首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>系统安全>文章内容
Linux紧急情况处理方法(中级)
来源:www.chinaunix.com 作者:HonestQiao 发布时间:2004-11-22  

Linux紧急情况处理方法(中级)
作者:HonestQiao

1.使用急救盘组进行维护

  急救盘组(也称为boot/root盘组),是系统管理员必不可少的工具。用它可以独立地启动和运行一个完整的Linux系统。实际上,急救盘组中的第2张盘上就有一个完整的Linux系统,包括root文件系统;而第1张盘则存放了可启动的内核。
使用急救盘组维护系统很简单。只需用这两张盘启动系统后,进入急救模式,这时使用的是root账户。
为了能访问硬盘上的文件,需要手工安装硬盘文件系统。例如,用下面的命令可在/mnt目录中安装/dev/hda2盘上的ext2fs类型的Linux文件系统:
# monut -t ext2/dev/hda2/mnt
注:现在根目录是急救盘上的根目录。为了访问硬盘文件系统中的文件,必须先把它安装到某个目录下。这样,如果将硬盘上文件系统安装在/mmt目录下,则硬盘上原来的/etc/passwd文件的路径就是
/mnt/etc/passwd。

2、文件系统被破坏时的处理方法

当文件系统被破坏时,如果使用的是ext2fs类型的文件系统,就可从软盘运e2fsck命令来修正文件系 统中被损坏的数据。对于其他类型的文件系统,可以使用相应的fsck命令。 当从软盘上检查文件系统时,最好不要mount安装。
注:文件系统被破坏的常见原因是超级块被损坏,超级块是文件系统的“头部”。它包含文件系统的 状态、尺寸和空闲磁盘块等信息。如果损坏了一个文件系统的超级块(例如不小心直接将数据写到了 文件系统的超级块分区中),那么系统可能会完全不识别该文件系统,这样也就不能安装它了,即使 采用e2fsck命令也不能处理这个问题。
不过,ext2fs类型的文件系统将超级块的内容进行了备份,并存放于驱动程序的块组(block group) 边界。可以用如下的命令通知e2fsck使用超级块的备份
# e2fsck -b 8193
是指文件系统所在的分区,-b 8193选项用于显示使用存放在文件系统中的8193块的超级块的备份数据。

3、恢复丢失的文件

如果不小心删除了重要的文件,那么没有办法直接恢复。但是还可以将相应的文件从急救盘复制到硬盘 上。例如,如果删除了文件/bin/login,此时系统无法正常进到登录界面,可以用急救盘组启动系统, 将硬盘文件系统安装到/mnt目录下,然后使用下述命令:   
#cp -a /bin/login /mnt/bin
“-a”选项用于告诉cp在拷贝时保持文件的访问权限。 当然如果被删除的基本文件不在“急救盘组”中, 也就不能用这种方法了。如果以前做过系统备份的话,那么也可以用以前的备份来恢复。

4.函数库破坏时的处理方法

如果不小心将系统函数库文件破坏了,或者破坏了/lib目录下符号链接,那么将导致依赖这些库的命令无 法执行。最简单的解决办法是用急救盘组启动系统,在/mnt目录中安装硬盘文件系统,然后修复/mnt/lib 目录下的库。

5、无法用root账号登录系统

由于系统管理员的疏忽,或者由于系统受到黑客的入侵,系统管理员可能无法用root帐号登录系统。   
对于第1种情况,可能是系统管理员忘记了root密码,用急救盘组就可以解决问题。
对于第2种情况,由于很可能是密码被黑客修改了,因此系统管理员无法进入系统,也就是说,Linux系统 完全失去了控制,因此应尽快重新获得系统的控制权。在取得 root权限后,还应检查系统被破坏的情况, 以防被黑客再次入侵。
需要做的最主要的工作就是重新设置root的密码,获得Linux操作系统的控制权。首先用急救盘组启动系统, 然后将硬盘的文件系统安装到/mnt目录下,编辑/mnt/etc/passwd文件,将其对应于root账户的一行加密口 令域置空,如下所示:
root::0:0:root:/root:bin/bash
注:如果系统使用 shadow工具,就需要对文件/etc/shadow进行上述的操作,使root登录系统不需要口令。 这样,root账户就没有口令了。当重新从硬盘启动Linux系统时,就可以用root账户登录(系统不会要求输 入密码)。进入系统后,再用命令passwd设置新的口令。

6、Linux系统不能启动

一般来说,如果系统管理员不能正常进入系统,就需要考虑使用急救盘组进入急救模式排除系统的故障。但 在没有制作急救盘组的情况下,Linux系统不能启动,该怎么办? 在个人计算机使用 Linux系统时,通常都是Linux和MS Windows 9x或MS Windows NT并存的。
由于重新安装其他的操作系统,经常会导致原有的Linux不能启动。这主要是因为,这些操作系统默认为计算 机中没有其他的操作系统,因而改写了硬盘的主引导记录(MBR),冲掉了Linux的LILO系统引导程序。
如果有急救盘组,那么很简单,用第一张启动盘启动硬盘的Linux系统,重新运行LILO命令,就可以将LILO系 统引导程序写回硬盘的主引导记录。再次开机即可。
如果没有系统启动盘,怎样恢复硬盘上的Linux呢?在这种情况下,如果知道Linux在硬盘上的确切安装分区, 且有loadlin程序,就可以重新返回Linux。loadlin程序是DOS下的程序,运行它可以从DOS下直接启动Linux, 快速进入Linux环境。在 Red Hat Linux 6.0光盘的 dosutil/目录下就有这个程序。除此之外,还需要一个 Linux启动内核的映像文件。在 Red H at linux 6.0光盘的 images/目录下有这个文件——vmlinuz。
例如,在Windows 98系统下面,进入DOS的单用户模式,然后运行下述的loadlin命令,即可重新进入Linux系统: loadlin vmlinuz root=/dev/hda8 /dev/hda8是Linux的root文件系统所在的硬盘分区位置。命令执行后,就引导Linux系统。用root登录后,运行 LILO命令,则重新将LILO装入MBR,回到以前多操作系统并存使用的状态。



 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·Windows 系统调用功能列表
·windows入侵提权-创建隐藏帐号(
· CC_STACKPROTECTOR防止内核stac
·Linux内核安全研究之Stack Overf
· Exploit The Linux Kernel NULL
·Kernel Locking 中文版
·IA32上Linux内核中断机制分析
·Award BIOS Rootkit,universal
·PHP代码审计
·N种内核注入DLL的思路及实现
·glibc 2.3.5 的一些新安全特性
·Struts2/XWork < 2.2.0 Remote C
  相关文章
·Linux下用gdb检测内核rootkit
·windows2000本地登陆过程及利用
·windows2000虚拟主机基本权限设
·SQL Server 安全检查列表
·Windows异常处理流程
·缓冲区溢出的保护方法
·创建SvcHost.exe调用的服务原理
·NT平台拨号连接密码恢复原理
·使用 OpenSSL API 进行安全编程
·网管支招,PHP安全配置
·Linux紧急情况处理方法(中级)
·一个Linux病毒原型分析
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved