# mount -o remount,noexec,nodev /dev/shm

步骤二：永久禁止 /dev/shm 目录的执行权限

2.1 修改 /etc/fstab 配置文件

# vim /etc/fstab

添加以下内容：

......
/dev/shm             /dev/shm   tmpfs  defaults,rw,remount,noexec,nodev  0  0

2.2 让修改的配置生效

# mount -a

步骤三：确认 /dev/shm 目录的执行权限已被禁止

# mount | grep -E '\s/dev/shm\s' | grep -v noexec ; mount | grep -E '\s/dev/shm\s' | grep -v nodev

（补充：当没有任何输出结果时，则代表 /dev/shm 目录的执行权限已被禁止）

黑客在入侵前往往会先对整个网络进行扫描，尝试发现我们的系统。在这个阶段我们可以尝试的防范措施有：

1) 关闭 ICMP 协议，让黑客无法通过 ping 发现我们的系统
2) 关闭所有不需要的端口
3) 通过防火墙只让允许访问的 IP 地址访问对应的端口
4) 让防火墙使用 drop 操作丢掉所有没有被允许的访问请求

黑客列举阶段和黑客立足阶段

黑客在发现了我们的系统之后。会根据我们系统和软件的版本，列举不同的破解方法并进行取舍，并最终会选择一种或多种方法进行尝试。在这两个阶段我们可以尝试的防范措施有：

1) 不使用盗版的系统和软件
2) 不使用有漏洞的系统和软件
3) 尽量将所有的系统和软件升级到最新的版本
4) 删除所有非必须的软件
5) 在用户尝试登录系统时，取消显示系统的版本
6) 删除或禁用所有不需要的用户
7) 让所有的用户都使用复杂的密码
8) 定期检查和修改所有用户的密码
9) 定期检查和修改所有用户 ~/.ssh/ 目录中的密钥
10) 限制错误密码尝试的次数，以防止暴力破解
11) 定期检查系统防火墙策略
12) 定期检查系统开启的所有端口
13) 定期检查系统开启的所有进程
14) 定期查看 /var/log/message 中的尝试登录失败的日志记录

黑客保持持久性阶段

黑客在成功进入系统以后，会尝试为自己下次进入系统准备方法，以让入侵保持持久性。在这个阶段我们可以尝试的防范措施有：

1) 定期检查系统中的所有用户的名称和数量
2) 定期检查系统中所有拥有 root 权限的名称和数量
3) 定期检查和修改所有用户的密码
4) 定期检查和修改所有用户 ~/.ssh/ 目录中的密钥
5) 定期检查系统防火墙策略
6) 定期检查系统开启的所有端口
7) 定期检查系统开启的所有进程
8) 缩小重要文件的权限
9) 定期检查所有用户的登录日志
10) 通过 auditd 服务监控所有重要配置文件，并定期检查监控日志

黑客掩盖痕迹阶段

黑客让入侵保持持久性后，会尝试掩盖自己的痕迹。在这个阶段我们可以尝试的防范措施有：

1) 定期检查系统中的所有用户的名称和数量
2) 定期检查系统中所有拥有 root 权限的名称和数量
3) 定期检查和修改所有用户的密码
4) 定期检查和修改所有用户 ~/.ssh/ 目录中的密钥
5) 定期检查系统防火墙策略
6) 定期检查系统开启的所有端口
7) 定期检查系统开启的所有进程
8) 缩小重要文件的权限
9) 定期检查所有用户的登录日志，注意日志的时间是否连贯
10) 通过 auditd 服务监控所有重要配置文件，并定期检查监控日志，注意日志的时间是否连贯

