第1章 SSH服務
1.1 SSH服務協議說明
SSH 是 Secure Shell Protocol 的簡寫,由 IETF 網絡工作小組(Network Working Group )制定;在進行數據傳輸之前,SSH先對聯機數據包通過加密技術進行加密處理,加密后在進行數據傳輸。確保了傳遞的數據安全。
SSH是專為遠程登錄會話和其他網絡服務提供的安全性協議。利用 SSH 協議可以有效的防止遠程管理過程中的信息泄露問題,在當前的生產環境運維工作中,絕大多數企業普遍采用SSH協議服務來代替傳統的不安全的遠程聯機服務軟件,如telnet(23端口,非加密的)等。
在默認狀態下,SSH服務主要提供兩個服務功能:
n 一是提供類似telnet遠程聯機服務器的服務,即上面提到的SSH服務。
n 另一個是類似FTP服務的sftp-server,借助SSH協議來傳輸數據的.提供更安全的SFTP服務(vsftp,proftp)。
1.1.1 ssh遠程連接排錯過程
1.2 SSH加密技術說明
簡單的說,SSH加密技術就是將人類可以看得懂的數據,通過一些特殊的程序算法,把這些數據變成雜亂的無意義的信怠,然后,通過網絡進行傳輸,而當到了目的地后,在通過對應的解密算法,把傳過來的加密的數據信怠解密成加密前的可讀的正常數據。因此,當數據在互聯網上傳輸時即使被有心的黑客監聽竊取了,也很難獲取到真正黑要的數據。
當前,網絡上的數據包加密技術一般是通過所謂的一對公鑰與私鑰(PublickeyandPivatekey)組合成的密鑰對進行加密與解密操作。如下圖,A-Server要給B_Client傳數據,首先會通過本地的公鑰加密后再到發到網絡上傳輸。而加密的數據到達B_Client端后,再經由B_Client本地的私鑰將加密的數據解密出來。由於在intemet上傳輸過程中的數據是加密過的,所以,傳輸的數據內容一般來說是比較安全的。
圖1-1 ssh認證連接的過程
1.2.2 ssh實現安全鏈接建立,利用要是和鎖頭
1. 鑰匙=私鑰 鎖頭=公鑰,私鑰可以解密公鑰
2. 公鑰可以再網絡中傳輸,私鑰再本地主機保存
1.2.3 ssh加密算法
v1漏洞: 密鑰不更換
v2 定期更換密鑰
利用Diffie-Hellman機制定期更新密鑰
1.3 ssh知識要點:
ssh是安全的加密協議,用於遠程鏈接linux服務器
ssh 默認端口是22,安全協議版本sshv2,出來2之外還有1(有漏洞)
ssh服務端主要包括兩個服務功能 ssh遠程鏈接和sftp服務
linux ssh 客戶端包括ssh 遠程鏈接命令,以及遠程拷貝scp命令等
1.4 SSH服務軟件詳細說明
1.4.1 什么是ssh服務
SSH服務端是一個守護講程 (daemon).他在后台運行並響應來自客戶端的連接請求。 SSH服務端的講程名為sshd,負責實時監聽遠程SSH客戶端的遠程連接請求,並進行處理,一般包括公共密鑰認證、密鑰交換、對稱密鑰加密和非安全連接等。這個SSH服務就是我們前面基礎系統優化中保留開機自啟動的服務之。
ssh客戶端包含ssh以及像scp(遠程拷貝) slogin(遠程登陸) sftp(安全FTP文件傳輸)等應用程序。
ssh的工作機制大致是本地的ssh客戶端先發送一個連接請求到遠程的ssh服務端,服務端檢查連接的客戶端發送的數據包和IP地址,如果確認合法,就會發送密鑰給 SSH的客戶端,此時,客戶端本地再將密鑰發回給服務端,自此連接建立。
1.4.2 ssh軟件安裝
客戶端
[root@nfs01 ~]# rpm -qf `which ssh` openssh-clients-5.3p1-122.el6.x86_64
服務端軟件
[root@nfs01 ~]# rpm -qf `which sshd` openssh-server-5.3p1-122.el6.x86_64
1.4.3 openssh-clinets 軟件的主要內容:
[root@nfs01 ~]# rpm -ql openssh-clients /etc/ssh/ssh_config #ssh客戶端配置文件 /usr/bin/.ssh.hmac /usr/bin/scp #遠程復制命令 /usr/bin/sftp #遠程文件傳輸服務 /usr/bin/slogin #遠程登陸命令 /usr/bin/ssh #ssh遠程登陸管理主機 /usr/bin/ssh-add /usr/bin/ssh-agent /usr/bin/ssh-copy-id #ssh服務分發公鑰命令 /usr/bin/ssh-keyscan
1.4.4 openssh-server 軟件的主要內容
[root@nfs01 ~]# rpm -ql openssh-server /etc/rc.d/init.d/sshd #ssh服務啟動腳本 /etc/ssh/sshd_config #ssh服務配置文件 /etc/sysconfig/sshd #ssh創建密鑰有關 /usr/sbin/.sshd.hmac #ssh加密算法有關文件 /usr/sbin/sshd #ssh服務進程啟動命令
