,第9章,李 艇,Linux操作系统安全,Linux操作系统安全,第1节 Linux系统综述 第2节 Linux文件管理 第3节 Linux通用命令 第4节 Linux用户管理 第5节 Linux网络配置,9.1Linux系统综述,什么是Linux Linux纵览 Linux内核 Linux的特性 Linux与其他操作系统的区别 典型应用层服务,什么是Linux(一),Linux是一套免费使用和自由传播的类Unix操作系统 Linux的出现，最早开始于一位名叫Linus Torvalds的计算机业余爱好者，当时他是芬兰赫尔辛基大学的学生 Linux以它的高效性和灵活性著称。它能够在PC计算机上实现全部的Unix特性，具有多任务、多用户的能力,什么是Linux（二）,Linux操作系统软件包不仅包括完整的Linux操作系统，而且还包括了文本编辑器、高级语言编译器等应用软件 还包括带有多个窗口管理器的X-Windows图形用户界面，如同我们使用Windows NT一样，允许我们使用窗口、图标和菜单对系统进行操作,什么是Linux（三）,Linux之所以受到广大计算机爱好者的喜爱，主要原因有以下两个 它属于自由软件，用户不用支付任何费用就可以获得它和它的源代码，并且可以根据自己的需要对它进行必要的修改，无偿对它使用，无约束地继续传播 它具有Unix的全部功能，任何使用Unix操作系统或想要学习Unix操作系统的人都可以从Linux中获益,Linux 纵览,Linux一般有四个主要部分,Linux,shell,内核,实用工具,文件结构,Linux内核,Linux系统的内核为Kernel,它提供了对硬件的统一接口 内核是在引导时装入的程序 内核识别硬件；初始化启动脚本，并且运行网络和终端守护程序 当启动完毕之后，内核又成为访问硬件的通路，用来提供用户层程序和硬件之间的接口,Linux 内核的功能,执行发生在多任务系统中的 实际任务转换,处理读写磁盘的需求,处理网络接口,管理内存,Linux Shell,Shell是系统的用户界面，提供了用户与内核进行交互操作的一种接口 它接收用户输入的命令并把它送入内核去执行,shell,内核,执行,Shell的多种版本,Shell也有多种不同的版本。目前主要有下列版本的Shell Bourne Shell：是贝尔实验室开发的 BASH：是GNU的Bourne Again Shell，是GNU操作系统上默认的shell Korn Shell：是对Bourne SHell的发展，在大部分内容上与Bourne Shell兼容 C Shell：是SUN公司Shell的BSD版本,Linux文件,文件结构是文件存放在磁盘等存储设备上的组织方法。主要体现在对文件和目录的组织上。目录提供了管理文件的一个方便而有效的途径 使用Linux，用户可以设置目录和文件的权限，以便允许或拒绝其他人对其进行访问 Linux目录采用多级树形结构。用户可以浏览整个系统，可以进入任何一个已授权进入的目录，访问那里的文件,Linux实用工具,标准的Linux系统都有一套叫做实用工具的程序，它们是专门的程序 ，实用工具可分三类 用于编辑文件 用于接收数据并过滤数据 允许用户发送信息或接收来自其他用户的信息,编辑器,过滤器,交互程序,内核的版本号,内核的版本号分为三部分（以2.0.35为例） 主版本号：此内核是2。它表明对内核的重大改进，很少改变 次版本号：此内核是0。它表明内核的稳定性。偶数号（如0、2、4等）的内核是稳定的产品版本。而奇数号(如1、3、5等)的内核是处于开发过程中的内核，一般包含着最近开发的试验性代码，它不太稳定，有时可能包含着致命的错误。 修订号：此内核是35。它表明这一发布版本的增补级,Linux特性,Linux主要特性,Linux与其他操作系统的区别,Linux与MSDOS之间的区别 Linux与OS/2之间的区别 Linux与Windows之间的区别 Linux与Windows NT之间的区别,9.2 Linux文件管理,Linux文件系统基础 Linux文件系统安全性,Linux文件系统基础,Linux的树型结构,Linux下一些主要目录的功用（一）,/bin 二进制可执行命令 /dev 设备特殊文件 /etc 系统管理和配置文件 /etc/rc.d 启动的配置文件和脚本 /home 用户主目录的基点，比如用户user的主目录就是/home/user，可以用user表示 /lib 标准程序设计库，又叫动态链接共享库，作用类似windows里的.dll文件 /sbin 系统管理命令，这里存放的是系统管理员使用的管理程序,Linux下一些主要目录的功用（二）,/tmp 公用的临时文件存储点 /root 系统管理员的主目录 /mnt 系统提供这个目录是让用户临时挂载其他的文件系统。 /lost+found 这个目录平时是空的，系统非正常关机而留下“无家可归”的文件（windows下叫.chk）就在这里 /proc 虚拟的目录，是系统内存的映射。可直接访问这个目录来获取系统信息。 /var 某些大文件的溢出区，比方说各种服务的日志文件,Linux下一些主要目录的功用（三）,/usr 最庞大的目录，要用到的应用程序和文件几乎都在这个目录。其中包含： /usr/X11R6 存放X window的目录 /usr/bin 众多的应用程序 /usr/sbin 超级用户的一些管理程序 /usr/doc linux文档 /usr/include linux下开发和编译应用程序所需要的头文件 /usr/lib 常用的动态链接库和软件包的配置文件,Linux下一些主要目录的功用（四）,/usr/man 帮助文档 /usr/src 源代码，linux内核的源代码就放在/usr/src/linux里 /usr/local/bin 本地增加的命令 /usr/local/lib 本地增加的库,Linux文件系统,文件系统指文件存在的物理空间，Linux系统中每个分区都是一个文件系统，都有自己的目录层次结构。 