性能分析相关的术语

以下为性能分析中常用到的专业术语或指标 ^[2]

• IOPS
  Input/Output Operations Per Second. 用于衡量数据传输操作（Rate of Data transfer operations）的频率。对于硬盘 I/O （Disk I/O）来说，指 每秒发生的读写请求 。

• Throughput
  吞吐量 。在网络通信中，主要指 数据传输速率（Data Rate, bytes/bits per second） 。在其他上下文（Contexts,如 Databases），Throughput 通常指 Operation Rate（Operations Per Second or Transactions Per Second）

• Response Time
  响应时间 。一个操作执行到结束的时间。这通常包括 请求等待时间（Waiting Time） 、 被服务时间（Serviced Time） 、 传输时间（Transfer Time）

• Latency
  延迟 。可以指某个操作（Operation）消耗在 等待被处理/服务（Time Waiting to be Serviced/Processed）的时间 。在某些上下文中，等同于 Response Time 。

• Utilization
  使用率 。衡量资源的忙的程度。

• Saturation
  衡量一个资源（如 CPU）的待处理队列中未处理的任务数量。

• Bottleneck

• Workload
  一般是客户端请求

• Cache

• SUT
  System Under Test 。性能测试目标

Observability Tools

Linux 系统各个部分相关的监控工具如下图： ^[3]

Linux Static Performance Tuning Tools:

环境信息

• Centos 7 kernel 5.4.221

启动过程

在 systemd 管理的系统中，提供了工具 systemd-analyze 用于分析具体的启动过程，使用 systemd-analyze --help 查看使用帮助

检查系统启动时间

使用 systemd-analyze 命令会显示系统启动所用的时间，等同于 systemd-analyze time

# systemd-analyze 
Startup finished in 1.830s (kernel) + 36.827s (userspace) = 38.657s 
graphical.target reached after 12.604s in userspace

systemd-analyze blame 列出系统上各个 Unit 启动的时间

# systemd-analyze blame
          6.414s wazuh-agent.service
          3.161s dracut-initqueue.service
          2.473s network.service
          1.004s watchdog.service
          ...
            45ms sysstat.service
            14ms plymouth-switch-root.service
            14ms systemd-journald.service
             4ms systemd-logind.service
             3ms sys-kernel-config.mount
             3ms initrd-udevadm-cleanup-db.service
             3ms systemd-random-seed.service
             2ms google-shutdown-scripts.service

列出系统各个 Unit 启动消耗的时间

# systemd-analyze critical-chain
The time when unit became active or started is printed after the "@" character.
The time the unit took to start is printed after the "+" character.

graphical.target @12.604s
└─multi-user.target @12.601s
  └─skylight-agent.service @36.639s
    └─network.target @9.073s
      └─NetworkManager.service @8.795s +275ms
        └─dbus.service @8.788s
          └─basic.target @8.774s
            └─sockets.target @8.772s
              └─snapd.socket @8.766s +5ms
                └─sysinit.target @8.669s
                  └─cloud-init.service @6.850s +1.811s
                    └─systemd-networkd-wait-online.service @4.970s +1.871s
                      └─systemd-networkd.service @4.864s +91ms
                        └─network-pre.target @4.850s
                          └─cloud-init-local.service @3.228s +1.620s
                            └─systemd-remount-fs.service @1.113s +93ms
                              └─systemd-fsck-root.service @1.030s +69ms
                                └─systemd-journald.socket @853ms
                                  └─-.mount @692ms
                                    └─-.slice @692ms

查看内存信息

内存相关概念说明：

• VSS ,Virtual Set Size , VIRT - 虚拟耗用内存（包含共享库占用的内存）， 通常 VIRT 是系统承诺分配给应用的内存，不是实际使用的内存
• RSS , Resident Set Size , RES - 实际使用物理内存（包含共享库占用的内存）
• PSS , Proportional Set Size - 实际使用的物理内存（比例分配共享库占用的内存）。 top 命令中的 SHR 列展示的就是共享库按比例分配给进程的内存
• USS , Unique Set Size - 进程独自占用的物理内存（不包含共享库占用的内存）

系统内存使用量统计

free

$ free -h
               total        used        free      shared  buff/cache   available
Mem:            15Gi       7.8Gi       707Mi       449Mi       7.0Gi       6.9Gi
Swap:           30Gi       1.0Gi        29Gi

ps

例如查看使用内存排名前十的进程：

ps aux | sort -k4,4nr | head -n 10

sar 命令

使用 sar 命令检查系统上的内存及 Swap 使用情况

查看某个进程使用的内存量

比如检查 docker 使用的内存量，首先通过 ps 命令查询到 docker 的 PID 信息

$ ps -elf | grep docker
4 S root      1243     1  4  80   0 - 1067527 futex_ Jan03 ?      15:14:45 /usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock

例如此处的 docker 进程的 PID 为 1243

• 使用 top 命令动态查看 docker 使用的内存信息

  $ top -p 1243 top - 11:47:40 up 14 days, 2:09, 3 users, load average: 0.65, 1.42, 1.70 Tasks: 1 total, 0 running, 1 sleeping, 0 stopped, 0 zombie %Cpu(s): 1.0 us, 0.6 sy, 0.0 ni, 98.3 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st KiB Mem : 32068748 total, 2494500 free, 18536188 used, 11038060 buff/cache KiB Swap: 0 total, 0 free, 0 used. 9586340 avail Mem PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 1243 root 20 0 4270108 1.4g 53956 S 1.0 4.6 914:55.80 dockerd

• 使用 ps aux 命令查看内存使用量

  $ ps aux | grep 1243 root 1243 4.5 4.6 4270108 1486460 ? Ssl Jan03 914:57 /usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock

  输出结果中

  • 第 3、4 列 (4.5 4.6) 分别表示 cpu 使用率、内存使用率。
  • 第 5、6 列 (4270108 1486460) 分别表示 虚拟内存使用量、物理内存使用量，单位为 k。

• 通过进程的 status 文件查看内存使用

  $ cat /proc/1243/status Name: dockerd Umask: 0022 State: S (sleeping) Pid: 1243 PPid: 1 VmPeak: 4270364 kB VmSize: 4270108 kB VmLck: 0 kB VmPin: 0 kB VmHWM: 1562204 kB VmRSS: 1492340 kB ...

  其中，VmRSS 为进程使用的物理内存

• 使用 pmap 命令查看进程使用的内存信息

  pmap -x 1243 pmap -p 1243

  阅读全文 »

本文档中的内容主要源于以下书籍：

• Operating System Concepts v10 Online(操作系统导论第10版)
• Systems Performance: Enterprise and the Cloud v2

memory

Main Memory

Main Memory 通常是 CPU 可以直接定位和访问的唯一的大存储设备。如果 CPU 要处理磁盘上的数据，数据必须首先被传输到 Main Memory，指令要能被 CPU 执行，也必须首先载入内存中。

Program 要能被运行，首先必须载入到内存中，并提供内存绝对地址给 CPU 以供加载指令和数据。

Logical Memory Address and Virtual Memory Address

通常情况下，CPU 生成的内存地址被称为 Logical Memory Address，也称为 Virtual Memory Address。

Memory-address 注册器（memory-address register）加载的地址通常称为 Physical Memory Address。

程序运行过程中，CPU 操作的是 Virtual Memory Address，需要由硬件设备 MMU（Memory Management Unit）负责将 Virtual Memory Address space 映射到对应的 Physical Memory Address space。程序或者是 CPU 运行过程中，不会直接操作（访问/access）物理内存地址空间。

