第七十五讲——常见系统故障的排除

我们首先要确定问题的故障特征<o:p></o:p>
重现故障<o:p></o:p>
实用工具收集进一步的信息<o:p></o:p>
排除不可能的原因<o:p></o:p>
定位故障<o:p></o:p>
    先从简单的问题入手<o:p></o:p>
    一次尝试一种方式<o:p></o:p>
我们要记住两点：<o:p></o:p>
一是修改配置文件的时候一定要备份源文件！！<o:p></o:p>
二是尽可能的借助于工具，可以是命令，也可以是专门的诊断工具。<o:p></o:p>
可能出现的故障：<o:p></o:p>
管理员密码忘记<o:p></o:p>
系统无法正常启动，可能是grub损坏（MBR损坏，grub配置文件丢失），还可能是系统初始化故障（某文件系统无法正常挂载，例如网络文件系统不在线，驱动不兼容），服务故障，用户无法登陆操作系统（bahs故障）。<o:p></o:p>
命令无法运行：环境变量配置有误<o:p></o:p>
编译过程无法继续：开发环境缺少组件。<o:p></o:p>
MBR损坏时我们可以借助其他主机进行修复，还可以进入紧急救援模式。<o:p></o:p>
   boot.iso必须要有主机提供安装环境<o:p></o:p>
    使用完整的系统安装光盘<o:p></o:p>
boot：linux rescue进入紧急救援模式，类似于win PE，但是要实现一些功能可能需要切换到真正的根下。<o:p></o:p>
我们先以只读的方式将根文件系统挂载到/mnt/sysimage，如果我们需要对根文件系统中的文件进行操作，则要挂载为读写。<o:p></o:p>
在紧急救援模式下没有设备文件。<o:p></o:p>
#mknod  创建设备文件<o:p></o:p>
说到这里多说一句，一定要了解一个版本控制工具（软件），svn、git<o:p></o:p>
su switch user切换用户<o:p></o:p>
sudo CAMMOND切换用户后执行命令，即一个用户以另一个用户的身份执行命令，但是在命令执行的那一刻是以另一个用户的身份运行的，不切换用户。sudo可以实现某个用户能够以另一个用户的身份通过某主机执行某命令。<o:p></o:p>
sudo还提供安全认证方式，在执行命令时需提供密码认证，防范其他人冒充执行相应的命令。<o:p></o:p>
管理员和其他用户的所有命令都可以授权给其他用户执行，但一般来说，sudo命令是由管理员的身份执行一些管理类的命令。<o:p></o:p>
谁可以以另一个身份执行什么样的命令的定义，通常保存在我们系统当中的sudo的配置文件当中。<o:p></o:p>
/etc/sudoers  权限为400 只有root用户和root组中的用户才能查看其中的内容。<o:p></o:p>
我们可以使用vim对/etc/sudoers文件进行编辑，但是我们不建议，因为直接编辑我无法检查其中的语法结构的正确与否，错误的语法会导致其他用户无法执行命令，严重的还会导致系统崩溃。<o:p></o:p>
因此，sudo专门有一个visudo专门用于编辑/etc/sudoers，visudo这个命令本身能够检查/etc/sudoers文件本身的语法。<o:p></o:p>
/etc/sudoers文件每一行为一个条目，定义了谁在哪个主机上执行什么命令（从远程连接到本机执行的命令）。<o:p></o:p>
who  which_host=(runas)   command<o:p></o:p>
定义别的主机可以远程在本机执行的命令：<o:p></o:p>
root ALL=(all)    ALL<o:p></o:p>
即管理员可以以任意身份执行任意命令。<o:p></o:p>
为了方便管理sudo，提供别名的机制，类似定义了组，只不过sudo中应为别名。<o:p></o:p>
sudo支持4类别用：<o:p></o:p>
一是用户别名，一次定义一堆这样的用户拥有相同的权限。<o:p></o:p>
#who  user_alisa<o:p></o:p>
