SSHD服务启动失败 一台在线才5天的服务器，用 lastb |wc -l 统计了下，有近十万次的暴力破解登录失败记录。隧想改下 sshd 的监听端口，免得招蜂引蝶。打开配置文件 /etc/ssh/sshd_config 把默认的22端口改成高位端口后，用 systemctl restart sshd.service 重启sshd服务失败。报错如下：Job for sshd.service failed because the control process exited with error code. See "systemctl status sshd.service" and "journalctl -xe" for details.systemctl status sshd.service 的输出如下：● sshd.service - OpenSSH server daemon Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled) Active: activating (auto-restart) (Result: exit-code) since 四 2018-09-27 10:10:42 CST; 38s ago Docs: man:sshd(8) man:sshd_config(5) Process: 47324 ExecStart=/usr/sbin/sshd -D $OPTIONS (code=exited, status=255) Main PID: 47324 (code=exited, status=255) 9月 27 10:10:42 english systemd[1]: sshd.service: main process exited, code=exited, status=255/n/a 9月 27 10:10:42 english systemd[1]: Failed to start OpenSSH server daemon. 9月 27 10:10:42 english systemd[1]: Unit sshd.service entered failed state. 9月 27 10:10:42 english systemd[1]: sshd.service failed.没啥有用的提示，再看 journalctl -xe-- Unit sshd.service has begun starting up. 9月 27 10:12:07 english sshd[47352]: error: Bind to port 23389 on 0.0.0.0 failed: Permission denied. 9月 27 10:12:07 english sshd[47352]: error: Bind to port 23389 on :: failed: Permission denied. 9月 27 10:12:07 english sshd[47352]: fatal: Cannot bind any address. 9月 27 10:12:07 english systemd[1]: sshd.service: main process exited, code=exited, status=255/n/a 9月 27 10:12:07 english systemd[1]: Failed to start OpenSSH server daemon. -- Subject: Unit sshd.service has failed -- Defined-By: systemd说我没权限绑定 23389 端口，老夫是 root 咋会没权限呢？/var/log/messages 里面没有啥有用的提示， /var/log/secure 里面的提示跟上面显示一样，没权限。两头雾水。经验告诉我，当日志里面没明显提示，而服务又是和安全相关的时候，锅往 selinux 上甩准没错，果然 getenforce 返回的是 Enforcing 。执行 setenforce 0 关闭 selinux 后，一切正常。最后提醒下，修改 sshd 配置文件属于高危操作，要慎之又慎，如上文，端口改成23389后，你重启sshd服务让修改生效，重启这个动作分解是这样的：1、停止SSHD服务2、用修改后的新配置文件启动SSHD服务，而此时配置文件有误，无法启动SSHD。无法启动SSHD服务，这想想都刺激呢？若是云服务器还好，可以通过web控制台的console连接上去操作，若是托管在IDC机房的机器，只能去机房接显示器了。比较安全的方法就是用一个脚本每隔20分钟把正确的sshd配置文件覆盖回来，然后启动SSHD服务，当你确认修改成功后，再取消掉这个脚本。

centos 7 查看磁盘io ，找出占用io读写很高的进程 1，先用 iostat 查看磁盘 io 是否读写负载很高用 iostat -x 1 10 如果 iostat 没有，要 yum install sysstat 安装这个包，第一眼看下图红色圈圈的那个如果 %util 接近100%,表明I/O请求太多,I/O系统已经满负荷，磁盘可能存在瓶颈,一般%util大于70%,I/O压力就比较大，读取速度有较多的wait，然后再看其他的参数。rrqm/s:每秒进行merge的读操作数目。即delta(rmerge)/swrqm/s:每秒进行merge的写操作数目。即delta(wmerge)/sr/s:每秒完成的读I/O设备次数。即delta(rio)/sw/s:每秒完成的写I/0设备次数。即delta(wio)/srsec/s:每秒读扇区数。