运维部落

CentOS下安装fail2ban防暴力破解工具：

前言：首先说说为什么笔者会想到写这篇博客，源于昨天下午，突然收到Nagios的报警邮件，说邮件服务器的进程数超过阀值。于是赶紧登录上去查看。

这里说下分析的过程：
1.既然说进程数超过阀值，肯定先查看进程：ps -ef；
2.如果不能即时看到问题，那就动态显示：top，看看究竟是哪个程序占用这么多进程；
3.最后确定了应该是courier-imap，但还不知道是什么原因导致；
4.查看ip连接，确认是否是其存在问题：netstat -ant，发现有大量的110连接；

5.既然是收信服务，那就赶紧追踪查看邮件日志：tail -f /var/log/maillog；
6.发现问题：日志里有大量的登录错误信息，发现是同一ip，并在用不同的用户名密码来暴力破解

7.稍等一会，确定目标IP后，将其ip的包丢弃：iptables -I INPUT -s 176.61.143.41 -j DROP #此ip为真实攻击ip，所以在此曝光
8.稍等一会，再次查看进程，进程数有明显下降，故障解决。

介于这种安全隐患的存在，我们以后可以利用fail2ban来实现防暴力破解，防止恶意攻击。
下面就来说说fail2ban具体是什么。
简介：
fail2ban可以监视你的系统日志，然后匹配日志的错误信息（正则式匹配）执行相应的屏蔽动作（一般情况下是调用防火墙屏蔽），如:当有人在试探你的SSH、SMTP、FTP密码，只要达到你预设的次数，fail2ban就会调用防火墙屏蔽这个IP，而且可以发送e-mail通知系统管理员，是一款很实用、很强大的软件！

功能和特性：
1、支持大量服务。如sshd,apache,qmail,proftpd,sasl等等
2、支持多种动作。如iptables,tcp-wrapper,shorewall(iptables第三方工具),mail notifications(邮件通知)等等。
3、在logpath选项中支持通配符
4、需要Gamin支持(注：Gamin是用于监视文件和目录是否更改的服务工具)
5、需要安装python,iptables,tcp-wrapper,shorewall,Gamin。如果想要发邮件，那必需安装postfix或sendmail
核心原理：
其实fail2ban就是用来监控，具体是调用iptables来实现动作！

好了，那下面来说说具体怎么安装、部署吧。
一、首先是服务安装
首先配置yum源，这里采用的是yum直接装（也可源码安装）
vim /etc/yum.repos.d/CentOS-Base.repo
在最后新增：
[atrpms]
name=Red Hat Enterprise Linux $releasever – $basearch – ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1
然后直接就yum装：yum -y install fail2ban
安装完成后，服务配置目录为：/etc/fail2ban
/etc/fail2ban/action.d #动作文件夹，内含默认文件。iptables以及mail等动作配置
/etc/fail2ban/fail2ban.conf #定义了fai2ban日志级别、日志位置及sock文件位置
/etc/fail2ban/filter.d #条件文件夹，内含默认文件。过滤日志关键内容设置
/etc/fail2ban/jail.conf #主要配置文件，模块化。主要设置启用ban动作的服务及动作阀值
/etc/rc.d/init.d/fail2ban #启动脚本文件

二、安装后配置
首先来看看日志文件的默认定义：
cat /etc/fail2ban/fail2ban.conf |grep -v ^#
[Definition]
loglevel = 3
logtarget = SYSLOG #我们需要做的就是把这行改成/var/log/fail2ban.log，方便用来记录日志信息
socket = /var/run/fail2ban/fail2ban.sock
再来看看主配置默认生效的配置：
cat /etc/fail2ban/jail.conf |grep -v ^# |less

[DEFAULT] #全局设置
ignoreip = 127.0.0.1 #忽略的IP列表,不受设置限制（白名单）
bantime = 600 #屏蔽时间，单位：秒
findtime = 600 #这个时间段内超过规定次数会被ban掉
maxretry = 3 #最大尝试次数
backend = auto #日志修改检测机制（gamin、polling和auto这三种）

[ssh-iptables] #针对各服务的检查配置，如设置bantime、findtime、maxretry和全局冲突，服务优先级大于全局设置
enabled = true #是否激活此项（true/false）
filter = sshd #过滤规则filter的名字，对应filter.d目录下的sshd.conf
action = iptables[name=SSH, port=ssh, protocol=tcp] #动作的相关参数
sendmail-whois[name=SSH, dest=root, sender=fail2ban@example.com] #触发报警的收件人
logpath = /var/log/secure #检测的系统的登陆日志文件
maxretry = 5 #最大尝试次数
PS：logpath(Centos5和Rhel5中)要写成/var/log/secure，这个是系统登陆日志，不能随意设置

service fail2ban start #启动服务即可（就用默认的主配置文件里定义的）
service iptables start #fail2ban依赖预iptables #之前改过日志路径，不行的话就再重启fail2ban
三、测试功能
测试机：192.168.30.251
fail2ban：192.168.29.253

在测试机上ssh 192.168.29.253，并且连续输入超过5次密码不对（经测试有延迟，多试几次），就会出现下图，连接不上

fail2ban上会产生日志记录：阻挡了此ip的续连

四、扩展说明
其实fail2ban的功能还是很丰富的，刚刚只是测试了它的防ssh暴力破解功能。
下面简单提下我用的一些功能：
本人是用在邮件服务器上，所以会监控pop、http等服务，具体配置见下（不做演示了）
[pop3]
enabled = true
filter = courierlogin
action = iptables[name=pop3, port=110, protocol=tcp]
logpath = /var/log/maillog
bantime = 1800
findtime = 300
maxretry = 30

[webmail]
enabled = true
filter = webmail
action = iptables[name=httpd, port=http, protocol=tcp]
logpath = /var/log/maillog
bantime = 900
findtime = 300
maxretry = 5

好了，就先到这里吧！

2014年的4月注定不是个安稳的月份。经网络大报出ssh及ssl漏洞后。请大家放心：我司的云架构之前使用 OpenSSL 1.0.0 版本，现在已经升级到 OpenSSL 1.0.1g。这两个分支版不受本次漏洞影响。

此外，我们的云架构底层防火墙还专门针对 SSL 的默认端口做了底层加固，过滤tcp22和443端口的数据包，匹配包头为攻击类型的数据包则丢弃。

因此，只要您的云主机仍然在使用 SSL 协议的默认端口，即使有的云主机上有 SSL 漏洞，也不会受到很大影响。

如果您修改了 SSL 协议的默认端口，或是有其他平台上的云主机或是物理服务器，我们建议您可以通过以下地址检测这些主机上的网站：

http://possible.lv/tools/hb/

如果检测出问题，您可以这样修复。

针对 Debian 和 Ubuntu 系统：
# apt-get update
# apt-get install openssl libssl1.0.0

针对CentOS:
# yum update openssl

如果您使用的是openSUSE:
# zypper in -t patch openSUSE-2014-277

修复完成后，必须要重新 Web 服务：
重启 Apache： # /etc/init.d/apache2 restart
重启 Nginx： # /etc/init.d/ngnix restart
重启 Httpd: # /etc/init.d/httpd restart

这样就可以了。

如果有任何与安全相关的问题，欢迎您联系我们的客服工程师。

我们平时在windows的网卡中绑定ip地址相当方便要一个个输入或是用命令绑定，方法请详见之前的文章：windows 批量添加IP的方法
Linux这么批量添加IP？Centos如何快速绑定多个IP？正常我们知道的方式是建立多个网卡的别名如eth0:0或eth0:1等等。但这样有一个问题，就是太过麻烦。如果要绑定100个或是200多个ip地址，会建立文件建立到手软。可否做到一个配置文件即可？答案是肯定的。
linux也是很人性化的。比如我们有时客户需要增加多个ip地址。如1个c段256个ip地址。那么我们按以下办法操作即可：

