打开微信“扫一扫”，打开网页后点击屏幕右上角分享按钮
今天给菜鸟们说说以入侵者的角度去谈谈服务器被干掉后，我们该做的哪些防护和检查工作，大牛的话都比较熟悉系统加固和安全的问题，对于我等菜鸟来说，没有做过从事过安全方面工作，所以只能从入侵者的角度去说说相对立的工作。因为菜鸟的我们也会自己弄服务器自己建站，又没有专业的知识，也不是搞什么大项目，所以都只能自己维护了，那么被干掉后，肯定也是得自己做维护和检查工作了，于是有了下文。
通常服务器被干掉，一般有以下几种情况，跟着我来看看吧
1.服务器被拿下最高权限即系统权限
一般为了拿系统权限，基本肯定不会干什么好事，服务器的数据基本都会被打包走，因为系统权限是最高权限能干的事多了，我就不说黑阔们都用着权限干嘛了，你们懂的
2.服务器被拿下webshell
通常是某个web系统有漏洞，导致黑阔黑盒检测出来并利用或0DAY什么的，直接得到一个webshell权限，这个权限可大可小，主要还是看服务器的web目录设置的权限，权限设置不好的话，系统盘目录都可以一览无余，当然要是目录设置严谨的话，基本拿到一个webshell不足以搞什么破坏，最多被脱裤和打包（关键组件禁用比如wscript，fso等），尤其在找不到提权的情况下，只有一个webshell能干的事就很少了，现在大部分服务器都挺安全，基本能拿下个webshell提权还是挺困难
3.服务器各种数据被社
比如3389终端，FTP，WEB系统管理等等账户和密码被社，或通过上面webshell拿到数据并整理分析得到一定权限的管理账户，还有现在流行的XSS用来X后台和管理账户，这些就要根据账户所对应的系统而确定权限，比如3389终端账户，社到的话那直接就是系统权限了（前提可以登陆的情况，不然神马都浮云），WEB系统管理就要看是什么系统了，ASP，ASP.NET，PHP的这些都不涉及系统权限，而JSP的系统那就要注意了，权限配置不好的话，那权限可不是一般的大。具体这一种情况被社到的话，能做的事情就依据账户对应权限了
4.服务器被C段或嗅探
这种情况和第三种情况不一样，这需要在同一段内搞下一台系统权限的服务器，然后才可以进行数据的嗅探，能嗅探的数据很多，比如3389登录账户和密码，80也就是web系统管理账户和密码等等，能做的事情也同第三一样，也是根据嗅探到的账户对应的权限而定
5.服务器被各种0DAY打了
这个一般菜鸟是做不到的，要么是新出了哪一个0DAY，然后公布于众了，菜鸟才得以过把瘾，0DAY各种各样，大概分为系统0DAY和WEB 0DAY，系统0DAY比如直接溢出获得系统权限，反弹SHELL等等，WEB 0DAY一般则是针对某一个WEB系统直接getshell，两者的权限可以参照以上的，系统0DAY一般能直接得到system权限，WEB则和第二点差不多，还要根据权限大小而确定能干的事。
简单的被黑后的工作检查处理流程：
这几种情况是我们常遇见的，菜鸟的你当服务器被黑阔撸过了，你肿么办（肯定不会凉拌，再垃圾也是服务器嘛:D，也是自己使用的）？我们可以根据以上的情况，去做相对于的对策和检测。以下是我自己总结的，若有雷同纯属意外：
1.服务器被干掉了，第一我要做的是，开发的系统都先暂时关闭，系统账户密码都修改一遍，请改之前还要检查服务器是否存在木马等。以免被黑阔给你Get Hash(通过某种手段获取系统密码的hash值并进行破解得出明文密码)或明文（那你白干了，黑阔笑嘻嘻，心想你个傻鸟我再监听你呢）
2.检查系统是否有多余的账户，一般有手工和工具检查，我这里指谈思路，具体要做你自己去实现，比如可以查C:\Documents and Settings\这里，要是创建新账户登录3389后悔在这里生成和账户名对应的文件夹，哪怕是神马带$的隐藏账户，还有注册表里也要好好检查，不懂就工具吧，百度那么好
3.检查系统开放的端口，自己熟悉的端口就先不管，有陌生的就要查一下，到底是什么程序再使用，有时候可以检查出木马或者后门使用的端口，把没必要的端口都关闭了，避免意外事故
4.检查日志，菜鸟级别的一般没办法清理掉一些日志，可以好好看看，比如IIS，WEB系统自带的日志功能，系统日志等，这能分析出黑阔都干了神马坏事，以及你的服务器是怎么被干掉
5.检查系统各个盘符的以及关键目录的操作权限，比如某2B管理给我搞了服务器，E盘原本没权限，后来我改为everyone，而恰好他又不去检查，那只要我WEBSHELL在的话，权限就很大，尤其配合一些提权工具，那是爽歪歪了
6.使用杀毒安全软件，这个是为了全盘扫描木马（EXE和脚本以及其他），查杀木马和修复系统漏洞，至于选择神马杀毒软件，大家自己找，我也不推荐免得被说是枪手，这年头当好人很难的
7.web系统的脚本后门要好好检查，一般看看文件操作时间（不过文件时间是可以改滴），用工具审核，还有人工审核，没能力的找基友，找熟人，还有一种是提前备份好各个系统，出了问题后，把两个文件打包到本地用Beyond Compare对比分析，当然其他对比分析工具也可以，确保剔除掉黑阔的脚本，另外能找到自己web系统的漏洞最好了，如果你知道黑阔怎么搞你的web系统那你就对应修复吧，记得还有那些变异扩展的脚本也要留意下。
