以這種情況是非常不利的。刪除這樣的文件只是從文件系統(tǒng)中刪除了它的名稱(chēng)，而無(wú)法重新獲得任何磁盤(pán)空間，直到相應(yīng)的進(jìn)程退出或關(guān)閉該文件。要解決

5、這個(gè)問(wèn)題，您可以重新啟動(dòng)擁有這個(gè)日志文件的服務(wù)，不過(guò)該服務(wù)的中斷可能會(huì)引起一些不必要的麻煩。另一種選擇是對(duì)日志文件重命名，然后告訴相應(yīng)的進(jìn)程重新加載其配置文件。任何現(xiàn)有的處理過(guò)程將會(huì)繼續(xù)，使用打開(kāi)的日志文件直到正常完成，而任何新的請(qǐng)求將會(huì)記錄到使用舊的名稱(chēng)創(chuàng)建的新日志文件中。根據(jù)約定，當(dāng)您發(fā)送一個(gè)掛起信號(hào)（信號(hào) 1 或 HUP）時(shí)，大多數(shù)服務(wù)器進(jìn)程（所有常用的進(jìn)程）都會(huì)進(jìn)行復(fù)位操作并重新加載它們的配置文件。清單 2 顯示了向所有正在運(yùn)行的 Web 服務(wù)器進(jìn)程發(fā)送掛起信號(hào)的一種方法。清單 2. 告訴 Web 服務(wù)器重新加載其配置文件并對(duì)文件進(jìn)行復(fù)位操作chrishBender 507$ ps -

6、A | grep httpd | grep -v grep | awk ' print $1; ' | xargs -L 1 sudo kill -HUPPassword:上面的命令中包含了很多的操作，所以讓我們來(lái)仔細(xì)地看一下管道的每個(gè)部分。ps 和 grep 命令用來(lái)在所有的進(jìn)程中搜索 httpd（并且忽略用來(lái)搜索 httpd 進(jìn)程的 grep 進(jìn)程）。接下來(lái)，awk 只顯示輸出結(jié)果中的進(jìn)程 ID，并將它傳遞給 xargs。然后，xargs 命令接受每個(gè)進(jìn)程 ID（因?yàn)槭褂昧?-L 1 以便一次提取一行內(nèi)容），并使用 sudo kill -HUP 向相應(yīng)的進(jìn)程發(fā)送一個(gè)掛起信號(hào)

7、。刪除關(guān)鍵的文件意外地刪除工作系統(tǒng)中的一些關(guān)鍵文件，肯定會(huì)對(duì)系統(tǒng)造成損壞。尤其是對(duì)于共享庫(kù)、可執(zhí)行文件或重要的系統(tǒng)配置文件，很有可能意外地出現(xiàn)這種誤操作。避免這個(gè)問(wèn)題的方法之一是，不要以 root 用戶(hù)登錄到系統(tǒng)中（請(qǐng)參見(jiàn)以 root 用戶(hù)登錄部分）。常規(guī)的用戶(hù)無(wú)法破壞重要的系統(tǒng)文件，除非您破壞了標(biāo)準(zhǔn)的權(quán)限設(shè)置。另一種方法是通過(guò)刪除寫(xiě)入位，將相關(guān)目錄設(shè)置為只讀（請(qǐng)參見(jiàn)清單 3）。清單 3. 將重要的目錄設(shè)置為只讀chrishBender 541$ cd /etcchrishBender 542$ sudo find -d . -type d | xargs sudo chmod -w您可以使用

8、 find -d 選項(xiàng)對(duì)目錄進(jìn)行深度優(yōu)先搜索（還指定了 -type d），然后使用 xargs 和 chmod 刪除寫(xiě)入位，使每個(gè)目錄變成只讀。這可以防止任何人創(chuàng)建新的文件，更重要的是可以防止刪除現(xiàn)有的文件。它不會(huì)阻止具有合適權(quán)限的用戶(hù)（即您自己）對(duì)現(xiàn)有的文件進(jìn)行編輯。使用這種方法時(shí)應(yīng)當(dāng)小心！如果有一個(gè)設(shè)計(jì)糟糕的應(yīng)用程序，它需要一個(gè)可寫(xiě)入的目錄，那么它可能會(huì)執(zhí)行失敗，并生成一些令人奇怪的錯(cuò)誤消息。大多數(shù)程序都將其自動(dòng)文件創(chuàng)建和刪除限制于 /tmp 和 /var 目錄。請(qǐng)記住，在安裝需要把配置文件或其他內(nèi)容放入到只讀目錄中的新軟件時(shí)，您將不得不重新寫(xiě)入位置位（可以使用相同的處理方法，但使用 u+

