Linux服務(wù)器配置與管理第2章課件

1、第2章Red Hat Linux 9的一般管理 本章是Linux服務(wù)器配置的基礎(chǔ)部分，將分別介紹Linux的基本命令、文件管理、安全管理、Linux的引導(dǎo)與配置、系統(tǒng)性能與進(jìn)程管理和軟件包管理等內(nèi)容。第2章Red Hat Linux 9的一般管理 2.1 Linux的基本命令2.3 安全管理Red Hat Linux 9的一般管理2.4 Red Hat Linux 9的引導(dǎo)與配置2.5 系統(tǒng)性能2.6 系統(tǒng)進(jìn)程2.2 文件系統(tǒng)管理本章小結(jié)2.7 軟件包管理2.1 Linux的基本命令2.3 安全管理Red Hat 2.1 Linux的基本命令2.1.1命令行基本用法 用戶登錄系統(tǒng)后使用命令時(shí)，

2、實(shí)際是進(jìn)入了shell，shell遵循一定的語法將輸入的命令加以解釋，然后傳給系統(tǒng)。在命令行中輸入的第一項(xiàng)必須是一個(gè)命令的名稱，第二項(xiàng)是命令的選項(xiàng)或參數(shù)，命令行中的每個(gè)字符串必須由空格或制表符隔開，如下所示： # Command 選項(xiàng) Arguments 選項(xiàng)包括一個(gè)或多個(gè)字母代碼，它前面有一個(gè)“-”，一般情況下此符號是不可缺少的，需要用它來區(qū)別參數(shù)和選項(xiàng)，選項(xiàng)可用于改變命令執(zhí)行的動作的類型。例如，對于最常用的ls命令，沒有任何選項(xiàng)時(shí)，其作用是列出當(dāng)前目錄中所有文件的名稱，而不列出這些文件的其他信息。使用加了“-l”選項(xiàng)的ls命令，則列出當(dāng)前目錄下的文件或文件夾的詳細(xì)信息，包括文件大小、權(quán)限、

3、修改日期等。 參數(shù)是在命令行中的選項(xiàng)之后輸入的一個(gè)或多個(gè)單詞，大多數(shù)的命令都可以接受參數(shù)。 有些命令可能會限制參數(shù)的數(shù)目，例如，mv命令至少需要兩個(gè)參數(shù)： # mv 源文件或目錄 目標(biāo)文件或目錄2.1 Linux的基本命令2.1.1命令行基本用法2.1.2 關(guān)機(jī)、重啟命令 在Linux系統(tǒng)中可以使用shutdown、halt、reboot等命令進(jìn)行關(guān)機(jī)、重啟等操作，靈活使用這些命令，會給操作帶來很大的方便。 1. shutdown命令 在關(guān)閉運(yùn)行Linux系統(tǒng)的計(jì)算機(jī)時(shí)，如果直接關(guān)掉電源，可能會破壞文件系統(tǒng)，因此，要使用關(guān)機(jī)命令進(jìn)行關(guān)機(jī)。最常用的關(guān)機(jī)命令是shutdown，其語法格式如下： s

4、hutdown -t sec -arkhncfF time warning message shutdown命令各選項(xiàng)及參數(shù)的含義如下：-t sec：指定從發(fā)出信號到關(guān)閉系統(tǒng)之間的時(shí)間，默認(rèn)單位是秒。-a：通知shutdown命令尋找/etc/shutdown.allow文件，并通過其提供的列表來驗(yàn)證身份。-r：重啟計(jì)算機(jī)。2.1.2 關(guān)機(jī)、重啟命令 -k：表示發(fā)送警告信號給所有已登錄的用戶。-h：關(guān)機(jī)后關(guān)閉電源（halt）。-n：不調(diào)用init，而是由shutdown程序自己來關(guān)機(jī)。-c：取消目前正在執(zhí)行的關(guān)機(jī)程序。-f：在重啟計(jì)算機(jī)（reboot）時(shí)不執(zhí)行fsck文件系統(tǒng)檢查程序。-F：在

5、重啟計(jì)算機(jī)（reboot）時(shí)強(qiáng)制執(zhí)行fsck文件系統(tǒng)檢查程序，檢查文件系統(tǒng)是否正常。time：設(shè)定關(guān)機(jī)時(shí)間。time參數(shù)有兩種形式：一種是hh：mm，表示幾點(diǎn)幾分的時(shí)候執(zhí)行，如“shutdown 12:10”表示12點(diǎn)10分執(zhí)行shutdown命令；一種是+m，表示在m分鐘后執(zhí)行，如“shutdown +5”表示5分鐘后執(zhí)行shutdown命令。還可以使用“shutdown now”立即執(zhí)行關(guān)機(jī)命令。warning message：發(fā)送給登錄至系統(tǒng)的每位用戶的提示信息。例如：shutdown +5 system will shutdown after 5 minutes!表示系統(tǒng)將在5分鐘后關(guān)