1.1 显示所有 AppArmor 保护进程的情况

# aa-status

1.2 显示所有正在运行并监听网络但是没有被 AppArmor 保护的进程

# aa-unconfined

内容二：设置 AppArmor 保护进程的策略

2.1 将所有 AppArmor 进程规则设置为 enforce 模式

# aa-enforce /etc/apparmor.d/*

2.2 将所有 AppArmor 进程规则设置为 complain 模式

# aa-complain /etc/apparmor.d/*

2.3 将所有 AppArmor 进程规则设置为 disable 模式

# aa-disable /etc/apparmor.d/*

# ls -ld /usr/local/bin /usr/local/sbin /usr/bin/ /usr/sbin
dr-xr-xr-x. 2 root root 53248 Jun 24 15:09 /usr/bin/
drwxr-xr-x. 3 root root  4096 Jun 21  2021 /usr/local/bin
drwxr-xr-x. 2 root root     6 Jun 21  2021 /usr/local/sbin
dr-xr-xr-x. 2 root root 20480 Jun 24 15:09 /usr/sbin

# lsof | more
COMMAND     PID   TID    USER   FD      TYPE             DEVICE  SIZE/OFF       NODE NAME
systemd       1          root  cwd       DIR              251,1      4096          1 /
......

内容二：lsof 命令输出结果简介

1) COMMAND 进程名
2) PID （Process Id） PID 号
3) USER 用户
4) FD 文件描述信息
（补充：cwd 代表当前目录，txt 代表 txt 文件，rtd 代表 root 目录，mem 代表内存映射文件）
5) TYPE 文件类型
（补充：DIR 代表当前目录，REG 代表普通文件，CHR 代表字符，a_inode 代表 Inode 文件，FIFO 代表管道或者 socket文件，netlink 代表网络，unkonwn 代表未知）
6) DEVICE 设备 ID
7) SIZE/OFF 进程大小
8) NODE 文件的 Inode 号
9) NAME 路径或链接

内容三：lsof 使用案例

3.1 案例一：显示已经被删除的文件

# lsof | grep deleted

3.2 案例二：显示用户已打开的案例

3.2.1 显示某用户已打开的文件

# lsof -u zhumingyu mingyuzhu

（补充：这里以显示用户 zhumingyu 和 mingyuzhu 已打开的文件为例）

3.2.2 不显示某用户已打开的文件

# lsof -u mingyuzhu

（补充：这里以不显示用户 mingyuzhu 已打开的文件为例）

3.3 案例三：显示进程已打开的文件

3.3.1 显示某进程已打开的文件

# lsof -p 1024

（补充：这里以显示 PID 号是 1024 已打开的文件为例）

3.3.2 不显示某进程已打开的所有文件

# lsof -p ^1024

（补充：这里以不显示 PID 号是 1024 已打开的文件为例）

3.3.3 显示某几个进程已打开的文件

# lsof -p 1,2,3

（补充：这里以显示 PID 号是 1、2 和 3 已打开的文件为例）

3.4 案例四：显示已打开的网络文件

3.4.1 显示所有已打开的网络文件

# lsof -i

3.4.2 显示所有 IPv4 协议已打开的文件

# lsof -i 4

3.4.3 显示所有 IPv6 协议已打开的文件

# lsof -i 6

3.4.4 显示所有 TCP 协议已打开的文件

# lsof -i TCP

3.4.5 显示所有 TCP 协议已打开的文件

# lsof -i UDP

3.4.6 显示某个 TCP 端口或者 UDP 端口已打开的文件

# lsof -i:22

（补充：这里以显示 TCP 或者 UPD 的 22 端口已打开的文件为例）

3.4.7 显示某个 TCP 端口已打开的文件

# lsof -i TCP:22

（补充：这里以显示 TCP 的 22 端口已打开的文件为例）

3.4.8 显示某几个 TCP 端口打开的文件

# lsof -i TCP:1-1024

（补充：这里以显示 TCP 的 1 端口到 1024 端口打开的文件为例）

如果在系统中没有 /etc/cron.deny 配置文件，在 /etc/cron.allow 配置文件中添加要使用 crontab -e 命令的用户

# vim /etc/cron.allow

添加以下内容：

......
zhumingyu

（补充：这里以添加用户 zhumingyu 为例）

如果在系统中没有 /etc/cron.allow 配置文件，在 /etc/cron.allow 配置文件中删除要使用 crontab -e 命令的用户

# vim /etc/cron.allow

删除以下内容：

......
zhumingyu
......