即delta(rsect)/swsec/s:每秒写扇区数。即delta(wsect)/srKB/s:每秒读K字节数。是rsec/s的一半，因为每扇区大小为512字节{dotted startColor="#ff6c6c" endColor="#1989fa"/}wKB/s:每秒写K字节数。是wsec/s的一半avgrq-sz:平均每次设备I/O操作的数据大小(扇区)。即delta(rsect+wsect)/delta(rio+wio)avgqu-sz:平均I/O队列长度。即delta(aveq)/s/1000(因为aveq的单位为毫秒)await:平均每次设备I/O操作的等待时间(毫秒)。即delta(ruse+wuse)/delta(rio+wio)svctm:平均每次设备I/O操作的服务时间(毫秒)。即delta(use)/delta(rio+wio)%util:一秒中有百分之多少的时间用于I/O操作,或者说一秒中有多少时间I/O队列是非空的{dotted startColor="#ff6c6c" endColor="#1989fa"/}2，找出使用io高的进程的工具 iotopyum install iotop -y直接执行 iotop 命令，然后看下图的显示，查看那个进程的读写，找出进程。

virsh 关机_KVM-virsh常用命令 virsh list #在线VMvirsh list --all #所有VMvirsh start #开机virsh shutdown #软关机virsh destroy #强制关机virsh dnmpxml vm_name > name.xml #配置备份，xml配置文件路径 /etc/libvirt/qemuvirsh undefine #删除vm，只是删除配置文件，磁盘文件还在；virsh define name.xml #导入备份的xml配置virsh edit vm_name #修改配置文件，带语法检查virsh domrename oldname newname #重命名，在关机状态修改virsh suspend #挂起，状态pausedvirsh resume #解除挂起virsh vncdisplayer #查看vnc端口号virsh autostart name #开机自启动，原理配置软连接实现virsh autostart --disable name #取消开机启动virsh console name #ctrl + ] 切换退出，可不通过网络，底层console连接brctl show #查看桥接网路virsh domiflist VM1 #查看VM1网卡ps -elf|grep dnsmasq #查看dnsmaqcat /var/lib/libvirt/dnsmasq/default.leases #查看VM的IP信息KVM格式转换 快照管理raw:裸格式，占用空间大，不支持快照，性能好qcow2:qemu copy on write(qemu写时复制，thin)支持快照，性能较raw稍差qemu-img info #查看磁盘信息qemu-img convert -f raw -O qcow2 name.raw name.qcow2 #转换格式,支持vmdkvirsh snapshot-create #快照virsh snapshot-list #快照列表,快照直接放在虚拟磁盘中virsh snapshot-delete vmname --snapshotname #删除快照，删除快照文件不会变小virsh snapshot-revert vmname #还原快照

Linux流量监控工具 - iftop (最全面的iftop教程) 在类Unix系统中可以使用top查看系统资源、进程、内存占用等信息。查看网络状态可以使用netstat、nmap等工具。若要查看实时的网络流量，监控TCP/IP连接等，则可以使用iftop。一、iftop是什么？iftop是类似于top的实时流量监控工具。官方网站：http://www.ex-parrot.com/~pdw/iftop/二、iftop有什么用？iftop可以用来监控网卡的实时流量（可以指定网段）、反向解析IP、显示端口信息等，详细的将会在后面的使用参数中说明。三、安装iftop安装方法1、编译安装如果采用编译安装可以到iftop官网下载最新的源码包。安装前需要已经安装好基本的编译所需的环境，比如make、gcc、autoconf等。安装iftop还需要安装libpcap和libcurses。CentOS上安装所需依赖包：yum install flex byacc libpcap ncurses ncurses-devel libpcap-develDebian上安装所需依赖包：apt-get install flex byacc libpcap0.8 libncurses5下载iftopwget http://www.ex-parrot.com/pdw/iftop/download/iftop-0.17.tar.gztar zxvf iftop-0.17.tar.gzcd iftop-0.17./configuremake && make install安装方法2：(懒人办法，最简单)直接省略上面的步骤按https://bgp.cm/linux/455.html 这个教程安装好EPEL，直接yum install iftopDebian系统 运行：apt-get install iftop四、运行iftop直接运行： iftop效果如下图：五、相关参数及说明1、iftop界面相关说明界面上面显示的是类似刻度尺的刻度范围，为显示流量图形的长条作标尺用的。