8.安装安全狗之类的waf软件，我不是打广告，反正不少菜鸟遇上狗的服务器，基本都是绕道而行，不然就要被咬了，大牛有办法绕过，但是不一定会给我等这些菜鸟分享的，所以安装类似的软件，虽然不能保证100%防护，但至少给黑阔搞你服务器增加不少困难，也可以阻挡一批所谓的脚本小子（有木有？反正我遇到狗就跑啦）
做好这些之后，剩下的还要自己给服务器加固，哪里被搞了，哪里就应该多留意下，具体的加固，大家自己找资料参考吧，这个是题外话，何况我这菜逼的菜鸟也不是专搞这个的，所以基友就别为难我，我只能略懂一些，各种账户密码设置复杂一些，而且不同的账户使用不同的密码，必备被社工了，社工太强大了，不是你所想象得到的，服务器各目录严格分配，可以参照下星外，还有其他的参考文献，没事看看日志，监听下流量，监听下端口，黑阔要在你服务器干坏事，肯定会有不少动静，只要稍微留意一下细节的东西。
91ri.org：本文属于较简单的服务器被黑后的问题排查流程，适合刚刚做网管或者是技术不是很好的朋友阅读。其实安全这种东西无绝对，不是说安装个防火墙或者多打些补丁就能防住那些不法分子，要有颗常记安全的心。
建议：在工作检查处理流程的一条中所提到的检查服务器是否存在木马等，我们建议使用专业的杀毒软件及webshell扫描工具。（杀毒软件推荐国外的mcafee企业版，诺顿企业版或相关的服务器版，webshell扫描工具推荐啊D，暗组等常更新的webshell扫描工具。毕竟shell一直在变形，若只单纯使用旧的扫描工具根本扫描不出什么。同时建议服务器端不使用XX卫士，XX管家等。）
本文由网络安全攻防研究室（）信息安全小组收集整理，转载请注明出处。
/ pentest-skills如何用 sysdig 监控和排查 Linux 服务器 - 文章 - 伯乐在线
& 如何用 sysdig 监控和排查 Linux 服务器
如果你需要跟踪一个进程发出和接收的系统调用，第一个想到是的什么？你很可能想到了 strace，你是对的。 从命令行监控原始网络通信你会用什么工具？如果你想到了 tcpdump，你又做了明智的决定。如果你碰巧需要跟踪打开的文件（换句 Unix 语言来讲就是：一切皆文件），很可能你会用 lsof。
strace、tcpdump 和 lsof 确实了不起的工具，应该是每个系统管理员工具箱里的一部分。这恰恰是你会喜欢 sysdig 的原因，一个强大的系统级[探索]和调试工具，开源的，并且被创始人称作“strace + tcpdump + lsof ，顶上浇了带有 Lua 樱桃的美妙酱汁”。好吧，先把幽默放一边，sysdig 的一个很棒的特性在于，它不仅能够分析Linux 系统的 “现场”状态，还能够把系统状态保存到一个转储文件以用于离线检测。而且，你可以用内置（或者自己编写）的小脚本 —— 名为“chisels（凿子）” —— 来定制 sysdig 的行为甚至增强 sysdig 的能力。各种 chisels 都以各自不同的脚本特性来分析 sysdig 捕获的事件流。
在本教程里，我们将研究 sysdig 在 Linux 上的安装和基本的系统监控和调试用法。
安装Sysdig
为了简单、明了和Linux发行版无关方面的考虑，本教程选择官网描述的自动安装流程，安装脚本自动探查操作系统并安装必要的依赖包。
以 root 身份运行如下指令，从官方 apt/yum 源安装 sysdig。
# curl -s //stable/install-sysdig | bash
<div class="crayon-num" data-line="crayon-59b84d
# curl -s //stable/install-sysdig | bash
安装完成后，我们可以像这样运行 sysdig，来感受一下。
<div class="crayon-num" data-line="crayon-59b84d
屏幕上立刻充斥这系统内发生的一切信息，我们没办法利用这些信息，所以我们应该运行：
# sysdig -cl | less
<div class="crayon-num" data-line="crayon-59b84d
# sysdig -cl | less
来查看已有的 chisels 列表：
下列类别是默认可用的，每一类都有多个内置的 chisels。
CPU 使用情况
Performance
System State
<div class="crayon-num" data-line="crayon-59b84d<div class="crayon-num crayon-striped-num" data-line="crayon-59b84d<div class="crayon-num" data-line="crayon-59b84d<div class="crayon-num crayon-striped-num" data-line="crayon-59b84d<div class="crayon-num" data-line="crayon-59b84d<div class="crayon-num crayon-striped-num" data-line="crayon-59b84d<div class="crayon-num" data-line="crayon-59b84d<div class="crayon-num crayon-striped-num" data-line="crayon-59b84d<div class="crayon-num" data-line="crayon-59b84d