（补充：这里以删除用户 zhumingyu 为例）

# mount -o remount,nosuid,nodev,noexec /dev/shm

（补充：这里以带 nosuid、nodev 和 noexec 参数重新挂载 /dev/shm 目录为例）

内容二：开机自动重新挂载目录

# vim /etc/fstab

添加以下内容：

......
tmpfs /dev/shm tmpfs defaults,nosuid,nodev,noexec 0 0

（补充：这里以带 nosuid、nodev 和 noexec 参数重新挂载 /dev/shm 目录为例）

# cat /etc/group

（注意：此方法并不能显示出把这些所属组当作主要所属组的用户）

方法二：通过 /etc/passwd 配置文件和 id 命令等显示主要所属组和附属所属组

# for i in `cat /etc/passwd | egrep -v "nologin$|false$|half|sync|shutdown|halt" | awk -F: '{print $1}'`; do id $i; done | sort -k2

（补充：可以通过肉眼比对此命令的输出结果来判断其主要所属组和附属所属组）

在 SELinuxProject 的官网上下载 SELinux 策略 UseRefpolicy：

https://github.com/SELinuxProject/refpolicy/wiki/UseRefpolicy

注意：

1) 如果使用此文的方法将 openSUSE & SLE 的 SELinux 设置为 Enforcing 则系统将无法设置 IP 地址
2) 如果使用此文的方法开启了 SELinux 并且将所有的布尔（boolean）值开启，则系统将无法关机，开启所有布尔值的方法：# for i in semanage boolean -l | awk '{print $1}'; do echo $i;setsebool -P $i 1; done

正文：

步骤一：安装 SELinux 组件

# zypper in libselinux1 libsemanage1 libsepol-devel libsepol1 libselinux-devel mcstrans libselinux1-32bit policycoreutils checkpolicy libsemanage-devel setools-tcl setools-libs setools-java setools-devel setools-console selinux-tools python3-policycoreutils python3-selinux python3-semanage python3-setools restorecond

步骤二：安装 SELinux 策略

2.1 解压包含 SELinux 策略的压缩包

# tar -xvf refpolicy-2.20210203.tar.bz2

（补充：这里以解压 refpolicy-2.20210203.tar.bz2 压缩包为例）

2.2 将 SELinux 策略移动到 SELinux 配置文件的位置

# mv refpolicy /etc/selinux/

2.3 进入到和 SELinux 策略相同目录下

# cd /etc/selinux/refpolicy/

2.4 显示 SELinux 策略的安装手册

# cat INSTALL

2.5 创建 SELinux 策略的配置文件

# make conf

2.6 创建 SELinux 策略

# make policy

2.7 编译 SELinux 策略

# make install

2.8 安装 SELinux 策略

# make load

步骤三：配置 SELinux 配置文件

3.1 在 SELinux 配置文件中将 SELinux 设置为 Permissive 状态

# vim /etc/selinux/config

创建以下内容：

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=permissive
# SELINUXTYPE= can take one of three values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected.
#     mls - Multi Level Security protection.
SELINUXTYPE=refpolicy

3.2 在系统内核中禁止使用 AppArmor 使用 SELinux 并且将 SELinux 状态设置为 Permissive

3.2.1 设置 /etc/default/grub 配置文件

# vim /etc/default/grub

在这一行里：

GRUB_CMDLINE_LINUX_DEFAULT="......"

添加以下内容：

GRUB_CMDLINE_LINUX_DEFAULT="...... security=selinux selinux=1 enforcing=0"

3.2.2 让刚刚设置的 /etc/default/grub 配置文件生效

# grub2-mkconfig -o /boot/grub2/grub.cfg

3.3 刷新系统内所有文件的标签

# restorecon -Rp /

步骤四：重启系统让 SELinux 生效

# reboot

参考文献：

https://documentation.suse.com/sles/15-SP2/html/SLES-all/cha-selinux.html

1) Disabled：完全关闭 SELinux
2) Permissive：即使违反了策略也依旧可以执行，但是违反策略的记录会被记录在日志中
3) Enforcing：如果违反了策略就不能之行

内容二：永久切换 SELinux 状态

2.1 将 SELinux 永久切换至 Disabled 状态

2.1.1 修改 SELinux 配置文件

# vim /etc/selinux/config

将以下内容：

......
SELINUX=......
......