可以在/etc/sysconfig/network-scripts下创建一个range文件
在ssh下打入命令： vi /etc/sysconfig/network-scripts/ifcfg-eth0-range0

1
2
3
4
5
6
7
8
9

DEVICE=eth0
ONBOOT=yes
BOOTPROTO=static
IPADDR_START=10.0.0.111
IPADDR_END=10.0.0.119
CLONENUM_START=0
GATEWAY=10.0.0.1
NETMASK=255.255.255.000
NO_ALIASROUTING=yes

其中：
IPADDR_START 是起始IP地址，
IPADDR_END 是结束IP地址，
CLONENUM_START 是起始IP别名网卡名（本例中是 eth0:0）
然后重启网络服务让IP生效： service network restart

netmask 子网掩码 参考表：
/29 (5 usable) NETMASK = 255.255.255.248
/28 (13 usable) NETMASK = 255.255.255.240
/27 (29 usable) NETMASK = 255.255.255.224
/26 (61 usable) NETMASK = 255.255.255.192
/25 (125 usable) NETMASK = 255.255.255.128
/24 (253 usable) NETMASK = 255.255.255.0

本例在linux centos各版本中测试通过。

在linux环境系统下，经常我们在用软件查看网卡流量的时候分不太清楚tx和rx的分别。
其实正常来解释：
tx是发送（transport），rx是接收(receive)。以debain系统为例子。比如你的外网网卡，wan,rx是wan接受ISP的传输数据， 即下载速度。wan的tx,是工作站经ros wan网卡向isp上传的速度，既上传速度。内网网卡lan的rx，应该是ros接受来之内网工作站的上传，既是上传速度。tx是lan网卡传给工作站的速度，即工作站经内网网卡下载的速度 （debain）。tx rx 每个版本都不一样的。而且相对于外网和内网的解释又是相反的你就记住一般RX外网指的是下载，TX指的是上传而内网相反就行了
下例是我们使用bwm-ng软件查看的相关网卡的流量情况。

tap150i0等网卡显示的 Rx和Tx 就是表示 : Rx 出流量 Tx 进流量 上面eth0相反。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29

 bwm-ng v0.6 (probing every 0.500s), press 'h' for help
  input: /proc/net/dev type: rate
  |         iface                   Rx                   Tx                Total
  ==============================================================================
               lo:          33.96 Kb/s           33.96 Kb/s           67.92 Kb/s
             eth0:        4734.80 Kb/s         4469.48 Kb/s         9204.28 Kb/s
            vmbr0:          37.96 Kb/s           60.48 Kb/s           98.43 Kb/s
           venet0:           0.00 Kb/s            0.00 Kb/s            0.00 Kb/s
         tap150i0:           8.92 Kb/s            8.08 Kb/s           16.99 Kb/s
         tap108i0:           0.00 Kb/s            0.00 Kb/s            0.00 Kb/s
         tap102i0:           0.00 Kb/s            0.00 Kb/s            0.00 Kb/s
         tap107i0:          10.29 Kb/s           12.34 Kb/s           22.63 Kb/s
         tap101i0:         149.11 Kb/s          147.53 Kb/s          296.64 Kb/s
         tap117i0:           0.00 Kb/s            0.00 Kb/s            0.00 Kb/s
         tap118i0:         114.99 Kb/s          136.64 Kb/s          251.63 Kb/s
         tap155i0:           0.00 Kb/s            0.00 Kb/s            0.00 Kb/s
         tap120i0:           0.00 Kb/s            0.00 Kb/s            0.00 Kb/s
         tap121i0:           0.00 Kb/s            0.00 Kb/s            0.00 Kb/s
         tap116i0:           0.00 Kb/s            0.00 Kb/s            0.00 Kb/s
         tap113i0:        1519.50 Kb/s         1403.32 Kb/s         2922.82 Kb/s
         tap112i0:         565.15 Kb/s          566.64 Kb/s         1131.79 Kb/s
         tap149i0:           0.00 Kb/s            0.00 Kb/s            0.00 Kb/s
         tap119i0:           0.00 Kb/s            0.00 Kb/s            0.00 Kb/s
         tap160i0:           0.00 Kb/s            0.00 Kb/s            0.00 Kb/s
         tap100i0:         678.86 Kb/s          636.36 Kb/s         1315.22 Kb/s
         tap103i0:        1282.07 Kb/s         1263.13 Kb/s         2545.21 Kb/s
         tap128i0:          79.09 Kb/s           83.12 Kb/s          162.21 Kb/s
  ------------------------------------------------------------------------------
            total:        9214.69 Kb/s         8821.09 Kb/s        18035.78 Kb/s

