Linux系统管理与配置 课件 项目三 进程和服务

Linux系统配置与管理——主讲/××项目3进程和服务进程管理任务10102CONTENT目录理解进程的概念重点内容管理进程重点内容导入进程的概念程序：包含可执行代码的静态文件。进程：由程序产生，动态运行并占用系统资源的程序执行实例。进程由程序产生，是一个运行着的，要占系统资源的程序；进程与程序的关系进程与程序是多对一的关系；进程消耗系统资源，而程序只占用存储资源。进程的特点进程是独立的，使用相应的权限调用系统的CPU、内存等资源完成任务。进程标识：PID，是一个非负整数。PID=1：系统启动的第一个进程，进程名：systemd，唯一一个内核直接运行的进程。新进程由系统调用产生，或已经存在的进程产生。systemdloginshell用户进程2用户进程n父进程子进程用户进程1除了systemd进程，其他进程都有父进程。进程的状态进程的状态：运行状态，中断状态，不可中断状态、僵死状态和停止状态。运行状态：实际占用CPU、内存等资源的状态。中断状态：进程处于等待状态，一旦条件满足，就脱离该状态。不可中断状态：进程不能用kill杀死，等待设备响应。僵死状态：是指进程刚刚被终止。停止状态：进程收到停止信号后停止运行。进程管理命令pstop进程监控命令监控静态和动态的进程kill[信号编号]PIDkillall[选项]进程名进程控制命令终止进程进程管理命令ps：查看进程的瞬间信息-a:显示现行终端机下的所有进程，包括其他用户的进程。-u:用户为主的格式来显示进程状况。-x:显示所有进程，不以终端机来区分。ps：进程管理命令top：持续监视进程的信息Linux下常用的系统性能分析工具实时显示系统中各进程的资源占用情况类似于Windows中的任务管理器;通过按键不断刷新当前状态独占前台top：进程管理命令top常用的选项有：-d：指定刷新时间间隔，默认为5秒。top–d3：每过3秒刷新一次。-s：设置为安全模式，不能使用交互命令。交互命令：空格键--刷新；c键--更改显示方式；q键--退出

z--彩色显示；p--按CPU排序；M--按内存排序

t--按占用时间排序；k--给进程发送信号。top–s：禁止交互。-c：显示整个命令行，而不是命令名。进程管理命令终止前台进程：Ctrl+C终止后台进程：kill命令进程终止命令：killPIDkillall进程名kill-l查看所有信号kill-信号进程pid批量处理进程：killall信号-uusername例如：killall-9-ustudent杀死与student相关的所有进程THANKYOU！Linux系统配置与管理Linux系统配置与管理——主讲/××项目3进程与服务运行目标管理任务2010203CONTENT目录了解Linux系统的启动过程重点内容掌握Linux的运行目标的概念重点内容掌握目标的管理方法难点内容Linux系统的启动过程1.计算机加电自检后，BIOS或uefi读取引导加载程序（Bootloader）。2.进入GRUB引导阶段，根据配置信息启动硬盘中的操作系统。3.加载Kernel和inintamfs模块，完成Linux核心环境的建立。4.启动Linux操作系统的初始化进程systemd。(1)执行initrd.target。

(2)从initramfs根文件系统切换到磁盘根目录。(3)systemd执行默认target配置。(4)systemd执行sysinit.target。(5)systemd启动multi-user.target下的本机与服务器服务。(6)systemd执行multi-user.target下的/etc/rc.d/rc.local。5.Systemd执行multi-user.target下的getty.target及登录服务。6.systemd执行graphical需要的服务。Linux系统的启动过程Systemd进程的优点并行化功能；按需启动进程；自动服务信赖关系,可以防止长时间的超时；控制组,实现进程的控制方式。Linux系统的启动过程从pstree命令的结果中，可以看到所有的进程都是由systemd初始化而来。Linux的运行目标??在系统的启动过程中，是如何确定系统登录的是字符界面，还是图形化界面?和系统设定的默认运行目标有关，systemd用运行目标（target）代替了SystemVinit中运行级别的概念。Linux系统目标SystemVinit运行级别systemd目标名称作用0runlevel0.target,poweroff.target关机1runlevel1.target,rescue.target单用户模式2runlevel2.target,multi-user.target等同于级别33runlevel3.target,multi-user.target多用户的文本界面4runlevel4.target,multi-user.target等同于级别35runlevel5.target,graphical.target多用户的图形界面6runlevel6.target,reboot.target重启问题如何查看当前系统的运行目标呢？早期的命令runlevel也可以用来查看当前的运行级别。问题如何查看当前系统的运行目标呢？在早期的版本中，还可以通过inittab文件来查看运行级别。而在新版本中，inittab文件已经不再使用，但通过vim进到该文件后，会给出一些提示信息systemd管理工具Systemd不仅是Linux的系统引导器，还是服务管理器，系统使用Systemctl命令工具管理Systemd的服务。使用systemctl