中间的<= =>这两个左右箭头，表示的是流量的方向。TX：发送流量RX：接收流量TOTAL：总流量Cumm：运行iftop到目前时间的总流量peak：流量峰值rates：分别表示过去 2s 10s 40s 的平均流量2、iftop相关参数常用的参数-i设定监测的网卡，如：# iftop -i eth1-B 以bytes为单位显示流量(默认是bits)，如：# iftop -B-n使host信息默认直接都显示IP，如：# iftop -n-N使端口信息默认直接都显示端口号，如: # iftop -N-F显示特定网段的进出流量，如# iftop -F 10.10.1.0/24或# iftop -F 10.10.1.0/255.255.255.0-h（display this message），帮助，显示参数信息-p使用这个参数后，中间的列表显示的本地主机信息，出现了本机以外的IP信息;-b使流量图形条默认就显示;-f这个暂时还不太会用，过滤计算包用的;-P使host信息及端口信息默认就都显示;-m设置界面最上边的刻度的最大值，刻度分五个大段显示，例：# iftop -m 100M进入iftop画面后的一些操作命令(注意大小写)按h切换是否显示帮助;按n切换显示本机的IP或主机名;按s切换是否显示本机的host信息;按d切换是否显示远端目标主机的host信息;按t切换显示格式为2行/1行/只显示发送流量/只显示接收流量;按N切换显示端口号或端口服务名称;按S切换是否显示本机的端口信息;按D切换是否显示远端目标主机的端口信息;按p切换是否显示端口信息;按P切换暂停/继续显示;按b切换是否显示平均流量图形条;按B切换计算2秒或10秒或40秒内的平均流量;按T切换是否显示每个连接的总流量;按l打开屏幕过滤功能，输入要过滤的字符，比如ip,按回车后，屏幕就只显示这个IP相关的流量信息;按L切换显示画面上边的刻度;刻度不同，流量图形条会有变化;按j或按k可以向上或向下滚动屏幕显示的连接记录;按1或2或3可以根据右侧显示的三列流量数据进行排序;按<根据左边的本机名或IP排序;按>根据远端目标主机的主机名或IP排序;按o切换是否固定只显示当前的连接;按f可以编辑过滤代码，这是翻译过来的说法，我还没用过这个！按!可以使用shell命令，这个没用过！没搞明白啥命令在这好用呢！按q退出监控。六、常见问题1、make: yacc: Command not foundmake: * [grammar.c] Error 127解决方法：apt-get install byacc / yum install byacc2、configure: error: Curses! Foiled again!(Can't find a curses library supporting mvchgat.)Consider installing ncurses.解决方法：apt-get install libncurses5-dev / yum install ncurses-devel如果您有任何问题，可以在本文下方留言，我们会尽量帮助您解决。

CentOS/RHEL Linux安装EPEL第三方软件源 EPEL（Extra Packages for Enterprise Linux） 是由 Fedora 社区打造，为 RHEL 及衍生发行版如 CentOS等提供高质量软件包的项目。装上了 EPEL，就像在 Fedora 上一样，可以通过 yum install 软件包名，即可安装很多以前需要编译安装的软件、常用的软件或一些比较流行的软件，比如现在流行的nginx、htop、ncdu、vnstat、axel、cmake3、libsodium-devel等等软件包/依赖包，都可以使用EPEL很方便的安装更新。安装EPEL源目前可以直接通过执行命令： yum install epel-release 直接进行安装如果服务器或VPS是在国内，可以设置为国内的源，执行命令：sed -i "s@^#baseurl=http://download.fedoraproject.org/pub@baseurl=http://mirrors.aliyun.com@g" /etc/yum.repos.d/epel*.repo sed -i "s@^metalink@#metalink@g" /etc/yum.repos.d/epel*.repo{alert type="warning"}如果是CentOS 8，请务必将前面两条命令里面的http都改成https。{/alert}如果前面命令无法安装 epel-release 可以尝试以下方法CentOS/RHEL 5 ：rpm -Uvh https://dl.fedoraproject.org/pub/epel/epel-release-latest-5.noarch.rpmCentOS/RHEL 6 ：rpm -Uvh https://dl.fedoraproject.org/pub/epel/epel-release-latest-6.noarch.rpmCentOS/RHEL 7 ：rpm -Uvh https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm###CentOS/RHEL 8 ： rpm -Uvh https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm Ok，如果不报错的话，epel源就安装完毕。使用EPEL源安装软件现在就可以执行：yum install 软件包名进行安装了，nginx、htop、ncdu、vnstat等等一些常用的软件都灰常简单的装上了。心动了吧赶快试试吧。