linux 教學以下教學文章中,不但介紹各種常見的 linux 指令,也解說linux作業系統的運行模式。
linux是免費、公開、且開放原始碼的作業系統,
不僅可以在網路上任意下載,
(如這是linux ubuntu的下載點 :https://www.ubuntu-tw.org/modules/tinyd0/ )
且任何使用者都可以自由的使用linux的原始碼,不論是進行修改、或是發布,而不會造成侵權問題。
linux常被用來架設伺服器,做為網站後端的資料庫與服務提供者。
也因其免費的好處,常被中小企業、學校用來建置公司內部的網路環境與資料庫。
* 朋友們若是覺得本教學對您有幫助,請點個讚~
1. 基本操作指令:
2. bash shell 的介紹與操作:
3. vim(一種文字編輯器)的介紹與操作:
4. linux 帳號管理:
5. linux 檔案與資料夾(目錄)管理:
6. linux 檔案使用的權限:
7. 檔案的壓縮、打包、備份:
8. 系統例行性工作的設定:
9. 登錄檔(log file):
10 程序 (process)
11. daemon
12. 網管指令
13. 遠端連線
以下教學文章中,不但介紹各種常見的 linux 指令,也解說linux作業系統的運行模式。
linux是免費、公開、且開放原始碼的作業系統,
不僅可以在網路上任意下載,
(如這是linux ubuntu的下載點 :https://www.ubuntu-tw.org/modules/tinyd0/ )
且任何使用者都可以自由的使用linux的原始碼,不論是進行修改、或是發布,而不會造成侵權問題。
linux常被用來架設伺服器,做為網站後端的資料庫與服務提供者。
也因其免費的好處,常被中小企業、學校用來建置公司內部的網路環境與資料庫。
* 朋友們若是覺得本教學對您有幫助,請點個讚~
1. 基本操作指令:
2. bash shell 的介紹與操作:
3. vim(一種文字編輯器)的介紹與操作:
4. linux 帳號管理:
5. linux 檔案與資料夾(目錄)管理:
6. linux 檔案使用的權限:
7. 檔案的壓縮、打包、備份:
8. 系統例行性工作的設定:
9. 登錄檔(log file):
10 程序 (process)
11. daemon
12. 網管指令
13. 遠端連線
用ssh直接從一個ssh伺服器下載徑物(檔案或資料夾),或者是上傳徑物給ssh伺服器:
(1) 從ssh伺服器下載徑物:
scp 選項 使用者帳號@伺服器IP位址或伺服器主機名稱:原始徑物 目標徑物
可以使用者帳號的身分連入該伺服器,將伺服器內的原始徑物下載到本機上,以目標徑物為名來儲存。
其中,常用的選項有:
※ -r:若原始徑物是個目錄,就要用這個選項。否則無法下載。
範例如:scp -r mike6201@140.115.17.101:~/dirtest diraa
表示要以mike6201的身分進入位於140.115.17.101的伺服器,並將家目錄下的dirtest目錄下載到客戶端本機的當前目錄下,並以diraa為名。
(2) 上傳徑物給ssh伺服器:
scp 選項 原始徑物 使用者帳號@伺服器IP位址或伺服器主機名稱:目標徑物
可以使用者帳號的身分連入該伺服器,將本機內的原始徑物上傳到伺服器上,以目標徑物為名來儲存。
其中,常用的選項有:
※ -r:若原始徑物是個目錄,就要用這個選項。否則無法上傳。
範例如:scp -r dirbb mike6201@140.115.17.101:~/dirdemo
表示要以mike6201的身分進入位於140.115.17.101的伺服器,並將客戶端本機上、當前目錄下的dirbb目錄上傳到伺服器中,以dirdemo為名。
以客戶端的身分,連線入一個ssh伺服器,並且操作此伺服器:
ssh 使用者帳號@伺服器IP位址或伺服器主機名稱 選項
便可以用ssh,以使用者帳號的身分連入該伺服器。注意,使用者帳號須為伺服器中已建立的帳號。如:ssh mike6201@140.115.17.101。
(1) 其中,常用的選項有:
※ -p N:表示要連入伺服端的第N號埠口。通常伺服端會將埠口開在22號,所以此項若不寫,預設就是連向伺服端的第22號埠口。但有些伺服端並不將埠口開在22號,此時就須要用此-p N來指定了。
※ -f 指令:表示僅用ssh、以使用者帳號的身分進入該伺服器執行指令(並不登入伺服器),執行完成後就仍回到原先的環境。
(2) 在用ssh連線、進入到伺服端後,若要退出伺服端回到原先環境,可用此指令:exit。
※ 註(重要!):若用戶端是第一次用ssh與該伺服器連線,則在進入伺服器之前會出現類似訊息:
The authenticity of host '伺服器IP位址' can't be established.
RSA key fingerprint is eb:伺服器公鑰的指紋.
Are you sure you want to continue connecting (yes/no)?
