【网络运维】Linux:系统启动原理与配置
Linux 系统启动原理
CentOS 7 启动过程
现代计算机系统是硬件与软件的复杂组合。从断电状态开始,到拥有登录提示符的运行中系统,这需要大量的硬件和软件配合工作。
以下列表从较高层面概述了 CentOS7 启动过程。
-
计算机接通电源。系统固件(现代UEFI或更旧的BIOS)运行开机自检(POST),并开始初始化硬件。
配置: 在系统启动早期,通过按特定的组合键,例如F2,配置系统固件。
-
系统固件搜索启动设备,根据固件配置的顺序搜索启动磁盘上的主启动记录(MBR)。系统固件从磁盘读取boot loader,然后将系统控制权交给boot loader,boot loader是GRand Unified Bootloader version 2(GRUB2)。
配置: 使用 grub2-install 命令进行配置,它将安装 GRUB2 作为磁盘上的启动加载器。
-
GRUB2从/boot/grub2/grub.cfg文件加载配置并显示一个操作系统菜单,可以从中选择要启动的系统。
配置: 使用 /etc/grub.d/ 目录、/etc/default/grub 文件和 grub2-mkconfig 命令进行配置,以生成 /boot/grub2/grub.cfg 文件。
-
boot loader根据选定条目的配置,从磁盘中加载kernel和initramfs,并将它们放入内存中。initramfs是一个存档,其中包含启动时所有必要硬件的内核模块、初始化脚本等等。
boot loader将控制权交给kernel,并同时将启动项的内核参数、initramfs在内存中的位置传递给kernel。内核在initramfs中找到所有硬件驱动程序,并初始化这些硬件。
配置: 使用 /etc/dracut.conf.d/ 用录、dracut 命令和 lsinitrd 命令进行配置,以检查 initramfs 文件。
-
initramfs 执行/sbin/init,作为PID 1。在CentOS中,/sbin/init是一个指向systemd的链接。
配置: 使用内核参数
init=command配置系统初始化程序。 -
随后,systemd会加载从内核命令行传递的target或者加载系统配置的default.target,该目标通常启动一个基于文本的登录或图形登录屏幕。
配置: 使用systemctl设置默认target。
-
default.target依赖sysinit.target,sysinit.target用于初始化系统,例如读取/etc/fstab挂载文件系统,激活systemd-journald等。
配置: 使用/etc/fstab配置文件系统开机自动挂载。
-
default.target还会激活开机启动的单元。
配置: 使用systemctl设置开机启用服务。
-
default.target还会激活getty.target,该target将打开tty1终端用于用户登录。
系统 target
systemd使用类型为target的单元来分组不同单元,例如multi-user.target包涵chronyd.service、crond.service、firewalld.service等服务。
target还可以包涵其他target,例如graphical.target包涵multi-user.target,multi-user.target包涵basic.target,basic.target包涵sysinit.target。
使用以下命令查看target之间依赖关系:
[root@server-tpl ~]# systemctl list-dependencies graphical.target
graphical.target
● ├─accounts-daemon.service
● ├─gdm.service
● ├─initial-setup-reconfiguration.service
● ├─network.service
● ├─rtkit-daemon.service
● ├─systemd-readahead-collect.service
● ├─systemd-readahead-replay.service
● ├─systemd-update-utmp-runlevel.service
● ├─udisks2.service
● └─multi-user.target
......# 查看反向依赖
[root@server-tpl ~]# systemctl list-dependencies sshd.service --reverse
sshd.service
● └─multi-user.target
● └─graphical.target
系统启动级别
CentOS 6 之前使用启动级别控制系统开机激活哪些服务。CentOS 7 使用target控制系统开机激活哪些服务。
| runlevel | target | 作用 |
|---|---|---|
| 0 | 关机,init 0 同 poweroff 和systemctl poweroff | |
| 1 | emergency.target rescue.target | 单用户模式、救援模式和紧急模式用于修复系统 |
