文章目录
正文
1. 日志文件分析实战
1.1 场景描述
分析/var/log/nginx/access.log中的异常访问请求,识别潜在攻击行为。
1.2 操作步骤
1.2.1 数据预处理
# 创建分析工作目录
mkdir nginx_analysis && cd nginx_analysis
# 创建当天日志副本
cp /var/log/nginx/access.log ./access_$(date +%Y%m%d).log
# 压缩原始日志文件(演示用)
gzip access_20231001.log
1.2.2 异常请求检测
# 查找高频访问IP(前20名)
zcat access_20231001.log.gz | awk '{print $1}' | sort | uniq -c | sort -nr | head -20
# 检测敏感路径扫描
zgrep -E '/(admin|wp-login|\.env)' access_20231001.log.gz | awk '{print $1,$7}'
1.3 图像分析
(假设生成请求频率时序图)
# 安装gnuplot(如未安装)
sudo apt-get install gnuplot
# 生成时序数据
zcat access_20231001.log.gz | awk '{print $4}' | cut -d: -f1-2 | uniq -c > time_dist.txt
# 创建绘图脚本
echo "set xdata time
set timefmt '[%d/%b/%Y:%H:%M'
plot 'time_dist.txt' using 2:1 with lines title 'Requests/min'" > plot.gp
# 生成PNG图像
gnuplot -p -e "set terminal png; set output 'req_trend.png'; load 'plot.gp'"
生成图像示例说明:
[虚拟图像描述]
横轴:时间(24小时制)
纵轴:请求量
特征点:
- 03:00-05:00 正常低流量
- 14:25 突发尖峰(2000+请求/分钟)
- 19:30 持续高负载
2. 自动化备份方案
2.1 增量备份脚本
#!/bin/bash
# backup_inc.sh
BACKUP_DIR="/backups"
SOURCE_DIR="/var/www"
DATE=$(date +%Y%m%d)
# 创建硬链接副本
rsync -a --delete --link-dest=$BACKUP_DIR/latest $SOURCE_DIR $BACKUP_DIR/$DATE
# 更新符号链接
rm -f $BACKUP_DIR/latest
ln -s $BACKUP_DIR/$DATE $BACKUP_DIR/latest
# 保留30天备份
find $BACKUP_DIR -maxdepth 1 -type d -mtime +30 -exec rm -rf {} \;
2.2 备份架构图解
备份目录结构:
/backups
├── 20231001 -> 20231001/
├── 20231002
│ ├── file1 (hardlink)
│ └── file2 (hardlink)
└── 20231003
├── file1 (modified)
└── file2 (hardlink)
工作原理说明:
- 每日创建带日期的新目录
- 使用rsync硬链接技术节省空间
- latest符号链接始终指向最新备份
- 旧备份自动清理
3. 系统资源监控
3.1 实时监控脚本
#!/bin/bash
# monitor.sh
while true; do
clear
echo "===== System Monitor ====="
echo "1. CPU Load: $(uptime | awk -F'[a-z]:' '{print $2}')"
echo "2. Memory Usage: $(free -m | awk '/Mem/{printf "%d/%dMB", $3,$2}')"
echo "3. Disk Usage:"
df -h | awk '/\/$/ {print $4" free"}'
echo "4. Top Processes:"
ps -eo pid,%cpu,%mem,comm --sort=-%cpu | head -6
sleep 5
done
3.2 监控指标解析
(虚拟终端输出示意图)
===== System Monitor =====
1. CPU Load: 0.78, 0.65, 0.58
2. Memory Usage: 3421/7894MB
3. Disk Usage:
456G free
4. Top Processes:
PID %CPU %MEM COMMAND
1234 78% 12% ffmpeg
5678 15% 24% java
9012 5% 3% chrome
关键指标分析:
- CPU负载三值分别表示1/5/15分钟平均值
- 内存使用量接近总内存的50%
- ffmpeg进程消耗大量CPU资源
- 根分区剩余空间充足
4. 网络配置案例
4.1 多IP绑定
# 临时添加IP
sudo ip addr add 192.168.1.100/24 dev eth0 label eth0:0
# 永久配置(Ubuntu)
cat <<EOF | sudo tee /etc/netplan/99-custom.yaml
network:
version: 2
ethernets:
eth0:
addresses:
- 192.168.1.100/24
- 192.168.1.101/24
EOF
sudo netplan apply
4.2 网络拓扑示意图
物理服务器 eth0
├── 主IP: 192.168.1.50 (SSH管理)
├── VIP1: 192.168.1.100 (Web服务)
└── VIP2: 192.168.1.101 (API服务)
↓
防火墙规则:
- 80/tcp → 192.168.1.100
- 443/tcp → 192.168.1.100
- 8080/tcp → 192.168.1.101
此结构优势:
- 服务IP独立于管理IP
- 方便进行负载均衡配置
- 不同服务可独立设置防火墙规则
5. 安全加固措施
5.1 SSH安全配置
# /etc/ssh/sshd_config 修改项
Port 58222 # 更改默认端口
PermitRootLogin no # 禁止root登录
MaxAuthTries 3 # 最大认证尝试次数
ClientAliveInterval 300 # 会话超时设置
PasswordAuthentication no # 禁用密码认证
# 生效配置
systemctl reload sshd
5.2 配置前后对比
原配置风险:
- 开放22端口 → 每天数千次扫描尝试
- 允许root密码登录 → 暴力破解风险
- 无会话超时 → 连接可能被长期占用
加固后效果:
+------------------+
攻击请求 → | 非标准端口 | → 减少95%扫描量
+------------------+
| 证书认证 | → 消除密码爆破
+------------------+
| 自动断开空闲连接 | → 释放资源
+------------------+
讲解结束。
结语
感谢您的阅读!期待您的一键三连!欢迎指正!