进程

    进程就是一段存储了一个指令集的内存空间
    相关命令:
        pstree:显示当前运行的进程树,按树状结构显示
            pstree -p:显示当前进程树,并显示所有进程的PID
        ps:显示当前进程的快照
            ps aux:详细显示当前运行的所有进程
            ps axo pid,ppid,comm,pcpu,pmum,user,group,ni,pri:打印进程的特定信息
            ps -eF:显示当前运行的所有进程,同ps aux
            ps -u root:显示root用户运行的进程
            ps -t pty/1:显示在pty/1终端运行的进程
        pidof:通过程序名查找进程PID
            pidof httpd:查看进程httpd的进程PID
            pidof -x /bin/bash:查看系统运行的bash脚本PID
        pgrep:通过程序名字匹配进程PID
            pgrep -l -u root:显示通过root运行的进程
            pgrep -l -t pty/1:显示通过pty/1运行的进程
            pgrep -l httpd:显示httpd运行的进程关PID
        top:是一种字符界面的系统进程动态监控程序
            top控制子命令:
                1:展开所有CPU,显示每一个CPU的信息
                t:关闭或者显示CPU的进度条
                m:关闭或者显示内存的进度条
                l:关闭或显示负载的相关信息
                P:按进程所占CPU比率排序
                M:按内在比例进行排序
                T:按运行时间进进行排序
            top -p PID:只显示指定的PID的进程的动态信息
        htop:和top类似
        glances:是一种跨平台的多窗口的显示工具
            glances -s -B 172.18.35.1 //启动服务端
            glances -c 172.18.35.1   //客户端连接服务端
        pmap:显示进程的内存位图
            pmap pidof sshd:显示sshd的内存位图
        vmstat:统计显示虚拟内存信息
            vmstat 1:每一秒刷新一下虚拟内存信息
        dstat:产生系统资源统计的一种通用工具
        kill:信号发射器
            -l:显示信号列表
            -n PID:对特定PID执行特定信号,n为数字
        pkill:杀死匹配到的特定进程
             pkill -u root:杀死所有root运行的进程
             pkill -t pts/1:杀死所有终端pts/1上运行的所有进程
        jobs:显示所台运行的程序
             jobs -p:显示进程号
        bg:将程序放入后台执行
             bg n:将后台暂停的进程n在后台运行
        fg:将后台的进程调入前台
        nohup:不以终端为基础执行程序
             nohup make &:终端断开不会停止编译

自动化任务:

crontab:
* * * * *
     第一星:表示分钟:每分钟执行可以表示为0-60 * * * *,每两分钟可以表示为0-60/2 * * * *
     每二星:表示小时:在每天的2:30执行表示为30 2 * * *,在每个小时执行一次1 0-23 * * *
     每三星:表不天:在每个月的3日2:20分执行20 2 3 * *
     第四星:表示月:在每年的3月1日0时1分执行1 0 1 MAR *
     每五星:表法周:在每周的五的2:20分执行20 2 * * fri
     秒级任务不支持,可以能过脚本实现

安全:

服务器遭到攻击后的处理过程：
            处理思路：
                切断网络：
                查找攻击源：
                    查看可疑程序
                分析入侵原因和途径：
                    查看入侵方式，如系统、程序漏洞，进行漏洞修复
                备份用户数据：
                    备份数据，查看数据中是否有攻击源
                重新安装系统：
                    防止攻击程序依附在内核中
                修复程序或者系统漏洞：
                恢复数据和网络：
            检查并锁定可疑用户：
                如果无法马上切断网络，那么需要查看是否有那些可疑用户正在登陆，锁定并踢出
                    passwd -l USERNAME      //锁定用户
                    ps -ef |grep @pts/3     //查看pid
                    kill -9 pid             //干掉它
                查看用户登陆事件：
                    last命令：
                查看系统日志：
                    /var/messages与/var/log/secure
                    .bash_history记录着所有历史命令
                检查并关闭系统可疑进程：
                    查看正在运行的PID进程：
                        pidof PROGRAM               //通过程序查看PID
                        fuser -n tcp/udp PORT       //通过端口号查看PID
                        ps -ef |grep pid            //通过pid查看
                    如果系统被rootkit入侵，那么所有的系统程序都可能已经被替换，是不可信的，这时需要借助第三方工具进行检查
                        chkrootkit          //检查不一定正确
                        RKHunter            //主要推举
                    检查文件系统的完整性
                        rpm -Va
                            S表示文件长度发生了变化
                            M表示文件的访问权限或文件类型发生了变化
                            5表示文件的MD5校验发生了变化
                            D表示设备节点的属性发生了变化
                            L表示文件的符号链接发生了变化
                            U表示owner发生了变化
                            G表示group发生了变化
                            T表示最后一次修改时间发生了变化
        注:如果发现有特殊进程的存在可以通过PID打到进程的启动文件
            ls -l /proc/PID/exe:这个是启动程序文件的软链接,可以清楚软链接指向的文件,然后再kill PID,防止后门复活