进程的内存分层结构

进程的内存结构一般被分成多个 sections，包括

• Text section - 存放程序代码（the executable code）
• Data section - 存放全局变量（global variables）
• Heap section - 程序运行过程中动态分配的内存
• Stack section - 调用程序功能时的临时数据存储，如函数参数、返回地址、本地变量等。

下图展示了 C 程序（Program）在内存中的分层结构(layout of a C program in memory)

• 其中， Data section 被分成了 2 部分，包括 (a) initialized data 和 (b) uninitialized data

使用 GNU 工具 size 可以检查 Projram 在磁盘上的 内存布局。这些值在程序编译时确定，并不会在程序运行时变化，因此它们是固定不变的。

# size /usr/sbin/sshd
   text	   data	    bss	    dec	    hex	filename
 817397	  15460	  37664	 870521	  d4879	/usr/sbin/sshd

输出信息中：

• text : 代表 Text section 的大小
• data : 初始化数据段(initialized data)的大小，包含已初始化的全局和静态变量。
• bss : 未初始化数据段的大小，包含未初始化的全局和静态变量。
• dec : 上述所有部分的总大小，以十进制表示。
• hex : 上述所有部分的总大小，以十六进制表示。

BPF(Berkeley Packet Filter) 是由 Berkeley 学院于 1992 年开发的一款，主要用于提高抓包工具的性能。并于 2014 年被重写进 Linux 内核中，可以用于网络、性能观测、安全等方面。 ^[1]

BPF 是一种灵活且高效的技术实现，主要由 指令集（Instruction Set） 、 存储对象（Storage Objects maps） 和 帮助函数（Helper Functions） 构成。因为其 虚拟指令集规范（Virtual Instruction Set Specification） ，可以认为 BPF 是一个虚拟机，BPF 运行于 内核模式（Kernel Mode） 。BPF 基于事件（Events）运行： Socket Events 、 Tracepoints 、 USDT Probes、kprobes、uprobes、perf_events.

参考链接

Systems Performance: Enterprise and the Cloud v2

脚注

systemd 是一种用于 Linux 操作系统的系统和服务管理器。它被广泛应用于许多现代 Linux 发行版中，如 CentOS、Fedora、Ubuntu 等。systemd 旨在替代传统的 SysV 和 LSB init 系统，并提供更强大、灵活的系统启动和服务管理功能。

systemd 的关键概念和组件

• Unit 文件：

  • systemd 使用单元（Unit）文件来描述系统资源。常见的单元类型包括：
    • Service Unit (*.service) ： 用于定义和管理服务。
    • Target Unit (*.target) ： 用于分组和同步一组单元的启动，如 multi-user.target。
    • Timer Unit (*.timer) ： 用于定时任务，相当于 cron 的替代品。
    • Socket Unit (*.socket) ：用于管理网络或 IPC 套接字。
    • Mount Unit (*.mount) ： 用于定义挂载点。
    • Path Unit (*.path) : 监控文件或者目录的变化。当监控的文件或目录发生变化时，可以触发相应的 service 单元。
  • 单元（Unit）文件通常存储在以下目录
    • /etc/systemd/system/ ：系统管理员定义的单位文件，优先级较高。
    • /lib/systemd/system/ ：发行版提供的单位文件，优先级较低。
    • /run/systemd/system/ ：运行时生成的单位文件，临时的。

• Target 文件

  • systemd 使用 target 取代传统的运行级别（runlevel）。常见的目标包括：
    • multi-user.target ： 相当于传统的运行级别 3，支持多用户、无图形界面。
    • graphical.target ： 相当于传统的运行级别 5，支持多用户和图形界面。
    • rescue.target ： 相当于传统的单用户模式，提供基本的系统恢复环境。

• 日志管理

  • systemd 使用 `journald` 来管理系统日志。你可以使用 journalctl 命令查看日志

• 服务间的依赖关系

  • systemd 处理服务间的依赖关系。你可以通过 After=、Before=、Requires= 等指令在单元文件中定义这些依赖。

systemd 的优势：

• 并行启动： systemd 可以并行启动服务，减少启动时间。
• 依赖管理 ： 能够自动处理服务间的依赖关系，保证系统按需启动服务。
• 日志记录 ： systemd 的日志管理功能强大，提供了统一的接口查看和分析日志。
• 定时任务管理 ： 通过 timer 单元文件可以灵活地配置定时任务，作为 cron 的替代方案。
• 性能统计数据 ： systemd 启动过程中记录了性能（如服务启动时间）相关的统计数据，可以使用命令 systemd-analyze 查看。

CPU 相关的 syscall 函数

Linux System Call 的帮助文档包含在内核文档中，可以通过 man 2 查看对应的手册，如 man 2 fork。

内存相关的 syscall

环境信息

• Centos 7
• Prometheus 2.44.0
• node_exporter-1.6.0

node_exporter 安装

安装 node_exporter 官方文档

以下步骤演示安装 node_exporter 并使用 systemd 管理服务

wget https://github.com/prometheus/node_exporter/releases/download/v1.6.0/node_exporter-1.6.0.linux-amd64.tar.gz

tar -xf node_exporter-1.6.0.linux-amd64.tar.gz

cp node_exporter-1.6.0.linux-amd64/node_exporter /usr/bin/

生成 systemd 服务配置文件 /usr/lib/systemd/system/node_exporter.service

[Unit]
Description=node_exporter
After=syslog.target
After=network.target

[Service]
Type=simple
ExecStart=/usr/bin/node_exporter
Restart=always
RestartSec=10
StartLimitInterval=100

[Install]
WantedBy=multi-user.target

执行以下命令管理服务

$ systemctl daemon-reload

$ systemctl status node_exporter
● node_exporter.service - node_exporter
   Loaded: loaded (/usr/lib/systemd/system/node_exporter.service; disabled; vendor preset: disabled)
   Active: inactive (dead)
   
$ systemctl enable --now node_exporter
Created symlink from /etc/systemd/system/multi-user.target.wants/node_exporter.service to /usr/lib/systemd/system/node_exporter.service.

$ systemctl status node_exporter
● node_exporter.service - node_exporter
   Loaded: loaded (/usr/lib/systemd/system/node_exporter.service; enabled; vendor preset: disabled)
   Active: active (running) since Fri 2023-06-23 10:34:08 CST; 2s ago
 Main PID: 28578 (node_exporter)
   CGroup: /system.slice/node_exporter.service
           └─28578 /usr/bin/node_exporter   

node_exporter 配置信息

启动参数详解

可以配置通过正则表达式屏蔽或者选择某些监控项 ^[1]

功能对照表

默认开启的功能

默认开启的功能 ^[1]

默认关闭的功能

默认关闭的功能 ^[1]

配置示例

采集白名单配置

关闭默认的采集项，只开启指定的采集项（白名单）

node-exporter --collector.disable-defaults --collector.cpu --collector.meminfo

计算机启动（上电）后，需要固件（firmware）程序来 初始化硬件 以及选择 需要启动的 Operating System

曾经最流行的固件（firmware）程序是 BIOS（Basic Input Output System），最近 BIOS 正在逐渐被 UEFI（Unified Extensible Firmware Interface）取代。在同一个计算机上，他们只能使用一个（互斥）

UEFI 设计包含安全启动特性（Secure Boot Feature），他可以确保 只有所有组建都进行过有效签名的 OS 才能启动过程中被加载 。此特性也可以禁用以启动未经签名的 OS.

BIOS 或者 UEFI 的主要工作是 初始化硬件 和 并将计算机控制权移交给 Boot Loader ，之后 Boot Loader 会寻找并启动 Operating System.