6、閉，同時(shí)將“system will shutdown after 5 minutes!”這個(gè)信息發(fā)送給所有登錄用戶。 -k：表示發(fā)送警告信號給所有已登錄的用戶。 2. halt命令 halt命令的功能相當(dāng)于“shutdown h”。執(zhí)行halt命令時(shí)，先結(jié)束應(yīng)用程序，再執(zhí)行sync系統(tǒng)調(diào)用，文件系統(tǒng)寫操作完成后就會停止內(nèi)核。其語法格式如下： halt -n -w -d -f -i -p halt命令各選項(xiàng)的含義如下：-n:不執(zhí)行sync系統(tǒng)調(diào)用。-w:并不會真的關(guān)機(jī)，只是把過程寫到/var/log/wtmp記錄里。-d:關(guān)機(jī)時(shí)不把過程寫到/var/log/wtmp記錄里（選項(xiàng)n的操作包含了d）

7、。-f:強(qiáng)制關(guān)機(jī)，不調(diào)用shutdown。-i:在關(guān)機(jī)之前先關(guān)閉所有的網(wǎng)絡(luò)接口。-p:關(guān)機(jī)時(shí)調(diào)用poweroff。 例如，“halt p”表示關(guān)閉系統(tǒng)后關(guān)閉電源；“halt d”表示關(guān)閉系統(tǒng)，但不留下記錄。 2. halt命令3. reboot命令 reboot命令的工作過程和halt命令類似，但它是一個(gè)重啟命令。其語法格式如下： reboot -n -w -d -f -i reboot命令各選項(xiàng)的含義如下： -n: 在重啟之前不對系統(tǒng)緩存進(jìn)行同步操作。-w: 不實(shí)際執(zhí)行reboot命令，只是將過程寫入/var/log/wtmp記錄。-d: 重啟時(shí)不將過程寫入/var/log/wtmp記錄。-

8、f: 不調(diào)用shutdown，而是強(qiáng)制重啟。-i: 在重啟之前先停止所有的網(wǎng)絡(luò)接口。3. reboot命令2.1.3目錄和文件操作命令 1. mkdir命令 mkdir命令用于創(chuàng)建一個(gè)目錄（類似于DOS下的md命令），其語法格式如下： mkdir 選項(xiàng) 目錄名 該命令要求創(chuàng)建目錄的用戶對當(dāng)前目錄（所創(chuàng)建目錄的父目錄）具有寫權(quán)限，并且目錄名不能與當(dāng)前目錄中已有的目錄或文件的名稱相同。 mkdir命令中的選項(xiàng)及其含義如下：-m：對新建目錄設(shè)置存取權(quán)限（也可以用chmod命令設(shè)置存取權(quán)限）。-p：目錄名部分可以是一個(gè)路徑名稱，若路徑中的某些目錄尚不存在，使用此選項(xiàng)后，系統(tǒng)將自動建立尚不存在的目錄。2

9、.1.3目錄和文件操作命令 2. rmdir命令 rmdir命令用于刪除一個(gè)目錄，其語法格式如下： rmdir 選項(xiàng) 目錄名 該命令可以從一個(gè)目錄中刪除一個(gè)或多個(gè)子目錄項(xiàng)。當(dāng)省略目錄名時(shí)，表示刪除當(dāng)前目錄。需要特別注意的是，目錄被刪除之前必須是空的。刪除某目錄時(shí)必須具有對其父目錄的寫權(quán)限。 rmdir命令中的選項(xiàng)及其含義如下： -p：刪除指定的目錄，此時(shí)目錄應(yīng)該為空，然后嘗試刪除指定路徑中的所有上級目錄（只有在上級目錄為空的情況下才可以刪除）。 2. rmdir命令 3.cd命令 用于改變當(dāng)前工作目錄，其語法格式如下： cd 路徑 該命令將當(dāng)前目錄切換至路徑指定的目錄，若沒有指定路徑，則回到用

10、戶的主目錄。為了切換到指定目錄，用戶必須擁有指定目錄的執(zhí)行和讀權(quán)限。 在該命令中可以使用如下通配符：*：表示通配任意長度的字符，例如，“a*”表示以字母a開頭的任意長度的字符串。?：表示通配一個(gè)字符，例如，“A?”表示以A開頭，長度為2的所有字符串。 3.cd命令 4. pwd命令 該命令用來顯示當(dāng)前工作目錄的絕對路徑，方法是輸入“pwd”后按Enter鍵。 5. ls命令 ls是英文單詞list的簡寫，其功能是列出目錄或文件的內(nèi)容，它與DOS下的dir命令類似，是用戶最常用的命令之一。其語法格式如下： ls 選項(xiàng) 目錄或文件 對于目錄，執(zhí)行該命令將列出其中所有的子目錄和文件。對于文件，執(zhí)行l(wèi)

