㈠ 查看linux的iptables配置,都是什麼意思各個參數
查看命令 iptables -L
㈡ unix防火牆怎麼關閉
1、CentOS linux關閉iptables防火牆
linux伺服器下防火牆為iptables組件,在安裝一些軟體的時候,iptables防火牆會阻止我們一些必要的連接,所以,我代購的美國伺服器,荷蘭伺服器等海外伺服器iptables初始狀態為關閉。如果有一些伺服器沒有關閉iptables,並且你還特別想關閉它,那麼以下命令,你可以能用的上。
查看iptables狀態:
service iptables status
查看iptables狀態
(從圖中可以看到,我的服務iptables是已經關閉的,如果你的是開啟狀態,你可以通過一下命令關閉)
iptables開機自動啟動:
開啟: chkconfig iptables on
關閉: chkconfig iptables off
iptables關閉服務:
開啟: service iptables start
關閉: service iptables stop
2、關閉selinux
1 永久方法 – 需要重啟伺服器
修改/etc/selinux/config文件中設置SELINUX=disabled ,然後重啟伺服器。
2 臨時方法 – 設置系統參數
使用命令setenforce 0
㈢ linux伺服器ping不同問題!要怎麼解決!
原因不同,解決問題的方法也有所不同。
太心急。即網線剛插到交換機上就想Ping通網關,忽略了生成樹的收斂時間。當然,較新的交換機都支持快速生成樹,或者有的管理員乾脆把用戶埠(access port)的生成樹協議關掉,問題就解決了。
某些路由器埠是不允許用戶Ping的。
訪問控制。不管中間跨越了多少跳,只要有節點(包括端節點)對ICMP進行了過濾,Ping不通是正常的。最常見的就是防火牆的行為。
多路由負載均衡場合。比如Ping遠端目的主機,成功的reply和timed out交錯出現,結果發現在網關路由器上存在兩條到目的網段的路由,兩條路由權重相等,但經查一條路由存在問題。
網路因設備間的時延太大,造成ICMPecho報文無法在預設時間(2秒)內收到。時延的原因有若干,比如線路(衛星網時延上下星為540毫秒),香港伺服器租用路由器處理時延,或路由設計不合理造成迂迴路徑。使用擴展Ping,增加timed out時間,可Ping通的話就屬路由時延太大問題。
引入NAT的場合會造成單向Ping通。NAT可以起到隱蔽內部地址的作用,當由內Ping外時,可以Ping通是因為NAT表的映射關系存在,當由外發起Ping內網主機時,就無從查找邊界路由器的NAT表項了。
指定源地址的擴展Ping.登陸到路由器上,Ping遠程主機,當ICMP echorequest從串列廣域網介面發出去的時候,路由器會指定某個IP地址作為源IP,這個IP地址可能不是此介面的IP或這個介面根本沒有IP地址。而某個下游路由器可能並沒有到這個IP網段的路由,導致不能Ping通。可以採用擴展Ping,指定好源IP地址。
IP地址分配不連續。地址規劃出現問題象是在網路中埋了地雷,地址重疊或掩碼劃分不連續都可能在Ping時出現問題。比如一個極端情況,A、B兩台主機,經過多跳相連,A能Ping通B的網關,而且B的網關設置正確,但A、B就是Ping不通。經查,在B的網卡上還設有第二個地址,並且這個地址與A所在的網段重疊。
㈣ 如何查看iptables打標記的mark值
iptables 的歷史以及工作原理
1.iptables的發展:
iptables的前身叫ipfirewall (內核1.x時代),這是一個作者從freeBSD上移植過來的,能夠工作在內核當中的,對數據包進行檢測的一款簡易訪問控制工具。但是ipfirewall工作功能極其有限(它需要將所有的規則都放進內核當中,這樣規則才能夠運行起來,而放進內核,這個做法一般是極其困難的)。當內核發展到2.x系列的時候,軟體更名為ipchains,它可以定義多條規則,將他們串起來,共同發揮作用,而現在,它叫做iptables,可以將規則組成一個列表,實現絕對詳細的訪問控制功能。
他們都是工作在用戶空間中,定義規則的工具,本身並不算是防火牆。它們定義的規則,可以讓在內核空間當中的netfilter來讀取,並且實現讓防火牆工作。而放入內核的地方必須要是特定的位置,必須是tcp/ip的協議棧經過的地方。而這個tcp/ip協議棧必須經過的地方,可以實現讀取規則的地方就叫做 netfilter.(網路過濾器)
作者一共在內核空間中選擇了5個位置,
1.內核空間中:從一個網路介面進來,到另一個網路介面去的
2.數據包從內核流入用戶空間的
3.數據包從用戶空間流出的
4.進入/離開本機的外網介面
5.進入/離開本機的內網介面
2.iptables的工作機制
從上面的發展我們知道了作者選擇了5個位置,來作為控制的地方,但是你有沒有發現,其實前三個位置已經基本上能將路徑徹底封鎖了,但是為什麼已經在進出的口設置了關卡之後還要在內部卡呢? 由於數據包尚未進行路由決策,還不知道數據要走向哪裡,所以在進出口是沒辦法實現數據過濾的。所以要在內核空間里設置轉發的關卡,進入用戶空間的關卡,從用戶空間出去的關卡。那麼,既然他們沒什麼用,那我們為什麼還要放置他們呢?因為我們在做NAT和DNAT的時候,目標地址轉換必須在路由之前轉換。所以我們必須在外網而後內網的介面處進行設置關卡。
這五個位置也被稱為五個鉤子函數(hook functions),也叫五個規則鏈。
1.PREROUTING (路由前)
2.INPUT (數據包流入口)
3.FORWARD (轉發管卡)
4.OUTPUT(數據包出口)
5.POSTROUTING(路由後)
這是NetFilter規定的五個規則鏈,任何一個數據包,只要經過本機,必將經過這五個鏈中的其中一個鏈。
3.防火牆的策略
防火牆策略一般分為兩種,一種叫「通」策略,一種叫「堵」策略,通策略,默認門是關著的,必須要定義誰能進。堵策略則是,大門是洞開的,但是你必須有身份認證,否則不能進。所以我們要定義,讓進來的進來,讓出去的出去,所以通,是要全通,而堵,則是要選擇。當我們定義的策略的時候,要分別定義多條功能,其中:定義數據包中允許或者不允許的策略,filter過濾的功能,而定義地址轉換的功能的則是nat選項。為了讓這些功能交替工作,我們制定出了「表」這個定義,來定義、區分各種不同的工作功能和處理方式。
我們現在用的比較多個功能有3個:
1.filter 定義允許或者不允許的
2.nat 定義地址轉換的
3.mangle功能:修改報文原數據
我們修改報文原數據就是來修改TTL的。能夠實現將數據包的元數據拆開,在裡面做標記/修改內容的。而防火牆標記,其實就是靠mangle來實現的。
㈤ 如何查看iptables打標記的mark 65533
iptables 的歷史以及工作原理
1.iptables的發展:
iptables的前身叫ipfirewall (內核1.x時代),這是一個作者從freeBSD上移植過來的,能夠工作在內核當中的,對數據包進行檢測的一款簡易訪問控制工具。但是ipfirewall工作功能極其有限(它需要將所有的規則都放進內核當中,這樣規則才能夠運行起來,而放進內核,這個做法一般是極其困難的)。當內核發展到2.x系列的時候,軟體更名為ipchains,它可以定義多條規則,將他們串起來,共同發揮作用,而現在,它叫做iptables,可以將規則組成一個列表,實現絕對詳細的訪問控制功能。
他們都是工作在用戶空間中,定義規則的工具,本身並不算是防火牆。它們定義的規則,可以讓在內核空間當中的netfilter來讀取,並且實現讓防火牆工作。而放入內核的地方必須要是特定的位置,必須是tcp/ip的協議棧經過的地方。而這個tcp/ip協議棧必須經過的地方,可以實現讀取規則的地方就叫做 netfilter.(網路過濾器)
作者一共在內核空間中選擇了5個位置,
1.內核空間中:從一個網路介面進來,到另一個網路介面去的
2.數據包從內核流入用戶空間的
3.數據包從用戶空間流出的
4.進入/離開本機的外網介面
5.進入/離開本機的內網介面
2.iptables的工作機制
從上面的發展我們知道了作者選擇了5個位置,來作為控制的地方,但是你有沒有發現,其實前三個位置已經基本上能將路徑徹底封鎖了,但是為什麼已經在進出的口設置了關卡之後還要在內部卡呢? 由於數據包尚未進行路由決策,還不知道數據要走向哪裡,所以在進出口是沒辦法實現數據過濾的。所以要在內核空間里設置轉發的關卡,進入用戶空間的關卡,從用戶空間出去的關卡。那麼,既然他們沒什麼用,那我們為什麼還要放置他們呢?因為我們在做NAT和DNAT的時候,目標地址轉換必須在路由之前轉換。所以我們必須在外網而後內網的介面處進行設置關卡。
這五個位置也被稱為五個鉤子函數(hook functions),也叫五個規則鏈。
1.PREROUTING (路由前)
2.INPUT (數據包流入口)
3.FORWARD (轉發管卡)
4.OUTPUT(數據包出口)
5.POSTROUTING(路由後)
這是NetFilter規定的五個規則鏈,任何一個數據包,只要經過本機,必將經過這五個鏈中的其中一個鏈。
3.防火牆的策略
防火牆策略一般分為兩種,一種叫「通」策略,一種叫「堵」策略,通策略,默認門是關著的,必須要定義誰能進。堵策略則是,大門是洞開的,但是你必須有身份認證,否則不能進。所以我們要定義,讓進來的進來,讓出去的出去,所以通,是要全通,而堵,則是要選擇。當我們定義的策略的時候,要分別定義多條功能,其中:定義數據包中允許或者不允許的策略,filter過濾的功能,而定義地址轉換的功能的則是nat選項。為了讓這些功能交替工作,我們制定出了「表」這個定義,來定義、區分各種不同的工作功能和處理方式。
我們現在用的比較多個功能有3個:
1.filter 定義允許或者不允許的
2.nat 定義地址轉換的
3.mangle功能:修改報文原數據
我們修改報文原數據就是來修改TTL的。能夠實現將數據包的元數據拆開,在裡面做標記/修改內容的。而防火牆標記,其實就是靠mangle來實現的。
㈥ linux防火牆 iptables
iptables命令用於管理防火牆的規則策略,格式為:「iptables [-t 表名] 選項 [鏈名] [條件] [-j 控制類型]」。
表格為讀者總結了幾乎所有常用的iptables參數,如果記不住也沒關系,用時來查就行,看完後來學習下如何組合並使用吧:
參數 作用
-P 設置默認策略:iptables -P INPUT (DROP|ACCEPT)
-F 清空規則鏈
-L 查看規則鏈
-A 在規則鏈的末尾加入新規則
-I num 在規則鏈的頭部加入新規則
-D num 刪除某一條規則
-s 匹配來源地址IP/MASK,加嘆號"!"表示除這個IP外。
-d 匹配目標地址
-i 網卡名稱 匹配從這塊網卡流入的數據
-o 網卡名稱 匹配從這塊網卡流出的數據
-p 匹配協議,如tcp,udp,icmp
--dport num 匹配目標埠號
--sport num 匹配來源埠號
查看已有的規則:
[root@linuxprobe ~]# iptables -L
清空已有的規則:
[root@linuxprobe ~]# iptables -F
將INPUT鏈的默認策略設置為拒絕:
當INPUT鏈默認規則設置為拒絕時,我們需要寫入允許的規則策略。
這個動作的目地是當接收到數據包時,按順序匹配所有的允許規則策略,當全部規則都不匹配時,拒絕這個數據包。
[root@linuxprobe ~]# iptables -P INPUT DROP
允許所有的ping操作:
[root@linuxprobe ~]# iptables -I INPUT -p icmp -j ACCEPT
在INPUT鏈的末尾加入一條規則,允許所有未被其他規則匹配上的數據包:
因為默認規則表就是filter,所以其中的"-t filter"一般省略不寫,效果是一樣的。
[root@linuxprobe ~]# iptables -t filter -A INPUT -j ACCEPT
刪除上面的那條規則:
[root@linuxprobe ~]# iptables -D INPUT 2
既然讀者已經掌握了iptables命令的基本參數,那麼來嘗試解決模擬訓練吧:
模擬訓練A:僅允許來自於192.168.10.0/24域的用戶連接本機的ssh服務。
Iptables防火牆會按照順序匹配規則,請一定要保證「允許」規則是在「拒絕」規則的上面。
[root@linuxprobe ~]# iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT
[root@linuxprobe ~]# iptables -A INPUT -p tcp --dport 22 -j REJECT
模擬訓練B:不允許任何用戶訪問本機的12345埠。
[root@linuxprobe ~]# iptables -I INPUT -p tcp --dport 12345 -j REJECT
[root@linuxprobe ~]# iptables -I INPUT -p udp --dport 12345 -j REJECT
模擬實驗C(答案模式):拒絕其他用戶從"eno16777736"網卡訪問本機http服務的數據包。
答案:[rootlinuxprobe ~]# iptables -I INPUT -i eno16777736 -p tcp --dport 80 -j REJECT
模擬訓練D:禁止用戶訪問www.my133t.org。
[root@linuxprobe ~]# iptables -I FORWARD -d www.my133t.org -j DROP
模擬訓練E:禁止IP地址是192.168.10.10的用戶上網
[root@linuxprobe ~]# iptables -I FORWARD -s 192.168.10.10 -j DROP
iptables命令執行後的規則策略僅當前生效,若想重啟後依然保存規則需執行"service iptables save"。
參考《linux就該這么學》,第7章節 Iptables
㈦ iptables的簡單使用方法
mangle表的主要功能是根據規則修改數據包的一些標志位,以便其他規則或程序可以利用這種標志對數據包進行過濾或策略路由。
定義允許或者不允許的
iptables -t filter -A INPUT -j DROP -p tcp --dport 8081
過濾發往本機的8081埠的所有包被丟棄
用途:網路地址轉換;修改目的埠或目的地址以及原地址
iptables -t nat -A PREROUTING -p tcp --dport 7788 -j DNAT --to 192.168.0.11:7799
iptables -t nat -A POSTROUTE -p tcp -d 192.168.0.11 --dport 7799 -j SNAT --to 192.168.0.12
1. 「四表」 是指,iptables的功能——filter, nat, mangle, raw.
filter, 控制數據包是否允許進出及轉發(INPUT、OUTPUT、FORWARD),可以控制的鏈路有input, forward, output
nat, 控制數據包中地址轉換,可以控制的鏈路有prerouting, input, output, postrouting
mangle,修改數據包中的原數據,可以控制的鏈路有prerouting, input, forward, output, postrouting
raw,控制nat表中連接追蹤機制的啟用狀況,可以控制的鏈路有prerouting, output
註:在centos7中,還有security表,不過這里不作介紹
2. 「五鏈」 是指內核中控制網路的NetFilter定義的五個規則鏈,分別為
PREROUTING, 路由前
INPUT, 數據包流入口
FORWARD, 轉發管卡
OUTPUT, 數據包出口
POSTROUTING, 路由後
3 .堵通策略 是指對數據包所做的操作,一般有兩種操作——「通(ACCEPT)」、「堵(DROP)」,還有一種操作很常見REJECT.
談談REJECT和DROP之間的區別,Ming寫了一封信,向Rose示愛。Rose如果不願意接受,她可以不回應Ming,這個時候Ming不確定Rose是否接到了信;Rose也可以同樣寫一封信,在信中明確地拒絕Ming。前一種操作就如同執行了DROP操作,而後一種操作就如同REJECT操作。
4.iptables命令的語法規則
iptables [-t table] COMMAND [chain] CRETIRIA -j ACTION
-t table,是指操作的表,filter、nat、mangle或raw, 默認使用filter
COMMAND,子命令,定義對規則的管理
chain, 指明鏈路
CRETIRIA, 匹配的條件或標准
ACTION,操作動作
例如,不允許10.8.0.0/16網路對80/tcp埠進行訪問,
iptables -t filter -A INPUT -s 10.8.0.0/16 -d 172.16.55.7 -p tcp --dport 80 -j DROP
查看iptables列表
iptables -nL
5.鏈管理
-N, --new-chain chain:新建一個自定義的規則鏈;
-X, --delete-chain [chain]:刪除用戶自定義的引用計數為0的空鏈;
-F, --flush [chain]:清空指定的規則鏈上的規則;
-E, --rename-chain old-chain new-chain:重命名鏈;
-Z, --zero [chain [rulenum]]:置零計數器;
-P, --policy chain target, 設置鏈路的默認策略
6.規則管理
-A, --append chain rule-specification:追加新規則於指定鏈的尾部;
-I, --insert chain [rulenum] rule-specification:插入新規則於指定鏈的指定位置,默認為首部;
-R, --replace chain rulenum rule-specification:替換指定的規則為新的規則;
-D, --delete chain rulenum:根據規則編號刪除規則;
7.查看規則
-L, --list [chain]:列出規則;
-v, --verbose:詳細信息;
-vv, -vvv 更加詳細的信息
-n, --numeric:數字格式顯示主機地址和埠號;
-x, --exact:顯示計數器的精確值;
--line-numbers:列出規則時,顯示其在鏈上的相應的編號;
-S, --list-rules [chain]:顯示指定鏈的所有規則;
查看規則的一般內容:
㈧ 急!!!利用 iptables 實現 linux 防火牆功能有關問題的3條命令的解釋.
第一條不太清楚,
第二條是添加一條放行,外部網路到本地eth0的icmp協議包放行。意思就是別人可以ping通你的eth0.
第三條是添加一條放行,外部IP(變數$IP_SERVER)訪問本地IP($MY_IP)80埠的包放行。意思就是你在IP_SERVER變數里定義的IP地址可以訪問你本機的網頁服務。
㈨ 在地址為192.168.1.44的主機上,要檢查到另一台主機的端到端連接性,可通過CLI執行哪個命令
ping:通過ICMP回應/回復報文檢查遠端主機的端到端連接性(RTT延時,抖動,丟包)。用來檢查系統狀態和可連接性很不錯
.hping:網路掃描和檢測工具,可以產生ICMP / TCP / UDP ping數據包。常常用於高級埠掃描,防火牆測 試驗,手動MTU路徑發現和碎片測試.traceroute
:通過TTL限定的ICMP / UDP / TCP偵測包來發現從本地主機到遠端目標主機之間的第三層轉發路徑。用來調試網路連接性和
路由問題.mtr:traceroute的一個變種,能根據運行時統計數據整理出每一跳的包丟失/動作。用來評估路由路徑延時很不錯.netcat
/ socat:TCP / IP網路里的瑞士軍刀,可以讀/寫TCP / UDP協議位元組流。用來調試防火牆策略和服務可用性很不錯.dig