此時,輸入yes表示要繼續進行連線,輸入no表示取消連線。
若輸入yes,則客戶端主機就會將伺服端的公鑰給紀錄下來,放在客戶端主機上的~/.ssh/known_hosts這個檔案底下。事實上,客戶端主機每次在進行ssh連線時都會自動檢查這個檔案,去比對伺服端的公鑰是否有被記錄在此檔案上,若有,則直接進行連線;若無,就會出現上述的訊息。
ssh伺服器的基本設定:
ssh的基本設定檔是/etc/ssh/sshd_config。其語法有二:井字號#之後的文字是註解,其餘者每一行都是一個設定項。常用的設定項如下:
※ Port N:N是正整數。表示伺服器使用第N個埠口來傳遞ssh的資料。N的預設值是22。
※ Protocol N:N的值可為1(表示ssh的版本是version1)或2(表示ssh的版本是version1)。若要同時使用兩者,則此項應寫為Protocol 1,2。
※ ListenAddress IP位址:表示伺服器只去傾聽來自該IP位址之客戶端的請求。也就是說,只有來自該IP位址之客戶端的請求才被允許與伺服器連線。若此項設定為ListenAddress 0,0,0,0、或此項被註解,都表示伺服器會傾聽所有客戶端的請求。
※ LoginGraceTime N:N是正整數。表示客戶端對伺服器發起連線後,若在N秒內還沒有輸入密碼、完成登入的話,就中斷此連線。
※ PermitRootLogin yes或no:表示是否允許遠端的客戶端使用root身分登入伺服器。建議最好不要(設定值改為no),以減少安全性的風險。
※ HostKey 路徑:表示使用路徑上的檔案作為ssh伺服器的私鑰。
※ SyslogFacility 事件類型:決定ssh伺服器所產生的事件是屬於哪種事件類型,不同的事件類型將被儲存在不同的登錄檔中。預設的事件類型是AUTH,也就是說,ssh的事件會被記錄在/var/log/auth.log這個登錄檔中。若欲知道ssh事件訊息,可使用:cat /var/log/auth.log | grep ssh
關於登錄檔與事件類型,請參看「Linux作業系統第十九章~登錄檔」。
※ LogLevel 訊息種類:表示將ssh伺服器產生的「該訊息種類與比該訊息種類更加危險的訊息」,給記錄在登錄檔中。其他則不紀錄。
※ PasswordAuthentication yes或no:表示客戶端連線入伺服器、取得使用者身分時,是不是需要輸入使用者密碼。建議設為yes,否則伺服器易被陌生人隨意進入。
※ PermitEmptyPasswords yes或no:表示客戶端連線入伺服器、輸入密碼時,是否允許輸入空的密碼來登入(與PasswordAuthentication這個設定項有關)。建議設為no,否則伺服器易被陌生人隨意進入。
※ PrintMotd yes或no:表示當客戶端登入ssh伺服器後,是否顯示/etc/motd這個檔案的內容,給客戶端做為參考資訊。
※ PrintLastLog yes或no:表示當客戶端登入ssh伺服器後,是否顯示客戶端上次登入的時間,給客戶端做為參考資訊。
※ TCPKeepAlive yes或no:若設為yes,則當有用戶端與伺服端成功連線後,伺服端每隔一段時間會發出一個TCP封包給用戶端,用來確認用戶端是否仍在線。若設為no,則不會發出TCP封包去做確認。
※ UsePrivilegeSeparation yes或no:此項目與安全性有關。建議應為yes,否則可能產生安全性上的問題。
在Linux系統中進行ssh連線的具體步驟:
(1) 伺服器啟動ssh:
ssh伺服器A啟動ssh服務(服務名稱為ssh或sshd)。系統會自動確認在/etc/ssh/目錄下是否存在著公鑰A和私鑰A:公鑰A的副檔名通常為pub,而私鑰A通常沒有副檔名。
在/etc/ssh/目錄下,常見的公、私鑰檔名有:
|
公鑰檔名 |
私鑰檔名 |
說明 |
|
ssh_host_key.pub |
ssh_host_key |
ssh(version1)所建立出來的公、私鑰。 |
|
ssh_host_rsa_key.pub |
ssh_host_rsa_key |
ssh(version2)利用RSA演算法所建立出來的公、私鑰。 |
|
ssh_host_dsa_key.pub |
ssh_host_dsa_key |
ssh(version2)利用DSA演算法所建立出來的公、私鑰。 |
若/etc/ssh/目錄下沒有這些公、私鑰,則系統會自動建立。
從上述可知,若伺服器A的管理員沒有刪除這些公、私鑰,則這些公、私鑰便會持續被使用,直到天荒地老。
※ 註(重要!):若伺服端的ssh公、私鑰遺失,而管理員想手動重新產生這些公、私鑰,其語法為:
ssh-keygen -t dsa -f ssh的dsa私鑰的完整路徑
ssh-keygen -t rsa -f ssh的rsa私鑰的完整路徑
例如:
ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key
ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key
即可手動重新產生這些公、私鑰。過程中若系統有要管理員輸入passphrase,可直接按<enter>鍵略過亦無妨。ssh-keygen的詳細用法在以下會談到。
(2) 伺服器A接到客戶端B的連線請求:
在接到請求後,A會把公鑰A公布在網際網路上,以讓B取得。
(3) 用戶端B收到公鑰A:
用戶端B會先到己方的~/.ssh/known_hosts檔案中,檢查裡頭是否有關於公鑰A的紀錄:
※ 若有,表示雙方應在以前就有連線過,故A應是值得信賴的連線對象,直接進入下一步驟。
※ 若無,表示雙方應是第一次連線,此時系統可能會詢問B的使用者,是否真要和A連線?若使用者回答是,則將公鑰A加入~/.ssh/known_hosts檔案中,並進行下一步驟。否則取消連線。
註: 若伺服器A因為某些原因而刪除或遺失了其公鑰,勢必要再建立另一把公鑰。這時,若B還要再和A連線,因為A的公鑰換了,所以B會以為是和A第一次連線,而將新的公鑰A加入~/.ssh/known_hosts檔案中。
(4) 用戶端建立公鑰B、私鑰B,並將公鑰B傳送給伺服端A。通常,公鑰B、私鑰B在用戶端主機上所存放的位置,使用者是很難自行找到的。
(5) 雙方正式開始連線,進行通訊。
ssh(secure shell protocol) :
※ 前註:筆者使用的Linux版本是Ubuntu10.04,並且使用:
apt-get install openssh-server
來安裝ssh。ssh的服務名稱正是「ssh」,故安裝完後,可用:
service ssh status來查看ssh是否安裝成功、是否有啟動。
ssh連線的加密機制簡介:
ssh連線之所以較具有保密性,是因為其對雙方傳輸的資料進行「加密(encryption) 」,且只有資料接收者自己才有能力「解密(decryption) 」。所以,就算資料在傳輸途中被有心人士竊取,該有心人士既無能解密,也就不會有洩密問題。其機制,稱為「非對稱式加密(asymmetric encryption)」,說明如下:
設今有一主機A要和主機B連線,則主機A在連線之前會用一種「RSA演算法」產生一對「鑰匙」,包括「公鑰(public key)」和「私鑰(private key)」:
公鑰:由主機A對外發送,網路上的任何人都可以取得(當然主機B也可以取得)。乃是用來加密的,不能解密。
私鑰:由主機A自己保存,且不能外洩給任何人知道。乃是用來解密的。
而主機B在獲得A的公鑰(簡稱公鑰A)後,可以藉由RSA演算法、來利用公鑰A為資訊加密,然後將加密後的資訊傳給A。而此資訊只有私鑰A能解密,就算是公鑰A也不能解密,且無法由公鑰A去推算出私鑰A。如此,確保了此資訊只有發送端B與接收端A能知道,大大增加了保密性。
而由於連線是雙方互傳訊息,故B也同樣要製作一對公鑰B和私鑰B,將公鑰B發送出去,而將私鑰B妥善保存。由此可知,每一次的連線中,雙方都要產生公鑰和私鑰,共計四把鑰匙。
※ 順便一提:目前,ssh有兩個版本(version 1和version 2),兩者都使用非對稱式加密,而version 2比較先進、也更為安全,可盡量利用。
※ 註一:要利用ssh向對方連線,要先確認這個「對方」是否有提供ssh服務。通常,我們稱「有提供ssh服務的主機」為「ssh伺服器」。
※ 註二:「保密性」與「安全性」並非同一個概念。ssh連線機制雖具保密性,但卻曾被發現有安全性上的漏洞。使用ssh,除非是要架設一個ssh伺服器,否則若只是單純想利用遠端連線來操控遠端主機,最好是在防火牆中限定能從遠端登入的IP,勿讓ssh對整個網際網路上的不明連線都「來者不拒」。
ftp(file transfer protocol):
利用ftp機制進行遠端連線時需先做確認:
※ 使用者的本機上是否有安裝ftp連線軟體?