主机别名，定义一个主机组，可以在一堆主机上执行。<o:p></o:p>
#whitch_host   host_alisa<o:p></o:p>
runas，表示以哪个用户的身份执行。 runas_alias<o:p></o:p>
执行的命令：command  cmmd_alias<o:p></o:p>
别人定义遵循EBNF语法结构，EBNF是一种描述性的语言，这种描述性，这种描述性语言可以定义一个宏，它的取值可以是什么样的取值。<o:p></o:p>
无论是哪一种别名，我们在定义别名的时候，别名的名字全部都需要使用大写英文字母的组合。<o:p></o:p>
用户别名，一般来说可以包括当前系统上的用户。<o:p></o:p>
user_alias（关键字）<o:p></o:p>
除了可以定义用户，还可以定义组，在定义组的时候只需在组名前加百分号‘%’，  %组名<o:p></o:p>
用户别名中还可以包含已经定义好的用户别名，也就是别名可以嵌套。<o:p></o:p>
主机别名：可以加‘!’进行取反<o:p></o:p>
    主机名<o:p></o:p>
    IP地址<o:p></o:p>
    网络地址  掩码可以是255.255.255.0或者24，数字。<o:p></o:p>
    其他的主机别名（嵌套）。<o:p></o:p>
runas 别名，以那些用户的身份来执行命令。<o:p></o:p>
    可以是用户名<o:p></o:p>
    也可以是#uid<o:p></o:p>
    %grup<o:p></o:p>
    其他的runas别名。<o:p></o:p>
command别名  命令最后使用绝对路径<o:p></o:p>
    cmnd_alias<o:p></o:p>
    命令路径<o:p></o:p>
    目录（目录下的所有命令）<o:p></o:p>
其他已定义的命令别名。<o:p></o:p>
我们在执行sudo后的五分钟之内，不需要再次使用密码确认，所以其默认的时间为5分钟。<o:p></o:p>
sudo –k（小写）  下一次使用sudo会重新要求输入密码，即sudo只生效一次。<o:p></o:p>
sudo –l 列出当前用户所有可以使用的sudo类的命令。<o:p></o:p>
    -k  使认证信息仅当前有效。<o:p></o:p>
 作为管理员，我们也可以定义执行sudo命令，不需要输入密码确认，在命令前加上标签TAG:<o:p></o:p>
TAG: 使用冒号隔开<o:p></o:p>
标签中最为著名的为NOPASSWD，标签之后的所有命令的执行都不需要再输入密码确认，如果某个命令需要定义密码，将命令拿出来使用passwd定义标签,PASSWD:COMMAND<o:p></o:p>
如果我们有很多的命令，则完全可以进行别名的定义，将需要密码和不需要密码的命令进行区分，我们需要注意的是，PASSWD等标签不能再写入其中。<o:p></o:p>
在命令前加‘!’感叹号，表示不执行此命令，取反的优先级最高。<o:p></o:p>
我们要知道passwd命令很强大，如果passwd是以root身份运行，是可以修改root密码的，因此要将/usr/bin/passwd排除在外。<o:p></o:p>
!/usr/bin/passwd  感叹号为不允许执行，取反的优先级是最高的。<o:p></o:p>
sudo /usr/bin/passwd 不跟参数时默认为修改管理员的密码，sudo是以root的身份运行的，简单的取反是不能够完全阻止root密码的修改，因此/usr/bin/passwd后面必须要跟一个字符，格式如下：<o:p></o:p>
/usr/bin/passwd [A-Za-z]*,!/usr/bin/passwdroot  即允许/usr/bin/passwd的执行，但是必须要有参数，且参数不能为root<o:p></o:p>
任何用户使用sudo命令操作都会记录到日志当中。<o:p></o:p>

「一键投喂软糖/蛋糕/布丁/牛奶/冰阔乐！」