修改为：

......
SELINUX=disabled
......

2.1.2 重启系统

# reboot

2.1.3 显示 SELinux 状态

# getenforce 
Disabled

2.2 将 SELinux 永久切换至 Permissive 状态

2.2.1 修改 SELinux 配置文件

# vim /etc/selinux/config

将以下内容：

......
SELINUX=......
......

修改为：

......
SELINUX=permissive
......

2.2.2 重启系统

# reboot

2.2.3 显示 SELinux 状态

# getenforce 
Permissive

2.3 将 SELinux 永久切换至 Enforcing 状态

2.3.1 修改 SELinux 配置文件

# vim /etc/selinux/config

将以下内容：

......
SELINUX=......
......

修改为：

......
SELINUX=enforcing
......

2.3.2 重启系统

# reboot

2.3.3 显示 SELinux 状态

# getenforce 
Enforcing

内容三：临时切换 SELinux 状态

3.1 临时切换到 Permissive 状态

3.1.1 临时切换到 Permissive 状态

# setenfoce 0

（
注意：
1) 系统重启后失效
2) 只能从 Enforcing 状态切换到 Permissive 状态
）

3.1.2 显示 SELinux 状态

# getenforce 
Permissive

3.2 临时切换到 Enforcing 状态

3.2.1 临时切换到 Enforcing 状态

# setenfoce 1

（
注意：
1) 系统重启后失效
2) 只能从 Permissive 状态切换到 Enforcing 状态
）

3.2.2 显示 SELinux 状态

# getenforce 
Enforcing

1.1 修改 SELinux 配置文件

# vim /etc/selinux/config

将以下内容：

......
SELINUX=disabled
......

修改为：

......
SELINUX=enforcing
......

或者：

......
SELINUX=perssive
......

1.2 重启系统

# reboot

内容二：SELinux 的常见特性

2.1 SELinux 特性一：创建的文件或目录会自动继承其父目录的 SELinux 标签

2.1.1 在 /var/www/html/ 目录下新创建 index.html 文件

# echo website > /var/www/html/index.html

（补充：这里以在 /var/www/html/ 目录下生成 index.html 文件为例）

2.1.2 显示 /var/www/html/ 目录的 SELinux 标签

# ls -dZ /var/www/html/
unconfined_u:object_r:httpd_sys_content_t:s0 index.html

2.1.3 显示新生成的 /var/www/html/index.html 标签

# ls -Z /var/www/html/index.html/index.html 
unconfined_u:object_r:httpd_sys_content_t:s0 index.html

（补充：从内容 1.1.2 和内容 1.1.3 命令的结果可以看出新生成的文件或其父目录的 SELinux 标签一致）

2.2 SELinux 特性二：移动文件或目录和保留属性复制文件或目录不会改变其 SELinux 标签，普通复制会改变 SELinux 标签

2.2.1 在 /tmp/ 目录下新创建 file1，file2，file3 文件

# touch /tmp/file{1,2,3}

2.2.2 显示 /tmp 目录的 selinux 标签

# ls -Zd /tmp
unconfined_u:object_r:user_tmp_t:s0 /tmp/

2.2.3 显示新创建文件的标签

# ls -Z /tmp/file*
unconfined_u:object_r:user_tmp_t:s0 /tmp/file1  unconfined_u:object_r:user_tmp_t:s0 /tmp/file2
unconfined_u:object_r:user_tmp_t:s0 /tmp/file3

