服务器运维命令专家

服务器类型

Windows Server（建议版本：2016/2019/2022；PowerShell 5.1 自带 Storage 模块）

命令清单

使用建议

• 新盘作为备份目标的标准化准备

  1. 识别新盘：Get-Volume；diskpart -> list disk, select disk n, detail disk
  2. 初始化：Initialize-Disk -Number n -PartitionStyle GPT
  3. 分区与盘符（任选其一）
     • 使用 diskpart：create partition primary → format fs=ntfs label="Backup" quick → assign letter=F
     • 或使用 PowerShell：Format-Volume -DriveLetter F -FileSystem NTFS -NewFileSystemLabel "Backup" -Confirm
  4. 健康检查：Get-Volume -DriveLetter F；chkdsk F: /scan

• 立即执行一次系统关键卷备份（含VSS）

  • 检查 VSS：vssadmin list writers（确保均为 Stable/No error）
  • 备份：wbadmin start backup -backuptarget:F: -include:C:,D: -allCritical -quiet
  • 结果追踪：查看事件日志 Microsoft-Windows-Backup/Operational

• 从指定版本恢复数据到新卷

  • 查询备份版本：wbadmin get versions
  • 准备目标卷：diskpart（必要时创建/分配盘符）→ Format-Volume -DriveLetter E -FileSystem NTFS -Confirm
  • 恢复：wbadmin start recovery -version:<从get versions复制> -itemType:Volume -items:D: -recoveryTarget:E: -quiet

• 卷一致性与快速修复

  • 在线扫描：chkdsk D: /scan 或 Repair-Volume -DriveLetter D -Scan
  • 轻量修复：Repair-Volume -DriveLetter D -SpotFix（或在维护窗口 chkdsk /f）

• 修复无法启动（恢复或迁移后）

  • 挂载 EFI 分区为 S:（diskpart -> select volume -> assign letter=S）
  • 写引导文件：bcdboot D:\Windows /s S: /f UEFI
  • 若仍异常，进入 WinRE 执行：bootrec /scanos、/rebuildbcd

• 自动化建议

  • 使用计划任务定期执行 wbadmin（每次备份后发送事件/邮件告警）
  • 备份前脚本自动健康检查：VSS 写入器状态 + 卷空间阈值 + chkdsk /scan
  • PowerShell 启用安全保护：使用 -WhatIf/-Confirm、Try/Catch 写入日志（Start-Transcript）

安全提醒

• 所有命令在提升权限（以管理员身份）执行；生产环境先在测试环境验证脚本
• 识别对象再操作：在对磁盘/卷写操作前，用 list disk/detail disk、Get-Volume 明确目标
• 避免破坏性子命令：diskpart 请勿使用 clean/convert 等除非完全确认要清空磁盘
• 格式化前再次确认盘符与数据备份；优先使用 -WhatIf 或保留 -Confirm
• chkdsk /f、Repair-Volume -OfflineScanAndFix 可能造成停机，安排维护窗口并通知业务
• VSS 调整 shadowstorage 不可小于已用量；备份前确认 VSS Writers 均为 Stable
• 备份介质与数据盘分离；外置盘建议启用 BitLocker 并妥善保管恢复密钥
• 引导修复需匹配固件模式（UEFI vs BIOS）；bcdboot /f 选择错误会导致持续无法引导
• 恢复操作可能覆盖数据，务必明确 recoveryTarget 并在只读快照或副本上先演练
• 全程记录命令与输出（Transcript/日志），确保可审计、可回溯

服务器类型

Linux 云服务器（常见发行版：Ubuntu 20.04/22.04/24.04，Debian 11/12，RHEL 8/9，CentOS Stream 8/9，Rocky/AlmaLinux）。以下命令均为标准工具，适用于基于 glibc 的系统并使用 systemd/journald 的主流云镜像。

如为 Windows Server 或需混合域环境（AD/AAD），可告知版本，我可提供等效 PowerShell/AD 命令集。

命令清单

使用建议

• 快速基线审计（只读）
  • 列出有效人类账号及最近登录：getent passwd | awk -F: '$3>=1000 && $3<65534 {print $1}' | xargs -I{} lastlog -u {}
  • 账户状态总览：lslogins -u -o USER,UID,LAST-LOGIN,FAILED-LOGIN,PASSWD-LOCK,PWD-MAX,PWD-WARN
  • 特权组成员导出：getent group sudo; getent group wheel
  • 用户与组一致性检查：pwck -r; grpck -r（只读检查）
• 僵尸账号治理（先冻结再处置）
  • 冻结未登录≥90天账号：for u in $(lastlog -b 90 | awk 'NR>1 && $3=="**Never" {print $1}'); do usermod -L -e 1 "$u"; done
  • 禁止交互登录但保留运行：usermod -s /usr/sbin/nologin svc_user
• 密码周期与最小化权限
  • 设定轮换与提醒：for u in alice bob; do chage -M 90 -W 14 "$u"; done
  • 使用组而非逐个用户授予 sudo：usermod -aG sudo alice；在 /etc/sudoers.d/team 中用 %sudo ALL=(ALL) ...
• 变更前后可核对
  • 变更前后用 id、getent group、lslogins -o 对比导出为 CSV：lslogins -u -o USER,UID,GECOS,LAST-LOGIN,FAILED-LOGIN,PASSWD-LOCK > user_audit.csv

安全提醒

• 变更前备份：cp -a /etc/passwd /etc/passwd.bak.$(date +%F); 同理备份 /etc/shadow, /etc/group, /etc/gshadow
• 优先“锁定/到期”而非直接删除：usermod -L -e 1 user，可回滚；删除（尤其 -r）需二人复核并确认无业务文件留存
• 编辑 sudoers 必用 visudo 并启用分片 /etc/sudoers.d；尽量按组授予，谨慎使用 NOPASSWD；用 visudo -c 校验语法
• 云镜像默认用户（如 ubuntu、ec2-user、centos）不要在未验证替代管理员账号可登录前禁用；先创建新管控账号并验证 sudo 与 SSH
• 密码策略与 PAM/SSSD 统一：如接入 LDAP/AD，chage/本地策略可能被目录策略覆盖；以更严格者为准
• 日志与追踪：lastlog/lslogins 只反映高层登录事件；如需失败尝试与来源 IP，结合 journalctl -u ssh 或 /var/log/auth.log（发行版而异）

若需要，我可以基于你所在云平台（AWS/GCP/Azure/阿里云等）与具体发行版，输出可直接执行的一键审计脚本与导出报表。