今天在服务器上执行远程操作命令出现以下的问题:

1
2
3
4
5
6
7
8
9
10
11
12
13
14

[root@www ~]# ssh 192.168.1.**
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
3c:2a:3a:d5:ae:2b:76:52:*:*.
Please contact your system administrator.
Add correct host key in /root/.ssh/known_hosts to get rid of this message.
Offending key in /root/.ssh/known_hosts:20
RSA host key for 192.168.1.** has changed and you have requested strict checking.
Host key verification failed.

解决方法:
在正在操作的机器上执行

1

vi ~/.ssh/known_hosts

进入此目录，删除的192.168.1.**相关rsa的信息即可.
或者删除这个文件

1
2

cd ~/.ssh/
rm known_hosts

1. scp断点续传
scp一旦出错中断就只能重新开始，不过可以利用rsync实现scp的断点续传
1、在~/.bashrc中加入一个alias：
$vim ~/.bashrc
alias rscp=’rsync -v -P -e ssh’
2、重新载入.bashrc配置
$source ~/.bashrc

2. wget自动断点续传的方法
有时候我们使用wget下载东西被迫打断, 比如网络故障, 终端意外断开, 忘了加”&”放入该台等等.
沉稳的人或许会想到重新开启wget, 并使用 -c断点续传, 可是有时候, 因为N个g的东西突然断了, 一冲动就晕了, 就纠结了, 可能就会就重新跑wget了, 甚至截止到本文还有人不知道-c.
那么为了杯具不再发生, 我们可以让wget每次运行的时候自动加上 -c参数, 那样就万事大吉了嘛. 方法如下：
在家目录下新建文件”.wgetrc”, 内容如下:
continue = on
写入wget.sh后，可以这样同时下载多个文件：
1.nohup wget http://www.vps12.com/software/db_must.tar.gz &
2.nohup wget http://www.vps12.com/software/root_must.tar.gz &
3.nohup wget http://www.vps12.com/software/webserver_must.tar.gz &
如果想不用IP，但有两个相同的域名，则需要配置/etc/hosts加和IP对应的域名，再Wget即可。
保存退出, 以后再使用wget就会自动断点续传了。

解决ubuntu中vi不能正常使用方向键与退格键的问题

方案一：
问题：
ubuntu中vi在编辑状态下方向键不能用，还有回格键不能删除等我们平时习惯的一些键都不能使用。

解决办法：
可以安装vim full版本，在full版本下键盘正常，安装好后同样使用vi命令。
安装vim：
ubuntu预装的是vim tiny版本，而需要的是vim full版本。执行下面的语句安装vim full版本：
$sudo apt-get remove vim-common
$sudo apt-get install vim
这样就行了，vim是一款优秀的软件，可以在运用中体会到。