注意:使用sshd采用絕對路徑進行啟動
[root@test ~]# sshd sshd re-exec requires execution with an absolute path
1.5 ssh服務配置文件說明:
01. 配置文件中所有注釋信息,表示默認參數配置
02. 配置文件中#空格 后面內容表示說明信息
#參數 表示配置參數信息
03. 配置文件參數信息修改后,一旦變為注釋,即還原為默認配置
1.5.1 ssh服務的配置文件路徑
vim /etc/ssh/sshd_config
修改SSH服務的運行參數,是通過修改配置文件/etc/ssh/sshd_config實現的。
一般來說SSH服務使用默認的配置已經能夠很好的工作了,如果對安全要求不高,僅僅提供SSH服務的情況,可以不需要修改任何配置。
1.5.2 配置文件中常用配置說明
[root@test ~]# vim /etc/ssh/sshd_config # $OpenBSD: sshd_config,v 1.80 2008/07/02 02:24:18 djm Exp $ # This is the sshd server system-wide configuration file. See # sshd_config(5) for more information. # This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin # The strategy used for options in the default sshd_config shipped with # OpenSSH is to specify options with their default value where # possible, but leave them commented. Uncommented options change a # default value. # OpenSSH is to specify options with their default value where # possible, but leave them commented. Uncommented options change a # default value. Port 25113 #端口 ListenAddress 10.0.0.41 #監聽地址(本地網卡地址),指定本地網卡那個網卡提供服務 PermitRootLogin no #是否允許root用戶登陸 #PermitEmptyPasswords no #禁止空密碼登陸 #UseDNS no #不使用DNS GSSAPIAuthentication no #API認證 # 連接慢的解決 #AddressFamily any #指定監聽ipv4地址,或是ipv6地址,或者所有都監聽
配置文件內容說明:
井號(#)注釋的參數信息為默認配置
井號(#)后面有空格的為描述信息
井號(#)后面沒有空格的為參數信息
另外:配置文件參數信息修改后,一旦變為注釋,即還原為默認配置
1.5.3 配置文件語法檢查方法
使用sshd -t 命令 對配置文件的語法進行檢查
正確↓ [root@backup ~]# sshd -t /etc/ssh/sshd Extra argument /etc/ssh/sshd. 語法格式有錯誤 ↓ [root@test ~]# sshd -t /etc/ssh/sshd_config /etc/ssh/sshd_config: line 50: Bad configuration option: uthorizedKeysFile /etc/ssh/sshd_config: terminating, 1 bad configuration options
1.5.4 ListenAddress 監聽地址的說明
圖1-2 ssh服務監聽參數說明
如圖所示,sshd_config配置文件中實際監聽本地的網卡,並非網絡地址
監聽地址只能監聽本地網卡上配置的地址,監聽的網卡可以對請求做出相應,為未監聽的網卡不響應請求。
1.5.5 SSH配置文件相關參數詳細說明
| 命令參數 |
參數說明 |
| Port |
指定sshd進程監聽的端口號,默認為22.可以使用多條指令監聽多個端口. 默認將在本機的所有網絡接□上監聽,但是可以通過ListenAddress指走只在某個特定的接口上監聽. |
| PermitEmptyPasswords |
是否允許密碼為空的用戶遠程登錄.默認為"no" |
| PermitRootLogin |
是否允許root登錄.可用值如下:"yes"(默認)表示允許."no"表示禁止. "without-password"表示禁止使用密碼認證登錄."forced-commands-only"表示只有在指走了command選項的情況下才允許使用公鑰認證登錄.同時其它認證方法全部被禁止.這個值常用於做遠程備份之類的事情.