&&&&CPU Usage&&&& CPU 使用情况&&&&Errors&&&&&&&&错误&&&&I/O&&&&&&&&&& 输入/输出&&&&Logs&&&&&&&&&&日志&&&&Misc&&&&&&&&&&杂项&&&&Net&&&&&&&&&& 网络&&&&Performance&& 性能&&&&Security&&&&&&安全&&&&System State&&系统状态
显示一个特定chisel的信息（含详细的命令行用法），运行：
# sysdig -cl [chisel_name]
# sysdig -cl [chisel_name]
比如，查看“Net”类别下的 spy_port chisel，可以运行：
# sysdig -i spy_port
# sysdig -i spy_port
chisel 可以跟过滤器结合以便获得更有用的输出内容，过滤器可以用于现场数据也可以用于跟踪文件。
过滤器遵循“类别.字段”的结构，比如：
fd.cip: 客户端 IP 地址
evt.dir: 事件方向，可以是 ‘&’，代表进入事件；或 ‘&’，代表退出事件。
下面的命令显示所有的过滤器：
# sysdig -l
<div class="crayon-num" data-line="crayon-59b84d
# sysdig -l
在剩下的教程里，我将演示一些 sysdig 的用例。
Sysdig 示例：服务器性能调试
假设你的服务器遇到性能问题（比如无反应或严重的反应延迟），你可以用 bottlenecks chisel 来显示此时最慢的 10 个系统调用。
下面的命令可以在运行中的服务器上实时做检测。“-c” 标记后面跟着 chisel名，是告诉 sysidg 运行指定的 chisel。
# sysdig -c bottlenecks
<div class="crayon-num" data-line="crayon-59b84d
# sysdig -c bottlenecks
或者，你可以执行离线服务器性能分析。这种情况下，你可以把完整的 sysdig 跟踪数据保存到一个文件里，然后对跟踪文件运行 bottlenecks chisel ，方法如下：
首先，保存 sysdig 跟踪文件（用 Ctrl+c 终止数据收集）：
# sysdig -w trace.scap
# sysdig -w trace.scap
收集完跟踪数据，用如下命令就可以检查跟踪期间最慢的系统调用：
# sysdig -r trace.scap -c bottlenecks
# sysdig -r trace.scap -c bottlenecks
需要注意 #2 #3 和 #4 列，它们分别代表执行时间、进程名和 PID。
Sysdig 示例：监控用户行为
假设你作为系统管理员想要监控系统的用户行为（比如，用户在命令行敲了什么指令、进入了哪些目录），那么 spy_user chisel 就派上用场了。
我们首先用一些额外选项来收集 sysdig 跟踪文件：
# sysdig -s 4096 -z -w /mnt/sysdig/$(hostname).scap.gz
"-s 4096" 告诉sysdig 对每个事件捕捉4096个字节。
"-z" （跟 -w 一起使用）压缩跟踪文件。
"-w &trace-file&" 保存 sysdig 跟踪数据到指定文件。
<div class="crayon-num" data-line="crayon-59b84d<div class="crayon-num crayon-striped-num" data-line="crayon-59b84d<div class="crayon-num" data-line="crayon-59b84d<div class="crayon-num crayon-striped-num" data-line="crayon-59b84d<div class="crayon-num" data-line="crayon-59b84d
# sysdig -s 4096 -z -w /mnt/sysdig/$(hostname).scap.gz&&&&&"-s 4096" 告诉sysdig 对每个事件捕捉4096个字节。&&&&"-z" （跟 -w 一起使用）压缩跟踪文件。&&&&"-w &trace-file&" 保存 sysdig 跟踪数据到指定文件。
在上面的例子里，我们给压缩的跟踪文件按照主机名来命名。记住，你可以在任何时候敲Ctrl + c终止 sysdig 的运行。