BIOS 或者 UEFI 通常可以在计算机上电启动后进行配置，一般通过特定的按键（如 F1、F2、F12 等）进入设定界面。主要包含 2 部分内容

• Bios/UEFI 配置工具 ： 可以修改 BIOS/UEFI 设定，如启用/禁止某些功能
• Boot Order ： 修改启动顺序，如从特定设备（CD、DVD、USB 等）启动

BIOS

BIOS 是位于主板（motherboard）上的一个芯片，负责初始化 CPU（Central Processing Unit）、RAM（Random Access Memory）、PCIE Card（Peripheral Component Interconnect Express Card）和 Network Devices. BIOS 通电后后会立即执行 POST（Power-on self test），确保硬件（CPU、RAM、PCIE、NIC等）配置正确并可正常运行。

• BIOS 仅支持运行于 16 位处理器模式下 ，这限制了任一时刻固件上运行的软件命令（Software Commands）的数量。
• BIOS 为任务运行只分配 1M 内存
• BIOS 运行中的接口和设备（Interfaces and Devices）只能按顺序初始化 ，可能会导致开机缓慢
• BIOS 查找 MBR（Master Boot Record）以确定 OS 的位置并运行 Boot Loader 。MBR 只有 32-bit 的空间用于描述分区（Partitions）的信息，这限制了基于 BIOS 启动的系统，最多支持 4 个主分区（3 个主分区和 1 个逻辑分区），并且分区最大不能超过 2TB.

UEFI

UEFI 最初由 Intel 提出并实现，包括 GPT（Globally Unique Identifier Partition Table），是 UEFI 的一部分。

UEFI 是一个软件（标准）或者说更像是一个微型的系统，用于连接 计算机固件（Computer’s firmware） 和 OS（Operating System） 。UEFI 最终会替代 BIOS 但是向后兼容 BIOS。

UEFI 的功能是通过安装在主板（motherboard）上的特殊固件（firmware）实现的，和 BIOS 一样，其在（生产）出厂之时就已经安装，它是计算机开机（上电）运行的 第一个程序 ，执行和 BIOS 同样的自检（POST）流程，但是它提供了比 BIOS 更多的灵活性 。 UEFI 解决了 BIOS 面临的一些限制，如 最大分区 、 BIOS 执行任务的时间 等

大多数现代化的计算机都已经能同时支持 BIOS 和 UEFI（二选一）。

UEFI 定义了一种新的 OS 和 计算机固件（platform firmware）交流的方式，相比于 BIOS 只能提供 OS 启动过程中必须的信息，UEFI 可以提供更多的特性，如安全启动等。

UEFI 将其初始化数据存放在一个 EFI 分区中，而不是存放在固件（Firmware）中，这个 EFI 分区位于 Nonvolatile Flash Memory ，UEFI 甚至可以在启动时从一个共享网络位置加载。

UEFI 使用比 MBR 更灵活的分区方案，即著名的 GPT（Globally Unique Identifier Partition Table），GPT 使用了 64-bit 用于保留分区表信息，支持多达 128 个分区，并支持系统识别并安装于超过 2TB 的分区之上。

UEFI 能在一个 EFI 系统分区中支持多个 OS，如 Windows OS loader 或者 Debian-based OS loaders，BIOS 只允许存在一个 Boot Loader.

UEFI 是可编程的（Programmable），其相当于一个轻量的 OS.

UEFI 的安全启动（Secure Boot）支持计算机在启动时对其硬件和系统完整性进行校验，可以防止黑客在系统启动时安装 rootkits 并获得系统控制权，Secure Boot 甚至支持授权用户（网络）远程定位问题。

UEFI 包含了一个平台相关（platform-related）的 数据表（data table） ，以及 可以被 OS Loader 调用的 Boot and Runtime Service Calls 。这些信息定义了为支持 UEFI ，固件（Firmwares）或者计算机硬件（Hardwares）应该实现的接口和数据结构（Interfaces and Structures）。

boot loader 在计算机启动的时候决定如何运行（启动）安装于硬盘上的操作系统，GRand Unified Bootloader（GRUB）是 Linux 中最流行的 Bootloader 程序。目前主要有 2 个 GRUB 版本：

• GRUB Legacy ： 遗留版本 GRUB v1，在较旧的 Linux 发行版中使用
• GRUB 2 ： 当前最新版本，较新的 Linux 发行版中默认的 Bootloader. GRUB 2 的主要功能依旧是 查找并启动已安装在计算机上的操作系统 。同时 通过内嵌了一些工具和配置文件提供了更强大的功能以及灵活性 。

相比于 GRUB Legacy，GRUB 2 有以下优点：

• 脚本支持 。支持脚本语言如 函数 ， 循环 ， 变量 等
• 模块动态加载（Dynamic Module Loading）
• 救援模式（Rescue Mode）
• 自定义菜单（Custom Menus）
• 主题（Thems）
• 图形化的启动菜单
• 直接从硬盘启动 LiveCD ISO
• 全新的配置文件结构
• Non-x86 架构支持，如 PowerPC
• 全局 UUIDs 支持

GRUB 2 的配置文件是 /boot/grub/grub.cfg 或者 /boot/grub2/grub.cfg，关于其配置文件，要注意以下事项：

• /boot/grub/grub.cfg 的内容是由工具 grub-mkconfig 或者 update-grub 根据 /etc/default/grub 和 /etc/grub.d/ 中的内容自动生成，最好不要手动改动 /boot/grub/grub.cfg。要修改控制选项，可以修改 /etc/default/grub 和 /etc/grub.d/*，然后使用 update-grub
• /boot/grub/grub.cfg 的内容会因为 GRUB 2 的包升级（如内核升级导致新增内核或移除内核）而被覆盖，或者用户使用 update-grub 命令也会覆盖
• 可用的启动内核列表（/boot/grub/grub.cfg 中的 menuentry）是由命令 update-grub 或 update-grub2(一般是 grub 的软链接)自动生成
• 用户可以在 OS 启动列表中自定义添加启动条目（menu entry），这个功能一般是通过修改 /etc/grub.d/40_custom 实现
• 控制启动列表显示菜单的选项位于主配置文件 /etc/default/grub 中
• 和 GRUB Legacy 不同，GRUB 2 分区（partitions）编号从 1 开始，而不是 0。但是 硬盘编号 依旧从 0 开始 。如系统上的第一个硬盘的第一个分区，GRUB Legacy 中是 hd(0, 0)，GRUB 2 中是 hd(0, 1)
• grub.cfg 中可以包含 Shell 脚本语法，如 函数，循环，变量等
• 用于定位内核（Kernels）和 Initial RAM 位置的设备名称，最好是使用更加可靠的 标签（Labels） 或者是 UUIDs（Universally Unique Identifiers） ，而不是类似于 /dev/sda 的设备名称，这可以防止计算机系统新增硬盘后，/dev/sda 变成了 /dev/sdb 而导致系统启动时内核无法找到。
• 配置文件更改后，只有执行了 update-grub 后才会最终生效

GRUB 2 配置流程

GRUB 2 的配置变更主要是通过修改主配置文件 /etc/default/grub 以及包含自定义脚本文件的目录 /etc/grub.d/，然后执行 update-grub 最终生效。update-grub 会从 /etc/default/grub 和 /etc/grub.d/ 收集相关配置并将其更新到 /boot/grub/grub.cfg。

启动菜单（Menu Display）的展示行为主要是通过 /etc/default/grub 进行控制 。

检查命令依赖的共享库

以下命令检查 crontab 命令依赖的共享库

# ldd `which crontab`
	linux-vdso.so.1 (0x00007ffe2db17000)
	libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007063f4c00000)
	/lib64/ld-linux-x86-64.so.2 (0x00007063f4fc3000)

PAM（Pluggable Authentication Modules） 由 Sun Microsystems 发明并最初在 Solarise OS 上实现，Linux 于 1997 年实现了 Linux-PAM.