|
| UseDNS |
指定定sshd是否應該對遠程主機名進行反向解折,以檢查此主機名是否與其IP地址真實對應.默認值為"yes”. |
| ListenAddress |
指定監聽並提供服務相應的網卡地址信息 |
1.5.6 快速修改配置參數
sed -i '13 iPort 52113\nPermitRootLogin no\nPermitEmptyPasswords no\nUseDNS no\nGSSAPIAuthentication no' /etc/ssh/sshd_config
1.6 ssh服務認證類型
01. 基於口令認證方式
02. 基於密鑰認證方式
1.6.1 基於密碼的認證類型
基於口令的安全驗證的方式就是大家現在一直在用的,只要知道服務器的SSH連接帳號和口令(當然也要知道對應服務器的 IP及開放的 SSH端口,默認為22 ),就可以通過 ssh客戶端登錄到這台遠程主機。此時,聯機過程中所有傳輸的數據都是加密的。
演示了 SecureCR及ssh客戶端連接,口令驗證的測試。
[root@test ~]# ssh 10.0.0.250 The authenticity of host '10.0.0.250 (10.0.0.250)' can't be established. RSA key fingerprint is d3:41:bb:0d:43:88:da:a3:2c:e8:36:91:11:c9:e4:9c. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '10.0.0.250' (RSA) to the list of known hosts. root@10.0.0.250's password: #需要輸入密碼 Last login: Mon Oct 16 21:13:58 2017 from 10.0.0.1 [root@test ~]#
1.6.2 基於密鑰的安全認證方法
基於密鑰的安全驗證方式是指,需要依靠密鑰,也就是必須事先建立一對密鑰對,然后把公用密鑰(鎖頭)(Public key)放在需要訪問的目標服務器上,另外,還需要把私有密鑰(鑰匙)(Private key)放到SSH的客戶端或對應的窖戶端服務器上。
私鑰不能在網絡中傳輸---私鑰可以解密公鑰
公鑰可以再網路中傳輸---公鑰不能解密私鑰
此時,如果要想連接到這個帶有公用密鑰的SSH服務器,客戶端SSH軟件或者客戶端服務器就會向SSH服務器發出請求,請求用聯機的用戶密鑰進行安全驗證。SSH服務器收到請求之后,會先在該SSH服務器上連接的用戶的家目錄下尋找事先放上去的對應用戶的公用密鑰,然后把它和連接的SSH客戶端發送過來的公用密鑰進行比較。如果兩個密鑰一致,SSH服務器就用公用密鑰加密"質詢"(challenge)並把它發送給SSH客戶端。
1.7 基於秘鑰登錄配置
1.7.1 環境准備
| 作用 |
主機名 |
ip |
| 管理服務器 |
m01 |
10.0.0.61 |
| 備份服務器 |
backup |
10.0.0.41 |
| 存儲服務器 |
nfs01 |
10.0.0.31 |
1.7.2 第一個里程碑: 在備份服務器上創建密鑰對
[root@backup ~]# ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): #指定密鑰對的保存路徑 Enter passphrase (empty for no passphrase): #為密鑰對創建密碼 Enter same passphrase again: #確認為密鑰對創建的密碼 Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub. The key fingerprint is: 72:48:65:1d:25:69:e1:4c:ae:2b:6f:a5:aa:70:96:1e root@backup The key's randomart image is: +--[ RSA 2048]----+ #2048表示加密的位數為2048位 | o.==. | | o =+. | | . .+ | | . . . | | o S | | . o .. | | . E . .o | | = . oo | | o..o. | +-----------------+
參數說明:
-t 指定創建密鑰對的類型,可以創建的類型如下↓
Specifies the type of key to create. The possible values are “rsa1” for protocol version 1 and “dsa”, “ecdsa” or “rsa” for protocol version 2.