9、w 而不是清單 3 命令中的 -w）。通過(guò)復(fù)制修復(fù)受損壞的系統(tǒng)有許多情況都可能對(duì)系統(tǒng)造成損壞，但其中大多數(shù)都需要訪(fǎng)問(wèn)系統(tǒng)控制臺(tái)以修復(fù)相關(guān)內(nèi)容。如果由于失控進(jìn)程而損壞了系統(tǒng)（請(qǐng)參閱本系列中的文章“監(jiān)視運(yùn)行緩慢的系統(tǒng)”，在參考資料部分提供了相應(yīng)的鏈接），消耗了所有的可用進(jìn)程槽，或者占用了過(guò)多的內(nèi)存而導(dǎo)致計(jì)算機(jī)將所有的時(shí)間花費(fèi)在與硬盤(pán)的交換中，那么您需要終止那些損害系統(tǒng)的進(jìn)程，或者如果根本無(wú)法登錄并執(zhí)行 kill 命令的話(huà)，直接重新啟動(dòng)該計(jì)算機(jī)。如果您可以訪(fǎng)問(wèn)該系統(tǒng)，但由于某種原因而無(wú)法終止損害系統(tǒng)的進(jìn)程，可以切換到單用戶(hù)模式，這將停止所有非關(guān)鍵的服務(wù)以及任何用戶(hù)運(yùn)行的進(jìn)程。要讓計(jì)算機(jī)進(jìn)入單用戶(hù)模式

10、，在基于 System V 的 UNIX 中可以使用 telinit 命令 (sudo telinit 1) 或者在來(lái)源于 Berkeley Software Distribution (BSD) 的操作系統(tǒng)中使用 shutdown 命令 (sudo shutdown now)。當(dāng)您在單用戶(hù)模式中完成了修復(fù)任務(wù)之后，重新回到正常狀態(tài)的最簡(jiǎn)單的方法是重新啟動(dòng)該計(jì)算機(jī)；同樣，根據(jù)系統(tǒng)的具體情況，可以使用 telinit (telinit 6) 或 shutdown (shutdown -r now) 實(shí)現(xiàn)重新啟動(dòng)。在最壞的情況下，您的系統(tǒng)可能遭受了很大程度的損壞，以致于您不得不從操作系統(tǒng)安裝媒介或

11、修復(fù)盤(pán)進(jìn)行啟動(dòng)。它們通常提供了最基本的單用戶(hù)環(huán)境，您可以使用這個(gè)環(huán)境進(jìn)行磁盤(pán)檢查 (fsck)、系統(tǒng)安全漏洞檢查，或者從備份恢復(fù)受損的文件。您手頭有備份，對(duì)吧？當(dāng)事情變得一團(tuán)糟時(shí)，好的備份策略將為您省去大量的工作，并且它非常適合于那些不夠細(xì)心的用戶(hù)（他們總是會(huì)不小心刪除自己的重要文件）。保存序列化的文件和存檔有時(shí)，僅保存文件還不夠，您可能需要最近的版本或上個(gè)星期的版本。這種情況很可能會(huì)出現(xiàn)，比如人力資源部門(mén)有人覆蓋了工資處理文件的唯一副本，或者更糟糕，覆蓋了重要的系統(tǒng)配置文件。保存系統(tǒng)中重要（以及用戶(hù)）文件的增量備份是防止這種災(zāi)難出現(xiàn)的一種重要方法。您曾經(jīng)刪除或覆蓋過(guò)重要的文件嗎？這很容易解決

12、，您只需要從增量備份中提取昨晚的版本即可。清單 4（在我的系統(tǒng)中，我稱(chēng)其為 newer-archive.sh）向您介紹了一個(gè)簡(jiǎn)單的 Shell 腳本，它用來(lái)創(chuàng)建比指定的文件更新的存檔文件。您可以使用該腳本為那些比最近增量備份更新的文件創(chuàng)建增量備份。清單 4. 一個(gè)簡(jiǎn)單的增量存檔腳本#!/bin/sh# Make an incremental archive containing files that have been# modified since the last archive was created.# Usage:# newer-archive.sh -o new-file.tar

13、-nt old-file filesold_file=""new_file=""files=""archiver="tar -T - -czpsSf"while "$1" != "" ; do case $1 in -o) new_file=$2 shift ; -nt) old_file=$2 shift ; *) files="$files $1" ; esac shiftdonefor path in $files ; do find $path -