PAM 简化了系统认证管理的过程，使用 PAM 提供了以下好处：

• 使用中心化的方式简化了用户身份认证过程以及系统管理员的视角
• 简化了应用在认证相关功能方面的开发，开发者无需重复写认证相关代码，只需要直接使用已有的认证模块即可
• 认证灵活性
  • 可以根据用户身份或者是特定的时间，或者是对特定资源的使用进行允许/拒绝操作

包含 PAM 的应用中 PAM 使用流程大体如下 ：

• 一个主体（用户或者进程）请求访问（通过认证）一个应用
• 此应用读取其 PAM 配置文件，其 PAM 配置文件中配置了认证策略，认证策略中一般包含要进行认证的 PAM 模块的列表，这个列表也称为 Stack
• Stack 中配置的 PAM 模块被依次调用
• 每个 PAM 模块会根据其配置返回 成功（Success） 或者 失败（Failure） 状态
• 最后是否认证成功，由所有的 PAM 模块返回的结果组合得到 成功（Success） 或者 失败（Failure） ，具体组合方式取决于配置文件中的配置。

Linux 中，大多数包含 PAM 的应用的配置文件位于 /etc/pam.d/，通用的 PAM 配置文件格式使用：

context 'control flag' 'PAM module' [module options]

Linux 中，系统安全（如资源限制，用户登陆等）相关的 PAM 配置文件位于 /etc/security/*.conf

PAM Contexts

PAM 模块为不同的认证服务提供了标准的函数，这些 PAM 模块中的标准函数根据其函数类型称为 Contexts，也可以叫做 Module Interfaces 或者 Types，下列出了不同的 PAM Contexts 及其对应的 认证服务（Authentication Service）

PAM Control Flags

PAM 中的 Control Flags 用于决定返回什么样的状态。下表列出了 PAM 配置中的相关的 Control Flags 及其响应

PAM Modules

Linux 中，PAM Modules 其实是系统共享库（Shared Library Module）文件，RHEL 默认位于 /usr/lib64/security/pam*.so， Ubuntu 位于 /usr/lib/x86_64-linux-gnu/security/pam*.so

# ls /usr/lib/x86_64-linux-gnu/security/
pam_access.so           pam_exec.so        pam_gdm.so            pam_listfile.so   pam_nologin.so           pam_securetty.so  pam_stress.so      pam_unix.so
pam_cap.so              pam_extrausers.so  pam_gnome_keyring.so  pam_localuser.so  pam_oddjob_mkhomedir.so  pam_selinux.so    pam_succeed_if.so  pam_userdb.so
pam_dcvgraphicalsso.so  pam_faildelay.so   pam_group.so          pam_loginuid.so   pam_permit.so            pam_sepermit.so   pam_systemd.so     pam_usertype.so
pam_debug.so            pam_faillock.so    pam_issue.so          pam_mail.so       pam_pwhistory.so         pam_setquota.so   pam_time.so        pam_warn.so
pam_deny.so             pam_filter.so      pam_keyinit.so        pam_mkhomedir.so  pam_pwquality.so         pam_shells.so     pam_timestamp.so   pam_wheel.so
pam_echo.so             pam_fprintd.so     pam_lastlog.so        pam_motd.so       pam_rhosts.so            pam_sss_gss.so    pam_tty_audit.so   pam_xauth.so
pam_env.so              pam_ftp.so         pam_limits.so         pam_namespace.so  pam_rootok.so            pam_sss.so        pam_umask.so

要查看 PAM Module 的帮助文档，可以使用 man 手册，如 man pam_access。

使用 PAM 的应用可以大概分为以下 2 类：

• 普通程序（Application） 。默认使用 PAM 的应用的配置位于 /etc/pam.d，每个使用 PAM Module 的应用程序都应该有其自己的配置文件来定义它如何使用 PAM 模块。如果没有，这将是一个漏洞，为了防止这种情况出现，系统内置了一个 other 的配置（/etc/pam.d/other），所有使用了 PAM 但是没有指定其配置文件的应用都将使用此配置。 other 配置默认拒绝（Implicit Deny）所有的请求

  # ls /etc/pam.d/ chfn common-auth cron gdm-autologin gdm-smartcard login polkit-1 samba sudo chpasswd common-password cups gdm-fingerprint gdm-smartcard-pkcs11-exclusive newusers ppp sshd sudo-i chsh common-session dcv gdm-launch-environment gdm-smartcard-sssd-exclusive other runuser sssd-shadowutils su-l common-account common-session-noninteractive dcv-graphical-sso gdm-password gdm-smartcard-sssd-or-password passwd runuser-l su vmtoolsd

• 系统安全相关程序 。系统安全相关的 PAM 配置默认位于 /etc/security。

  # ls /etc/security/ access.conf faillock.conf limits.conf namespace.conf namespace.init pam_env.conf sepermit.conf capability.conf group.conf limits.d namespace.d opasswd pwquality.conf time.conf

加密解密相关常用概念 ：

• Plain Text ： 明文，可以被人类或者激情理解的内容
• Ciphertext ： 密文，加密后的内容，一般不能直接被人类或者机器所理解，需要解密
• Encryption ： 将 Plain Text 转换为 Ciphertext 的过程，通常使用一种加密算法（Encrypt Algorithm）
• Decryption ： 解密，将 Ciphertext 转换为 Plain Text 的过程，通常使用和加密算法（Encrypt Algorithm）相对应的解密算法（Decrypt Algorithms）
• Cipher ： 加密和解密过程中算法使用的密码。
• Block Cipher ： 在对数据进行加密之前，需要首先将其分割成块（Block）
• Stream Cipher ： 加密过程中无需将其分割成块（Block）
• Key ： 通常值密钥对（公钥/私钥）

以下是一些较为经典的加密算法

Hash 不是加密（Encryption），不像 加密（Encrypt）-解密（decrypt） ， 对一个对象进行 Hash 操作后，不可能通过 Hash 后的值 dehash 回原来的对象 。

Hash 算法需要 Collision Free ，即对两个完全不同的输入，经过 Hash 算法后的值也必须 不同 。

在 Linux 系统中，用户名秘密验证就是使用 Hash 算法。/etc/shadow 中包含的是用户密码（加 Salt） Hash 后的值，而不是用户密码，当用户使用密码登陆系统时，会计算用户密码（加 Salt）的 Hash 值并和 /etc/shadow 中保存的内容进行对比以验证用户密码是否正确。

Hash 在 Linux 系统中，有以下用途：

• Passwords 验证
• 校验文件内容
• 数字签名
• 病毒签名

Hash 也有以下叫法：

• Message Digest ： 消息摘要，Linux 中常用的命令如 md5sum、sha1sum、sha224sum、sha256sum、sha384sum、sha512sum、shasum 等应用了不同的 Hash 算法
• Checksum ： 校验和
• Fingerprint ： 数字指纹
• Signature ： 签名

Hash 常见用途示例

内容完整性校验

例如网上公开的 ISO 系统镜像，发布者会同时发布镜像的 SHA-256 Hash 算法摘要值，当你下载了此镜像后，可以在本地对其镜像同样的 Hash 计算（如 sha256sum 命令），如果计算出的值和发布者公布的值一致，说明其内容和发布者发布的镜像内容一致（未被篡改）

$ sha256sum Fedora-Workstation-Live-x86_64-30-1.2.iso
a4e2c49368860887f1cc1166b0613232d4d5de6b46f29c9756bc7cfd5e13f39f
 Fedora-Workstation-Live-x86_64-30-1.2.iso

