企業(yè)Linux系統的運維成為目前企業(yè)關注的重點。作為一種優(yōu)秀的開源網絡操作系統，如何充分利用Linux的工具并使用相應的方法來提高運維效率是非常重要的工作。在第一篇文章中，我們介紹了運維相關的4個應用工具的使用和實戰(zhàn)，本文作為該專題的第二篇文章，將著重介紹運維過程中的重要原則和方法，包括如何避免產生問題以及如何解決系統問題的內容，以為企業(yè)Linux的實際運維提供有益參考。

　　Need to Know I：系統管理員與系統用戶增強溝通

　　作為一個系統管理員的主要職責之一是與系統用戶通信。當為維修系統而停機時，當上線一類新軟件以及發(fā)布用戶如何訪問新的系統打印機時，需要發(fā)布公告。甚至可以開始充當一個地方小報的角色，讓用戶知道新員工、RIF、生日、公司野餐信息等。

　　不同的通信有不同的側重點。例如，在兩個月內的公司野餐的信息與將在五分鐘內關閉系統的消息的敏感度是不一樣的。為了滿足這些不同的需求，Linux 提供了不同的通信方式。下面的列表描述和對比了最常用的方法。這些方法通常會提供給所有用戶，除了當天消息通常只為具有 root 權限的用戶保留外。

　　有如下工具（實用程序）可以增強系統管理員與系統用戶的通信和溝通。

　　Write：使用 write 實用程序可以與在本地系統上登錄的用戶進行通信。例如，可以使用它來要求用戶停止運行拖慢系統的程序，該用戶可能會回復說：他將在三分鐘內完成。用戶還可以使用 write 來要求系統管理員掛載磁帶或恢復文件。write 發(fā)送的消息可能不會出現在圖形環(huán)境中。

　　IM：Empathy IM（Internet 消息 ; live.gnome.org/Empathy）實用程序使用 Google Talk、MSN、IRC、AIM、Facebook、雅虎、ICQ 以及其它協議，支持文本、語音、視頻聊天和文件傳輸。使用時，可點擊主菜單：Applications?Internet?Empathy Internet Messaging。IM 常見于許多工作場所，可以用它來聯系 Red Hat 支持。

　　Wall：wall（write all）實用程序可以有效地與所有登錄用戶即時通信。此實用程序從標準輸入獲得輸入，工作方式很像 write，只不過用戶不能使用 wall 來只寫回你一個人。當要關閉系統或在其它危機情況下，可使用 wall。沒有登錄的用戶將無法得到消息。只有在危機情況下才可以使用 root 權限的用戶身份運行 wall; 它會中斷任何人在做的任何工作。wall 發(fā)送的消息可能不會出現在圖形環(huán)境中。

　　Email：電子郵件用于與一個或多個系統和 / 或遠程用戶進行不太緊急的通信。發(fā)送郵件后，你必須愿意等待每個用戶來閱讀它。電子郵件可用于提醒忘了注銷的用戶，他們的帳單已逾期，或他們使用了太多的磁盤空間。與通過 write 收到的消息相反，用戶可以輕松地永久存儲通過電子郵件接收的消息記錄，因此他們可以隨時跟蹤重要的細節(jié)。舉例來說，使用電子郵件告知用戶一個新的復雜操作過程，以便每個用戶都可以保留一份信息副本，以供參考。

　　當日消息：用戶每次在文本環(huán)境中登錄時會看到當日消息，而當他們打開終端仿真器窗口時則不會看到。必要時，可以編輯 /etc/motd 文件以更改此消息。當日消息可以提醒用戶將要進行的定期保養(yǎng)、新的系統功能或程序的更新信息。#p#

　　Need to Know II：運維過程中可能產生的問題

　　即使是經驗豐富的系統管理員也會犯錯誤，當然新的系統管理員犯的錯誤會更多。雖然可以通過細心閱讀以及遵循軟件文檔的指示來降低出問題的可能性，但很多事情仍然會出問題。一個列表不管多長，都不可能是全面的，因為每天都會產生新的問題。本節(jié)將介紹一些常見技能，以避免問題的出現。

　　第一，執(zhí)行定期備份：對一個系統管理員來說，沒有什么比永遠丟失重要信息更痛苦。如果本地系統支持多用戶，有最近的備份可能是防止公共譴責的唯一保障。如果是單用戶系統，當丟失一塊硬盤或誤刪文件時，有最近的備份也肯定使你快樂。

