進程

    進程就是一段存儲了一個指令集的內存空間
    相關命令:
        pstree:顯示當前運行的進程樹,按樹狀結構顯示
            pstree -p:顯示當前進程樹,并顯示所有進程的PID
        ps:顯示當前進程的快照
            ps aux:詳細顯示當前運行的所有進程
            ps axo pid,ppid,comm,pcpu,pmum,user,group,ni,pri:打印進程的特定信息
            ps -eF:顯示當前運行的所有進程,同ps aux
            ps -u root:顯示root用戶運行的進程
            ps -t pty/1:顯示在pty/1終端運行的進程
        pidof:通過程序名查找進程PID
            pidof httpd:查看進程httpd的進程PID
            pidof -x /bin/bash:查看系統運行的bash腳本PID
        pgrep:通過程序名字匹配進程PID
            pgrep -l -u root:顯示通過root運行的進程
            pgrep -l -t pty/1:顯示通過pty/1運行的進程
            pgrep -l httpd:顯示httpd運行的進程關PID
        top:是一種字符界面的系統進程動態監控程序
            top控制子命令:
                1:展開所有CPU,顯示每一個CPU的信息
                t:關閉或者顯示CPU的進度條
                m:關閉或者顯示內存的進度條
                l:關閉或顯示負載的相關信息
                P:按進程所占CPU比率排序
                M:按內在比例進行排序
                T:按運行時間進進行排序
            top -p PID:只顯示指定的PID的進程的動態信息
        htop:和top類似
        glances:是一種跨平臺的多窗口的顯示工具
            glances -s -B 172.18.35.1 //啟動服務端
            glances -c 172.18.35.1   //客戶端連接服務端
        pmap:顯示進程的內存位圖
            pmap pidof sshd:顯示sshd的內存位圖
        vmstat:統計顯示虛擬內存信息
            vmstat 1:每一秒刷新一下虛擬內存信息
        dstat:產生系統資源統計的一種通用工具
        kill:信號發射器
            -l:顯示信號列表
            -n PID:對特定PID執行特定信號,n為數字
        pkill:殺死匹配到的特定進程
             pkill -u root:殺死所有root運行的進程
             pkill -t pts/1:殺死所有終端pts/1上運行的所有進程
        jobs:顯示所臺運行的程序
             jobs -p:顯示進程號
        bg:將程序放入后臺執行
             bg n:將后臺暫停的進程n在后臺運行
        fg:將后臺的進程調入前臺
        nohup:不以終端為基礎執行程序
             nohup make &:終端斷開不會停止編譯

自動化任務:

crontab:
* * * * *
     第一星:表示分鐘:每分鐘執行可以表示為0-60 * * * *,每兩分鐘可以表示為0-60/2 * * * *
     每二星:表示小時:在每天的2:30執行表示為30 2 * * *,在每個小時執行一次1 0-23 * * *
     每三星:表不天:在每個月的3日2:20分執行20 2 3 * *
     第四星:表示月:在每年的3月1日0時1分執行1 0 1 MAR *
     每五星:表法周:在每周的五的2:20分執行20 2 * * fri
     秒級任務不支持,可以能過腳本實現

安全:

服務器遭到攻擊后的處理過程：
            處理思路：
                切斷網絡：
                查找攻擊源：
                    查看可疑程序
                分析入侵原因和途徑：
                    查看入侵方式，如系統、程序漏洞，進行漏洞修復
                備份用戶數據：
                    備份數據，查看數據中是否有攻擊源
                重新安裝系統：
                    防止攻擊程序依附在內核中
                修復程序或者系統漏洞：
                恢復數據和網絡：
            檢查并鎖定可疑用戶：
                如果無法馬上切斷網絡，那么需要查看是否有那些可疑用戶正在登陸，鎖定并踢出
                    passwd -l USERNAME      //鎖定用戶
                    ps -ef |grep @pts/3     //查看pid
                    kill -9 pid             //干掉它
                查看用戶登陸事件：
                    last命令：
                查看系統日志：
                    /var/messages與/var/log/secure
                    .bash_history記錄著所有歷史命令
                檢查并關閉系統可疑進程：
                    查看正在運行的PID進程：
                        pidof PROGRAM               //通過程序查看PID
                        fuser -n tcp/udp PORT       //通過端口號查看PID
                        ps -ef |grep pid            //通過pid查看
                    如果系統被rootkit入侵，那么所有的系統程序都可能已經被替換，是不可信的，這時需要借助第三方工具進行檢查
                        chkrootkit          //檢查不一定正確
                        RKHunter            //主要推舉
                    檢查文件系統的完整性
                        rpm -Va
                            S表示文件長度發生了變化
                            M表示文件的訪問權限或文件類型發生了變化
                            5表示文件的MD5校驗發生了變化
                            D表示設備節點的屬性發生了變化
                            L表示文件的符號鏈接發生了變化
                            U表示owner發生了變化
                            G表示group發生了變化
                            T表示最后一次修改時間發生了變化
        注:如果發現有特殊進程的存在可以通過PID打到進程的啟動文件
            ls -l /proc/PID/exe:這個是啟動程序文件的軟鏈接,可以清楚軟鏈接指向的文件,然后再kill PID,防止后門復活