方案二：
在vi命令行使用命令“：set nocompatible”，就是设置vi不使用兼容模式。

ubuntu11.10下的VI命令：
vi 有三种模式，输入模式，编辑模式，“：”命令模式
vi 进入以后默认是编辑模式
vi 编辑模式默认的快捷键 上下左右分别是 J K H L
vi 在编辑模式使用 i 可以进入输入模式
vi 输入模式只能输入英文，默认不能使用上下左右箭头
vi 输入模式用Esc可以返回到编辑模式
vi 编辑模式 Shift + ; 可以进入命令模式
vi 命令模式w保存，q退出

1）对所有用户都有效,解决系统中所用用户的vi中文乱码问题

sudo gedit /etc/vim/vimrc.tiny

加入如下内容：

#该文件的内容显示如下：

” Encoding related

set encoding=UTF-8

set langmenu=zh_CN.UTF-8

language message zh_CN.UTF-8

set fileencodings=ucs-bom,utf-8,cp936,gb18030,big5,euc-jp,euc-kr,latin1

set fileencoding=utf-8
2)只对当前用户有效的解决方法

ubuntu默认在当前用户的家目录下，没有.vimrc文件，这个时候可以自己touch一个.vimrc文件，且在其中加入 www.2cto.com

#该文件的内容显示如下：

” Encoding related

set encoding=UTF-8

set langmenu=zh_CN.UTF-8

language message zh_CN.UTF-8

set fileencodings=ucs-bom,utf-8,cp936,gb18030,big5,euc-jp,euc-kr,latin1

set fileencoding=utf-8

Linux的各大发行版，都有些不必要的服务被默认开启了，针对ubuntu，我们可以采用选择性关闭的方法加速起动，提高系统性能。

centos使用ntsys那么ubuntu我们这样：

我们安装一个软件：

1

sudo apt-get install sysv-rc-conf

然后运行：

1

sudo sysv-rc-conf

TOP是一个动态显示过程,即可以通过用户按键来不断刷新当前状态.如果在前台执行该命令,它将独占前台,直到用户终止该程序为止.比较准确的说,top命令提供了实时的对系统处理器的状态监视.它将显示系统中CPU最“敏感”的任务列表.该命令可以按CPU使用.内存使用和执行时间对任务进行排序；而且该命令的很多特性都可以通过交互式命令或者在个人定制文件中进行设定.

top – 12:38:33 up 50 days, 23:15,  7 users,  load average: 60.58, 61.14, 61.22

Tasks: 203 total,  60 running, 139 sleeping,   4 stopped,   0 zombie

Cpu(s)  : 27.0%us, 73.0%sy,  0.0%ni,  0.0%id,  0.0%wa,  0.0%hi,  0.0%si,  0.0%st

Mem:   1939780k total,  1375280k used,   564500k free,   109680k buffers

Swap:  4401800k total,   497456k used,  3904344k free,   848712k cached

PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND

4338 oracle    25   0  627m 209m 207m R    0 11.0 297:14.76 oracle

4267 oracle    25   0  626m 144m 143m R    6  7.6  89:16.62 oracle

3458 oracle    25   0  672m 133m 124m R    0  7.1   1283:08 oracle

3478 oracle    25   0  672m 124m 115m R    0  6.6   1272:30 oracle

3395 oracle    25   0  672m 122m 113m R    0  6.5   1270:03 oracle

3480 oracle    25   0  672m 122m 109m R    8  6.4   1274:13 oracle

3399 oracle    25   0  672m 121m 110m R    0  6.4   1279:37 oracle

4261 oracle    25   0  634m 100m  99m R    0  5.3  86:13.90 oracle

25737 oracle    25   0  632m  81m  74m R    0  4.3 272:35.42 oracle

7072 oracle    25   0  626m  72m  71m R    0  3.8   6:35.68 oracle

16073 oracle    25   0  630m  68m  63m R    8  3.6 175:20.36 oracle

16140 oracle    25   0  630m  66m  60m R    0  3.5 175:13.42 oracle

16122 oracle    25   0  630m  66m  60m R    0  3.5 176:47.73 oracle

786 oracle    25   0  627m  63m  63m R    0  3.4   1:54.93 oracle

4271 oracle    25   0  627m  59m  58m R    8  3.1  86:09.64 oracle

4273 oracle    25   0  627m  57m  56m R    8  3.0  84:38.20 oracle

22670 oracle    25   0  626m  50m  49m R    0  2.7  84:55.82 oracle

一.  TOP前五行统计信息

统计信息区前五行是系统整体的统计信息。

1. 第一行是任务队列信息

同 uptime  命令的执行结果:

[root@localhost ~]# uptime

13:22:30 up 8 min,  4 users,  load average: 0.14, 0.38, 0.25

其内容如下：

2. 第二、三行为进程和CPU的信息

当有多个CPU时，这些内容可能会超过两行。内容如下：

3. 第四五行为内存信息。

内容如下：

二.  进程信息

top 的man 命令解释如下：

Listed below are top’s available fields.  They are always associated with the  letter  shown,  regardless  of the position you may have established for them with the ’o’ (Order fields) interactive command.Any field is selectable as the sort field, and you control whether they are  sorted high-to-low  or  low-to-high.   For  additional  information on sort provisions see  topic 3c. TASK Area Commands.

a: PID  –  Process Id

The task’s unique process ID, which periodically wraps, though never  restarting at zero.

b: PPID  –  Parent Process Pid

The process ID of a task’s parent.

c: RUSER  –  Real User Name

The real user name of the task’s owner.

d: UID  –  User Id

The effective user ID of the task’s owner.

e: USER  –  User Name

The effective user name of the task’s owner.

f: GROUP  –  Group Name

The effective group name of the task’s owner.

g: TTY  –  Controlling Tty

The  name of the controlling terminal.  This is usually the device (serial port, pty, etc.) from which the process was started, and which it uses  for  input  oroutput.   However,  a task need not be associated with a terminal, in which case you’ll see ‘?’ displayed.

h: PR  –  Priority

The priority of the task.

i: NI  –  Nice value

The nice value of the task.   A  negative  nice  value  means  higher  priority, whereas  a  positive nice value means lower priority.  Zero in this field simply means priority will not be adjusted in determining a task’s dispatchability.

j: P  –  Last used CPU (SMP)

A number representing the last used processor.  In a true SMP  environment  this will likely change frequently since the kernel intentionally uses weak affinity. Also, the very act of running top may break this weak affinity  and  cause  more processes  to change CPUs more often (because of the extra demand for cpu time).

k: %CPU  –  CPU usage

The task’s share of the elapsed CPU time since the last screen update, expressed as a percentage of total CPU time.  In a true SMP environment, if ‘Irix mode’ is Off, top will operate in ‘Solaris mode’ where a task’s cpu usage will be divided by  the  total  number  of  CPUs.   You toggle ‘Irix/Solaris’ modes with the ‘I’ interactive command.

l: TIME  –  CPU Time

Total CPU time the task has used since it started.  When  ’Cumulative  mode’  is On,  each  process is listed with the cpu time that it and its dead children has used.  You toggle ‘Cumulative mode’ with ‘S’, which is a command-line option and an interactive command.  See the ‘S’ interactive command for additional information regarding this mode.

m: TIME+  –  CPU Time, hundredths

The same as ‘TIME’, but reflecting more granularity through hundredths of a sec          ond.

n: %MEM  –  Memory usage (RES)

A task’s currently used share of available physical memory.

o: VIRT  –  Virtual Image (kb)

The total amount of virtual memory used by the task.  It includes all code, data and shared libraries plus pages that have  been  swapped  out.  (Note:  you  can define  the STATSIZE=1 environment variable and the VIRT will be calculated from the /proc/#/state VmSize field.)

VIRT = SWAP + RES.

p: SWAP  –  Swapped size (kb)

The swapped out portion of a task’s total virtual memory image.

q: RES  –  Resident size (kb)

The non-swapped physical memory a task has used.