get-default命令进行查看。systemd管理工具临时修改运行级别systemctlisolateXXX.target.系统重启后临时运行的运行目标就会被删除。设置默认的运行目标，或者说永久设置，有两种方法第一种：systemctlset-default后面跟上想要设置的运行目标。第二种：systemd使用链接来指向默认的运行级别。在创建新的链接前，可以通过下面命令删除存在的链接，然后创建一个新的链接。rm/etc/systemd/system/default.target切换到多用户的字符界面：ln-sf/lib/systemd/system/multi-user.target/etc/systemd/system/default.targetTHANKYOU！Linux系统配置与管理Linux系统配置与管理——主讲/××项目3进程与服务服务管理任务30102CONTENT目录了解Linux的服务的概念重点内容掌握服务的管理方法难点内容是指执行指定系统功能的程序、例程或进程，以便支持其他程序，尤其是底层（接近硬件）程序。服务的基本概念服务例如：打印服务，ftp服务，http服务。服务就是一个运行在后台的守护进程。服务的基本概念Systemd可以管理所有的系统资源，这些资源被组织成为各种类型的单元，每个单元都有相应的配置文件和类型。Systemd是Linux的系统引导器和服务管理器。服务的基本概念单元类型扩展名说明service.service描述一个系统服务socket.socket描述一个进程间通信的套接字device.device描述一个由内核识别的设备文件mount.mount描述一个文件系统的挂装点automount.automount描述一个文件系统的自动挂装点swap.swap描述一个内存交换设备或交换文件path.path描述一个文件系统中文件或目录timer.timer描述一个定时器scope.scope以编程方式创建的外部进程slice.slice描述基于Cgroup的一组通过层次组织的管理系统进程target.target描述一组systemd的单元服务的基本概念单元管理工具：systemctl。systemctl控制单元时，使用单元文件的全名，包括扩展名，若无扩展名，默认扩展名为.service。systemctl命令格式为：systemctl[选项]命令[单元文件名]systemctllist-units-tservice列出被激活的服务Systemctl表示系统控制，list-units列出单元，-t类型，service服务服务的基本概念Linux服务的管理包括控制服务的启动、查询、停止等。systemctlstart[单元文件名]：激活该单元systemctlstop[单元文件名]：停止该单元systemctlrestart[单元文件名]：重启该单元systemctlstatus[单元文件名]：查询单元运行状态systemctlenable[单元文件名]：开机自动激活该单元systemctldisable[单元文件名]：取消开机自动激活该单元systemctlreload[单元文件名]：重新读取单元的服务配置服务的管理以sshd单元为例，查询下当前sshd单元的运行状态。①②③①服务下次开机启动状态inactive：服务关闭disable：服务开机不启动enabled：服务开机启动static：服务开机启动项被管理②服务默认的启动状态failed：服务配置错误③服务当前状态active(running)：表示程序正在执行atcive(exited)：执行一次就正常退出的服务，不在系统中执行任何程序。active(waiting)：正在执行中，处于阻塞状态,需要等待其他程序执行完才能执行。inactive(dead)：未启动状态。服务的管理执行systemctlstopsshd.service命令，查看状态。①服务下次开机启动状态inactive：服务关闭disable：服务开机不启动enabled：服务开机启动static：服务开机启动项被管理②服务默认的启动状态failed：服务配置错误③服务当前状态active(running)：表示程序正在执行atcive(exited)：执行一次就正常退出的服务，不在系统中执行任何程序。active(waiting)：正在执行中，处于阻塞状态,需要等待其他程序执行完才能执行。inactive(dead)：未启动状态。①②③服务的管理执行systemctldisablesshd.service命令，查看状态：①服务下次开机启动状态inactive：服务关闭disable：服务开机不启动enabled：服务开机启动static：服务开机启动项被管理②服务默认的启动状态failed：服务配置错误③服务当前状态active(running)：表示程序正在执行atcive(exited)：执行一次就正常退出的服务，不在系统中执行任何程序。