Linux 审计系统提供了一种方式来跟踪系统上与安全相关的信息。根据预配置的规则，审计会生成日志条目，来尽可能多地记录系统上所发生的事件的相关信息。对于关键任务环境而言至关重要，可用来确定安全策略的违反者及其所执行的操作。审计不会为您的系统提供额外的安全，而是用于发现系统上使用的安全策略的违规。可以通过其他安全措施(如 SELinux)进一步防止这些违规。 ^[1]

以下列表总结了审计可以在其日志文件中记录的一些信息：

• 事件的日期、时间、类型和结果.
• 主题和对象的敏感度标签。
• 事件与触发事件的用户身份的关联。
• 对审计配置的所有修改，以及对访问审计日志文件的尝试。
• 所有身份验证机制的使用，如 SSH 和 Kerberos 等。
• 对任何受信任数据库的修改，如 /etc/passwd。
• 尝试将信息导入系统或从系统导出。
• 根据用户身份、主题和对象标签以及其他属性包含或排除事件。

使用案例

• 监视文件访问
  审计可以跟踪文件或目录是否已被访问、修改、执行或者文件的属性是否已改变。例如，这有助于检测对重要文件的访问，并在其中一个文件损坏时提供审计跟踪。
• 监控系统调用
  可将审计配置为在每次使用特定系统调用时生成日志条目。例如，这可用于通过监控 settimeofday、clock_adjtime 和其他与时间相关的系统调用来跟踪对系统时间的修改。
• 记录用户运行的命令
  审计可以跟踪文件是否已被执行，因此可以定义一个规则以记录每次特定命令的执行。例如，可以对 /bin 目录中的每个可执行文件定义一个规则。然后，可以按用户 ID 搜索生成的日志条目，以生成每个用户所执行的命令的审计跟踪。
• 记录系统路径名称的执行
  除了观察在规则调用时将路径转换为 inode 的文件访问之外，审计现在还可以观察路径的执行，即使路径在规则调用中不存在，或者在规则调用后文件被替换了。这允许规则在升级程序可执行文件后或甚至在其安装之前继续运行。
• 记录安全事件
  pam_faillock 认证模块能够记录失败的登录尝试。也可以将审计设置为记录失败的登录尝试，并提供有关试图登录的用户的附加信息。
• 搜索事件
  审计提供了 ausearch 工具，可用于过滤日志条目，并根据多个条件提供完整的审计跟踪。
• 运行总结报告
  aureport 实用程序可用于生成记录事件的日常报告等。然后，系统管理员可以分析这些报告，并进一步调查可疑的活动。
• 监控网络访问
  iptables 和 ebtables 工具可以配置为触发审计事件，允许系统管理员监控网络访问。

  系统性能可能会受到影响，具体取决于审计所收集的信息量。

审计系统架构

审计系统由两个主要部分组成： 用户空间应用程序和工具 ，以及 内核端系统调用处理 。内核组件接收用户空间应用程序的系统调用，并通过以下过滤器对其进行过滤： user、task、fstype 或 exit 。 ^[1]

用户空间审计守护进程 从内核收集信息，并在日志文件中创建条目。其他审计用户空间工具 与 审计守护进程 、 内核审计组件 或 审计日志文件 进行交互：

• audisp - Audit 分配程序守护进程与 Audit 守护进程交互，并将事件发送到其他应用程序，以便进一步处理。此守护进程的目的是提供插件机制，以便实时分析程序可以与审计事件交互。
• auditctl - 审计控制实用程序与内核审计组件交互，以管理规则并控制事件生成进程的多个设置和参数。
• 其余的审计工具会将审计日志文件的内容作为输入，并根据用户的要求生成输出。例如，aureport 工具生成所有记录的事件的报告。

Linux 系统安全加固常用方法

服务网络安全

• 启用防火墙，并确保入口流量都是必须的，禁止无关的 IP 访问目标主机上的服务（端口）

系统软件安全检测

• 定期扫描系统上安装的软件，确保关键系统命令未被篡改，例如使用 rpm -Va 对所有系统上的软件进行校验，检查是否有软件被篡改

  # rpm -Va .......T. /usr/src/kernels/3.10.0-1160.114.2.el7.x86_64/virt/lib/Kconfig .......T. /usr/src/kernels/3.10.0-1160.114.2.el7.x86_64/virt/lib/Makefile S.5....T. c /root/.bash_profile S.5....T. c /root/.bashrc .M....... /var/run/supervisor missing /etc/filebeat/fields.yml SM5....T. c /etc/filebeat/filebeat.yml ....L.... c /etc/pam.d/fingerprint-auth ....L.... c /etc/pam.d/password-auth ....L.... c /etc/pam.d/postlogin ....L.... c /etc/pam.d/smartcard-auth ....L.... c /etc/pam.d/system-auth

  输出的每一行对应一个文件，前 9 个字符的字符串显示了该文件的属性状态。每个字符的位置代表了特定的属性检查结果。rpm -Va 对比的是当前系统中文件的状态与 RPM 数据库中记录的文件状态。

  每个字符的含义:

  • 第 1 位 ： 文件类型 (S).
    如果文件丢失了，则会显示 S（代表文件缺失，”File is missing”）。
  • 第 2 位：文件大小 (5)
    如果文件大小与 RPM 数据库中的记录不一致，则会显示 5
  • 第 3 位：文件权限（模式/权限位，M）
    如果文件的权限与 RPM 数据库记录的不一致，则会显示 M。
  • 第 4 位：文件的所有者 (U)
    如果文件的所有者与 RPM 数据库记录的不一致，则会显示 U
  • 第 5 位：文件所属的组 (G)
    如果文件的所属组与 RPM 数据库记录的不一致，则会显示 G
  • 第 6 位：文件的设备类型 (D)
    如果文件的设备类型（如块设备或字符设备）与 RPM 数据库记录的不一致，则会显示 D
  • 第 7 位：文件的时间戳 (T)
    如果文件的修改时间与 RPM 数据库中的记录不一致，则会显示 T。
  • 第 8 位：文件的校验和 (5)
    如果文件内容的校验和与 RPM 数据库记录的不一致，则会显示 5。
  • 第 9 位：文件的符号链接 (L)
    如果文件是一个符号链接，并且符号链接目标发生变化，则会显示 L。
  • 如果是配置文件，会被标记为 c

文件加固

文件系统加固

Linux 操作系统中的很多目录都有约定的用途，可能会挂载单独的文件系统，不同用途的目录，对权限的要求不同，从安全角度考量，可以针对文件系统进行一定程度的安全加固。

文件系统的挂载，主要依赖配置文件 /etc/fstab，此配置会被 mount、dump、fsck 等命令使用，其权限应该设置为 644，属主和属组都应该是 root。在挂载不同用途的文件系统时，可以根据其用途配置权限限制。以下列出部分示例

可用的挂载选项可以查看 man fatab、man mount、man 5 ext4 等内容中的选项，不同的文件系统支持不同的挂载选项，通用的挂载选项（独立于文件系统）可以查看 man mount 中的 FILESYSTEM-INDEPENDENT MOUNT OPTIONS 部分

• /home/ 目录下通常是用户家目录，可能会挂载到单独的文件系统，根据其特性，可以配置以下限制
  • nosuid ： 禁止其中的文件/目录配置 SUID 或 SGID 权限
  • nodev : 禁止其中的设备被内核识别，放置在此目录下的设备可能都是恶意设备，应该被禁止识别并使用
  • noexec ： 禁止此文件系统中的可执行文件执行。
• /tmp/ 目录也可以设置以下限制
  • nosuid
  • nodev
  • noexec