查看創建出來的密鑰對:
[root@backup ssh]# ll ~/.ssh/ total 12 -rw------- 1 root root 1675 Oct 18 11:07 id_rsa #私鑰文件 -rw-r--r-- 1 root root 393 Oct 18 11:07 id_rsa.pub #公鑰文件 -rw-r--r-- 1 root root 784 Oct 11 16:27 known_hosts
1.7.3 第二個里程:將公鑰分發給存儲服務器
[root@backup ssh]# ssh-copy-id -i ~/.ssh/id_rsa.pub 172.16.1.31 #用戶使用當前用戶 root@172.16.1.31's password: #注意:首次分發密鑰需要輸入對端服務器的用戶密碼 Now try logging into the machine, with "ssh '172.16.1.31'", and check in: .ssh/authorized_keys #公鑰分發到對端后進行改名 to make sure we haven't added extra keys that you weren't expecting.
Formatting page, please wait...
SSH-COPY-ID(1) SSH-COPY-ID(1)
NAME
ssh-copy-id - install your public key in a remote machine's autho-
rized_keys
SYNOPSIS
ssh-copy-id [-i [identity_file]] [user@]machine
1.7.4 第三個里程碑:進行登錄測試
[root@backup ~]# ssh nfs01 Last login: Wed Oct 18 10:13:17 2017 from 10.0.0.1 [root@nfs01 ~]#
1.8 telnet服務簡介
1.8.1 部署telnet服務
第一個里程碑:安裝telnet服務軟件
[root@test ~]# yum install telnet telnet-server -y
第二個里程碑:設置開機自啟動
[root@test ~]# vim /etc/xinetd.d/telnet
修改xinetd下的配置文件,從而管理telnet服務
[root@test ~]# vim /etc/xinetd.d/telnet # default: on # description: The telnet server serves telnet sessions; it uses \ # unencrypted username/password pairs for authentication. service telnet { flags = REUSE socket_type = stream wait = no user = root server = /usr/sbin/in.telnetd log_on_failure += USERID disable = no }
第三個里程碑: 啟動xinetd 服務,讓telnet能夠開機自啟動
[root@test ~]# /etc/init.d/xinetd start Starting xinetd: [ OK ]
1.8.2 客戶端測試
說明:
telnet服務默認不支持root用戶直接登陸。
[C:\]$ telnet 10.0.0.250 Connecting to 10.0.0.250:23... Connection established. To escape to local shell, press 'Ctrl+Alt+]'. CentOS release 6.9 (Final) Kernel 2.6.32-696.el6.x86_64 on an x86_64 test login: oldboy Password: Last login: Wed Oct 18 09:41:19 from 10.0.0.1 [oldboy@test ~]$
1.8.3 ssh與telnet區別(對比示意圖)
01.ssh是加密的服務協議,telnet服務是非加密的
02.ssh服務默認支持root用戶登陸,telnet用戶默認不支持root用戶登陸
1.9 進行免密碼scp傳輸測試
[root@backup ~]# scp -rp /etc/hosts nfs01:/tmp/ hosts 100% 357 0.4KB/s 00:00
1.9.1 scp的基本語法使用:
scp - secure copy (remote file copy program) # 每次都是全量拷貝,增量拷貝rsync
推:PUSH
scp -P22 -rp /tmp/clsn clsn@10.0.0.143:/tmp
參數說明:
<- -P(大寫,注意和ssh命令的不同)接端口,默認22端口時可以省略-P22;
<- -r遞歸,表示拷貝目錄;
<- -p表示在拷貝前后保持文件或目錄屬性;
<- -l limit 限制速度。
<- /tmp/clsn為本地的目錄。“@”前為用戶名,“@”后為要連接的服務器的IP。IP后的:/tmp目錄,為遠端的目標目錄。
說明:
以上命令作用是把本地/tmp/clsn拷貝到遠端服務器10.0.0.143的/tmp目錄;
拉:PULL
scp -P22 -rp root@10.0.0.7:/tmp/clsn /opt/
說明:
還可以把遠端目錄抓到本地
結論:
scp為遠程拷貝文件或目錄的命令,更多用法,請man scp;
拷貝權限為連接的用戶對應的權限。
1.10 使用sftp進行基於密鑰的文件傳輸
1.10.1 sftp簡介
sftp是Secure File Transfer Protocol的縮寫,安全文件傳送協議。可以為傳輸文件提供一種安全的網絡的加密方法。sftp 與 ftp 有着幾乎一樣的語法和功能。SFTP 為 SSH的其中一部分.