| 2 | 多用户文本界面,不具备NFS功能 | |
| 3 | multi-user.target | 多用户文本界面 |
| 4 | 未使用 | |
| 5 | graphical.target | 多用户图形界面 |
| 6 | 重启,init 6 同 reboot 和systemctl reboot |
设置系统运行目标
/etc/inittab文件是CentOS 6之前版本初始化系统使用的配置文件。
# 部分内容如下 # Default runlevel. The runlevels used by RHS are: # 0 - halt (Do NOT set initdefault to this) # 1 - Single user mode # 2 - Multiuser, without NFS (The same as 3, if you do not have networking) # 3 - Full multiuser mode # 4 - unused # 5 - X11 # 6 - reboot (Do NOT set initdefault to this) # # 设置运行级别为5,也就是图形化方式启动。 id:5:initdefault:
设置系统当前运行 target
# 设置系统当前运行target为multi-user.target
[root@server-tpl ~]# systemctl isolate multi-user.target# 设置系统当前运行target为graphical.target
[root@server-tpl ~]# systemctl isolate graphical.target
设置系统开机默认运行 target
# 查看系统开机默认运行target
[root@server-tpl ~]# systemctl get-default
graphical.target# 设置系统开机默认运行target
[root@server-tpl ~]# systemctl set-default multi-user.target
# 重启验证
在系统启动时选择其它目标
要在启动时选择其他目标,将 systemd.unit=target.target 参数附加到内核命令行。该配置是临时生效的,经常用于系统启动过程中故障排除。
要使用这种选择其他目标的方法,请执行以下步骤:
-
启动或重新启动系统。
-
按任意键中断启动加载器菜单倒计时(Enter除外,它用于执行正常启动)。
-
将光标移至第一个内核条目,按e编辑当前条目。
-
将光标移至以linux16开头的行,末尾附加systemd.unit=target.target。例如,systemd.unit=multi-user.target。按 Ctrl+x 使用这些更改进行启动。
重置 ROOT 密码
以下几种方法可用于设置新的root密码。例如:
- 系统管理员可以使用Live CD启动系统,挂载根文件系统,然后编辑/etc/shadow:
- 删除root账户密码字段
- 使用已知密码字段替换root密码字段
- 在CentOS 7之后版本中,可以让initramfs运行的脚本在某些点暂停,以提供root身份的shell,然后在该shell中重置root密码。
方法1:rd.break
-
重新启动系统。
-
按任意键(Enter除外)中断启动加载器倒计时。
-
将光标移至第一个内核条目,按e编辑当前条目。
-
将光标移至以 linux16 开头的行,末尾附加 rd.break。利用该选项,在系统从initramfs向实际系统移交控制权前,系统将会中断。按Ctrl+x进行启动。
-
此时,系统会显示root shell,且磁盘上的实际根文件系统以只读方式挂载在/sysroot。
以读/写形式重新挂载/sysroot。
switch_root:/# mount -o remount,rw /sysroot -
切换root位置,把/sysroot做为文件系统树的根。
switch_root:/# chroot /sysroot -
设置新root密码。
sh-4.2# echo password | passwd --stdin root提示:password 处输入自定义密码。
-
如果系统开启了 SELinux 功能,则需要确保所有未标记的文件(包括此时的/etc/shadow)在启动过程中都会重新获得标记。
sh-4.2# touch /.autorelabel -
执行以下命令,系统将继续启动。如果系统开启了SELinux功能,还需要执行完整的 SELinux 重新标记,然后再次重新启动。
sh-4.2# exit switch_root:/# exit -
登录验证。
方法2:init=/bin/bash
-
重新启动系统。
-
按任意键(Enter除外)中断启动加载器倒计时。
-
将光标移至第一个内核条目,按e编辑当前条目。
-
将光标移至以 linux16 开头的行,末尾附加
init=/bin/bash。利用该选项,在系统从initramfs向实际系统移交控制权前,系统将会中断,请开启一个root shell。按Ctrl+x使用这些更改进行启动。 -