　　第二，閱讀和遵循指示 ：軟件開發(fā)人員提供了文檔。即使已經安裝了軟件包，也要再次仔細閱讀說明書。它們可能已有所改變，或者你可能記得不對。軟件更改比書的修訂更快速，因此沒有任何說明書可以做到萬無一失。所以，需要尋找最新的在線文檔進行參考。/usr/share/doc 目錄中有許多實用程序、庫和軟件包的相關信息。

　　當指示不明確時，需要尋求幫助：如果指示似乎不明確，嘗試找到明確的指示。

　　最后，在關鍵文件中刪除或誤輸信息：一個肯定會給自己帶來惡夢的方式是執(zhí)行命令。也許沒有其它命令會使 Linux 系統無用的如此之快。唯一的辦法是從安裝介質啟動以恢復已安裝的系統，并從最近的備份中恢復丟失的文件。雖然這個例子描述的是一個極端的情況，許多文件都是系統正常運作的關鍵。刪除這些文件之一或在其中的文件中誤輸信息，都幾乎可以肯定會造成問題。例如如果直接編輯 /etc/passwd 文件，在某個字段中輸入錯誤信息會導致一個或多個用戶無法登錄。此外，不要在 rm – rf 中使用包含通配符的參數，輸入命令后要暫停一下并閱讀它，然后才按回車鍵。仔細檢查所做的一切，在對關鍵文件進行編輯之前一定要為其制作一份副本。尤其值得注意：rm 與通配符一起使用時要小心。當必須在 rm 命令中使用包含通配符的參數（如 *）時，指定 i 選項以使 rm 在刪除每個文件之前進行提示。或者，可以以相同的參數使用 echo 命令，以查看哪些文件將被刪除。當使用 root 權限時，這種檢查就顯得尤為重要。#p#

　　方法：運維過程中的實際問題解決方法

　　系統管理員的責任是保持系統安全和順利運行。當用戶遇到問題時，通常會找管理員幫助其回到正軌。本節(jié)建議的方法可以保持用戶滿意度和系統最佳性能。

　　“十步法”為用戶解決無法登錄問題

　　當用戶無法在系統上登錄時，根源可能是用戶錯誤或系統的軟硬件故障。下面的十個步驟可以幫助確定問題所在。

　　第一步：檢查 /var/log 中的日志文件。/var/log/messages 文件收集系統錯誤、來自守護進程的消息以及其它重要信息。它可能會表明問題的原因或更多癥狀。另外，檢查系統控制臺。有時系統問題相關的消息不寫入 /var/log/messages 中（例如一個完整的磁盤），而是顯示在系統控制臺上。

　　第二步：確定是否只有一個用戶或一個用戶的終端 / 工作站有問題或者是否問題更廣。

　　第三步：確定該用戶沒有打開其 CAPS LOCK 鍵。

　　第四步：確保該用戶的主目錄存在，并且在 /etc/passwd 文件中有對應于該用戶的條目。驗證該用戶擁有其主目錄和啟動文件，并且它們是可讀的（而且該用戶對其主目錄有可執(zhí)行權限的情況下）。確認在 /etc/passwd 中的該用戶登錄 shell 條目是準確的，并且存在指定的 shell。

　　第五步：如果用戶忘記了自己的密碼，則更改該用戶的密碼。

　　第六步：檢查該用戶的啟動文件（.profile、.login、.bashrc 等）。該用戶可能已對這些文件之一進行了編輯，并引入了禁止登錄的語法錯誤。

　　第七步：檢查終端或終端與計算機之間的數據線。嘗試關閉終端或顯示器，然后再重新打開。

　　第八步：當問題似乎比較廣時，檢查能否從系統控制臺登錄。確保系統未在單用戶模式。如果無法登錄，系統可能已崩潰，需要重新啟動它，并執(zhí)行任何必要的恢復步驟。

　　第九步：使用 df 來檢查整個文件系統。如果 /tmp 文件系統或該用戶的主目錄已滿，登錄有時會以意想不到的方式失敗。在某些情況下，可能能夠登錄到文本環(huán)境，但不能登錄到圖形環(huán)境。用戶登錄時啟動的應用程序無法創(chuàng)建臨時文件，或無法更新用戶主目錄中的文件時，登錄過程本身可能會終止。

　　第十步：如果用戶通過網絡連接登錄，需要重新啟動該用戶嘗試使用的服務（例如 ssh）。并請確保兩個系統上的時鐘是同步的。當使用 HTTPS、ssh、LDAP 尤其是 kerberos 等加密登錄方法時，時鐘設置的時間不同可能會導致登錄失敗。還要請確保 DNS 正常工作。一些網絡服務與名稱解析的相關性比較強，包括反向查找（即名稱解析問題會導致拖慢通過 ssh 的連接）。#p#