我们采集了足够多的数据后，可以用如下指令查看系统内每个用户的交互行为：
# sysdig -r /mnt/sysdig/debian.scap.gz -c spy_users
<div class="crayon-num" data-line="crayon-59b84d
# sysdig -r /mnt/sysdig/debian.scap.gz -c spy_users
上面的输出里，第一列代表与用户活动相关的进程PID。
如果你想把目标指向一个特定用户，并只监控该用户的活动该怎么办呢？你可以通过用户名来过滤 spy_users chisel 的结果：
# sysdig -r /mnt/sysdig/debian.scap.gz -c spy_users "user.name=xmodulo"
<div class="crayon-num" data-line="crayon-59b84d
# sysdig -r /mnt/sysdig/debian.scap.gz -c spy_users "user.name=xmodulo"
Sysdig 示例：监控文件I/O
我们可以用 “-p” 标记来定制 sysdig 跟踪的输出格式，在双引号内包含所需的字段（比如： 用户名、进程名以及文件或套接字名）。在下面的例子里，我们创建一个跟踪文件，只包括对 home 目录的写入事件（过后我们可以用&#8221;sysdig -r writetrace.scap.gz&#8221; 来查看）。
# sysdig -p "%user.name %proc.name %fd.name" "evt.type=write and fd.name contains /home/" -z -w writetrace.scap.gz
# sysdig -p "%user.name %proc.name %fd.name" "evt.type=write and fd.name contains /home/" -z -w writetrace.scap.gz
Sysdig 示例：监控网络I/O
作为服务器调试的一部分，你可能需要窥探网络流量，而这一般都是用 tcpdump。用 sysdig 呢，流量嗅探同样很容易，而且方式更加用户友好。
例如，你可以查看服务器的某个特定进程（比如 apache2）与一个特定 IP 地址的数据交换（ASCII形式）:
# sysdig -s 4096 -A -c echo_fds fd.cip=192.168.0.100 -r /mnt/sysdig/debian.scap.gz proc.name=apache2
# sysdig -s 4096 -A -c echo_fds fd.cip=192.168.0.100 -r /mnt/sysdig/debian.scap.gz proc.name=apache2
如果你想监控原始数据传输（二进制形式），把 “-A” 改为 “-X”。
# sysdig -s 4096 -X -c echo_fds fd.cip=192.168.0.100 -r /mnt/sysdig/debian.scap.gz proc.name=apache2
<div class="crayon-num" data-line="crayon-59b84d
# sysdig -s 4096 -X -c echo_fds fd.cip=192.168.0.100 -r /mnt/sysdig/debian.scap.gz proc.name=apache2
想要更多的信息、示例和案例研究可以登录项目官网。相信我，sysdig 拥有无限的可能性。别光听我说，现在就安装 sysdig，开始挖掘吧！
打赏支持我翻译更多好文章，谢谢！
打赏支持我翻译更多好文章，谢谢！
任选一种支付方式
关于作者：
可能感兴趣的话题
关于伯乐在线博客
在这个信息爆炸的时代，人们已然被大量、快速并且简短的信息所包围。然而，我们相信：过多“快餐”式的阅读只会令人“虚胖”，缺乏实质的内涵。伯乐在线内容团队正试图以我们微薄的力量，把优秀的原创文章和译文分享给读者，为“快餐”添加一些“营养”元素。
新浪微博：
推荐微信号
（加好友请注明来意）
&#8211; 好的话题、有启发的回复、值得信赖的圈子
&#8211; 分享和发现有价值的内容与观点
&#8211; 为IT单身男女服务的征婚传播平台
&#8211; 优秀的工具资源导航
&#8211; 翻译传播优秀的外文文章
&#8211; 国内外的精选文章
&#8211; UI,网页，交互和用户体验
&#8211; 专注iOS技术分享
&#8211; 专注Android技术分享
&#8211; JavaScript, HTML5, CSS
&#8211; 专注Java技术分享
&#8211; 专注Python技术分享
& 2017 伯乐在线提示信息 -
LinuxTone | 运维专家网论坛 - 最棒的Linux运维与开源架构技术交流社区! -
Powered by Discuz!