2.2.4 将 /tmp/file1 复制到 /var/www/html/

# cp /tmp/file1 /var/www/html/

2.2.5 将 /tmp/file2 移动到 /var/www/html/

# mv /tmp/file2 /var/www/html/

2.2.6 将 /tmp/file2 复制到 /var/www/html/，并使用 -a 选项保留文件属性

# cp -a /tmp/file3 /var/www/html/

2.2.7 显示这些文件的 SELinux 标签

# ls -Z /var/www/html/file*
unconfined_u:object_r:httpd_sys_content_t:s0 file1           unconfined_u:object_r:user_tmp_t:s0 file3
unconfined_u:object_r:user_tmp_t:s0 file2

（补充：从内容 2.2.3 和内容 2.2.7 命令的结果可以看出只有普通复制会改变 SELinux 标签 ）

内容三：显示某个文件、目录或进程 SELinux 标签

3.1 显示某个文件 SELinux 标签

# ls -Z <file>

3.2 显示某个目录 SELinux 标签

# ls -Zd <directory>

3.3 显示某个进程 SELinux 标签

# ps -auxZ | grep <process>

内容四：显示所有 SELinux 标签

4.1 显示所有文件和目录的 SELinux 标签

# semanage fcontext -l

（注意：需要单独安装 policycoreutils-python-utils 后才能使用 semanage 命令）

4.2 显示所有端口的 SELinux 标签

# semanage port -l

（注意：需要单独安装 policycoreutils-python-utils 后才能使用 semanage 命令）

4.3 显示所有进程的 SELinux 标签

# ps -auxZ

内容五：设置 SELinux 标签

5.1 设置文件和目录 SELinux 标签

5.1.1 使用 semanage fcontext 命令和 restorecon 命令设置文件和目录的 SELinux 标签

5.1.1.1 semanage fcontext 命令的常用选项

1) -a 添加或变更 SELinux 标签
2) -d 删除 SELinux 标签
3) -l 显示所有的 SELinux 标签
4) -t 指定上下文 SELinux 标签
5) -v 显示修改 SELinux 标签的内容
6) -R 递归设置 SELinux 标签
7) -m 变更 SELinux 标签

5.1.1.2 使用 semanage fcontext 命令和 restorecon 命令设置文件和目录的 SELinux 标签

5.1.1.2.1 使用 smanage fcontext 命令设置 SELinux 标签

# semanage fcontext -a -t httpd_sys_content_t "/tmp(/.*)?"

（补充：这里以将 /tmp(/.*) 的 SELinux 标签设置为 httpd_sys_content_t 为例）

（注意：需要单独安装 policycoreutils-python-utils 后才能使用 semanage 命令）

5.1.1.2.2 使用 restorecon 命令修改默认上下文

# restorecon -Rv /tmp
Relabeled /tmp from unconfined_u:object_r:default_t:s0 to unconfined_u:object_r:httpd_sys_content_t:s0

5.1.2 使用 chcon 命令设置 SELinux 标签

# chcon -t httpd_sys_content_t /tmp/*

（补充：这里以将 /tmp/* 的 SELinux 标签设置为 httpd_sys_content_t 为例）

5.2 设置端口 SELinux

# semanage port -a -t http_port_t -p tcp 82

（补充：这里以将 TCP 82 端口的 SELinux 标签设置为 http_port_t 为例）

（注意：需要单独安装 policycoreutils-python-utils 后才能使用 semanage 命令）

1.1 显示当前 SELinux 状态

# getenforce

1.2 将 SELinux 的状态设置为 Enforcing 以开启布尔（boolean）值

1.2.1 当当前 SELinux 的状态为 Disabled 时开启布尔（boolean）值的方法

1.2.1.1 修改 SELinux 配置文件

# vim /etc/selinux/config

将以下内容：

......
SELINUX=disabled
......

修改为：

......
SELINUX=enforcing
......