※ 想要連線的伺服器,有沒有提供ftp連線的服務?
若以上兩者成立,才能夠連線到伺服器。
1. ftp指令的使用方法:
ftp IP位址 埠口號 或是 ftp 主機名稱 埠口號
可以利用ftp協定連線入該主機名稱或IP位址。埠口號可寫可不寫,若不寫,則預設是用21埠進行連線。
2. ftp連線成功後,會進入ftp的環境。在此環境下,常用的指令有:
※ help或?:可以查詢此環境下所有可以使用的指令有哪些。
※ dir:查看當前目錄下有哪些目錄及檔案。
※ cd 目錄名:進入到該目錄中。而cd ..也可回到上一層目錄。
※ mkdir 目錄名:建立以此目錄名為名的目錄。
※ delete 徑物名:刪除以此徑物名為名的徑物。
※ get 徑物名:下載此徑物到本機上。
※ mget 字元*:下載當前目錄下、其名稱以字元為開頭的所有徑物到本機上。
※ put 徑物名一 徑物名二:將本機上名為徑物名一的徑物,上傳到ftp伺服器上,並以徑物名二為名。
※ bye:離開此ftp的環境。也就是退出ftp連線的意思。
1. 遠端連線:
若一台主機有連接上網際網路、並且提供遠端連線(我們稱這樣的主機叫做「遠端連線伺服器」,也就是server),則使用者可在異地透過網路連線到該伺服器,登入其系統、取得可供操作的shell以及相關權限,並且直接依據權限來操作該伺服器。適用於伺服器的遠端管理、工作站(workstation)遠端操控。
※ 註:工作站,指的是運算能力極強大、遠勝一般個人電腦的主機,搭配超大的硬碟空間當作資料庫,以供多個使用者在不同的遠端,同時去操作它、進行各自的「工作」。這所謂的工作,通常指的是需要巨量運算的分析、演算、統計…等等很難在個人電腦上執行的工作。
2. 常見的遠端連線的機制介紹:
※ telnet:此機制是早期的遠端連線機制。由於其資訊在網路上是以「明碼(plain code)」傳輸的,故保密性風險很高,現已多不採用。
※ ssh:其資訊在網路上傳輸時並非以明碼傳輸、而是有經過加密,較具保密性。乃是當今主要的遠端連線機制。
※ Xdmcp:此類的機制不同於telnet、ssh在登入後是取得文字介面的操作主機,而是取得圖形介面操作主機。圖形介面雖然可用滑鼠操作,但傳輸時的資料量遠比文字介面來的大,可能會影響操作時的便利性。
※ ftp:ftp是「file transfer protocol(檔案傳輸協定)」的縮寫,主要用於伺服端與客戶端之間傳輸檔案時。ftp亦是以明碼傳送,故也有洩密的風險。
用tcpdump指令來查看本機所接收與發送的封包:
tcpdump是一款軟體(有些版本的Linux系統可能在預設上並沒有安裝此軟體),其功能多元、用法複雜,在此僅介紹一些常用且基本的功能,即是查看封包的接收(或發送)時間、來源、目標、甚至是封包內容…等等。用法如下:
tcpdump 選項 -i 網卡代號 篩選格式
輸入此指令後,系統開始進入監聽模式而對該網卡進行監聽,並且持續回報監聽的內容。若要終止監聽模式,可按<ctrl>+<c>。
※ 註:另有許多圖形介面軟體可查看封包,如wireshark…等,在此不介紹。
(1) 其中,選項有:
※ -q:簡化查詢結果,再顯示出來。
※ -nn:顯示來源主機和目標主機時,用其IP位址以及埠號來表示(預設是主機名稱來表示)。
※ -A:用ASCII解碼封包資料後顯示出來。
※ -X:用16進位碼顯示封包資料,也用ASCII解碼封包資料後顯示,兩者可做對照。
※ -e:顯示封包中之訊框的表頭(預設是顯示TCP封包的表頭)。因此顯示來源主機和目標主機時,會用實體位址來表示。
※ -c N:表示在監聽到N個封包後就停止監聽。
※ -w 檔案名:將進入監聽模式後、直到退出監聽模式期間,所有的監聽內容儲存在該檔案中(而非顯示在螢幕上)。不過所儲存的內容可能是經過編碼,需要用tcpdump -r 檔案名 來解碼才能讀取。
(2) 監聽模式可以透過篩選格式的設定,篩選掉使用者不感興趣的封包,而只顯示一些特定的封包。篩選格式由條件式組成。
(2-1) 條件式代表要篩選留下的封包,常用的條件式如下:
※ host 主機名稱 或 host IP位址:表示與該主機名稱或IP位址有關的封包。
※ net 某個網段的net ID:表示與網段有關的封包。
※ src host IP位址 或 src net 某個網段的net ID:表示其來源主機IP位址是IP位址的封包,或其來源主機的網段net ID為某個網段的net ID的封包。
※ dst host IP位址 或 dst net 某個網段的net ID:表示其目標主機IP位址是IP位址的封包,或其目標主機的網段net ID為某個網段的net ID的封包。
※ port N:和N號埠口有關的封包。
※ src port N:來源埠口為N號埠口的封包。
※ dst port N:目標埠口為N號埠口的封包。
※ 通訊協定:表示使用該通訊協定的封包。通訊協定可為tcp、udp…等。
(2-2) 條件式與條件式之間可用and連接,表示條件式之間交集;亦可用or連接,表示條件式的聯集。
(3) 監聽模式中會顯示監聽結果。一個封包的資訊,顯示在同一行。例如,輸入tcpdump -nn -c 5 -i eth0 tcp,顯示的封包資訊為:
01:28:52.426090 IP 192.168.1.103.55952 > 202.43.192.109.443: Flags [P.], seq 1:374, ack 1, win 92, options [nop,nop,TS val 1572161 ecr 1846681710], length 373
其中,各項目說明如下:
|
01:28:52.426090 |
表示此封包由主機接收或者由主機發送的時間,在01時、28分、52.426090秒。 |
|
IP |
表示此封包透過IP協定來傳輸。 |
|
192.168.1.103.55952 > |
表示此封包的來源主機之IP位址。最後面的55932是埠號。 |
|
202.43.192.109.443: |
表示此封包的目標主機之IP位址。最後面的443是埠號。 |
|
Flags [P.] |
[]內的字母表示此封包的控制旗標。 |
|
seq 1:374 |
表示此封包的「封包序號」。在資料開頭的序號為1,資料結尾的序號為374,結尾序號與開頭序號相減之值,代表封包資料量大小(僅是封包所要傳輸的資料量,並非封包總長度),單位是byte。 ※註:一般所謂的「封包序號」,是指資料開頭的序號。 |
|