1.10.2 sftp命令說明
[root@m01 ~]# sftp -oPort=22 172.16.1.31 Connecting to 172.16.1.31... sftp>
說明:
-o 連接的時候指定選項
Port=22 端口指定為22、
1.10.3 sftp使用參數說明
操作遠程服務器
ls 顯示遠端主機的列表
cd 切換遠程的工作目錄
pwd 顯示遠程的工作目錄
操作本地服務器
lls 顯示本地主機的列表
lcd 切換本地的工作目錄
lpwd 查看本地目錄信息
上傳下載文件參數
get --- 表示從遠程服務器下載數據(單個文件) mget --- 表示下載多個文件 put --- 表示從本地服務器上傳數據(單個文件) mput --- 表示上傳多個文件
查看幫助的方式:
sftp> help 顯示幫助信息
1.11 ssh相關重點知識總結
* ssh協議:sshd---遠程連接(sshd),sftp
* 為加密的遠程連接協議,相關軟件有openssh.openssh---https。
* 默認端口22
* 協議版本1X和2.x,2.x更安全。了解SSH協議原理(ssh連接過程X
* 服務端ssh遠程連接服務,sftp服務。sshd守護進程,開機要自啟動。
* ssh客戶端包含ssh,scp,sftp命令。
* ssh安全驗證方式:口令和密鑰,這兩種都是基於口令的,SSH密鑰登錄的原理。
* ssh服務安全優化,修改默認端口22,禁止root遠程連接,禁止dns,SSH只監聽內網IP
* ssh密鑰對,公鑰(publickey)在服務器端,比喻就是鎖頭,私鑰(privatekey)在客戶端,比喻就是鑰匙。
第2章 重點知識補充
2.1 一個服務始終無法啟動
01.服務的查日志/系統日志
02.檢查服務端口有沒有沖突
2.2 給你一個端口如何命令行查出對應的服務是什么?
測試服務端口有沒有開啟
ss -lntup|grep 22 netstat -lntup|grep -w "22" lsof -i:22 grep "\b22/\b" /etc/services nmap -p 22 172.16.1.41 nc 172.16.1.41 22 telnet 172.16.1.41 22
2.2.1 根據進程名查看對應的端口是什么?
netstat/ss –lntup|grep 進程或服務名字
2.3 ssh入侵案例說明
被入侵實例http://phenixikki.blog.51cto.com/7572938/1546669
IP何防止SSH登錄入侵小結:
1、用密鑰登錄,不用密碼登陸
2、牤牛陣法:解決SSH安全問題
a.防火牆封閉SSH,指定源IP限制(局域網、信任公網)
b.開啟 SSH 只監聽本地內網 IP ( ListenAddress 172.16.1.61 )
3、盡量不給服務器外網ip
4、最小化(軟件安裝-授權)
5、給系統的重要文件或命令做一個指紋
6、給他鎖上 chattr +i +a
第3章 擴展問題
3.1 服務端端口號變化了,如何基於秘鑰連接
3.1.1 環境准備
實驗環境:
[root@test ~]# cat /etc/redhat-release CentOS release 6.9 (Final)
將一台服務器的ssh服務端口修改為63389
[root@test ~]# netstat -lntup|grep sshd tcp 0 0 0.0.0.0:63389 0.0.0.0:* LISTEN 5083/sshd tcp 0 0 :::63389 :::* LISTEN 5083/sshd
3.1.2 通過另外一台服務器創建並分發密鑰
第一個里程碑: 現創建密鑰使用 ssh-keygen
[root@backup ~]# ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): #指定密鑰對的保存路徑 Enter passphrase (empty for no passphrase): #為密鑰對創建密碼 Enter same passphrase again: #確認為密鑰對創建的密碼 Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub. The key fingerprint is: 72:48:65:1d:25:69:e1:4c:ae:2b:6f:a5:aa:70:96:1e root@backup The key's randomart image is: +--[ RSA 2048]----+ #2048表示加密的位數為2048位 | o.==. | | o =+. | | . .+ | | . . . | | o S | | . o .. | | . E . .o | | = . oo | | o..o. | +-----------------+
第二個里程碑:分發密鑰,注意ssh的端口
[root@backup ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub "-p63389 172.16.1.250" The authenticity of host '[172.16.1.250]:63389 ([172.16.1.250]:63389)' can't be established. RSA key fingerprint is d3:41:bb:0d:43:88:da:a3:2c:e8:36:91:11:c9:e4:9c. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '[172.16.1.250]:63389' (RSA) to the list of known hosts. root@172.16.1.250's password: Now try logging into the machine, with "ssh '-p63389 172.16.1.250'", and check in: .ssh/authorized_keys #分發到對端服務器后進行改名 to make sure we haven't added extra keys that you weren't expecting.