加快系統運行速度

　　當系統由于不明原因運行緩慢時，也許是用戶注銷時沒有關閉進程。此問題的表現包括很長的響應時間和很大的系統負荷，如使用 w 或 uptime 所示的數據大于 1.0。最好運行 top 以迅速找到流氓進程。使用 ps – ef 可列出所有進程。在 ps – ef 輸出中要找的內容是大量的 TIME 列。例如，如果 Firefox 進程的 TIME 字段超過 100.0，這一進程有可能運行不正常。然而，如果該用戶正在執(zhí)行大量的 Java 工作，并且已經登錄很長時間，這個值就可能是正常的。檢查 STIME 字段以查看該進程啟動的時間。如果該進程的運行時間比用戶登錄在線的時間還長，最好終止它。

　　當用戶遇到問題，并在沒有通知任何人的情況下離開無人值守的終端時，最好終止該用戶擁有的所有進程。如果用戶在控制臺上運行 GUI，終止啟動桌面環(huán)境的進程或窗口管理器本身。還要繼續(xù)查找包括 gnome-session、startkde 或其它以 wm 結尾的進程名。通常窗口管理器既是第一個也是最后一個要運行的進程，并在用戶注銷時退出。如果終止窗口管理器不起作用，可嘗試終止 X 服務器進程，這個進程通常列為 /usr/bin/Xorg。如果上述操作失敗，當以該用戶身份登錄時，通過執(zhí)行 kill – 15 – 1 命令或等效的 kill – TERM – 1 命令，可以終止用戶擁有的所有進程。使用– 1 替換進程 ID 以告訴 kill 來給該用戶擁有的所有進程發(fā)送信號。例如，作為 root 可以輸入以下命令：

　　如果不能終止所有進程（有時 TERM 無法終止進程），可以使用 KILL 信號（– 9）。下面這行一定會終止 Zach 擁有的所有進程，但不太友好：

　　如果不包含 su zach – c，這個命令將關閉系統。

　　掌握和查找打開的文件

　　lsof（列出打開的文件）實用程序會顯示打開的文件名。其選項僅顯示某些進程，只有一個進程的某些文件描述符，或只有某些網絡連接（網絡連接使用文件描述符，就像普通文件一樣，lsof 也顯示這些）。使用 ps – ef 確定了可疑進程后，輸入以下命令：

　　用可疑進程的進程 ID 替換 PID，lsof 會顯示 PID 進程打開的文件描述符列表。– s 選項顯示所有打開文件的大小，– p 選項則允許指定感興趣的進程 PID 號（如果組合這些選項，則 lsof 不會運行）。文件大小信息用于確定該進程是否打開了一個非常大的文件。如果是這樣，需要聯系該進程的所有者，或者在必要情況下終止該進程。– rn 選項表示每 n 秒重新顯示一次 lsof 的輸出。

　　保留機器日志以備審計

　　機器日志包含如表 1 所示的信息，可以幫助查找和修復系統問題。它用于記錄日志中每個條目的日期和時間。避免僅把日志保留在計算機上，當系統關閉時，這將是最有用的。同時保留詳細描述用戶問題的電子郵件。一種策略是把郵件保存到你可以讀取的單個文件或文件夾中。另一種方法是設立郵件別名，以便用戶有問題時可以發(fā)送郵件到別名。這個別名就可以將郵件轉發(fā)給你，還可以在歸檔文件中存儲副本。

　　表 1 機器日志的分類

　　以下是 /etc/aliases 文件中條目的例子，可以設置這種類型的別名：

　　發(fā)送到 trouble 別名的電子郵件將被轉發(fā)到 admin 用戶，并同時存儲到 /var/spool/mail/admin.archive 文件中。#p#

　　保持系統的運行安全

　　沒有任何使用撥號線路或公共訪問終端的系統是絕對安全的。不過，可以通過經常更改 root 密碼并選擇難以猜測的密碼的方式，使系統盡可能安全。不要告訴任何絕對不需要知道 root 密碼的人。還可以鼓勵系統用戶選擇高難度密碼，并定期對其進行更改。

　　密碼

　　默認情況下，Fedora/RHEL 上的密碼使用 MD5 哈希，這使得它們比使用 DES 加密的密碼更難以破解。當然如果加密的密碼很容易讓人找到或猜到，則差別不大。system-config-authentication 實用程序允許指定一個本地密碼哈希算法，可選擇高級選項選項卡，并從 Password Hashing Algorithm 下拉框選擇。