14、newer $old_filedone | $archiver $new_file-o 選項(xiàng)指定了輸出文件，而 -nt 選項(xiàng)指定了用作基準(zhǔn)的文件，任何比該文件更新的文件都將添加到存檔中。在列出需要進(jìn)行存檔的選項(xiàng)、文件或目錄之后，您需要將它們?nèi)刻砑拥捷敵鑫募Ｄ梢詫?duì)這個(gè)腳本進(jìn)行修改，以便使用任何種類(lèi)的存檔工具，假定您找到了一種通過(guò)管道傳遞需要進(jìn)行存檔的文件列表的方法。如果您的系統(tǒng)中沒(méi)有安裝 GNU 的 tar，那么您可能還需要調(diào)整其中的 tar 選項(xiàng)。您可以將這個(gè)腳本與 date 命令組合在一起使用（請(qǐng)參見(jiàn)清單 5），以創(chuàng)建包含當(dāng)前日期和時(shí)間的存檔。清單 5. 使用 date 來(lái)指定備份存檔

15、的名稱(chēng)chrishBender 525$ sudo /bin/newer-archive.sh -o incremental-$(date +%Y-%m-%d-%H.%M.%S).tar.gz -nt incremental-2006-09-06-11.15.03.tar.gz /Users通過(guò)在 date 命令中使用 + 選項(xiàng)指定不同的輸出格式 (year-month-day-hour.minute.second)，您可以創(chuàng)建包含當(dāng)前日期和時(shí)間的文件名，使用最近的增量備份（該備份已經(jīng)過(guò)了一個(gè)月，對(duì)于備份之間的間隔來(lái)說(shuō)太長(zhǎng)了）作為引用的舊 文件，備份所有更新的或修改過(guò)的用戶(hù)數(shù)據(jù)。另一種選擇是使

16、用 RCS 的 ci 和 co 命令為每個(gè)文件創(chuàng)建更改的歷史。您還可以使用 ci 簽入 文件。這將創(chuàng)建一個(gè)歷史文件（ci 加上文件名將創(chuàng)建另一個(gè)包含文件歷史及其較早修訂版本的文件名），并將該文件設(shè)置為只讀。使用 co -l 簽出 該文件并重新將其設(shè)置為可寫(xiě)的。在完成了相應(yīng)的更改之后，使用有意義的更改日志消息再次簽入該文件（請(qǐng)參見(jiàn)清單 6）。清單 6. 使用 RCS 跟蹤文件版本chrishBender 536$ ci -u points.txt points.txt,v <- points.txtenter description, terminated with single '

17、;.' or end of file:NOTE: This is NOT the log message!>> important points to cover in the article>> .initial revision: 1.1donechrishBender 537$ dir points.txt-r-r-r- 1 chrish chrish 170 Oct 6 14:34 points.txtchrishBender 538$ co -l points.txtpoints.txt,v -> points.txtrevision 1.1 (

18、locked)donechrishBender 539$ vi points.txtchrishBender 540$ ci -u points.txtpoints.txt,v <- points.txtnew revision: 1.2; previous revision: 1.1enter log message, terminated with single '.' or end of file:>> added another important point>> .doneci 命令的 -u 選項(xiàng)可以在簽入文件的時(shí)候自動(dòng)地簽出該文件的一個(gè)

19、只讀版本。co 命令的 -l 選項(xiàng)可以鎖定該文件，以便您（并且只有您）可以對(duì)其進(jìn)行編輯。RCS 只能夠處理純文本文件，如果您需要為二進(jìn)制文件保存較早的版本，可以使用其他功能更加強(qiáng)大的工具，如 Subversion（請(qǐng)參見(jiàn)參考資料部分）。創(chuàng)建用戶(hù)或組在大多數(shù)系統(tǒng)中，添加新用戶(hù)或組似乎只需要使用最喜歡的文本編輯器修改 /etc/passwd 文件（以及 shadow 密碼文件，它用來(lái)保存密碼）或 /etc/group 文件。這種方法很容易記住，而該文件的格式也并不復(fù)雜，可以很快地完成這項(xiàng)任務(wù)。但是出于很多的原因，您不應(yīng)該這樣做，這也正是大多數(shù) UNIX 系統(tǒng)，特別是最新的 UNIX 系統(tǒng)，提供專(zhuān)門(mén)