ack 1 |
表示此封包的「確認序號」。 |
|
win 92 |
表示此封包的「window(剩餘緩衝器容量) 」為92 bytes。 |
|
options [nop,nop,TS val 1572161 ecr 1846681710] |
表示此封包的「options」,不在此討論。 |
|
length 373 |
表示此封包的資料量是 373 bytes。 |
利用wget指令下載網路上的檔案:
透過瀏覽器、在網路上所能看見的資訊,包括網頁、文字檔、圖片、音樂、影片…等,其實都是存放在伺服器中的檔案,由客戶端瀏覽器向伺服器提出請求,請求提供此檔案,然後將此檔案下載到瀏覽器中顯示出來。其寫法為:
wget URL網址 -O 路徑名
可以將該URL網址上的檔案下載到本機上,並以路徑名儲存。如:
wget http://XXX/index.html -O ~/aa.html
便是將http://XXX/index.html這個html檔案給下載,並儲存在家目錄底下、以aa.html為名。
※ 註:現今,有許多網址只有寫上網域名稱,而沒有寫下網頁文件檔的路徑(如yahoo奇摩的首頁網址為:https://tw.yahoo.com),因此,若是:
wget https://tw.yahoo.com -O aa.html
會造成下載失敗。
查詢節點的IP位址或網域名稱:
網路節點的網域名稱,會被記錄在DNS伺服器(網路上有許多DNS伺服器)中。Linux系統若要查詢IP位址與網域名稱的對應,就要連接到自己常用的DNS伺服器。而這個常用的DNS伺服器的IP位址被記錄在/etc/resolv.conf檔案中。
(1) host -a 節點網域名稱:
可連線到/etc/resolv.conf檔案中紀錄的DNS伺服器,取得該節點網域名稱的IP位址,並且顯示。-a 可寫可不寫,若沒寫,只顯示IP位址。若有寫,會顯示該節點網域名稱的一些細部資訊。
註一:host -a 網域名稱 IP位址,表示連線到位於IP位址的DNS伺服器來查詢,而不連線到/etc/resolv.conf檔案中紀錄的DNS伺服器。
(2) nslookup 節點IP位址或網域名稱:
連線到/etc/resolv.conf檔案中紀錄的DNS伺服器,可利用節點IP位址查節點網域名稱,也可利用節點網域名稱查節點IP位址。
利用netstat指令,查詢主機目前的連線狀態:
(1) 查詢路由:
※ netstat -r:與route指令功用相同,會顯示路由表。
※ netstat -rn:與route -n 指令功用相同,會顯示路由表。而顯示時,只需顯示往段的IP位址,而非顯示網域名稱。這樣節省連線時間。
(2) 查詢主機連線狀態,寫法為:
netstat 選項
其顯示結果分成兩部分,第一部分是以Active Internet connections (w/o servers)為開頭,表示主機對網際網路的連線狀態;第二部分是以Active UNIX domain sockets (w/o servers)開頭,表示主機內部的各個程式的聯絡狀態,與網路連線無關。
在此,僅討論與網路連線有關的第一部分。
第一部分顯示的資訊預設為包含六個項目,各項目的名稱會顯示出來,如:
Proto Recv-Q Send-Q Local Address Foreign Address State
各項目名稱之下,每一行代表一個連線。各項目說明如下:
※ Proto:表示此連線所使用的協定名稱。
※ Recv-Q:遠端主機連線到本機,並將封包傳送到本機時,封包會被暫存到本機的「接收佇列(receive queue)」中,而本機再從這個接受佇列拿取封包。這個Recv-Q項目,就是指目前接收佇列內的資料容量(單位為byte)。要注意,封包被暫存到本機的接收佇列中、直到封包被本機取走,所花的時間極其短暫(通常是幾個毫秒),因此使用netstat時,Recv-Q的值通常為0。若長時間偵測到Recv-Q值不為0,便有可能是受到「阻斷服務攻擊(denial of service)」。(此敘述宜複審)
※ Send-Q:本機將封包傳送到遠端主機之時,封包會被同時複製到本機的「發送佇列(send queue)」中,待本機獲得遠端的「確認(acknowledgement) 」,便將發送佇列中的封包清除。這個Send-Q項目,就是指目前發送佇列內的資料容量(單位為byte)。此項目之值時常為0。(此敘述宜複審)
※ Local Address:表示此連線在本機的IP位址和埠口號。以socket(IP位址:埠口號)的方式表示。
※ Foreign Address:表示此連線在遠端的IP位址和埠口號。以socket(IP位址:埠口號)的方式表示。
※ State:該連線的連線狀態。常見的值有:
ESTABLISHED:表示該條連線已經建立。
SYN_SEND:表示本機正在發出一個SYN封包,請求對方建立連線。
SYN_RECV:表示遠端正在發出一個SYN封包,請求本機建立連線。
FIN_WAIT1:表示此連線正在結束當中,且socket已經關閉。
FIN_WAIT2:表示此連線已經結束,而socket正在關閉當中。
TIME_WAIT:在四向交握完成之後,會等待一小段時間再關閉連線。TIME_WAIT表示正處於這一小段時間當中。
LISTEN:表示該條連線正在被本機「傾聽」之中。也就是說,該條連線並沒有建立,而是本機在等待著是否有遠端提出建立連線的請求。
(2) 在netstat 選項 之中,選項有:
※ -a:顯示所有State的連線(預設並不顯示所有State的連線)。
※ -n:表示顯示時,只需顯示節點的IP位址,而不要顯示網域名稱。
※ -t:只顯示使用TCP協定之連線的狀態。
※ -u:只顯示使用UDP協定之連線的狀態。
※ -l:只顯目前正在被「傾聽」中之連線的狀態。
※ -p:顯示該連線所提供之服務,在本機上對應到的PID和程序名稱。會在顯示時多出一個項目,名稱為PID/program name。
※ -c N:每隔N秒,再顯示一次netstat指令的查詢結果。
(3) netstat -s:顯示與每個協定有相關之連線、有相關之封包的統計紀錄(包括目前所開啟的連線數、接受到的封包數…等)。
利用traceroute指令來檢查路由(檢查了從本身到目標節點之間的連線還通過了那些節點):
traceroute 指令會發出封包(預設是UDP封包)去偵測每個經過的節點,並得到這些節點的回應。traceroute的用法為:
traceroute 選項 目標節點的IP位址或網域名稱
(1) 如:輸入traceroute 168.95.1.1 (168.95.1.1是中華電信的IP位址)後,會顯示如下列的資訊:
traceroute to 168.95.1.1 (168.95.1.1), 30 hops max, 40 byte packets
1 140.115.17.254 (140.115.17.254) 0.838 ms 0.798 ms 0.897 ms
2 cc-phy.ncu.edu.tw (203.72.244.49) 0.575 ms 203.72.244.185 (203.72.244.185) 0.683 ms 0.811 ms
3 TYFO-4901.hinet.net (61.222.83.106) 2.640 ms 2.641 ms 2.609 ms
4 TYFO-3012.hinet.net (211.22.39.102) 2.141 ms 2.095 ms TYFO-3011.hinet.net (211.22.39.250) 3.342 ms
5 tpdt-3011.hinet.net (220.128.8.82) 4.031 ms 3.980 ms tpdt-3012.hinet.net (220.128.9.82) 4.477 ms
6 r4035-s2.tp.hinet.net (220.128.3.53) 1.204 ms 1.129 ms SKC1-3012.hinet.net (220.128.2.5) 1.232 ms
7 TPDB-3407.hinet.net (210.59.204.217) 1.244 ms 1.196 ms 1.193 ms
8 220-128-32-67.HINET-IP.hinet.net (220.128.32.67) 1.249 ms 1.249 ms 1.355 ms
這表示從來源節點到目標節點間共經過8個節點。上述顯示的資料,除了第一行外均是各個節點的資訊。以第2行為例,各項目說明如下:
※ 1:表示這是從來源節點到目標節點的路徑上,所經過的第1個節點。
※ 140.115.17.254 (140.115.17.254):表示此節點的IP位址或網域名稱。
※ 0.838 ms 0.798 ms 0.897 ms:發出的偵測封包會偵測此節點的反應時間,共偵測三次。此項為這三次偵測的結果。
※ 註(重要!):有些節點的資訊可能只呈現三個星號*,這表示該節點可能不允許別人對之進行封包偵測(為避免有心人士利用封包進行攻擊),故無回傳資料。
(2) 在traceroute 選項 目標節點的IP位址或網域名稱之中,選項有:
※ -n:表示顯示時,只需顯示節點的IP位址,而不要顯示網域名稱。這樣節省連線時間。
※ -U:表示用UDP封包進行偵測。這是預設值。
※ -I:表示不使用預設的UDP封包,而改用ICMP封包進行偵測。
※ -T:表示不使用預設的UDP封包,而改用TCP封包進行偵測。
※ –i 網卡代號:若己方主機上有超過一張網卡,便須指定由哪張網卡送出封包進行偵測。如:traceroute –i eth0 168.95.1.1。
用ping指令來偵查某IP位址上的節點是否在線(節點,指的是一切具有IP位址、並以網路卡連接的裝置,可能是路由器,也可能是主機):
ping指令會發送一連串的「echo request封包」給目標節點,若目標節點在線,則每接到收一個來源節點來的「echo request封包」,就會發出一個「echo reply封包」給來源節點,封包裡就記錄著關於此次連線的一些資訊給來源節點去做解讀。
「echo request封包」和「echo reply封包」都是以ICMP協定來運作,這兩個都屬於ICMP封包。順便一提,ICMP封包是被包含在IP封包內傳送的。
ping 的用法為:
ping 選項 目標節點IP位址或網域名稱
(1) 例如:輸入ping 168.95.1.1 (168.95.1.1是中華電信的IP位址)後,會顯示如下列的資訊:
64 bytes from 168.95.1.1: icmp_seq=1 ttl=247 time=1.53 ms
64 bytes from 168.95.1.1: icmp_seq=2 ttl=247 time=1.51 ms
64 bytes from 168.95.1.1: icmp_seq=3 ttl=247 time=1.57 ms
64 bytes from 168.95.1.1: icmp_seq=4 ttl=247 time=1.56 ms
每一行代表一個「echo reply封包」中的資訊,以第一行為例,說明如下:
※ 64 bytes:表示此「echo reply封包」的大小是64bytes(「echo reply封包」的大小與「echo request封包」相同)。註:在網路上真正傳送的是IP封包(「echo reply封包」是ICMP封包,被包含在IP封包裡面),而IP封包通常比ICMP封包多20個bytes。於此例中,可知其IP封包大小為84bytes。
※ from 168.95.1.1::表示此「echo reply封包」是從168.95.1.1這個IP位址傳來的。此項可能顯示目標節點IP位址,也可能顯示目標節點的網域名稱。
※ icmp_seq=1:表示此「echo reply封包」是在執行ping之後,第1個被接收到的。
※ ttl=247:time of live的縮寫,也就是IP封包表頭中的「封包生存期」。其值通常預設為255(若目標節點的IP位址位於區域網路中,則ttl預設是64)。傳送過程中,每經過一個路由器,其值就減少1。直到其值為1的時候,就不再傳送。ttl=247,表示封包單程經過了8(255-247=8)個路由器。
※ time=1.53 ms:表示目標節點的「反應時間(此反應時間是如何計算的?筆者並不清楚)」。ms代表毫秒,us代表微秒。此值越小,代表兩點之間的通訊品質越好。
(2) 在ping 選項 目標節點IP位址之中,選項有:
※ -c N:表示總共要傳送N個ICMP封包給目標節點。預設的情況下,N是無限大(會一直傳送ICMP封包給目標節點,等到使用者下命令停止傳送為止)。
※ -n:表示顯示時,只需顯示目標節點的IP位址,而不要顯示網域名稱。這樣節省連線時間。