后使用快捷导航没有帐号？
IT运维专家网感谢您的支持
合作联系: QQ:/MSN:/mail:netseek@linuxtone.org </s
Powered by轻松排查DHCP故障_DHCP服务器_绿色第一站
&|&&|&&|&&|&&|&&|&&|&&|&&|&&|&&|&&|&
&&>>&&>>&&>>&&>>&
轻松排查DHCP故障
作者：佚名
文章来源：Onegreen.Net
浏览次数：（载入中...）
更新时间：
　　众所周知每台计算机要想正常上网需要有一个地址，这个地址就是我们常说的IP地址。在实际工作中身为网络管理员的我们如何有效的管理这些IP地址呢？为每台计算机设置对应的IP地址，子网掩码，网关地址，DNS地址等网络参数的话固然是可以的，但是非常的烦琐，工作量大不说，在实际应用中很可能经常会出现冲突的现象。&　　我们如何有效的分配这些网络参数呢？DHCP服务可以帮我们大忙，通过将DHCP服务配置在专业的服务器上，然后为网络中所有普通客户机分配IP等信息是件效率非常高的工作。不过DHCP在为我们网络管理提供便利的同时也带来了一些问题。例如网络带宽受影响，客户机经常无法获得正确的地址信息，甚至是无法获得任何信息。其实这些故障我们都可以按照一定的规律去解决的，今天就由笔者为各位IT168的读者全面介绍排查DHCP故障的方法。一、概念篇：　　在介绍排查DHCP故障之前首先为大家阐明几个概念性的东西，只有理论上充实了，才能更好的理解下面介绍的故障排除的思路。　　第一：DHCP服务能够提供什么数据？DHCP服务不是万能的，他只能提供网络层相关的参数，例如IP地址，MASK地址，网关地址，WINS与DNS服务器地址等。对于更低层的地址，诸如MAC地址等信息是无法提供的。MAC地址是烧录在计算机网卡中的。　　第二：多台DHCP服务器是否可以同时运行？DHCP服务器是通过广播包向客户机发送网络信息的，因此如果同一个网络中确切的说是同一个广播域中存在多台DHCP服务器的话，就会出现各个服务器提供各自的网络信息，这样就造成网络中广播数据包的冲突。客户机不知道该接受哪台DHCP服务器发来的信息。因此微软公司设置默认情况下同一个广播域网络中只能存在一台DHCP服务器，后设置建立或启用的DHCP将无法工作。　　第三：租约是什么？在配置DHCP服务器过程中会设置租约的天数，那么什么是租约呢？在DHCP服务器将网络信息分配数据包发给客户机后会收到客户机发回的答复数据包，接着DHCP服务器会将已经分配出去的IP地址与从客户机接收到的该计算机MAC地址建立一个对应关系，并把这个对应关系保存在DHCP服务器的租约池中。为什么需要这个租约池呢？一方面为下次分配网络参数信息提高了速度。不过如果该MAC地址对应条目的客户计算机被移到其他地方或者MAC地址发生了改变的话，如果上面建立的对应关系一直保存在DHCP服务器的租约池中就会造成可用的IP地址数量越来越少，很多有效的地址被无效的MAC占用，因此微软引入了租约这个概念。通过租约我们可以强制每隔一段时间将DHCP服务器的租约池中保存的对应条目全部清空，从而防止了非法MAC地址霸占合法IP的现象。　　第四：我的客户机可以从DHCP服务器获得169.254.*.*形式的IP信息，这句话是错误的。为什么呢？微软公司在windows2000系统中提供了这样的功能，即如果网络中不存在任何DHCP服务器，客户机本地网络信息又被设置为自动获得IP方式的话，那么windows2000及其以上操作系统将自动为自己分配一个诸如169.254.*.*形式的IP信息。因此如果你发现自己的客户机只能获得169.254.*.*这样的IP地址的话，说明你的DHCP服务器没有正常工作。　　二、客户端排障：