:DNS調試工具,可以生成正向查詢,反向查詢,搜索域名伺服器,檢查CNAME,MX及其他DNS記錄。可以在偵錯的時候查詢特定的DNS伺服器.nslookup
:另外一個DNS檢查/調試工具。支持所有DNS查詢和記錄。可以查詢特定DNS伺服器。
dnsyo:一個DNS測試工具,通過對全世界1500個不同網路中的大量開放解析器執行DNS查詢來測試DNS傳輸.lsof
:顯示進程打開的文件信息(例如,普通文件,管道或套接字)。用來監視網路連接很不錯
.iftop:一個基於ncurses的命令行界面應用,可以實時監視各個網路物理介面上的網路連接和帶寬佔用。用來記錄霸佔帶寬的應用,用戶,目的地和埠等很不錯
.netstat:一個網路統計工具,可以顯示狀態以及統計信息,當前網路連接(TCP / UDP埠,IP地址),路由表,TX / RX流量以及網路協議。用來做網路相關診斷和性能調試很不錯
.tcpmp:一個常用的基於libpcap抓包庫的包偵測工具。可以按伯克利包過濾器格式定義抓包條件
.tshark:另一個命令行抓包工具,和它的GUI版本Wireshark完全兼容。支持1000種協議而且這個列表還在增加。用來調試,分析和保存實時 。絡封包信息很不錯
的ip:。一個多功能的命令行網路工具,是iproute2的包的一部分可以檢查和修改路由表,網路設備狀態以及IP隧道設置用來查看路由表,增加/刪除靜態路由,配置網路介面,以及調試路由問題很有用.ifup
/ ifdown:用來激活和關閉特定的網路介面。經常用於重啟整個網路服務.autossh
:一個能建立SSH連接並在斷線後自動重新連接的程序。用來創建長時間保持的穿越嚴格企業網路的SSH隧道很有用.iperf
:一個網路測試工具,通過在發送自定義TCP / UDP數據流來衡量主機間雙向最大吞吐量
.elinks / lynx:為基於命令行的伺服器環境下使用的基於文字的網頁瀏覽器。
安全工具
iptables的:一個用戶空間下的命令行工具,用於配置Linux的內核防火牆可以創建和修改的Linux內核空間的網路包接收,轉發和發送規則。
NMAP:一個常用的為了安全審查目的的埠掃描和網路發現
TCP包裝:一個主機端的網路訪問控制列表工具,可以過濾進入/出去的網路請求/ 工具。用來在本地網路回復經常配合iptables的一起使用,作為額外一層安全保護。
getfacl的說明書/ setfacl的:查看和定製文件和目錄的訪問控制列表,作為傳統文件許可權的擴展。
cryptsetup:用於創建和管理LUKS加密磁碟分區
lynis :一個命令行的漏洞掃描工具。可以掃描整個Linux系統,並匯報潛在的漏洞以及相關可能解決方案
.maldet:一個惡意軟體掃描命令行工具,可以檢測和隔離潛在的感染文件。可以在後台運行長期監 。
rkhunter / chkrootkit的:一個命令行工具,可以掃描本地系統里的潛在木馬,隱藏後門和可疑利用,並禁用它們。
存儲工具
的fdisk:一個磁碟分區編輯工具用於查看,創建和修改本地磁碟或可移動磁碟的分區
.sfdisk:fdisk的一個變種,能用一種非交互的方式訪問或更新磁碟分區表。用來自動化備份和恢復過程中的磁碟分區很有用
.parted:另一個磁碟分區編輯器,支持超過2TB的磁碟的GPT(GUID分區表)格式.gparted是parted的一個前端GTK +圖形界面.df
:用來查看不同分區或文件路徑的已用/可用存儲空間和掛載點。還有一個更易用的變種DFC。
:用來查看不同文件和目錄的當前磁碟佔用情況(例如, -sh *)。
mkfs:一個磁碟格式化命令,用來在獨立磁碟分區上建立文件系統。有多個文件系統相關的版本:ext2,ext3,ext4,bfs,ntfs,vfat /
fat.fsck:一個命令行工具,用來檢查文件系統錯誤並嘗試可能的修復。通常在啟動時自動運行,但是在卸載一個分區後也可以根據需要手動運行
.mount:用來映射一個物理磁碟分區,網路共享或遠程存儲到一個本地掛載點。任何對掛載點里的讀/寫操作都是對應實際存儲的實際數據讀/寫
.mdadm :一個命令行工具,用來管理物理塊設備上的軟體RAID設備。可以創建,構造,增長或監視RAID陣列.lvm