　　一個難以猜測的密碼是別人認為不可能選擇的密碼。不要使用字典中的字、親人、寵物、朋友的名字或外語單詞。一個好的策略是選擇一個短語，包含一些標點符號（例如，在它們之間放置 ^）、大小寫混合，并用數字替換一些單詞的字母。一個好密碼的示例是 C&yGram5（candygrams）。理想情況下，可以使用 ASCII 字符的隨機組合，但是這將很難記住。

　　可以使用幾種密碼破解程序，以找到選擇弱密碼的用戶。這些程序的工作原理是反復哈希字典、短語、姓名和其它來源中的單詞。如果哈希密碼與程序的輸出相匹配，則該程序發(fā)現了用戶的密碼。兩個破解密碼的程序是 crack（crack包）和 john（www.openwall.com/john;john 包）。這些和許多其它程序以及安全性提示可以從 CERT（www.cert.org，Computer Emergency Response Team 計算機應急反應小組）獲得。

　　破解一個好密碼需要大量的計算能力。密碼破解程序一般首先看大寫字母、小寫字母和數字組成的字符集。當添加符號時，他們必須做更多的工作來破解密碼。此外，密碼越長，破解需要的計算能力就越多。密碼足夠長以便更難被破解，又要足夠短以便容易記住。8-20 個字符通常是一個很好的長度。密碼中要包含幾個如 #、@ 和 % 這樣的符號。如果時間太長以至于無法破解你的密碼，做破解工作的人或機器就可能會轉移到容易破解的帳戶上。

　　Setuid 文件

　　確保只有具有 root 權限的用戶才可以寫入包含 root 擁有程序的文件，并運行在 setuid 模式（例如，passwd 和 su）。另外，確保用戶不會把運行在 setuid 模式的程序以及 root 擁有的程序轉移到掛載系統上。這些程序可以被用來繞過系統的安全性。防止用戶擁有 setuid 文件的一項技術是使用 nosuid 標志來掛載，可以在 fstab 文件中的標志部分進行設置。

　　BIOS

　　許多機器中的 BIOS 可以提供一定程度的保護，防止未經授權的人試圖修改 BIOS 或重新啟動系統。設置 BIOS 時，可以查找 Security 部分。你也許可以添加一個 BIOS 密碼。如果依賴 BIOS 密碼，在鎖定計算機的情況下，使用主板上的跳線，通常很容易復位 BIOS 密碼。

　　root 的日志文件和郵件

　　用戶經常給 root 和 postmaster 發(fā)送電子郵件來與系統管理員通信。如果沒有把 root 的郵件轉發(fā)給自己，記得定期檢查 root 的郵件。使用 su 執(zhí)行系統管理任務時，將不會收到到達 root 的提醒郵件。但是，可以使用 su – c ‘ mail – u root ’命令來查看 root 的郵件。

　　定期檢查系統日志文件以發(fā)現問題證據。一些重要文件包括 /var/log/messages，其中記錄了操作系統和一些應用程序的錯誤；/var/log/secure，其中包含了與系統安全性有關的消息 ; /var/log/maillog，其中包含郵件系統的錯誤；/var/log/cron，其中包含 crond 的消息。

　　logwatch 實用工具（logwatch 包）是一個用 Perl 編寫的報表編寫器，可發(fā)送有關日志文件的電子郵件報告。默認情況下，/etc/cron.daily/0logwatch 每天運行這個腳本并把其輸出郵發(fā)給 root。 更多信息參閱 logwatch 手冊頁和腳本本身。

　　監(jiān)控磁盤使用情況

　　系統可能遲早會用完磁盤空間。因此不要填滿一個分區(qū)。當一個分區(qū)至少有 5 ％至 30 ％的剩余空間時，Linux 寫入文件的速度會明顯加快。如果一個分區(qū)的已使用空間超過其最大最優(yōu)磁盤空間，就會降低系統性能。

　　碎片

　　當一個文件系統已滿時，它會變得支離破碎。這類似于 DOS 碎片的概念，但這幾乎是不明顯的并通常罕見于現代 Linux 文件系統上，因為 Linux 文件系統的設計是耐碎片的。如果不把文件系統填滿，可能永遠也不用擔心碎片問題。如果文件系統上沒有空間了，則根本無法寫入。

　　要檢查文件系統碎片，要卸載該文件系統，并在其上運行 fsck; 在 ext2、ext3 和 ext4 文件系統上使用– f 選項。 fsck 的輸出包括一個文件系統碎片百分數。通過備份可以整理文件系統，首先使用 mkfs 做一個干凈的空映像，然后恢復文件系統。使用哪個工具來執(zhí)行備份和恢復并不重要。