关键文件审计及监控

auditd 审计

关键文件监控

系统上的某些关键文件，如常用可执行文件（/sbin/ 下的文件）、关键配置文件等，要监控其是否被恶意修改。可以参考以下方法

• find 命令搜索文件修改时间
  find 命令的 -mtime 可以查找文件的 内容修改时间

  find 命令的 -ctime 可以查找文件的 创建时间/属性修改时间

  如常用的系统命令不会出现内容的修改和属性的修改，如果出现这些现象，很可能属于恶意篡改，可以使用 find 命令查找或是监控这些变化

  # find /sbin -mtime -1 /sbin /sbin/init /sbin/reboot

  在发现关键文件被篡改后可以及时发送告警。可以使用 stat 命令检查文件变更的更详细信息

  # stat /sbin/init File: '/sbin/init' -> '../bin/systemd' Size: 14 Blocks: 0 IO Block: 4096 symbolic link Device: fd01h/64769d Inode: 9551 Links: 1 Access: (0777/lrwxrwxrwx) Uid: ( 0/ root) Gid: ( 0/ root) Context: system_u:object_r:bin_t:s0 Access: 2016-02-03 03:34:57.276589176 -0500 Modify: 2016-02-02 23:40:39.139872288 -0500 Change: 2016-02-02 23:40:39.140872415 -0500 Birth: -

  为了更好的监控关键文件的篡改，可以在系统运行之初就为其创建一个包含关键文件的 mtimes 和 ctimes 信息的数据库，并在系统运行过程中通过脚本检测关键文件的 mtimes 和 ctimes 并和原始数据库中的信息进行对比已检测文件是否被篡改。通常的 Intrusion Detection System 基本都实现了类似的功能。

  通常需要关注的可以被 find 检查的其他特殊类型文件和特殊权限还可能包括以下事项：

  File or Settings	Scan Command	Problem With File or Settings
  SUID	find / -perm -4000	Allows anyone to become the file’s owner temporarily while the file is being executed in memory
  GID	find / -perm -2000	Allows anyone to become a group member of the file’s group temporarily while the file is being executed in memory.
  rhost files	find /home -name .rhosts	Allows a system to trust another system completely. It should not be in /home directories.
  Ownerless files	find / -nouser	Indicates files that are not associated with any username.
  Groupless files	find / -nogroup	Indicates files that are not associated with any group name.

Viruses

ClamAV

ClamAV 是一个开源并免费的 Linux 杀毒（Antivirus Software）软件。

Rootkit

chkrootkit

chkrootkit 是 Linux 上常用的检测 rootkit 的工具，这个工具的结果需要更深入的分析，它可能出错

# chkrootkit | grep INFECTED
Checking 'du'... INFECTED
Checking 'find'... INFECTED
Checking 'ls'... INFECTED
Checking 'lsof'... INFECTED
Checking 'pstree'... INFECTED
Searching for Suckit rootkit... Warning: /sbin/init INFECTED

Rootkit Hunter

Rootkit Hunter 是另一个比较出名的 rootkit 检测工具

Intrusion Detection and Prevention System

入侵检测和防御系统 可以监控系统上的活动并找到潜在的恶意活动或者进程并报告相关活动。Linux 上常用的入侵检测系统有

• aide ： Advanced Intrusion Detection Environment.
• snort
• tripwire

传统的 PC 架构计算机使用 Master Boot Record（MBR）分区表（Partition Tables） 来存储计算机上的 磁盘分区（Disks Partitions） 信息。MBR 有以下特点：

• MBR 的分区最大支持 2TB 的容量。

最新的 UEFI 计算机架构使用 GUID（Globally Unique Identifier） Partition Tables（GPT） 标准来替代旧的 BIOS 方法启动计算机操作系统。相比于 MBR，GPT 有以下优势及特性：

• GPT 的分区最大能支持到 9.4ZB

传统的基于 MBR Partition Tables 的最重要的分区工具是 fdisk，但是它目前不支持 GPT Partitions ，新的工具 parted 正在顶替 fdisk 的功能。

parted 用法

要查看 parted 常见用法，可以参考 parted --help 或在交互模式中使用 help 指令

查看分区表信息

要查看系统上的分区信息，使用以下方式之一

• parted -l

  # parted -l Model: Amazon Elastic Block Store (nvme) Disk /dev/nvme0n1: 85.9GB Sector size (logical/physical): 512B/512B Partition Table: gpt Disk Flags: Number Start End Size File system Name Flags 14 1049kB 5243kB 4194kB bios_grub 15 5243kB 116MB 111MB fat32 boot, esp 1 116MB 85.9GB 85.8GB ext4 Model: Amazon Elastic Block Store (nvme) Disk /dev/nvme1n1: 107GB Sector size (logical/physical): 512B/512B Partition Table: msdos Disk Flags: Number Start End Size Type File system Flags 1 1049kB 53.7GB 53.7GB primary ext4 Model: Unknown (unknown) Disk /dev/zram0: 33.2GB Sector size (logical/physical): 4096B/4096B Partition Table: loop Disk Flags: Number Start End Size File system Flags 1 0.00B 33.2GB 33.2GB linux-swap(v1)

• parted 交互模式，在交互模式中使用指令 p

  # parted GNU Parted 3.4 Using /dev/nvme0n1 Welcome to GNU Parted! Type 'help' to view a list of commands. (parted) p Model: Amazon Elastic Block Store (nvme) Disk /dev/nvme0n1: 85.9GB Sector size (logical/physical): 512B/512B Partition Table: gpt Disk Flags: Number Start End Size File system Name Flags 14 1049kB 5243kB 4194kB bios_grub 15 5243kB 116MB 111MB fat32 boot, esp 1 116MB 85.9GB 85.8GB ext4 (parted)

创建 GPT 分区格式的硬盘

要使用 parted 对硬盘指定其分区表类型，假设硬盘为 /dev/nvme1n1 (默认表示第二个 NVM（NVMe, NonVolatile Memory Disks express, NVM 磁盘设备专用的通信接口协议） 硬盘的第一个 Namespace)，参考以下步骤：

1. parted /dev/nvme1n1 ，进入交互模式并对指定的硬盘进行分区操作， 以下步骤会导致硬盘上所有的分区及数据丢失
2. 在交互模式中使用 mklabel gpt 命令，配置硬盘使用 GPT 类型的分区表，而不是 MBR

   (parted) mklabel gpt Warning: The existing disk label on /dev/nvme1n1 will be destroyed and all data on this disk will be lost. Do you want to continue? Yes/No? Yes (parted)

3. 在交互模式中使用 mkpart 命令进行分区操作，分区完成后使用 p 指令检查分区

   (parted) mkpart Partition name? []? alldisk File system type? [ext2]? xfs Start? 1 End? 123GB (parted) p Model: SanDisk Ultra (scsi) Disk /dev/nvme1n1: 123GB Sector size (logical/physical): 512B/512B Partition Table: gpt Disk Flags: Number Start End Size File system Name Flags 1 1049kB 123GB 123GB xfs alldisk

4. 使用 quit 指令退出 parted 交互模式。

   fdisk 交互模式中，只有最终执行了 w 命令保存，对硬盘的操作才会最终生效，和 fdisk 不同，parted 命令对硬盘的更改立即生效

5. 对分区进行格式化并挂载使用，如果需要持久化挂载（系统重启后依然生效），可以将挂载信息写入 /etc/fstab

   mkfs -t xfs /dev/nvme1n1p1 mount /dev/nvme1n1p1 /mnt/

文件权限

在 Linux 系统中，普通的文件权限控制通过关联身份三元组 (user, group,other) 和权限三元组 (r, w, x) 来实现访问控制。

系统存在一个 umask 值（针对用户），umask 是一个权限掩码，它决定了新建的文件或者目录的默认权限，使用 umask 命令可以查看当前(用户) 的 umask 值