1.2.1.2 重启系统

# reboot

1.2.2 当当前 SELinux 的状态为 Perssive 时开启布尔（boolean）值的方法

# setenfoce 1

（补充：系统重启后失效）

内容二：显示所有 SELinux 布尔（boolean）值

# semanage boolean -l

内容三：布尔（boolean）值的管理

3.1 允许某一个 SELinux 布尔（boolean）值开启

3.1.1 临时允许某一个 SELinux 布尔（boolean）值开启

3.1.1.1 临时允许某一个 SELinux 布尔（boolean）值开启的格式

# setsebool <boolean value> 1

或者：

# setsebool <boolean value> on

3.1.1.2 临时允许某一个 SELinux 布尔（boolean）值开启的案例

# setsebool httpd_can_network_connect 1

或者：

# setsebool httpd_can_network_connect on

3.1.2 永久允许某一个 SELinux 布尔（boolean）值开启

3.1.2.1 永久允许某一个 SELinux 布尔（boolean）值开启的格式

# setsebool -P <boolean value> 1

或者：

# setsebool -P <boolean value> on

3.1.2.2 永久允许某一个 SELinux 布尔（boolean）值开启的案例

# setsebool -P httpd_can_network_connect 1

或者：

# setsebool -P httpd_can_network_connect on

3.2 取消某一个 SELinux 布尔（boolean）值开启

3.2.1 临时取消某一个 SELinux 布尔（boolean）值开启

3.2.1.1 临时取消某一个 SELinux 布尔（boolean）值开启的格式

# setsebool <boolean value> 0

或者：

# setsebool <boolean value> off

3.2.1.2 临时取消某一个 SELinux 布尔（boolean）值开启的案例

# setsebool httpd_can_network_connect 0

或者：

# setsebool httpd_can_network_connect off

3.2.2 永久取消某一个 SELinux 布尔（boolean）值关闭

3.2.2.1 永久取消某一个 SELinux 布尔（boolean）值开启的格式

# setsebool -P <boolean value> 0

或者：

# setsebool -P <boolean value> off

3.2.2.2 永久取消某一个 SELinux 布尔（boolean）值开启的案例

# setsebool -P httpd_can_network_connect 0

或者：

# setsebool -P httpd_can_network_connect off

服务器系统配置好可用的软件源

步骤二：安装 cockpit

# yum -y install cockpit cockpit-dashaboard

（补充：cockpit 是管理单台主机的程序，cockpit-dashaboard 是管理多台主机的程序）

步骤三：启动 cockpit

# systemctl enable --now cockpit.socket

步骤四：登录 cockpit

使用浏览器登录：https://<server/ IP address>:9090

# ps aux

解释:

USER：启动该进程的用户账号名称

PID：该进程在系统中的数字ID号，在当前系统中是唯一的。

TTY：表明该进程在哪个终端上运行。“？”表示未知或者不需要终端。

STAT：显示了进程当前的状态，如S（休眠）、R（运行）、Z（僵死）、<（高优先级）、N（低优先级）、s（父进程）、+（前台进程）。对于僵死的进程，应该手动处理掉。（问：为什么？）

START：启动该进程的时间

TIME：该进程占用CPU的时间

COMMAND：启用该进程的命令名称

%CPU：CPU占用百分比

%MEM：内存占用百分比

VSZ：占用虚拟内存（swap空间）大小

RSS：占用常驻空间（物理内存）的大小

————————————————
版权声明：本文为CSDN博主「秃头阿鑫」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/weixin_47763101/java/article/details/106391154