　　報告

　　Linux 提供了幾個程序，可以報告誰正在使用哪些文件系統的多少磁盤空間。可以參考 du、quota 和 df 手冊頁以及 find 實用程序手冊頁中的– size 選項。除了這些實用程序，還可以使用磁盤配額系統管理磁盤空間。#p#

　　快速增長的文件

　　增加文件系統上的可用空間量的四大策略是：壓縮文件、刪除文件、增大基于 LVM 的文件系統以及壓縮目錄。一些文件（如日志文件和臨時文件）隨著時間的推移會不可避免地增長。例如，核心轉儲文件占用了大量的空間，但很少需要。此外，用戶偶爾運行的程序可能會意外產生巨大的文件。作為系統管理員，必須定期審查這些文件，使其不至失控。

　　如果一個文件系統很快耗盡空間（如在一個小時內，而不是幾個星期或幾個月內），首先弄清楚空間耗盡的原因。可使用 ps – ef 命令來確定用戶是否已經創(chuàng)建了失控的進程，并且生成了巨大的文件。評估 ps 的輸出時，可尋找一個消耗了大量 CPU 時間的進程。如果這樣的進程正在運行，并創(chuàng)建了大文件，那該文件將持續(xù)增長以致需要不斷騰出空間。如果刪除了這個巨大的文件，其占用的空間并不會被釋放，除非終止該進程。此時需要嘗試聯系運行該進程的用戶，并要求他終止該進程。如果聯系不到該用戶，請使用 root 權限自己終止該進程。

　　此外，還可以截斷大的日志文件而不是刪除它，雖然也可以使用 logrotate 來更好地處理這個常見情況。例如，如果由于系統守護進程的錯誤配置，使得 /var/log/messages 文件變得非常大，可以使用 /dev/null 來截斷它：

　　或

　　或無須派生新進程 ,

　　如果刪除 /var/log/messages，必須重新啟動 rsyslogd 守護進程。如果不重新啟動 rsyslogd，將不會釋放文件系統上的空間。

　　當沒有任何進程消耗磁盤空間，而容量逐漸被用光時，就要找到不需要的文件，并將其刪除。在刪除之前可以使用 cpio、dump 或 tar 歸檔這些文件。可以安全地刪除大部分已有幾天未曾訪問的 core 文件。以下命令行可執(zhí)行這項功能，而不刪除必要的 core 文件（如 /dev/core）：

　　find 命令列出所有名為 core 的普通文件，并將該列表發(fā)送到 xargs，xargs 在列表中的每個文件上運行 file。file 實用程序顯示一個字符串，其中包含 B core file（創(chuàng)建的核心轉儲文件）這類需要刪除的文件。grep 命令從文件中過濾掉任何不包含此字符串的行。最后 sed 刪除冒號后的一切，使所有留在行上的只是 core 文件的路徑名 ; 然后 xargs 刪除該文件。

　　為了騰出更多的磁盤空間，可仔細審查 /tmp 和 /var/tmp 目錄中的舊臨時文件并刪除。對 /var/mail、/var/spool 和 /var/log 中的磁盤使用情況保持跟蹤。

　　刪除目錄中未使用的空間

　　包含太多文件的目錄通常效率不高。ext2、ext3 或 ext4 文件系統上的目錄在哪一點上變得效率不高的原因不盡相同，但部分取決于它包含的文件的長度。最佳做法是保持目錄相對較小。一個目錄中最好包含較少的文件而不是幾百個文件（或目錄），多達數千個文件通常是很不好的做法。此外，Linux 為經常訪問的文件使用了緩存機制，以加速從文件名查找其 inode 的進程。這種緩存機制僅支持最多 30 個字符的文件名，所以通常要避免訪問文件名非常長的文件。當一個目錄變得太大時，通常可以將其分解成幾個較小的目錄，將其內容移動到那些新目錄。移動完該目錄內容后，要確保刪除原來的目錄。

　　因為 Linux 目錄不會自動收縮，刪除目錄中的文件也不會收縮該目錄，即使它釋放了所有的磁盤空間。因此，要刪除未使用的空間，并使目錄比較小，必須把所有文件復制或移動到一個新目錄，并刪除原目錄。

　　下面的過程可刪除未使用的目錄空間。首先從大目錄中刪除所有不需要的文件，然后創(chuàng)建一個新的空目錄，接下來把所有剩余文件從舊的大目錄移動或復制到新的空目錄中。記住不要忘了復制隱藏的文件。最后刪除舊目錄，并命名新目錄。