服务器磁盘管理（分区和挂载）

以ext4文件系统为例，设计的时候分为4个部分

由于 ls -l 获取的是i节点记录的数据使用的数据块个数，而 du 则是通过i节点获取实际大小, 所以 ls -l 和 du 显示的数据大小不同。

RAID全称是Redundant Array of Independent Disks，也就是磁盘阵列，通过整合多块硬盘从而提升服务器数据的安全性，以及提高数据处理时的I/O性能。

RAID目前常用的是RAID5, 至少需要3块硬盘，其中一块硬盘用于奇偶校验，保证数据安全，其余硬盘同时读写，提高性能。此外，你还需要知道最原始的是RAID0，同时将数据读写到所有硬盘里，速度就变成了原来的N倍。RAID1至少需要两块盘，其中一块硬盘是另外硬盘的镜像。它不提高读写效率，只提高了数据安全性。RAID10是RAID0和RAID1的组合。

目前的服务器都配备了硬件RAID卡，因此在为服务器增加或更换硬盘时，需要 格外注意 ，

fdisk只能对不多于2TB的硬盘进行分区

假如你的硬盘大于2TB，那么会输出如下信息

提示信息中的警告中，就建议"Use parted(1) and GUID partition table format (GPT)"

因此，对于大于2TB的硬盘就需要用 parted 进行分区

输出信息如下

创建新的GPT标签，例如

设置单位

创建分区, 比如我将原来的10T分成2TB和8TB

查看分区表

输出如下

退出

此时会提示"Information: You may need to update /etc/fstab" /etc/fstab 用于设置开机硬盘自动挂载。如果硬盘被拔走了，而 /etc/fstab 没有修改，那么会就提示进行修复模式。

在挂载硬盘之前，需要先对磁盘进行格式化。使用的命令为 mkfs , 使用 -t 指定文件系统，或者用 mkfsxxx ，其中xxx就是对应的文件系统。文件系统有如下几类

目前最流行的是ext4和xfs，足够稳定。其中xfs是CentOS7之后的默认文件系统。

之后用 mount 进行硬盘挂载，分别两种情况考虑

一种是新建一个文件路径，进行挂载。

另一种是挂载一个已有目录，比如说临时文件目录 /tmp 挂载到新的设备中。

第一步: 新建一个挂载点，将原有数据移动到该目录下

第二步: 删除原来的 /tmp 下内容

第三步: 重新挂载

和mount相关的文件如下

此外mount在挂载的时候还可以设置文件系统参数，例如是否支持磁盘配额，对应 -o 参数

第零步: 检查服务器是否具备RAID阵列卡，如果有，则需要先为硬盘做RAID。

第一步: 使用 fdisk -l 检查硬盘是否能被系统检测到

第二步(可选): 假如需要 硬盘分区 ，则用 fdisk/gdisk/parted 对硬盘划分磁盘

第三步: 使用mkfs进行磁盘 格式化 ，有如下几种可选，

第四步: 用mkdir新建一个目录，然后用mount将格式化的硬盘挂载到指定目录下。卸载硬盘，则是 umout

第五步: 修改 /etc/fstab 将硬盘在重启的时候自动挂载。 注意 : 如果硬盘不在了，则需要将对应行注释掉，否则会进入到emergency模式。

版权声明 ：本博客所有文章除特别声明外，均采用 知识共享署名-非商业性使用-禁止演绎 40 国际许可协议 (CC BY-NC-ND 40) 进行许可。

以下几种方法检测linux服务器是否被攻击：

1、检查系统密码文件

首先从明显的入手，查看一下passwd文件，ls –l /etc/passwd查看文件修改的日期。

2、查看一下进程，看看有没有奇怪的进程

重点查看进程：ps –aef | grep inetd inetd是UNIX系统的守护进程，正常的inetd的pid都比较靠前，如果看到输出了一个类似inetd –s

/tmp/xxx之类的进程，着重看inetd

–s后面的内容。在正常情况下，LINUX系统中的inetd服务后面是没有-s参数的，当然也没有用inetd去启动某个文件；而solaris系统中

也仅仅是inetd

–s，同样没有用inetd去启动某个特定的文件；如果使用ps命令看到inetd启动了某个文件，而自己又没有用inetd启动这个文件，那就说明已经有人入侵了系统，并且以root权限起了一个简单的后门。

3、检查系统守护进程

检查/etc/inetdconf文件，输入：cat /etc/inetdconf | grep –v “^#”，输出的信息就是这台机器所开启的远程服务。

一般入侵者可以通过直接替换inxxx程序来创建一个后门，比如用/bin/sh 替换掉intelnetd，然后重新启动inetd服务，那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell。

4、检查网络连接和监听端口

输入netstat -an，列出本机所有的连接和监听的端口，查看有没有非法连接。

输入netstat –rn，查看本机的路由、网关设置是否正确。

输入 ifconfig –a，查看网卡设置。

5、检查系统日志

命令last |

more查看在正常情况下登录到本机的所有用户的历史记录。但last命令依赖于syslog进程，这已经成为入侵者攻击的重要目标。入侵者通常会停止系

统的syslog，查看系统syslog进程的情况，判断syslog上次启动的时间是否正常，因为syslog是以root身份执行的，如果发现

syslog被非法动过，那说明有重大的入侵事件。

在linux下输入ls –al /var/log

检查wtmp utmp，包括messgae等文件的完整性和修改时间是否正常，这也是手工擦除入侵痕迹的一种方法。

6、检查系统中的core文件

通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵方法，典型的RPC攻击就是通过这种方式。这种方式有一定的成功率，也就是说并不能

100%保证成功入侵系统，而且通常会在服务器相应目录下产生core文件，全局查找系统中的core文件，输入find / -name core

–exec ls –l {} \; 依据core所在的目录、查询core文件来判断是否有入侵行为。

7、检查系统文件完整性

检查文件的完整性有多种方法，通常通过输入ls –l

文件名来查询和比较文件，这种方法虽然简单，但还是有一定的实用性。但是如果ls文件都已经被替换了就比较麻烦。在LINUX下可以用rpm –V

`rpm –qf 文件名`

来查询，查询的结果是否正常来判断文件是否完整。在LINUX下使用rpm来检查文件的完整性的方法也很多，这里不一一赘述，可以man

rpm来获得更多的格式。