$ umask
0022

比如如上所示的 umask 值，决定了当前(用户)创建的文件和目录的默认权限

• 目录 - 默认权限为 0755 （777-022），即 rwxr-xr-x
• 文件 - 默认权限为 644 (666-022)，即 rw-r--r--

因此要配置当前(用户)创建的文件或者目录的默认权限，只需要配置合适的 umask 值即可。配置 umask 值可以通过以下方法

• 临时方法

  umask 027

• 永久方法
  根据需求将 umask 027 配置添加到配置文件中，如 /etc/profile、~/.bashrc、~/.bash_profile 等

如果需要更进一步的权限控制，需要使用到 Sticky Bit 和 ACL，更细力度的控制还包括 SELinux. 相关扩展权限标志如下：

• 文件/目录 权限最后会包含一个 . ： 表示 SELinux （Security Enhanced Linux）扩展权限。可以使用命令 ls -l -Z 查看具体权限。
• 文件/目录 权限最后会包含一个 + ： 表示 文件/目录 有 ACL（Access Control List） 扩展权限，相关操作及命令参考
• 目录 权限最后会包含一个 t ： 表示此 目录 有 Sticky Bit 扩展权限，相关操作及命令参考
• 可执行文件 权限中属主（Owner）的 x 位变为 s ： 表示此 可执行文件 配置了 Set UID 扩展权限
• 可执行文件/目录 权限中属组（Group）的 x 位变为 s ： 表示此 目录 配置了 Set GID 扩展权限

Linux 文件权限控制中，除了 SELinux 权限，其他权限控制属于 DAC（Discretionary Access Control），SELinux 属于 MAC（Mandatory Access Control），系统执行权限控制的过程中， 如果 DAC 权限允许资源访问，会继续进行 SElinux 权限检查，如果 DAC 权限拒绝资源访问，不会再进行 SELinux 权限检查

Set UID

• 只有 可执行的二进制程序和可执行的代码 才能设定 SUID 权限。
• 命令执行者首先要对该程序拥有 x（执行）权限。
• 命令执行者在执行该程序时获得该程序文件 属主（Owner） 的身份。
• SetUID 权限只在该程序 执行过程中 有效，也就是说身份改变只在执行过程中有效。

设定 SUID 和 SGID 时，传统的 3 元组权限方式（如 rwxrwxrwx = 777） 变为 4 元组（Srwxrwxrwx），其中的 S 选项包括：

• 4 代表 SUID，如 4777
• 2 代表 GID，如 2777
• 1 代表 Sticky BIT，如 1777
• 7 代表全部设置， 如 7777

SUID 设定命令格式：

chmod 4777 可执行文件名

chmod u+s 可执行文件名

取消 SUID 设置：

chmod 777 可执行文件名

假如某个可执行文件的属主为 root，其设置了 SUID，普通用户运行此可执行文件时会暂时拥有 root 的权限，有一定的风险存在，因此要谨慎设置，为系统安全考虑，要定期查找系统上拥有 SUID 权限的可执行文件并核对其是否存在风险。

Set GID

对 可执行文件 来说，SGID 拥有和 SUID 同样的作用，只不过 **命令执行者在执行该程序时获得该程序文件 属组（Group） 的身份。

SGID 设定方法：

chmod 2777 可执行文件名

chmod g+s  可执行文件名

Sticky Bit

粘滞位 (Sticky Bit) 只能用于目录，并对其中的文件有特殊的权限控制。他的主要作用是确保只有文件的所有者才能够删除或者修改文件。要给某个目录配置 粘滞位 (Sticky Bit) ，使用以下命令

chmod +t directoryname

这将为目录 directoryname 配置粘滞位 (Sticky Bit)，以下命令可以验证 粘滞位 (Sticky Bit)是否存在。如果目录的权限列表中有 t 标志，表示目录设置了 粘滞位 (Sticky Bit)

$ ls -l directoryname
drwxrwxrwt  2 owner group   4096 Jun 26 10:15 directoryname

设置粘滞位后，只有文件的所有者才能删除或修改该文件。其他用户即使有写权限（w），也无法删除其他用户的文件。

systemd-journald 服务简介

systemd-journald 服务是 systemd init 系统提供的收集系统日志的服务。它会根据从内核、用户进程、标准输入和系统服务错误收到的日志记录信息，维护结构化的索引日记，并以此方式来收集和储存日志记录数据。systemd-journald 服务默认处于启用状态。

默认情况下，systemd-journald 在 /run/log/journal/ 中储存日志数据。由于 /run/ 目录具有易失本性，因此，在重引导时会丢失日志数据。要永久保存日志数据，/var/log/journal/ 目录必须存在且具有正确的所有权和权限，如此，systemd-journald 服务便可在其中储存其数据。

要在终端中查看日志信息，可以使用命令 journalctl

systemd-journald 服务常用配置

持久化日志存储

默认情况下，日志位于 /run/log/journal/，重启后日志会丢失，为了持久化日志，可按照以下 2 种方法之一配置

• 方法 1

  1. 以 root 身份打开 /etc/systemd/journald.conf 进行编辑

     vi /etc/systemd/journald.conf

  2. 将包含 Storage= 的行取消注释，并将它更改为 Storage=persistent

     [Journal] Storage=persistent #Compress=yes SystemMaxUse=50M [...]

  3. 重启 systemd-journald

     systemctl restart systemd-journald

     之后日志会持久化存储于 /var/log/journal。这些数据最多会占用 /var/log/journal 所在文件系统空间的 10%，要更改此限制，可以修改选项 SystemMaxUse=50M

Program 是一个静态实体，只是存储在操作系统中的文件（集合）

Process 是操作系统上的活动（Active）实体，是 Program 由操作系统加载到内存并运行之后的实体。

Process 运行过程中需要操作系统为其分配各种资源，如 CPU、Memory、Files、IO 等来完成其运行。

如果一个 Program 被操作系统运行（启动）了多次，那么其产生的多个 Process 属于分割（单独）的实体。

Linux 系统中调度的进程/线程，通常被称为任务（Task）

Linux 中常见的进程状态如下表：

进程调度

Linux 中任务（Task）调度算法默认使用 CFS（Completely Fair Scheduler，内核版本 >= 2.6.23）.

CFS 调度算法没有使用固定的进程（此处的进程可能是进程或者线程，Linux 中统称为 Task）优先级（Priority），而是根据进程的 nice value 为进程分配一定比例的（Proportional） CPU 计算时间。 ^[1]

nice 的取值从 -20 - +19，值越小，优先级越高，默认值为 0 。优先级高的进程会被分配到更高比例的 CPU 处理时间。

在 Linux 内核中，优先级分为两种：静态优先级和动态优先级。CFS 使用的是动态优先级，它是根据 nice 值计算出来的。

CFS Scheduler 不会直接设定 Priorities，而是为每个 Task 维护变量 vruntime（virtual runtime）（可以检查系统 /proc/<PID>/sched），这个值记录了每个 task 使用了多少 CPU 时间。

CFS 通过将进程的虚拟运行时间（vruntime）与其他进程的虚拟运行时间进行比较来决定调度优先级。权重越大，vruntime 增长越慢，意味着进程的优先级越高，能够更频繁地被调度。

假入一个任务有默认的 Priority（nice=0），那么他的 vruntime 和实际使用的 CPU 时间相同。例如一个 nice=0 的进程使用了 CPU 200ms，那么他的 vruntime=200ms。低优先级（low priority，nice>0） 的任务在 CPU 上运行了 200ms，那么他的 vruntime>200ms，相反的，一个 高优先级（high priority,nice<0） 的任务在 CPU 上运行了 200ms，那么他的 vruntime<200ms。基于此，CFS Scheduler 在选择下一个要执行的任务时，会选择 vruntime 最小的任务来运行。如果有高优先级的任务就绪（可执行），它会抢占（preemptive）正在执行的低优先级的任务。