RES = CODE + DATA.

r: CODE  –  Code size (kb)

The amount of physical memory devoted to executable  code,  also  known  as  the’text resident set’ size or TRS.

s: DATA  –  Data+Stack size (kb)

The  amount of physical memory devoted to other than executable code, also known the ‘data resident set’ size or DRS.

t: SHR  –  Shared Mem size (kb)

The amount of shared memory used by a task.   It  simply  reflects  memory  that could be potentially shared with other processes.

u: nFLT  –  Page Fault count

The  number  of  major  page faults that have occurred for a task.  A page fault occurs when a process attempts to read from or write to a virtual page  that  is not  currently  present  in  its address space.  A major page fault is when disk access is involved in making that page available.

v: nDRT  –  Dirty Pages count

The number of pages that have been modified since  they  were  last  written  to disk.   Dirty  pages  must  be written to disk before the corresponding physical memory location can be used for some other virtual page.

w: S  –  Process Status

The status of the task which can be one of:

‘D’ = uninterruptible sleep

‘R’ = running

‘S’ = sleeping

‘T’ = traced or stopped

‘Z’ = zombie

Tasks shown as running should be more properly thought of as ‘ready to run’  –their  task_struct is simply represented on the Linux run-queue.  Even without a true SMP machine, you may see numerous tasks in this state  depending  on  top’s delay interval and nice value.

x: Command  –  Command line or Program name

Display the command line used to start a task or the name of the associated program.  You toggle between command line and name with ‘c’, which is both  a  command-line option and an interactive command. When  you’ve  chosen  to display command lines, processes without a command line (like kernel threads) will be shown with only the program name  in  parentheses, as in this example:                ( mdrecoveryd ) Either  form  of  display is subject to potential truncation if it’s too long to fit in this field’s  current  width.   That  width  depends  upon  other  fields  selected, their order and the current screen width.

Note: The ‘Command’ field/column is unique, in that it is not fixed-width.  When displayed, this column will be allocated all remaining screen width (up  to  the maximum  512  characters)  to  provide for the potential growth of program names into command lines.

y: WCHAN  –  Sleeping in Function

Depending on the availability of the kernel link map (‘System.map’), this  field will  show  the  name or the address of the kernel function in which the task is currently sleeping.  Running tasks will display a dash (‘-’) in this column.

Note: By displaying this field, top’s own working set will be increased by  over 700Kb.   Your  only  means of reducing that overhead will be to stop and restart          top.

z: Flags  –  Task Flags

This column represents the task’s current scheduling flags which  are  expressed in  hexadecimal  notation and with zeros suppressed.  These flags are officially documented in <linux/sched.h>.  Less formal documentation can also be  found  on the ‘Fields select’ and ‘Order fields’ screens.

默认情况下仅显示比较重要的  PID、USER、PR、NI、VIRT、RES、SHR、S、%CPU、%MEM、TIME+、COMMAND  列。

2.1 用快捷键更改显示内容。
（1）更改显示内容通过 f键可以选择显示的内容。

按 f 键之后会显示列的列表，按 a-z  即可显示或隐藏对应的列，最后按回车键确定。

（2）按o键可以改变列的显示顺序。

按小写的 a-z 可以将相应的列向右移动，而大写的 A-Z  可以将相应的列向左移动。最后按回车键确定。

按大写的 F 或 O 键，然后按 a-z 可以将进程按照相应的列进行排序。而大写的  R 键可以将当前的排序倒转。

设置完按回车返回界面。

三.  命令使用

详细内容可以参考MAN 帮助文档。这里列举部分内容：

命令格式：

top [-] [d] [p] [q] [c] [C] [S]    [n]