linux会将这些分属不同分区的、单独的文件系统按一定的方式形成一个系统的总的目录层次结构。,Linux系统分区,硬盘的分区主要分为 基本分区（Primary Partion） 扩充分区(Extension Partion) 基本分区和扩充分区的数目之和不能大于四个。,基本分区,扩充分区,安装时的分区,可以将Linux安装在一个或多个类型为Linux native 的硬盘分区. 还需要一个交换(swap)分区, 这个分区的类型是Linux swap. 就是说安装Linux至少需要两个硬盘分区。 一个或多个Linux native类型的分区 一个Linux swap类型的分区,分区命名规则,Linux通过字母和数字的组合来标识硬盘分区, 归纳如下 前两个字母 - 分区名的前两个字母表明分区所在设备的类型. 您将通常看到hd(指IDE硬盘), 或sd(指SCSI硬盘) 下一个字母 - 这个字母表明分区在哪个设备. 例如, /dev/hda(第一个IDE硬盘) 或 /dev/sdb(第二个SCSI硬盘) 数字 - 代表分区. 前四个分区(主分区或扩展分区)用数字1 到4表示. 逻辑分区从5开始. 例如, /dev/hda3第一个 IDE硬盘上的第三个主分区或扩展分区;/dev/sdb6是第二个SCSI硬盘上的第二个逻辑分区,推荐的最简单的分区配置,一个交换分区 - 交换分区用来支持虚拟内存，交换分区的尺寸通常是内存的大小的两倍 一个根分区 - 根分区是/(root)所在地，保存内核和有关文件。这个分区不需要很大。需要注意的是要选择Linux本身作为这个根分区的分区类型。 一个 /usr 分区 - /usr 是Red Hat Linux系统的许多软件的所在的地方，根据交换安装的包的数量确定 一个 /home 分区 - 这是用户的home目录所在地；它的大小取决于系统有多少用户, 以及这些用户将存放多少数据,挂载文件系统（一）,linux系统中每个分区都是一个文件系统，都有自己的目录层次结构。linux会将这些分属不同分区的、单独的文件系统按一定的方式形成一个系统的总的目录层次结构。这里所说的“按一定方式”就是指的挂载 挂载点必须是一个目录 一个分区挂载在一个已存在的目录上，这个目录可以不为空，但挂载后这个目录下以前的内容将不可用,挂载文件系统（二）,挂载时使用mount命令 格式：mount -参数 设备名称 挂载点,Linux文件系统安全性（一）,禁止使用控制台程序 禁止控制台的访问 防止sendmail被没有授权的用户滥用 使系统对ping没有反应 不要显示系统提示信息 路由协议 使TCP SYN Cookie保护生效 防火墙,Linux文件系统安全性（二）,资源限制 更好地控制mount上的文件系统 把rpm程序转移到一个安全的地方，并改变默认的访问许可 登录shell 创建所有重要的日志文件的硬拷贝 改变“/etc/rc.d/init.d/”目录下的脚本文件的访问许可,Linux文件系统安全性（三）,异常和隐含文件 查找所有SUID/SGID位有效的文件 查找任何人都有写权限的文件和目录 查找没有主人的文件 查找“.rhosts”文件 使Control-Alt-Delete关机键无效,9.3 Linux常用命令,Linux系统管理命令 Linux与用户有关的命令 Linux常用命令,Linux系统管理命令（一）,wall命令 这个命令的功能是对全部已登录的用户发送信息 用户可以先把要发送的信息写好存入一个文件中，然后输入 # wall 文件名 “”表示输入重定向,Linux系统管理命令（二）,write命令 write命令的功能是向系统中某一个用户发送信息。 该命令的一般格式为： write 用户帐号 终端名称 希望退出发送状态时，按组合键即可。,Linux系统管理命令（三）,mesg指令 mesg命令设定是否允许其他用户用write命令给自己发送信息。 如果允许别人给自己发送信息，输入命令： # mesg y,否则，输入： # mesg n,Linux系统管理命令（四）,sync命令 sync命令是在关闭Linux系统时使用的。用户不能用简单的关闭电源的方法关闭系统 因为Linux系统，在内存中缓存了许多数据，在关闭系统时需要进行内存数据与硬盘数据的同步校验，保证硬盘数据在关闭系统时是最新的，只有这样才能确保数据不会丢失。一般正常的关闭系统的过程是自动进行这些工作的，在系统运行过程中也会定时做这些工作，不需要用户干预。 sync命令是强制把内存中的数据写回硬盘，以免数据的丢失。,Linux系统管理命令（五）,shutdown命令 shutdown 命令可以安全地关闭或重启Linux系统。 shutdown 选项 时间 警告信息 命令中各选项的含义为 - k 并不真正关机。而只是发出警告信息给所有用户 - r 关机后立即重新启动 - h 关机后不重新启动 - f 快速关机。重启动时跳过fsck - n 快速关机。不经过init程序 c 取消一个已经运行的shutdown 该命令只能由超级用户使用,Linux系统管理命令（六）,free命令 free命令的功能是查看当前系统内存的使用情况，它显示系统中剩余及已用的物理内存和交换内存，以及共享内存和被核心使用的缓冲区 该命令的一般格式为： free -b | -k | -m 命令中各选项的含义如下 -b 以字节为单位显示 -k 以K字节为单位显示 -m 以兆字节为单位显示,Linux系统管理命令（七）,uptime命令 uptime命令显示系统已经运行了多长时间 它依次显示下列信息 现在时间 系统已经运行了多长时间 目前有多少登录用户 系统在过去的1分钟、5分钟和15分钟内的平均负载,Linux与