:一套命令行工具集,用來管理卷分組和物理/邏輯卷,可以。用最小的停機時間在多個物理磁碟上創建,調整大小,狀語從句:拆分合並卷
日誌訪問工具
尾:用來查看一個(長中的)日誌文件的尾部有幾個變種,包括multitail(多窗口查看)和ztail(支持的inotify和正則表達式過濾以及顏色)。
logrotate的:一個命令行工具,可以在根據設定的時間段拆分,壓縮並通過郵件發送舊的/大的日誌文件。用來管理可能產生大量日誌文件的繁忙主機很有用.grep
/ egrep:可以通過特定的模式或正則表達式過濾日誌內容。變種包括用戶更友好的ack和速度更快的ag.awk
:一個多功能的文本掃描和處理工具。常用於從文本/日誌文件中找出特定的列或內容,並輸出給其他工具.sed
:一個文本流編輯工具,可以過濾和改變(例如,刪除行/空格,替換/轉換單詞,增加計數)文本流並通過管道連接到標准輸出/標准錯誤或者其他工具。
備份工具
rsync:一個快速的單向增量備份和鏡像工具(常規於復制一個數據倉庫到線下存儲,可以選擇通過SSH或stunnel的加密連接
.rdiff-backup :另一個有效利用帶寬的增量備份工具.diplicity
:一個加密的增量備份工具。使用GnuPG加密備份,並通過SSH上傳到遠程伺服器。
性能監視工具
top:一個命令行的進程查看程序。可以監視系統負載,進程狀態,CPU和內存佔用。有一個更易用的變種htop。ps
:顯示系統所有運行中進程的一個快照。輸出可以定製成顯示PID,PPID,用戶,負載,內存,積累的用戶/系統時間,啟動時間,以及更多。有一個變種pstree可以用樹結構顯示進程
.nethogs:一個帶寬監視工具,按進程來分組顯示活動網路連接,實時匯報 -個進程佔用的(上傳/下載)帶寬
.ngxtop:一個網頁 伺服器訪問日誌解析和監視工具,界面受到了top命令啟發。它可以實時匯報整理過的頁面請求列表,包括頻率,大小,HTTP返回值,IP地址,等等.vmstat
:一個簡單的命令行工具,可以顯示多個實時系統特徵,例如進程數,剩餘內存,分頁狀態,CPU佔用,塊設備I / O活動,中斷/上下文切換統計,
等等.iotop:一個基於ncurses的I / O監視工具,可以實時排序顯示所有運行中進程的磁碟I / O活動
.iostat:一個命令行工具,可以匯報當前CPU使用情況,以及設備I / O使用情況,這里的I / O使用情況(例如,塊傳輸速度,位元組讀/寫速度)是按設備或分區來匯報的。
效率工具
screen:用來把一個單一的終端拆分成多個持久的虛擬終端,也支持遠程用戶訪問,類似teamviewer的屏幕分享功能
.tmux:另一個終端復用工具,可以支持多個長期會話,還可以橫向/縱向拆分終端。
作弊:一個簡單的命令行工具,可以讓你查看多個常用Linux命令的備記錄,就在手邊非常方便。內建的備忘錄也可以完全定製.apropos
:用來在幫助手冊里查找描述或關鍵字很有用。
包管理工具
apt:基於Debian系統的事實上的包管理工具,例如Debian,Ubuntu或Backtrack。一個救生圈.apt
-fast:apt-get的一個支撐應用,可以通過多個並行連接明顯提高apt-get的下載速度
.apt-file:用來查看某個特定文件屬於哪個.deb包,或者顯示一個特定.deb包里的所有文件。已安裝和未安裝的包都能支持
.dpkg:一個用來手動安裝.deb包的命令行工具。強烈建議盡可能的使用apt.yum
:用於基 於紅帽的系統的自動包管理工具,比如RHEL,CentOS或Fedora。這是另一個救生圈!
rpm:通常我都是使用rpm來配合yum使用。有很多有用的參數,比如-q,-f, -l可以分別用來查詢,指定文件和路徑。
硬體工具
lspci的:一個命令行工具,可以顯示已安裝的PCI設備的各種信息,比如型號名稱,設備驅動,設備功能,內存地址,PCI匯流排地址。
lshw:一個命令行工具,可以查詢和顯示不同分類下的硬體配置的詳細信息(例如,處理器,內存,主板,網路,存儲)支持多重輸出格式:HTML,XML,JSON文本。
inxi:一個綜合硬體查看工具,可以提供不同硬體模塊的總覽,例如CPU,顯卡,音效卡,網卡,溫度/風扇感測器,等等。