注明：所有转载内容皆直接从被转载文章网页的标题和内容的文本和图片中复制而来

站主补充：
补充一：D 状态的进程
D 状态的进程代表处于不可以被杀死的休眠状态。D 状态的进程就算是用 kill -9 命令也无法杀死

补充二：将 ps 的输出工整
# ps -T

补充三：ps 显示 SELinux 标签
# ps -M
或者：
# ps -Z

# kill --help

内容二：kill 的常用案例

2.1 案例一：强杀某一个 PID 号

# kill -9 <PID number>

或者：

# kill -<kill option> <PID number>

2.2 案例二：正常退出某一个 PID 号

# kill -15 <PID number>

2.3 案例三：杀死某一个进程名称下的所有 PID 号

# killall <process name>

服务器系统配置好可用的软件源

内容二：如果系统中没有此命令，则需要先安装此命令

# yum -y install psmisc

（补充：这里以 CentOS&RHEL 安装 psmisc 为例）

内容三：使用此命令

# pstree

1.1 直接将一个进程放到后台

# firefox&

1.2 将一个目前正在前台运行的进程放到后台

按下 “ctrl” 键和 “z” 键

内容二：显示放入后台的进程

2.1 显示所有放入后台的进程

# jobs

2.2 显示某一个放入后台的进程

2.2.1 显示某一个放入后台进程（通过后台进程号）

# jobs %<background process number>

2.2.2 显示某一个放入后台进程（通过后台进程名）

# jobs %<background process name>

（注意：只有后台进程名唯一时此操作才有效）

内容三：管理放入后台的进程

3.1 在后台启动放入后台的进程

3.1.1 在后台启动放入后台的进程（通过后台进程号）

# bg %<background process number>

（注意：只有可以在后台启动的进程才能在后台启动）

3.1.2 在后台启动放入后台的进程（通过后台进程名）

# bg %<background process name>

（注意：只有可以在后台启动的进程才能在后台启动，且只有后台进程名唯一时此操作才有效）

3.2 在前台启动放入后台的进程

3.2.1 在前台启动放入后台的进程（通过后台进程号）

# fg %<background process number>

3.2.2 在前台启动放入后台的进程（通过后台进程名）

# fg %<background process name>

（注意：只有后台进程名唯一时此操作才有效）

3.3 杀死放入后台的进程

3.3.1 杀死放入后台的进程（通过后台进程号）

# kill %<background process number>

（补充：这里可以配合各种 kill 选项进行操作，例如 kill -9）

3.3.2 杀死放入后台的进程（通过后台进程名）

# kill %<background process name>

（注意：只有后台进程名唯一时此操作才有效）

（补充：这里可以配合各种 kill 选项进行操作，例如 kill -9）

注明：所有转载内容皆直接从被转载文章网页的标题和内容的文本中复制而来

站主补充：
 iotop 还有以下参数
-k, --kilobytes 在非交互的模式下，以 kb 为单位显示
-t, --time 在非交互的模式下，加上时间戳
-q, --quiet 在交互的模式下，禁止头几行，它有三种指定方式
    -q 只有在第一次显示时显示列名
    -qq 永远不显示列名
    -qqq 永远不显示 I/O 汇总的总量

在以上的显示中，主要看%iowait和%idle，%iowait过高表示存在I/O瓶颈，即磁盘I/O无法满足业务需求，如果%idle过低表示CPU使用率比较严重，需要结合内存使用等情况半段CPU是否瓶颈。
2.2 -p:报告每个CPU的状态
    [root@admin ~]# sar -p 1 3 （报告每个CPU的使用状态）

2.3 将统计结果保存在文件中，并从文件读取内容
        [root@admin ~]# sar -u -o /servers/script/sar.txt 2 3 （保存之文件，保存后的文件是二进制的，无法使用vim和cat查看）
        [root@admin ~]# sar -u -f /servers/script/sar.txt （从二进制文件读取）

注：将输出到文件(-o)和读取记录信息(-f)
2.4 -q:查看平均负载
        [root@admin ~]# sar -q 1 3

2.5-r:查看内存使用情况
        [root@admin ~]# sar -r

2.6 -W :查看系统swap分区的统计信息

2.7 -b:查看I/O和传递速率的统计信息
2.8 -d:磁盘使用详细统计
2.9 -v:进程，inode，文件和锁表状态
2.10 -n:统计网络信息
        1） DEV：网络接口统计信息
        2） EDEV：网络接口错误
        3）IP：IP数据报统计信息
        4)：EIP：IP错误统计信息
         5）TCP：TCP统计信息
          6）ETCP：TCP错误统计信息
         7）SOCK：套接字使用

————————————————
版权声明：本文为CSDN博主「喵喵Amy」的原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/an1415/article/details/80761614

注明：所有转载内容皆直接从被转载文章网页的标题和内容的文本和图片中复制而来

（注意： fio 命令并非系统自带的命令，需要手动安装）