此时系统会显示root shell,且磁盘上的实际根文件系统以只读方式挂载在/。以读/写形式重新挂载/。
bash-4.2# mount -o remount,rw / -
使用以下命令删除root密码,等进入系统后再重新设置root密码。
sh-4.2# passwd -d root此时还可以使用vi编辑器直接编辑/etc/shadow文件,复制已知用户的密码记录替换root密码。
-
如果系统开启了 SELinux 功能,则需要确保所有未标记的文件(包括此时的/etc/shadow)在启动过程中都会重新获得标记。
sh-4.2# touch /.autorelabel -
执行以下命令,系统将继续启动。如果系统开启了SELinux功能,还需要执行完整的 SELinux 重新标记,然后再次重新启动。
sh-4.2# exec /usr/lib/systemd/systemd -
使用root登录,此时不需要密码。
/etc/fstab 引起的系统启动问题
环境准备
# 设置磁盘分区管理方案
[root@server-tpl ~]# parted /dev/sdb mklabel msdos# 创建分区
[root@server-tpl ~]# parted /dev/sdb unit MiB mkpart primary 1 10241# 格式化为xfs文件系统
[root@server-tpl ~]# mkfs.xfs /dev/sdb1# 创建挂载点
[root@server-tpl ~]# mkdir /data01# 设置持久化挂载
[root@server-tpl ~]# echo '/dev/sdb1 /data01 xfs defaults 0 0' >> /etc/fstab# 挂载并验证
[root@server-tpl ~]# mount -a
[root@server-tpl ~]# df -h /data01
文件系统 容量 已用 可用 已用% 挂载点
/dev/sdb1 10G 33M 10G 1% /data01
故障1:挂载点不存在
环境准备
[root@server-tpl ~]# umount /data01
[root@server-tpl ~]# rmdir /data01
重启系统验证
# 可以正常进入系统,挂载点会被自动创建
[root@server-tpl ~]# df -h /data01
文件系统 容量 已用 可用 已用% 挂载点
/dev/sdb1 10G 33M 10G 1% /data01
故障2:设备名称写错或者找不到设备
环境准备
[root@server-tpl ~]# vim /etc/fstab
# 将原先的sdb1修改为sdb2
/dev/sdb2 /data01 xfs defaults 0 0
重启系统验证
-
启动过程中找不到该设备。
-
1分30秒超时后,进入emergency模式,进行修复。
修改为正确的值或者注释该条目,确保系统正常启动。
-
然后输入exit,继续启动。
-
无法脱离emergency模式的情况下重启系统。
故障3:破坏文件系统
环境准备
[root@server-tpl ~]# dd if=/dev/zero of=/dev/sdb1 bs=1M count=1
重启系统验证
-
系统启动过程中尝试修复文件系统,修复失败后提示进入 emergency 模式修复。
-
进入emergency 模式修复。
# 执行以下命令修复(在系统emergency模式下) [root@server-tpl ~]# xfs_repair /dev/sdb1修复完成后,输入exit继续启动系统,并可以正常启动系统。
grub2 配置
grub2 配置文件
grub2 的主要配置文件如下:
-
/boot/grub2,grub2的主要配置文件所在目录,例如grub.cfg、grubenv、user.cfg。
-
/etc/grub2.cfg
-
/etc/grub2.cfg 是指向 /boot/grub2/grub.cfg的软连接。
-
不要直接修改/etc/grub2.cfg文件,该文件由系统自动生成。如果需要自定义这个文件,可以通过修改/etc/grub.d/中脚本和/etc/default/grub文件,然后通过grub2-mkconfig命令生成。
使用efi启动方式的grub2配置文件是/etc/grub2-efi.cfg。
-
-
/etc/grub.d/,该目录下存放多个数字开头的脚本,按照从小到大的顺序执行。例如00_header会调用/etc/default/grub配置文件来实现最基本的开机界面配置。
-
/etc/default/grub,定义grub启动部分变量信息,例如grub启动菜单选择条目的超时时间,内核参数等。
-
/boot/grub2/grubenv,设定默认启动条目。
grub 菜单超时时间
[root@server-tpl ~]# vim /etc/default/grub
# 修改GRUB_TIMEOUT为20
GRUB_TIMEOUT=20# 生效grub2.cfg配置文件
[root@server-tpl ~]# grub2-mkconfig -o /etc/grub2.cfg
Generating grub configuration file ...
......