参数说明：

d：  指定每两次屏幕信息刷新之间的时间间隔。当然用户可以使用s交互命令来改变之。

p：  通过指定监控进程ID来仅仅监控某个进程的状态。

q：该选项将使top没有任何延迟的进行刷新。如果调用程序有超级用户权限，那么top将以尽可能高的优先级运行。

S： 指定累计模式

s ： 使top命令在安全模式中运行。这将去除交互命令所带来的潜在危险。

i：  使top不显示任何闲置或者僵死进程。

c：  显示整个命令行而不只是显示命令名

在top命令的显示窗口，我们还可以输入以下字母，进行一些交互：

帮助文档如下：

Help for Interactive Commands – procps version 3.2.7

Window 1:Def: Cumulative mode Off.  System: Delay 4.0 secs; Secure mode Off.

Z,B       Global: ‘Z’ change color mappings; ‘B’ disable/enable bold

l,t,m     Toggle Summaries: ‘l’ load avg; ‘t’ task/cpu stats; ‘m’ mem info

1,I       Toggle SMP view: ’1′ single/separate states; ‘I’ Irix/Solaris mode

f,o     . Fields/Columns: ‘f’ add or remove; ‘o’ change display order

F or O  . Select sort field

<,>     . Move sort field: ‘<’ next col left; ‘>’ next col right

R,H     . Toggle: ‘R’ normal/reverse sort; ‘H’ show threads

c,i,S   . Toggle: ‘c’ cmd name/line; ‘i’ idle tasks; ‘S’ cumulative time

x,y     . Toggle highlights: ‘x’ sort field; ‘y’ running tasks

z,b     . Toggle: ‘z’ color/mono; ‘b’ bold/reverse (only if ‘x’ or ‘y’)

u       . Show specific user only

n or #  . Set maximum tasks displayed

k,r       Manipulate tasks: ‘k’ kill; ‘r’ renice

d or s    Set update interval

W         Write configuration file

q         Quit

( commands shown with ‘.’ require a visible task display window )

Press ‘h’ or ‘?’ for help with Windows,

h或者?  : 显示帮助画面，给出一些简短的命令总结说明。

k  ：终止一个进程。系统将提示用户输入需要终止的进程PID，以及需要发送给该进程什么样的信号。一般的终止进程可以使用15信号；如果不能正常结束那就使用信号9强制结束该进程。默认值是信号15。在安全模式中此命令被屏蔽。

i：忽略闲置和僵死进程。这是一个开关式命令。

q：  退出程序。

r：  重新安排一个进程的优先级别。系统提示用户输入需要改变的进程PID以及需要设置的进程优先级值。输入一个正值将使优先级降低，反之则可以使该进程拥有更高的优先权。默认值是10。

S：切换到累计模式。

s :  改变两次刷新之间的延迟时间。系统将提示用户输入新的时间，单位为s。如果有小数，就换算成ms。输入0值则系统将不断刷新，默认值是5 s。需要注意的是如果设置太小的时间，很可能会引起不断刷新，从而根本来不及看清显示的情况，而且系统负载也会大大增加。

f或者F :从当前显示中添加或者删除项目。

o或者O  :改变显示项目的顺序。

l: 切换显示平均负载和启动时间信息。即显示影藏第一行

m： 切换显示内存信息。即显示影藏内存行

t ： 切换显示进程和CPU状态信息。即显示影藏CPU行

c：  切换显示命令名称和完整命令行。 显示完整的命令。 这个功能很有用。

M ： 根据驻留内存大小进行排序。

P：根据CPU使用百分比大小进行排序。

T： 根据时间/累计时间进行排序。

W：  将当前设置写入~/.toprc文件中。这是写top配置文件的推荐方法。

crontab 是linux下的计划任务服务程序。有时我们需要定时做一些备份之类的需要使用到。最简化安装时有时未安装上。我们用yum来完成安装。

1、安装

1
2

yum -y install vixie-cron
yum -y install crontabs

2、启动

1
2
3

service crond restart
Stopping crond:                                            [  OK  ]
Starting crond:                                            [  OK  ]

启动成功说明安装完毕。