　　DHCP故障主要有两个方面，客户机存在问题以及服务器自身问题。首先我们来介绍下在客户端进行的排除故障方法。　　第一步：通过任务栏的&开始-&运行-&输入CMD&进入命令行模式。　　第二步：在命令行模式中输入ipconfig后回车，看是否可以自动获得IP地址。　　小提示：在进行前两步操作前首先要保证客户机的IP地址分配方式被设置为自动获得IP地址。　　第三步：如果可以获得正确的IP地址说明DHCP正常，如果发现获得错误的地址，其中包括169.254.*.*这样的形式，则执行ipconfig /release命令，该命令是将当前获得的网络参数信息释放。　　第四步：释放网络参数后再次执行ipconfig我们会看到当前得到的网络参数已经为空，所有信息变成0.0.0.0。（如图1）图1　　第五步：释放得到的错误信息后执行i[1]&&&
关 键 字：
相关文章：
上一篇文章： 下一篇文章：
子栏目导航
&&&&&&&&&&&&&您所在位置： &
&nbsp&&nbsp&nbsp&&nbsp
《09 第九章 Linux 服务器故障排查》.pdf 16页
本文档一共被下载：
次 ,您可全文免费在线阅读后下载本文档。
&#xe600;下载提示
1.本站不保证该用户上传的文档完整性，不预览、不比对内容而直接下载产生的反悔问题本站不予受理。
2.该文档所得收入(下载+内容+预览三)归上传者、原创者。
3.登录后可充值，立即自动返金币，充值渠道很便利
需要金币：168 &&
《09 第九章 Linux 服务器故障排查》.pdf
你可能关注的文档：
··········
··········
《循序渐进Linux》
人民邮电出版社出版发行
第第 9 章章
服务器故障排查服务器故障排查
服务器故障排查服务器故障排查
Chapter 09
本章是经验总结篇，主要讲述 linux 服务器经常出现的问题和问题的解决思路，
自身可能出现的问题有很多，最常见的故障有两种，一种是失误操作导致系统无
法启动，另一种是由于外在的原因，如断电、黑客攻击等导致的系统文件或磁盘破坏，
最终导致系统无法正常工作。另外由于 linux
大量作为服务器使用，因此与网络之间
也会存在很多问题，本章的重点就是讨论并解决这些问题。通过学习本章，读者就可
下出现的问题应付自如，而不在束手无策。
9.1 linux 下常见系统故障的处理
与 windows 系统一样，linux 操作系统也会存在很多问题和故障，很多 linux 新手都害怕
故障，面对出现的问题显得无可奈何，更有甚者，由此放弃了 linux，其实，我们不应该惧怕问
题，学习就是一个发现问题与解决问题的过程，只要掌握了解决问题的基本思路，一切故障都会
迎刃而解，当然前提是我们已经具备了解决问题的思路和扎实的知识功底。
处理 linux 系统故障的思路
作为一名合格的 linux 系统管理员，一定要有一套清晰、明确的解决故障思路，当问题出现
时，才能迅速定位、解决问题，这里给出一个处理问题的一般思路：
重视报错提示信息：每个错误的出现，都是给出错误提示信息，一般情况下这个提示
基本定位了问题的所在，因此一定要重视这个报错信息，如果对这些错误信息视而不
见，问题永远得不到解决。
查阅日志文件：有时候报错信息只是给出了问题的表面现象，要想更深入的了解问题，
必须查看相应的日志文件，而日志文件又分为系统日志文件 （/var/log ）和应用的日
志文件，结合这两个日志文件，一般就能定位问题所在。
《循序渐进Linux》
人民邮电出版社出版发行
分析、定位问题：这个过程是比较复杂的，根据报错信息，结合日志文件，同时还要
考虑其它相关情况，最终找到引起问题的原因。
解决问题：找到了问题出现的原因，解决问题就是很简单的事情了。
从这个流程可以看出，解决问题的过程就是分析、查找问题的过程，一旦确定问题产生的
原因，故障也就随之解决了。
忘记 linux root 密码
这个问题出现的机率是很高的，不过，在 linux 下解决这个问题也很简单，只需重启 linux
系统，然后引导进入 linux 的单用户模式 （init 1），由于单用户模式是不需要输入登录密码的，
因此，可以直接登录系统，修改 root 密码即可解决问题。
正在加载中，请稍后...