※ -s N:設定此ICMP封包的容量大小(不包含ICMP表頭內的某些資訊,這些資訊共有8個byte)為N個byte,而實際上的ICMP封包大小為N+8個byte(N+8,即是執行ping指令後,所顯示的封包大小)。要注意,ICMP封包是被包含在IP封包內傳送的,IP封包會比ICMP封包多出20個byte,所以,若IP封包的大小(N+8+20)大於所在網段的MTU,則封包會自動被路由器分割成適當大小,再予以傳送。
※ -t N:設定此包含ICMP封包之IP封包的ttl值為N。
※ -M do:表示將包含此ICMP封包的IP封包,其表頭之旗標之DF值設為1。也就是說,將此封包設為不能分割的封包(預設是可分割)。因此,若此IP封包之大小超過該網段的MTU,路由器不能分割封包,會直接傳回連線失敗的訊息。此功能常用於檢查一個網段的MTU大小。
使用ip指令來觀察、設定網路參數:
ip指令的功能,有些和ifconfig、route重複之處,不過也有許多獨特的功能。總體來說,是比ifconfig、route來得完整。因其功能繁多,以下僅簡略介紹常用者:
(1) 觀察與設定網卡參數:
(1-1) 觀察網卡參數:
ip 選項 link show
可顯示主機上所有網卡參數。其中,選項有:
※ -s:表示會顯示該網卡接收與發送封包的統計資料。
※ 無選項:僅顯示網卡參數。
(1-2) 設定網卡參數:
ip link set 網卡代號 參數
其中,參數有:
※ down:關閉此網卡,使之無法連上網際網路。
※ up:開啟此網卡,使之恢復連上網際網路的能力。
※ address 實體位址:將網卡的實體位址改為實體位址。注意:有些廠牌的網卡不允許使用者隨意更動實體位址。
※ name 新網卡代號:將目前的網卡代號改為新網卡代號。
※ mtu N:將此網卡的mtu改為N。
(2) 顯示網卡的IP位址、廣播IP位址、網段IP位址…等等:
ip address show
(3) 觀察與設定路由:
(3-1) 顯示路由:
ip route show
(3-2) 新增路由:
ip route add 目標路由 via IP位址 dev 網卡代號
可新增一個路由,其Destination為目標路由、Gateway為IP位址,Iface為網卡代號。其中,目標路由的寫法可以是一個主機的IP位址(如 192.168.1.60),也可以是一個網段的IP位址加上子網路遮罩(如 192.168.1.0/24)。
(3-3) 刪除路由:
ip route add IP位址
可刪除一個其Destination為IP位址的路由。
利用route指令來觀察路由、設定路由:
(1) 觀察本機所連線到的路由,其寫法為:
route 選項:
(1-1) 例如,輸入route -n,會顯示一個「路由表(routing table)」,此表有八個欄位,如:
Destination Gateway Genmask Flags Metric Ref Use Iface
底下每一行,就是一個「目標路由」。各個項目說明如下:
|
Destination |
所連接到的「目標路由」的IP位址。這個「目標路由」可能是主機,也可能是路由器。大部分的個人主機,都有幾個常見的目標路由如下: 1. 區域網路路由:這種目標路由的IP位址是主機所在之區網的網段IP位址,譬如主機的IP位址是168.192.0.100,那麼區域網路路由之Destination就是168.192.0.0。是本機對區網內其他主機連線時會使用到的路由。 2. 預設路由:其Destination必是0.0.0.0。是本機對網際網路連線時會使用到的路由。 ※ 路由表的排序,是根據Destination從小網段到大網段,由上到下排列。 |
|
Gateway |
該目標路由對外連接之路由的IP位址。若此項之值為*或0.0.0.0,表示該目標路由無法對外連接。 ※ 預設路由(Destination為0.0.0.0者)的Gateway,就是本機對外連線時的所使用的路由,稱為「預設閘道(default gateway)」。 |
|
Genmask |
該目標路由之網路遮罩。若此項之值為*或0.0.0.0,表示該目標路沒有定義遮罩。 |
|
Flags |
為幾個符號組成,每個符號都有各自的意義。常用的符號有: U:表示該目標路由目前啟動中。 H:表示該目標路由是個主機。 G:表示該目標路由可以對網際網路連線。 D:表示該目標路由是個「動態路由(dynamic route)」。動態路由可以根據目前的 M:表示該目標路由在設定之後,曾經被修改過。 !:表示該目標路由不安全或者故障,因此不能使用。 |
|
Metric |
其值是一個整數N。意思是,該目標路由與本機之間,還有N個路由。 |
|
Ref |
此項目在Linux中無意義,可以忽略。 |
|
Use |
此項目可忽略。 |
|
Iface |
該目標路由之實體網路卡的代號。 |
(1-2) 在route 選項之中,選項有:
※ -n:表示顯示時,只需顯示目標路由的IP位址,而非顯示網域名稱。
※ -ee:顯示目標路由的詳細資訊。
(2) 設定路由:
(2-1) 刪除路由表中的目標路由:
route del 選項 IP位址一 gw IP位址二 netmask IP位址三 dev 裝置代號
便可以刪除在路由表中,Destination之值為IP位址一、Gateway之值為IP位址二、Genmask之值為IP位址三、Iface之值為裝置代號的目標路由。
其中,選項有:
※ -net:若目標路由是一個網段,就要使用這個選項。
※ -host:若目標路由是一台主機,就要使用這個選項。
註:gw IP位址二可以不寫,若不寫,表示要刪除的路由其Gateway之值為0.0.0.0。
註:netmask IP位址三可以不寫,若不寫,表示要刪除的路由其Genmask之值為0.0.0.0。
範例如:route del -net 192.168.1.0 netmask 255.255.255.0 dev eth0
會刪除在路由表中,各欄位資訊如下的目標路由:
|
Destination |
Gateway |
Genmask |
Iface |
|
192.168.1.0 |
0.0.0.0 |
255.255.255.0 |
eth0 |
(2-2) 新增路由表中的目標路由:
route add 選項 IP位址一 gw IP位址二 netmask IP位址三 dev 裝置代號
便可以在路由表中新增一個Destination之值為IP位址一、Gateway之值為IP位址二、Genmask之值為IP位址三、Iface之值為裝置代號的目標路由。
其中,選項有:
※ -net:若要新增的目標路由是一個網段,就要使用這個選項。
※ -host:若要新增的目標路由是一台主機,就要使用這個選項。
註:gw IP位址二可以不寫,若不寫,表示要新增一個Gateway之值為0.0.0.0的目標路由。
註:netmask IP位址三可以不寫,若不寫,表示要新增一個Genmask之值為0.0.0.0的目標路由。
範例如:route add -net 192.168.1.0 netmask 255.255.255.0 dev eth0
會新增一個目標路由,其各欄位資訊如下:
|
Destination |
Gateway |
Genmask |
Iface |
|
192.168.1.0 |
0.0.0.0 |
255.255.255.0 |
eth0 |
使用ifconfig查看當前網路設定:
Ifconfig指令是針對有線網路所用。若要觀察無線網路的設定,需用iwconfig指令。
(1) 輸入ifconfig後,會顯示當前主機中所有已開啟的網路卡(以網路卡代號顯示),以及其網路設定。如:
eth0 Link encap:Ethernet HWaddr 00:1c:25:33:52:ee
inet addr:192.168.1.103 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::21c:25ff:fe33:52ee/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:738 errors:0 dropped:0 overruns:0 frame:0
TX packets:676 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:733049 (733.0 KB) TX bytes:121593 (121.5 KB)
Interrupt:19
其中,各項說明如下:
|
eth0 |
網卡代號。通常以eth0代表第一張乙太網路卡。常見的還有lo代表「內部迴路測試」(並非實體),pppoe代表透過數據機連接網際網路後所產生的「虛擬網卡」,以及wlan0代表第一張無線網路卡。 |
|
HWaddr |
此張網卡的卡號,也就是實體位址,又稱MAC位址。 |
|
inet addr |
此張網卡所具有的IP位址(IPv4版本) 。 |
|
Bcast |
此張網卡的廣播IP位址。 |
|
Mask |
此張網卡之IP位址的子網路遮罩。 |
|
inet6 addr |
此張網卡所具有的IP位址(IPv6版本) 。 |
|
UP |
表示與此網卡有關的核心模組(或驅動程式)已被系統所載入。 |
|
BROADCAST |
表示此網卡可以使用廣播IP位址。 |
|
RUNNING |
表示此網卡正在運作中。 |
|
MULTICAST |
表示此網卡支援multicast(多點傳送)機制。 |
|
MTU |
此網卡的最大傳輸單位,以byte來計。 |
|
Metric |
Linux不使用此設定,可忽略。 |
|
RX packets |
自網卡啟動以來、到目前為止,此張網卡所收到的正確之封包數。其後,errors為錯誤封包的數量,dropped為所捨棄之封包的數量。 |
|
TX packet |
自網卡啟動以來、到目前為止,此張網卡所正確對外傳輸的封包數。其後,errors為錯誤封包的數量,dropped為所捨棄之封包的數量。 |
|
collisions |
封包發生碰撞的次數。若此值大於零,表示發生「網路塞車」。 |
|
txqueuelen |
己方緩衝器之容量大小。以byte為單位。 |
|
RX bytes |
自網卡啟動以來、到目前為止,此張網卡所收到的資料之總量。 |
|
TX bytes |
自網卡啟動以來、到目前為止,此張網卡所傳送的資料之總量。 |
|
Interrupt |
此為網卡的「中斷號碼(interrupt number)」。 ※ 註:當硬體接收到了某些資訊或指令且要求CPU馬上做出處理時,CPU就必須放下原先的工作去處理,故原先的工作會被打斷(這稱為硬體對CPU的「中斷」,每一種不同種類的中斷,都對應到不同的「中斷號碼」)。這時CPU會依據中斷號碼來判斷是哪種中斷發生了,並且採取相關措施(呼叫特定程式去處理)。 |
※ 註:亦可使用ifconfig 網卡代號,可專門顯示該網卡的網路設定。
(2) 修改網路設定:
ifconfig 網卡代號 設定
要注意的是,若隨便修改網路設定值,可能造成無法連上網際網路的結果。這時需用/etc/init.d/network restart或 /etc/init.d/networking restart 來重新恢復網路設定的預設值。
其中,常用的設定有:
※ IP位址:將該網卡的IP位址改為IP位址。
※ netmask IP位址:將該網卡遮罩改為IP位址。
※ broadcast IP位址:將該網卡廣播IP位址改為IP位址。
※ mtu N:將該網卡的MTU值改為N。要注意,網卡的MTU值無法用/etc/init.d/network restart或 /etc/init.d/networking restart 來重新恢復預設值。
(3) 在原網卡上建立一個虛擬網卡(其實體位址與原網卡相同):
ifconfig 網卡代號:子名稱 設定
其中,常用的設定與上述相同。例如:
ifconfig eth0:kkk 192.168.1.105
可建立一個名為eth0:kkk的虛擬網卡,其實體位址與eth0的實體位址相同,且IP位址為192.168.1.105。
(4) 啟動與關閉網路卡:
欲關閉一個正在啟動的網路卡,使其不能連線,可用:ifdown 網卡代號。
欲啟動一個已經關閉的網路卡,使其恢復連線,可用:ifup 網卡代號。
與網路設定有關的檔案(只介紹常用者):
(1) /etc/sysconfig/network-scripts/ifcfg-eth0:
此檔案紀錄著代號eth0的網卡(通常也就是主機上第一張乙太網路卡)的網路參數預設值。若主機上超過一張乙太網路卡,便可能有/etc/sysconfig/network-scripts/ifcfg-eth1(紀錄代號eth1的網卡的網路參數預設值)、/etc/sysconfig/network-scripts/ifcfg-eth2(紀錄代號eth2的網卡的網路參數預設值)…等檔案。
※ 註:此檔案存在於傳統Linux作業系統(如Fedora、centOS、RedHat…等)中,但不存在於ubuntu作業系統中。
