## 一、监控日志 ### 查看登录日志 Linux查看/var/log/wtmp文件查看可疑IP登陆； ``` last -f /var/log/wtmp ``` ``` last ```  last命令实际上是读取的/var/log/wtmp文件，这个不是可读文件 >[info] 该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加，该文件的大小也会越来越大； 查看/var/log/secure文件寻找可疑IP登陆次数； ``` cat /var/log/secure ``` ### 重启日志检查 ``` tail -f /var/log/messages ``` 显示最后登录的用户，显示重启请求 ## 二、网络监控 ## **lsof** lsof(list open files)是一个列出当前系统打开文件的工具。在linux环境下，任何事物都以文件的形式存在，通过文件不仅仅可以访问常规数据，还可以访问网络连接和硬件。所以如传输控制协议 (TCP) 和用户数据报协议 (UDP) 套接字等，系统在后台都为该应用程序分配了一个文件描述符，无论这个文件的本质如何，该文件描述符为应用程序与基础操作系统之间的交互提供了通用接口。 ``` yum install lsof ``` ``` lsof lsof -p pid 通过某个进程号显示该进程打开的所有文件 lsof -c mysql 列出某个程序所打开的文件信息 lsof -u username 列出某个用户打开的文件信息 lsof -i 列出所有的网络连接 lsof -i tcp 列出所有tcp 网络连接信息 lsof -i :3306 列出谁在使用某个端口 ``` ## **ulimit** 通过ulimit -n命令可以查看linux系统里打开文件描述符的最大值，一般缺省值是1024，对一台繁忙的服务器来说，这个值偏小，所以有必要重新设置linux系统里打开文件描述符的最大值； ``` ulimit -n ``` ## 三、备份 建议尽量用云服务器的备份机制，如百度云的快照等； ## 四、开机自启动脚本 方案：修改 /etc/rc.d/rc.local /etc/rc.d/rc.local 文件会在Linux系统各项服务都启动完毕之后再被运行。所以你想要自己的脚本在开机后被运行的话，可以将自己脚本路径加到该文件里； ``` vi /etc/rc.d/rc.local ``` 然后将要启动的脚本全路径加入：  然后执行： ``` chmod +x /etc/rc.d/rc.local ```