linux 任务计划&日志管理 第十三章

计划任务概念解析

在Linux操作系统中，除了用户即时执行的命令操作以外，还可以配置在指定的时间、指定的日期执行预先计划好的系统管理任务（如定期备份、定期采集监测数据）。RHEL6系统中默认已安装了at、crontab软件包，通过atd和crond这两个系统服务实现一次性、周期性计划任务的功能，并分别通过at、crontab命令进行计划任务设置。

计划任务分为一次性和循环性的计划任务

一次调度执行-----at

作用: 计划任务主要是做一些周期性的任务，目前最主要的用途是定期备份数据 

一次性调度执行 at---实战

语法格式
at <时间规格>
  now +5min
  teatime tomorrow (teatime is 16:00)

例1: 
[root@localhost ~]# yum -y install at
[root@localhost ~]# systemctl status atd    #查看启动状态
[root@localhost ~]# systemctl start atd	#首先要启动服务
 
[root@localhost ~]# at now +1min    #一分钟后开始执行
at> useradd uuuu  
at> <EOT>     	#Ctrl+D
job 1 at Sat Mar 21 22:34:00 2015
 
[root@localhost ~]# id uuuu

例2: 
[root@localhost ~]# vim at.jobs 
useradd u99 
useradd u00 
touch /a.txt
 
[root@localhost ~]# at 20:33 < at.jobs

例3:
1. 准备sudo用户
[root@localhost ~]# id jack
uid=1007(jack) gid=1012(jack) groups=1012(jack)
[root@localhost ~]# useradd jack   #如果不存在创建
[root@localhost ~]# visudo
  91 ## Allow root to run any commands anywhere
  92 root    ALL=(ALL)       ALL
  93 jack    ALL=(ALL)       NOPASSWD: ALL  #添加内容
 
[root@localhost ~]# su - jack 
 
2. 以sudo 用户jack创建at任务
[jack@localhost ~]$ vim jack.at
sudo useradd u200
sudo useradd u300
sudo touch /home/jack.txt
[jack@localhost ~]$ at 20:38 < jack.at    

 循环调度执行cron 用户级

安装软件
[root@localhost ~]#  yum -y install crontabs  #如果软件不存在安装
 
启动服务
rhel5/6:
[root@localhost ~]#  /etc/init.d/crond status
[root@localhost ~]#  /etc/init.d/crond start
 
rhel7:
[root@localhost ~]#  systemctl start crond.service
[root@localhost ~]#  systemctl status crond.service
[root@localhost ~]#  systemctl enable crond.service
 
[root@localhost ~]# systemctl status crond.service  #查看服务状态
 
[root@localhost ~]# ps -ef | grep crond 
root        755      1  0 20:18 ?        00:00:00 /usr/sbin/crond -n
 
#crond进程每分钟会处理一次计划任务
存储位置：
[root@localhost ~]# cd /var/spool/cron/

管理方式： 
crontab -l     //列出当前用户的计划任务
crontab -r     //删除当前用户所有的计划任务
crontab -e     //编辑当前用户的计划任务

管理员可以使用 
-u username, 去管理其他用户的计划任务
[root@localhost ~]# crontab -u jack -l
[root@localhost ~]# crontab -u jack -r
[root@localhost ~]# crontab -u jack -e

语法格式 :
Minutes   Hours    Day-of-Month    Month    Day-of-Week    Command 
 分钟         小时            日             月           周           执行的命令，最好是命令的绝对路径
 0-59      0-23        1-31         1-12          1-7

时间：
*：每
*/5 每隔分钟
，：不同的时间段
- ： 表示范围

实战

[root@localhost ~]# vim /home/soso.sh
#!/bin/bash
touch /opt/a.txt
[root@localhost ~]# chmod +x /home/soso.sh

 创建计划任务

[root@localhost ~]# crontab -e           //当前用户编写计划任务
 
每天6:00执行
0 6 * * *  /home/soso.sh
每天8:40执行
40 8 * * * /home/soso.sh
每周六凌晨4:00执行
0 4 * * 6  /home/soso.sh
每周六凌晨4:05执行
5 4 * * 6  /home/soso.sh 
每周六凌晨5:00执行
0 5 * * 6  /home/soso.sh
每周一到周五9:30
30 9 * * 1-5  /home/soso.sh
每周一到周五8:00，每周一到周五9:00
0 8,9 * * 1-5   /home/soso.sh
 
每周六23:59
59 23 * * 6      /home/soso.sh
每天0:30
30 0 * * *    /home/soso.sh

实例

00 00 * * * /home/soso.sh			#每天凌晨
00 02 * * * ls			            #每天2:00整 
00 02 1 * * ls  			        #每月1号2:00整 
 