20、用于創(chuàng)建新用戶(hù)和組的工具的原因。編輯這些重要的系統(tǒng)文件可能會(huì)帶來(lái)麻煩。雖然這些文件的確很簡(jiǎn)單，但還是有可能受到其他因素的影響并把事情弄得一團(tuán)糟。可能您的編輯器會(huì)在編輯這些文件的時(shí)候?qū)ζ溥M(jìn)行鎖定，而這將會(huì)使得其他用戶(hù)在您編輯這些文件的時(shí)候無(wú)法登錄。在手動(dòng)添加了用戶(hù)之后，您還有一大堆的工作需要完成。您需要?jiǎng)?chuàng)建一個(gè)新的 home 目錄，使用標(biāo)準(zhǔn) home 目錄中的內(nèi)容填充該目錄，將用戶(hù)添加到所有合適的組中，并創(chuàng)建一些系統(tǒng)級(jí)的內(nèi)容，如新用戶(hù)所使用的郵件緩沖。為什么要自找麻煩呢？可以使用用戶(hù)和組的創(chuàng)建工具，這將為您節(jié)省時(shí)間和精力（并且可以確保不會(huì)將事情弄得一團(tuán)糟，這將幫助您維持權(quán)威的聲譽(yù)）。大多數(shù)標(biāo)準(zhǔn)的

21、 UNIX 系統(tǒng)都為管理員提供了 adduser（或 useradd）和 addgroup（或 groupadd）命令。許多 Linux® 分發(fā)版提供了易于使用的圖形化工具（如 Fedora Core 的 User Manager），而 FreeBSD 的功能全面的 sysinstall 實(shí)用程序也可以完成用戶(hù)和組的創(chuàng)建。在 Mac OS X 中，您可以使用 Accounts preferences 來(lái)創(chuàng)建用戶(hù)，可以使用 NetInfo Manager 來(lái)創(chuàng)建新的組。以 root 用戶(hù)登錄正如您所知道的，root 用戶(hù)在 UNIX 系統(tǒng)中具有所有的權(quán)限。root 用戶(hù)可以執(zhí)行任何操作

22、，正如常說(shuō)的，“能力越強(qiáng)，責(zé)任越大”。仍然有一些用戶(hù)堅(jiān)持以 root 用戶(hù)登錄系統(tǒng)，即使他們所執(zhí)行的操作并不需要用到其中所有的權(quán)限。在任何具有管理員權(quán)限的系統(tǒng)中，您應(yīng)該始終為自己創(chuàng)建（并使用！）一個(gè)常規(guī)的用戶(hù)帳戶(hù)。而在執(zhí)行需要 root 權(quán)限的操作時(shí)，使用系統(tǒng)中的 su（請(qǐng)參見(jiàn)清單 7）或 sudo（請(qǐng)參見(jiàn)清單 8）命令（可以使用您的系統(tǒng)中所提供的任何一個(gè)）臨時(shí)切換到 root 用戶(hù)。清單 7. 使用 su 命令臨時(shí)切換到 root 用戶(hù)chrishBender 514$ su -Password:# 清單 8 使用了 sudo 命令，以 root 用戶(hù)的身份運(yùn)行一個(gè)命令。清單 8. 使用 s

23、udo 命令，以 root 用戶(hù)的身份運(yùn)行一個(gè)命令chrishBender 517$ sudo idPassword:uid=0(root) gid=0(wheel) groups=0(wheel), 1(daemon), 2(kmem), 3(sys), 4(tty), 29(certusers), 5(operator), 80(admin), 20(staff)為什么要避免以 root 用戶(hù)運(yùn)行呢？錯(cuò)誤的 rm 命令、或不小心將 tar 文件釋放到錯(cuò)誤的位置，這都可能對(duì)您的系統(tǒng)造成損壞，并需要大量的修復(fù)工作。確保系統(tǒng)的安全需要確保網(wǎng)絡(luò)中所有系統(tǒng)的安全，這是毫無(wú)疑問(wèn)的。保留服務(wù)器或路由器中的缺省密碼，這無(wú)異于邀請(qǐng)那些不擇手段的（甚至僅僅只是好奇的）人侵入系統(tǒng)。入侵者可能有意地或無(wú)意地對(duì)系統(tǒng)造成損害，使系統(tǒng)遭受破壞，或者更糟，利用系統(tǒng)中的漏洞偷偷地對(duì)其進(jìn)行修改，以便分發(fā)垃圾郵件、盜版軟件或其他的東西。確保系統(tǒng)安全的一個(gè)好的策略是拒絕任何操作，而不是允許任何操作。具體來(lái)說(shuō)，關(guān)閉所有并不真正需要的網(wǎng)絡(luò)服務(wù)，阻