active(waiting)：正在执行中，处于阻塞状态,需要等待其他程序执行完才能执行。inactive(dead)：未启动状态。①②③THANKYOU！Linux系统配置与管理Linux系统配置与管理——主讲/××项目3进程与服务使用SSH服务进行远程登录任务4Linux系统中的基本角色Linux操作系统：SSH！0102CONTENT目录SSH的概念重点内容掌握SSH的配置和使用方法难点内容SSH的基本概念SSH：SecureShell一种安全通信协议，对传输的数据进行加密，实现安全的远程登录和网络服务。基于非对称加密算法（RSA），保证数据不被破坏、泄露和篡改。SSH协议版本SSH1免费，密钥是通过非对称加密算法（RSA）来完成交换，且使用循环冗余校验码（CRC），与SSH2不兼容。openssh免费，支持SSH1及SSH2标准，广泛用于Linux操作系统中。SSH2收费，避免了RSA的专利问题，并修补了CRC的缺陷，完善了加密算法。默认情况下，CentOS8已经安装openssh软件包。加密算法对称加密：客户端、服务器使用同一个密钥对数据加解密。非对称加密：客户端、服务器都有公钥和私钥。公钥是可以被公开的，私钥必须被安全存放。加密数据传输过程客户端服务器客户端服务器2.客户端收到数据后，使用自己的私钥解密后获得数据。1.客户端使用服务器公钥对传输数据进行加密，发送给服务器。1.数据进行加密，发送给客户端。2.服务器收到数据后，使用自己的私钥解密后获得数据。服务器客户端sshd服务的配置使用SSH协议来远程管理Linux系统，需部署配置sshd服务程序。sshd是基于SSH协议开发的一款远程管理服务程序。sshd能够提供以下两种安全验证的方法：基于口令的验证—用账户和密码来验证登录。基于密钥的验证—需要在本地生成密钥对，然后把密钥对中的公钥公钥传递给对方，该方式相较来说更安全。远程登录方式Putty、Xshell图形化界面SSH命令行界面使用ssh远程登录Linux操作系统的命令格式如下：ssh[–p端口号]用户名@主机IP（或主机名）THANKYOU！Linux系统配置与管理Linux系统配置与管理——主讲/××项目3进程与服务Linux防火墙任务5010203CONTENT目录防火墙的概述重点内容firewalld基本知识重点内容firewall管理工具的使用难点内容防火墙概述众所周知，相较于企业内网，公网环境更加恶劣。在公网与内网之间充当保护屏障的防火墙虽然有软件和硬件之分，但主要功能都是对穿越防火墙流量进行过滤，以保证合法的流量在企业内网和外网之间流动。Linux系统防火墙Linux内核包含一个强大的网络过滤子系统netfilter，这是构建防火墙的基础。为了与netfilter交互来配置和管理防火墙，Linux提供了防火墙管理工具iptables，但其命令不容易掌握，从RHEL7/CentOS7开始，firewalld正式取代了老版本iptables，但该工具底层调用的仍然是iptables命令。firewalld基本知识Centos8中集成了多款防火墙管理工具，firewalld是默认的配置管理工具。管理方法：基于CLI（命令行界面）和基于GUI（图形用户界面）。优势：支持动态更新技术并加入了区域（zone）的概念。区域就是firewalld预先准备了几套防火墙策略模板，用户可以根据不同场景选择合适的策略模板，实现防火墙策略之间的快速切换。firewalld中常用的区域名称及策略规则区域默认规则策略trusted允许所有的数据包home拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh、mdns、ipp-client、smba-client、dhcpv6-client服务相关，则允许流量internal等同于home区域work拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh、ipp-client与dhcpv6-client服务相关，则允许流量public拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh、dhcpv6-client服务相关，则允许流量external拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh服务相关，则允许流量dmz拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh服务相关，则允许流量block拒绝流入的流量，除非与流出的流量相关drop拒绝流入的流量，除非与流出的流量相关命令行界面终端管理工具——firewall-cmd参数作用--get-default