00 02 14 2 * ls	                    #每年2月14号2:00整
 
00 02 * * 7 ls  			        #每周日2:00整 
00 02 * 6 5 ls  			        #每年6月的周五2:00整
00 02 * * * ls			            #每天2:00整 
*/5 * * * * ls				        #每隔5分钟 
 
00 02 1,5,8 * * ls		                #每月1,5,8号的2:00整 
 
00 02 1-8 * * ls                    #每月1到8号的2:00整

使用其他用户创建

[root@localhost ~]# crontab -u jack -e  #使用jack用户创建
[root@localhost ~]# crontab -u jack -l  #查看jack用户的计划任务
[root@localhost ~]# crontab -r  #删除当前用户的计划任务
[root@localhost ~]# crontab -u jack -r #删除jack用户的计划任务

使用者权限文件：
文件：
/etc/cron.deny
说明：
该文件中所列用户不允许使用crontab命令

文件：
/etc/cron.allow
说明：
该文件中所列用户允许使用crontab命令

系统本身的计划任务
/etc/crontab

日志轮转

日志重要性

Linux系统日志对管理员来说，是了解系统运行的主要途径，因此需要对 Linux 日志系统有个详细的了解。

Linux 系统内核和许多程序会产生各种错误信息、告警信息和其他的提示信息，这些各种信息都应该记录到日志文件中，完成这个过程的程序就是 rsyslog，rsyslog 可以根据日志的类别和优先级将日志保存到不同的文件中。

日志系统rsyslog

日志管理基础

syslog 日志管理 
logrotate 日志轮转

处理日志的进程

rsyslogd：绝大部分日志记录，和系统操作有关，安全，认证sshd,su，计划任务at,cron... httpd/nginx/mysql: 以自己的方式记录日志

[root@localhost ~]# ps aux |grep rsyslogd
root        752  0.0  0.2 216440  5548 ?        Ssl  20:18   0:00 /usr/sbin/rsyslogd -n

日志配置主文件:
/etc/rsyslog.conf 

常见的日志文件(系统、进程、应用程序)

tail -f /var/log/messages		        	#动态查看日志文件的尾部，系统主日志文件
 
tail -f /var/log/secure		            #记录认证、安全的日志
 
tail /var/log/maillog			            #跟邮件postfix相关
 
tail /var/log/cron			                #crond、at进程产生的日志
 
tail /var/log/dmesg			              	#和系统启动相关
 
tail /var/log/yum.log                       #yum的日志
 
tail -f /var/log/mysqld.log                 #MySQL日志
 
tail /var/log/xferlog                  		#和访问FTP服务器相关
 
/var/log/boot.log                           #系统启动过程日志记录存放
 
[root@localhost ~]# w					   #当前登录的用户 /var/log/wtmp
 
[root@localhost ~]# last				   #最近登录的用户 /var/log/btmp
第一列，用户名；
第二列，终端位置，/pts/0 (伪终端)意味着从诸如ssh或者telnet的远程链接的用户，tty(teletypewriter)意味着直接连接到计算机或者本地链接的用户；
第三列，登录的ip或者内核。
第四列，开始时间；
第五列，结束时间(still login in 还未退出 down 直到正常关机 crash 直到强制关机)；
 
[root@localhost ~]# lastlog			   #所有用户的登录情况 /var/log/lastlog

 日志优先级

日志级别分为：7种日志级别代号0-7
 
0 debug             #有调试信息的，日志信息最多
 
1 info              #一般信息的日志，最常用
 
2 notice            #最具有重要性的普通条件的信息
 
3 warning           #警告级别
 
4 error             #错误级别，阻止某个功能或者模块不能正常工作的信息
 
5 crit              #严重级别，阻止整个系统或者整个软件不能工作的信息
 
6 alert             #需要立刻修改的信息
 
7 emerg             #内核崩溃等严重信息
 
none                #什么都不记录

logrotate日志轮转

什么是日志轮转？ 自动切日志
注：可以针对任何日志文件（rsyslog 日志、Nginx访问或错误日志...）

logrotate (轮转，日志切割) 
1. 如果没有日志轮转，日志文件会越来越大
2. 将丢弃系统中最旧的日志文件，以节省空间 
3. logrotate本身不是系统守护进程，它是通过计划任务crond每天执行

logrotate 配置文件：
主配置文件：/etc/logrotate.conf (决定每个日志文件如何轮转)

配置日志轮转
[root@localhost ~]# vim /etc/logrotate.conf	
weekly     			#轮转的周期，一周轮转，单位有年,月,日 
rotate 4			#保留4份 
create				#轮转后创建新文件 
dateext             #使用日期作为后缀 
#compress			#日志轮替时,旧的日志进行压缩 
include /etc/logrotate.d  			 #包含该目录下的配置文件,会引用该目录下面配置的文件
 