假如 Linux 中有 2 个优先级一样的任务（nice=0），一个进程为 I/O-bound，另一个为 CPU-bound。通常情况下，在一个 CPU 周期内，I/O-bound 的任务会使用很少的 CPU 时间就会因等待 IO 而中断在 CPU 上的执行并进入 CPU 的等待调度队列（schedule queue），而 CPU-bound 的任务会用尽分配给它的整个 CPU 周期。执行一段时间之后， I/O-bound 的任务的 vruntime 的值会显著的小于 CPU-bound 的任务的 vruntime，导致 I/O-bound 的任务拥有比 CPU-bound 的任务更高的优先级，当 I/O-bound 的任务就绪（IO 返回数据）时，它会立即抢占 CPU 开始执行。

nice 只能针对单一的进程调整优先级，无法同时将优先级配置关联到相关进程，如 子进程或者同一个服务中的其他进程

修改 nice 的值

在 Linux 中，nice 值用于调整进程的优先级，数值范围从 -20（ 最高优先级 ）到 19（ 最低优先级 ）。较低的 nice 值表示进程有更高的优先级，会更频繁地获得 CPU 时间，而较高的 nice 值表示进程有较低的优先级。

你可以使用 nice 和 renice 命令来修改进程的 nice 值

普通用户（root 之外的用户）启动应用程序时默认只能配置初始 nice 值 0-19

普通用户（root 之外的用户）修改正在运行的应用程序的 nice 值，只能改大，不能改小。比如进程启动时，其 nice 为 10，拥有权限的普通用户只能将其 nice 值改为大于 10 的值。

nice 命令

nice 命令用于在启动进程时指定 nice 值 。如果不指定，默认 nice 值为 0。

nice -n 10 command

renice 命令

renice 命令可以修改已经在运行的进程的 nice 值。需要提供进程 ID（ PID ）来指定要修改的进程。

renice <nice_value> -p <PID>

如果想要一次修改多个进程的 nice 值，可以传递多个 PID：

sudo renice 10 -p 1234 2345 3456

Linux 进程资源控制 cgroups

cgroups 可以将一个任务（task）标识（绑定）到一个特殊的 控制组（Control Group） ，此任务启动的子进程可以继承父进程的 控制组（Control Group）

控制组（Control Group） 可以限制的资源类型如下：

Linux 进程管理

top 命令

使用 top 命令可以查看系统负载、CPU 和 内存使用情况。也可以查看单个进程的具体信息。

top 命令常用选项

• 显示单个进程的（线程）详细信息

  # top -H -p 1423 top - 09:44:42 up 54 days, 23:53, 2 users, load average: 8.82, 6.84, 7.21 Threads: 15 total, 0 running, 15 sleeping, 0 stopped, 0 zombie %Cpu(s): 40.9 us, 10.8 sy, 0.0 ni, 48.1 id, 0.0 wa, 0.0 hi, 0.2 si, 0.0 st KiB Mem : 15790488 total, 466056 free, 7761544 used, 7562888 buff/cache KiB Swap: 0 total, 0 free, 0 used. 3895716 avail Mem PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 1423 root 20 0 1477368 778788 4260 S 39.5 4.9 11999:41 [watchdog:1:6] 2572 root 20 0 1477368 778788 4260 S 37.9 4.9 11363:48 [watchdog:1:6] 1436 root 20 0 1477368 778788 4260 S 34.2 4.9 11286:08 [watchdog:1:6] 1435 root 20 0 1477368 778788 4260 S 33.9 4.9 12059:53 [watchdog:1:6] 1434 root 20 0 1477368 778788 4260 S 33.2 4.9 10249:00 [watchdog:1:6] 1437 root 20 0 1477368 778788 4260 S 30.6 4.9 11717:47 [watchdog:1:6] 1431 root 20 0 1477368 778788 4260 S 28.9 4.9 11222:06 [watchdog:1:6] 21378 root 20 0 1477368 778788 4260 S 27.6 4.9 12143:35 [watchdog:1:6] 1433 root 20 0 1477368 778788 4260 S 17.6 4.9 8738:21 [watchdog:1:6] 1428 root 20 0 1477368 778788 4260 S 8.0 4.9 7650:56 [watchdog:1:6] 1429 root 20 0 1477368 778788 4260 S 0.0 4.9 0:00.04 [watchdog:1:6] 1430 root 20 0 1477368 778788 4260 S 0.0 4.9 0:00.05 [watchdog:1:6] 1432 root 20 0 1477368 778788 4260 S 0.0 4.9 0:00.03 [watchdog:1:6] 1438 root 20 0 1477368 778788 4260 S 0.0 4.9 12260:30 [watchdog:1:6] 1529 root 20 0 1477368 778788 4260 S 0.0 4.9 11068:39 [watchdog:1:6]

进程命令名和进程可执行文件名

在系统中遇到以下进程：

# ps -elf | grep 18686
5 S root     18686  1239  0  80   0 - 46620 pipe_w 15:50 ?        00:00:00 /usr/sbin/CROND -n
0 R root     18694 18686  7  80   0 - 610547 -     15:50 ?        00:00:02 /usr/local/php73/bin/php /home/www/admin/artisan PullData
0 S root     18754 18686  0  80   0 - 22453 pipe_w 15:50 ?        00:00:00 /usr/sbin/sendmail -FCronDaemon -i -odi -oem -oi -t -f root

其中 PID 为 18686 的进程名为 /usr/sbin/CROND，其启动了另外两个子进程。但是在系统中检查，并不存在路径 /usr/sbin/CROND

# ls -l /usr/sbin/CROND
ls: cannot access /usr/sbin/CROND: No such file or directory

出现此种现象，主要是因为 在启动时，进程的命令名是根据路径传递给 execve() 函数的参数决定的，而不是直接与系统中的文件进行匹配。

在 Linux 系统中，ps 命令显示的进程信息是从 /proc 文件系统中获取的，而 /proc 文件系统包含有关正在运行的进程的信息，包括每个进程的命令名。因此，即使实际上系统中不存在 /usr/sbin/CROND 文件，但如果进程的命令名是 /usr/sbin/CROND，那么 ps 命令仍然会显示进程的命令名为 /usr/sbin/CROND。

进程的命令名可以查看 /proc/<PID>/cmdline 文件，本示例中显示如下：

# cat /proc/18686/cmdline 
/usr/sbin/CROND-n

对应的系统上的可执行文件的名称可以查看 /proc/<PID>/stat、/proc/<PID>/comm、/proc/<PID>/status 等文件

# cat /proc/900/comm 
crond

# cat /proc/900/status 
Name:	crond
Umask:	0022
State:	S (sleeping)
Tgid:	900
Ngid:	0
Pid:	900
PPid:	1239
TracerPid:	0

# cat /proc/900/stat
900 (crond) S 1239 1239 1239 0 -1 4202816 1627 0 0 0 0 0 0 0 20 0 1 0 139129633 190955520 1478 18446744073709551615 94685936058368 94685936118156 140733000396032 140733000262488 140427856103840 0 0 4096 16387 18446744071797306256 0 0 17 3 0 0 0 0 0 94685938219080 94685938221648 94685948321792 140733000400770 140733000400789 140733000400789 140733000400872 0

在本示例中，实际执行的命令为 crond

参考链接|Bibliography

Operating System Concepts v10 Online
Linux进程状态说明

脚注