done# 重启
[root@server-tpl ~]# reboot
kernel 启动参数
[root@server-tpl ~]# vim /etc/default/grub
# 修改GRUB_CMDLINE_LINUX,例如在最后添加参数console=ttyS0,导致不显示启动过程
GRUB_CMDLINE_LINUX="rd.lvm.lv=centos/root rd.lvm.lv=centos/swap rhgb quiet console=ttyS0"
# console=ttyS0:启动过程显示到ttyS0终端。
# rhgb:启用图形化启动界面。
# quiet:减少启动过程中的日志输出。# 生成grub2.cfg配置文件,重启验证
[root@server-tpl ~]# grub2-mkconfig -o /etc/grub2.cfg
[root@server-tpl ~]# reboot
效果如下:
grub 菜单加密
# 查看/etc/grub.d/01_users脚本
[root@server-tpl ~]# cat /etc/grub.d/01_users
#!/bin/sh -e
cat << EOF
if [ -f \${prefix}/user.cfg ]; thensource \${prefix}/user.cfgif [ -n "\${GRUB2_PASSWORD}" ]; thenset superusers="root"export superuserspassword_pbkdf2 root \${GRUB2_PASSWORD}fi
fi
EOF# 生成grub2密码
[root@server-tpl ~]# grub2-mkpasswd-pbkdf2
Enter password: `123`
Reenter password: `123`
PBKDF2 hash of your password is grub.pbkdf2.sha512.10000.9D2E9BE8B671DDFDC7353CC0BA5BBA25AF0E291BE92B8946E40A547A8627E31ACCA92D3903DA71A78CCE0C77F2E383DC70D3810D5BEF005D059D7DEB9C6FE388.4B31A9B97CF97A65BB4179CB7076B619410CFAAE50EBC77C2CE16FB54E791B4A39F80D369D94727AFCD285EAD70BE1C3491B61069D255328DCF64EB497CB34D4# 创建文件
[root@server-tpl ~]# vim /boot/grub2/user.cfg
GRUB2_PASSWORD=grub.pbkdf2.sha512.10000.9D2E9BE8B671DDFDC7353CC0BA5BBA25AF0E291BE92B8946E40A547A8627E31ACCA92D3903DA71A78CCE0C77F2E383DC70D3810D5BEF005D059D7DEB9C6FE388.4B31A9B97CF97A65BB4179CB7076B619410CFAAE50EBC77C2CE16FB54E791B4A39F80D369D94727AFCD285EAD70BE1C3491B61069D255328DCF64EB497CB34D4# 生成grub2.cfg配置文件,重启验证
[root@server-tpl ~]# grub2-mkconfig -o /etc/grub2.cfg
[root@server-tpl ~]# reboot
效果如下:
-
启动菜单界面,按e编辑。
-
输入用户名root,然后输入root用户密码。
默认启动条目
# 查看启动条目有哪些
[root@server-tpl ~]# ls /boot/loader/entries/
3762d99b9ee243f1a50e755cf5f1881e-0-rescue.conf
3762d99b9ee243f1a50e755cf5f1881e-4.18.0-553.el8_10.x86_64.conf# 修改默认启动条目
[root@server-tpl ~]# vim /boot/grub2/grubenv
# 修改saved_entry为相应条目
saved_entry=3762d99b9ee243f1a50e755cf5f1881e-4.18.0-553.el8_10.x86_64
......
grub2 故障处理
MBR 组成
主引导扇区由三个部分组成:
- 引导程序(占446个字节),硬盘启动时将系统控制权转给分区表中的某个操作系统。
- 磁盘分区表项(DPT,Disk Partition Table),由四个分区表项构成(每个16个字节)。
- 结束标志(占2个字节),其值为AA55(十六进制)。
故障1:grub 引导程序故障
环境准备
[root@server-tpl ~]# dd if=/dev/zero of=/dev/sda bs=1 count=446
效果如下: 系统无法从硬盘启动,则会尝试使用其他设备启动。
解决思路: 使用光盘启动,并重新安装引导程序。
解决过程:
-
开机从光盘启动,并选择
Troubleshooting。
-
选择
Rescue a CentOS system
-
稍等片刻,进入选择界面,选择
1。搜索到系统后,提示系统已经挂载在/mnt/sysimage,按回车继续。
-
切换root目录,并确保root文件系统是读写挂载。
sh-4.2# chroot /mnt/sysimage bash-4.2# mount | grep root /dev/mapper/centos-root on / type xfs (rw,relatime,seclabel,attr2,inode64,noquota ) -
确认系统启动分区所在磁盘。
-
安装引导程序。
bash-4.2# grub2-install /dev/sda Installing for i386-pc platform. Installation finished. No error reported. -
输入
exit两次重启系统:第一次exit,退出chroot环境;第二次exit,退出系统。bash-4.2# exit sh-4.2# exit
故障2:引导文件丢失
环境准备
[root@server-tpl ~]# mv /boot/vmlinuz-3.10.0-1160.71.1.el7.x86_64{,.ori}
[root@server-tpl ~]# reboot
效果如下: 系统无法启动,提示/vmlinuz-4.18.0-553.el8_10.x86_64文件找不到。
解决思路: 使用光盘启动,并从起位置恢复相应文件。
解决过程:
-
参考 **<< grub 引导程序故障 >>**处理流程,获取root权限shell。
-
恢复文件。(从其他系统复制过来,从rpm包提取等)
-
输入
exit两次继续启动系统。
故障处理总结
通过光盘启动的目的是将硬盘上的系统挂载到内存中,并进行修复。
我们也可以通过U盘启动盘启动或者将故障磁盘拔下来挂载到其他系统。
硬盘加密
效果:
系统启动时,必须输入密码才能读取硬盘中数据。
修复磁盘时,同样需要输入密码。
- 该加密操作不会加密grub2系统选择菜单,也就是/boot目录中数据。