(2) /etc/resolv.conf:
此檔案紀錄著DNS伺服器的IP位址。
(3) /etc/hosts:
此檔案紀錄著本機內之私有IP位址,所對應到的主機名稱。
(4) /etc/init.d/network:
此是一個shell script執行檔,當使用者在更改網路參數設定後,想要恢復預設值,可輸入/etc/init.d/network restart。
※ 註:此方法於傳統Linux作業系統(如Fedora、centOS、RedHat…等)中有效,若是在ubuntu作業系統中則應該用/etc/init.d/networking restart。
利用chkconfig指令,來設定「服務在開機後,是否預設為啟動」:
(1) run level:
所謂的「run level」,是指系統在開機時的不同過程中,所處於的「執行模式」(常用的說法如:系統目前正處於某個run level之下)。在不同的run level中,所預設開啟的服務也不相同。共有七個run level,用數字0、1、2、3、4、5、6來代表。說明如下:
(1-1) 傳統Linux作業系統(如Fedora、centOS、RedHat…等)的run level:
|
run level |
名稱 |
說明 |
|
0 |
Halt |
系統正在關機時,就處於這個run level 0之下。 |
|
1 |
Single-user mode |
系統在進入「單人模式」後,就處於這個run level 1之下。 單人模式,也有人稱為「安全模式」或「救援模式」。在系統發生嚴重錯誤時,使用者可以藉由這個模式進行維修。 |
|
2 |
Multi-user mode(不許網路連線) |
不允許連線的多人模式(無法由本機對外連線、也無法由遠端連線入本機)。和run level 3唯一的差異就僅僅是此run level 2不允許連線而已。 這個模式多半是用在系統維修完畢後,測試系統功能的。 |
|
3 |
Multi-user mode(允許網路連線) |
允許連線的多人模式。通常,一般使用者在正常開機後若是以文字介面來操作系統,那進入的就是這個模式、並處於這個run level 3之下。 |
|
4 |
Not-used |
這個模式是不能使用的,無須理會。 |
|
5 |
Multi-user mode(圖形介面) |
允許連線的多人模式。通常,一般使用者在正常開機後若是以圖形介面來操作系統,那進入的就是這個模式、並處於這個run level 5之下。 |
|
6 |
Reboot |
系統正在重新開機時,就處於這個run level 6之下。 |
(1-2) Ubuntu作業系統的run level:
|
run level |
名稱 |
說明 |
|
0 |
Halt |
系統正在關機時,就處於這個run level 0之下。 |
|
1 |
Single-user mode |
系統在進入「單人模式」後,就處於這個run level 1之下。 單人模式,也有人稱為「安全模式」或「救援模式」。在系統發生嚴重錯誤時,使用者可以藉由這個模式進行維修。 |
|
2 |
Multi-user mode(圖形介面) |
允許連線的多人模式。通常,一般使用者在正常開機後若是以圖形介面來操作系統,那進入的就是這個模式、並處於這個run level 2之下。 |
|
3、4、5 |
|
在ubuntu作業系統中,run level 3、4、5是不使用的。 |
|
6 |
Reboot |
系統正在重新開機時,就處於這個run level 6之下。 |
(1-3) 另有Debain作業系統的run level,與上述兩者有些差異,在此不討論。
※ 註:要查看目前在哪個run level底下,可用 who -r這個指令。
(2) 查看目前系統上,服務「在開機後,是否預設為啟動」的情況:
chkconfig --list 服務名稱
其中,服務名稱可寫可不寫。若有寫,則只顯示該服務的預設啟動情況,若沒寫,則顯示系統上所有服務的預設啟動情況。
輸入此指令後,會顯示一些資料,每一行代表一個服務,其格式依獨立啟動型、統一控管型而不同,如下:
(2-1) 獨立啟動型的顯示格式:
服務名稱 0:值 1:值 2:值 3:值 4:值 5:值 6:值
其中,0、1、2、3、4、5、6這些數字指的是第幾個run level,值有on和off兩種,若為on表示此服務在系統進入此run level後是預設開啟的,若為off表示此服務在系統進入此run level後是預設關閉的。
(2-2) 統一控管型的顯示格式:
因本例是以xinetd作為super daemon,故統一控管型的服務,其預設啟動與否的資料是顯示在xinetd based services:這一行之下,其格式為:
服務名稱: 值
值有on和off兩種,若為on表示此服務在啟動xinetd後是預設開啟的,若為off表示此服務一直都是預設關閉的。
(3) 設定一服務「在開機後,是否預設為啟動」的設定值:
(3-1) 對於獨立啟動型:
chkconfig --level N 服務名稱 值
其中,N是0~6的整數。值有on和off兩種,若為on表示設定此服務在第N個run level中是預設開啟的,若為off表示設定此服務在第N個run level中是預設關閉的。
(3-2) 對於統一控管型:
chkconfig 服務名稱 值
其中,值有on和off兩種,若為on表示設定此服務在super daemon啟動後是預設開啟的,若為off表示設定此服務super daemon啟動後是預設關閉的。
(4) 利用chkconfig來新增或刪除服務:
chkconfig 選項 服務名稱
其中,選項有:
※ --add:表示新增此服務。注意,在用chkconfig新增服務之前,若該服務是獨立啟動型,則在/etc/init.d/目錄之下應先建立此服務的daemon啟動檔(以服務名稱為檔名)。若該服務是統一控管型,則在/etc/xinetd.d/目錄之下應先建立此服務的設定檔(以服務名稱為檔名)。
※ --del:表示刪除此服務。注意,若此服務正在運作中,則可能無法刪除。且隨意刪除服務也可能造成系統問題,故需三思而後行。
javascript 教學 (1) C# (1) Linux 教學 (1) C++ (1) Mysql (1) 網路連結 (1) linux shell script (1) 高中英文單字 (26)