/var/log/wtmp {			          	#对该日志文件设置轮转的方法    
 monthly			                #一月轮转一次  
 minsize 1M			            	#最小达到1M才轮转,否则就算时间到了也不轮转
 create 0664 root utmp		        #轮转后创建新文件，并设置权限   
 rotate 2			                #保留2份 
}
 
/var/log/btmp {    
 missingok			              	#丢失不提示    
 monthly			                
 create 0600 root utmp		        
 rotate 1			                
}

 实战案例

例1：轮转文件/var/log/yum.log
 
[root@localhost ~]# vim /etc/logrotate.d/yum	   
/var/log/yum.log {
 missingok                                #丢失不提醒
 #notifempty                              #空文件不轮转 
 #size 30k									#只要到了30k就轮转
 #yearly
 daily                                     #每天轮转一次   
 rotate 3      
 create 0644 root root 
}
 
测试：
[root@localhost ~]# /usr/sbin/logrotate /etc/logrotate.conf	  #手动轮转
[root@localhost ~]# ls /var/log/yum*
/var/log/yum.log  /var/log/yum.log-20191110
 
[root@localhost ~]# grep yum /var/lib/logrotate/logrotate.status #查看记录所有日志文件最近轮转的时间
"/var/log/yum.log" 2019-11-10-21:26:14

ssh远程管理服务

openssh-service  提供服务
openssh-clients   客户端

sshd服务的端口号----22

安装

[root@localhost ~]# yum install -y openssh*
1.服务器端启动服务：
[root@localhost ~]# systemctl  start  sshd
2.关闭防火墙和selinux

登录方式

远程登录：
[root@localhost ~]# ssh root@192.168.246.114
参数解释：
root 用户默认不写为root，也可以使用其他用户

无密码登陆（ssh密钥认证）
1.产生公钥和私钥：  生成一对密钥：公钥+私钥
[root@localhost ~]# ssh-keygen  #一直回车
2.查看钥匙的目录：
[root@localhost ~]# cd /root/.ssh/
id_rsa  ---私钥
id_rsa.pub  ---公钥
known_hosts  ----确认过公钥指纹的可信服务器列表的文件
authorized_keys ---授权文件，是传输过公钥到对方服务后会自动重命名生成的
3.拷贝公钥给对方机器：
[root@localhost ~]# ssh-copy-id 对方机器ip地址
ip地址：指的是对方服务器
4.远程连接的时候就不用输入密码了

ssh修改端口号：
修改配置文件：
# vim /etc/ssh/sshd_config
17 #Port 22   #将注释去掉，修改端口号可以修改为自定义的。
[root@localhost ~]# systemctl restart sshd

远程登录
-p：prot端口，指定端口，如果端口修改了需要指定
案例：
[root@localhost ~]# ssh root@192.168.246.158 -p 2222

远程拷贝

远程拷贝：
将本地的文件拷贝到目标主机
# scp  -P 端口号 /a.txt    用户名@ip：/路径
                源文件      目标地址
如：
[root@localhost ~]# scp -P 22  /a.txt  192.168.153.148:/home/jack/
 
将目标主机的文件拷贝到本地            
# scp  -P 端口号 用户名@ip:/路径   /
如：
[root@localhost ~]# scp -P 22 192.168.153.148:/home/jack/qf.txt /root
 
[root@localhost ~]# scp -r -P 2222 test/ 192.168.246.158:/root/
谁是远程加谁ip
远程拷贝目标机器改了端口加-(大)P 

tcpwrapper---访问控制工具

1.tcp wrapper是一种访问控制工具是操作系统自带的，类似于防火墙(iptables)可以作访问控制。
2.针对系统进程来做限制的
===============================================================================
#TCPwrapper配置
TCPwrapper有两个配置文件。
1./etc/hosts.allow   --允许
2./etc/hosts.deny    --拒绝
TCPwrappers先查找/etc/hosts.allow，再查找/etc/hosts.deny，如果两个配置中有冲突，先匹配中的优先，也就是hosts.allow中的配置优先，如果两个配置都没命中，默认放行。

TCPwrapper作用范围

tcpwrapper要看该应用是否依赖libwrap.so这个库文件。
例如tcpwrapper可以控制ssh服务，因为实现ssh协议的sshd程序依赖了libwarp.so库文件

实战环境

准备两台机器：
wrap-server----192.168.246.188
test-1----192.168.246.158
#所有机器关闭防火墙和selinux
[root@localhost ~]# systemctl stop firewalld  #关闭防火墙
[root@localhost ~]# systemctl disable firewalld  #将防火墙设置为开机不自启
Removed symlink /etc/systemd/system/multi-user.target.wants/firewalld.service.
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
[root@localhost ~]# setenforce 0 #临时关闭selinux
 
查看某一个程序是否支持tcpwrapper
[root@localhost ~]# ldd `which sshd` | grep wrap
libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f9ec5c26000)
[root@localhost ~]# ldd `which httpd` | grep wrap  #httpd就不用,所以不支持
[root@localhost ~]# 

实战案例

1.允许192.168.246.158这台机器访问我的服务器，其他禁止掉

[root@localhost ~]# vim /etc/hosts.allow  #在文件后面新增一行
sshd:192.168.246.158
[root@localhost ~]# vim /etc/hosts.deny  #在文件后面新增一行
sshd:ALL       #拒绝所有
===========================
sshd:192.168.246.159 #拒绝某个IP

测试

1.首先我们用192.168.246.158的机器去ssh连接
[root@web-1 ~]# ssh 192.168.246.188
[root@wrap-server ~]#
2.在用其他机器连接
1.通过finalshell连接。  ---连接拒绝
2.或者通过第三台机器去连接
[root@test-2 ~]# ssh 192.168.246.188
ssh_exchange_identification: read: Connection reset by peer  #拒绝连接

常用命令

[root@linux-server ~]# ping www.baidu.com   #ping命令，可以检查主机是否可以联网
PING www.a.shifen.com (183.232.231.174) 56(84) bytes of data.
64 bytes from 183.232.231.174 (183.232.231.174): icmp_seq=1 ttl=128 time=55.8 ms
64 bytes from 183.232.231.174 (183.232.231.174): icmp_seq=2 ttl=128 time=36.6 ms
 
[root@localhost ~]# ping -c 3 www.baidu.com
-c：指定次数
#ping命令是通过icmp协议：用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息
 
win+r键
输入cmd   点击确定
 
在windows命令提示符后面输入如下命令ping -n 6 www.51iker.com
返回信息如下：
 
C:\Documents and Settings\Administrator>ping -n 6 www.51iker.com
Pinging www.51iker.com [219.232.236.141] with 32 bytes of data:
 
Reply from 219.232.236.141: bytes=32 time=52ms TTL=51
Reply from 219.232.236.141: bytes=32 time=57ms TTL=51
Reply from 219.232.236.141: bytes=32 time=41ms TTL=51
Reply from 219.232.236.141: bytes=32 time=39ms TTL=51
Reply from 219.232.236.141: bytes=32 time=30ms TTL=51
Reply from 219.232.236.141: bytes=32 time=34ms TTL=51
 
Ping statistics for 219.232.236.141:
    Packets: Sent = 6, Received = 6, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 30ms, Maximum = 57ms, Average = 42ms
 
以上信息如何理解？
 
  6行：Reply from 219.232.236.141: bytes=32 time=52ms TTL=51 是与参数-n 6相对应的，表明返回了6个数据包；
 
  bytes=32 表示测试中发送的数据包大小是32个字节，
  time=52ms 表示与对方主机往返一次所用的时间，
  TTL= 指定TTL（Time to Live）值在对方的系统里停留的时间（生存时间）。
   Packets: Sent = 发送数据包数;   Received =接收数据包数;    Lost = 丢包数
　　大约往返时间以毫秒(ms)显示:　　
　　Minimum=最小值 /ms, Maximum=最大值 /ms , Average=平均值 /m

telnet命令用于登录远程主机，对远程主机进行管理。telnet因为采用明文传送报文，安全性不好，很多Linux服务器都不开放telnet服务，而改用更安全的ssh方式了。
[root@linux-server ~]# telnet 192.168.246.156 80 #检查tcp连接80端口是否开放
Trying 192.168.246.156...
Connected to 192.168.246.156.  #如果出现这样那就是通了
Escape character is '^]'. 

 

面试

#telnet与ssh的区别：
telnet：不安全，没有对传输数据进行加密，容易被监听，还有遭受中间人攻击，telnet不能压缩传输数据，所以传输慢
ssh：对数据进行了加密，安全度高，ssh传输数据经过压缩，所以传输速度比较快

实现服务器时间对时（ntp）
[root@localhost ~]# yum install ntp
[root@localhost ~]# ntpdate cn.pool.ntp.org

#如果想每隔一定时间自动校时，只需将上面的命令加入至Cron就行了：
00 12 * * * /sbin/ntpdate cn.pool.ntp.org

cn.pool.ntp.org是ntp网络授时组织的中国授时源