說明:
通過 man 手冊找到密鑰分發的命令格式。
-i 參數指定 公鑰文件的存放位置
[use@]表示使用的用戶,默認使用當前登陸的用戶
-p 指定端口,主要要在雙引號之間(通過 cat `which ssh-copy-id` 命令腳本內容得知)
[root@backup ~]# man ssh-copy-id Formatting page, please wait... SSH-COPY-ID(1) SSH-COPY-ID(1) NAME ssh-copy-id - install your public key in a remote machine's autho- rized_keys SYNOPSIS
第三個里程碑: 測試密鑰登陸
[root@backup ~]# ssh 172.16.1.250 -p 63389 Last login: Wed Oct 18 15:42:05 2017 from 10.0.0.41 [root@test ~]#
3.2 如何實現自動創建秘鑰對,同時分發公鑰(編寫腳本實現)
腳本內容:
[root@m01 ~]# vim /server/scripts/piliang_fenfa.sh #!/bin/bash #make key \rm -f /root/.ssh/id_dsa ssh-keygen -t dsa -f /root/.ssh/id_dsa -P "" -q #fengfagongyao for ip in 8 31 41 do echo ====fenfa key to host 172.16.1.$ip==== sshpass -p123456 ssh-copy-id -i /root/.ssh/id_dsa.pub "-o StrictHostKeyChecking=no root@172.16.1.$ip" echo ===============fenfa end============== echo "" done
腳本說明:
ssh-keygen -t dsa -f /root/.ssh/id_dsa -P "" -q
創建密鑰,-f指定存放位置,-P 密鑰加密的密碼 -q 減少信息輸出
sshpass -p123456 ssh-copy-id -i /root/.ssh/id_dsa.pub "-o StrictHostKeyChecking=no root@172.16.1.$ip"
這里需要安裝一個軟件 yum install sshpass -y 用來提供中戶密碼
ssh-copy-id 命令來分發密鑰 -i 指定密鑰本地存放的路徑
-o StrictHostKeyChecking=no 在登陸其他服務器是不選擇yes/no
for ip in 8 31 41
這里使用for循環來對ip地址進行變化。
系統負載過高,無法連接ssh怎么辦?
可以通過修改 進程優先級的方法來是sshd服務能夠更多的使用資源,保證sshd的連接
修改進程優先級的方法:
優先系數由系統內核決定,不可更改
nice值可以手動更改,范圍是 -20~19
優先級的值越低,優先級越高;優先級的值越高,優先級越低。
所以想調整成最高優先級的話,就將nice值設為-20;想調整成最低優先級的話,將nice值設為19。
1、任務未運行前進行調整
shell> nice -n-20 sh clsn.sh #以最高優先級運行clsn.sh這個腳本 shell> nice -n19 sh clsn.sh #以最低優先級運行clsn.sh這個腳本
2、任務已經開始運行的情況下調整
①方法一
# top #查看系統當前進程運行情況 > r #鍵入小r > PID to renice: #提示輸入運行的進程的pid > Renice PID 23302 to value: #把這個進程的nice值設置為多少,根據需要進行調整
② 方法二
shell> renice -20 PID #將進程的nice值改為-20 shell> renice 19 PID #將進程的nice值改為19
查看進程優先級
[root@clsn ~]# ps -lef |grep sshd 5 S root 1050 1 0 61 -19 - 16560 poll_s Feb04 ? 00:00:00 /usr/sbin/sshd 4 S root 21018 1050 0 80 0 - 25003 poll_s 17:21 ? 00:00:00 sshd: root@pts/0 0 S root 22852 21022 0 80 0 - 25829 pipe_w 20:47 pts/0 00:00:00 grep sshd [root@clsn ~]#