11、s命令將輸出文件名以及所要求的其他信息。未指定目錄名或文件名時(shí)，執(zhí)行l(wèi)s命令則顯示當(dāng)前目錄的信息。在默認(rèn)情況下，輸出條目按字母順序排序。 ls命令的選項(xiàng)及其含義如下：-a：列出指定目錄下的所有項(xiàng)目。 -A：列出指定目錄下除了“.”及“.”以外的所有子目錄和文件。 -c：按文件的修改時(shí)間排序。 -C：分成多列顯示各項(xiàng)。 4. pwd命令-d：如果參數(shù)是目錄，只顯示其名稱，而不顯示其下的各個(gè)文件。此選項(xiàng)往往與“l(fā)”選項(xiàng)一起使用，以得到目錄的詳細(xì)信息。-D：用Emacs的模式產(chǎn)生文件和目錄列表。-f：不排序。該選項(xiàng)將使“l(fā)ts”選項(xiàng)失效，并使“aU”選項(xiàng)有效。-F：在可執(zhí)行文件、目錄、socket、

12、符號鏈接、管道名稱后面，分別加上“*”、“/”、“=”、“”、“|”符號。-i：顯示文件和目錄的索引節(jié)點(diǎn)編號。-l：使用長格式列出信息，即列出文件或目錄的詳細(xì)信息。-L：當(dāng)指定的是一個(gè)符號鏈接文件時(shí)，顯示符號鏈接所指示的對象的信息，而不是符號鏈接本身的信息。-m：所有項(xiàng)目以逗號分隔，并填滿整行行寬。 -n：輸出格式類似“l(fā)”，但使用“UID”及“GID”表示文件屬主和屬組。-N：直接列出文件和目錄名稱，包括控制字符。-o：輸出格式類似“l(fā)”，但不顯示擁有者的信息。-p：在目錄后面加上指示符號“/”。 -q：將文件名稱中的不可顯示字符用“?”代替。-Q：將文件和目錄名稱用雙引號引起來。-d：如果

13、參數(shù)是目錄，只顯示其名稱，而不顯示其下的各個(gè)文件-r：按字母順序反向排序。-R：遞歸處理，同時(shí)列出所有子目錄。-s：以塊為單位列出所有文件的大小。-S：根據(jù)文件和目錄大小排序。-t：按文件和目錄的更改時(shí)間排序（最近優(yōu)先）。-T：設(shè)置制表符對應(yīng)的空白字符數(shù)。-u：按文件和目錄的最后存取時(shí)間排序（最近優(yōu)先）。-U：不進(jìn)行排序，按文件系統(tǒng)原有的次序顯示。-v：根據(jù)版本進(jìn)行排序。-w：自行指定屏幕寬度，而不使用目前的數(shù)值。-x：逐行列出文件和目錄。-X：根據(jù)擴(kuò)展名排序。-1：每行只列出一個(gè)文件。-help：顯示此命令的幫助信息。-version：顯示版本信息。-r：按字母順序反向排序。 6. cp命令

14、 該命令的功能同DOS中的copy命令類似，用于將指定的一個(gè)或多個(gè)源文件或目錄復(fù)制到目標(biāo)目錄中。其語法格式如下： cp 選項(xiàng)源文件（目錄）目標(biāo)目錄 此命令的選項(xiàng)及其含義如下：-a：該選項(xiàng)通常在復(fù)制目錄時(shí)使用，它保留鏈接、文件屬性等，并遞歸地復(fù)制目錄，其作用等同于“dpr”選項(xiàng)的組合。-d：復(fù)制時(shí)保留鏈接。-f：刪除已經(jīng)存在的目標(biāo)文件而不提示。-i：在覆蓋目標(biāo)文件之前要求用戶確認(rèn)，回答“y”時(shí)，目標(biāo)文件將被覆蓋。-p：除復(fù)制源文件的內(nèi)容外，還將其修改時(shí)間和訪問權(quán)限同時(shí)復(fù)制到新文件中。 6. cp命令 -r：若給出的是源目錄，則遞歸復(fù)制該目錄下的所有子目錄和文件，即把源目錄下的所有文件都復(fù)制到目標(biāo)

15、目錄。-l：不進(jìn)行復(fù)制，只是鏈接文件。 7. mv命令 使用mv命令可以重命名文件或目錄，或?qū)⑽募梢粋€(gè)目錄移入另一個(gè)目錄。該命令相當(dāng)于DOS中的ren命令和move命令的組合，其語法格式如下： mv 選項(xiàng) 源文件或目錄 目標(biāo)文件或目錄 當(dāng)“目錄文件或目錄”類型為文件類型時(shí)，mv命令完成文件重命名操作，就是將源文件（或目錄）的名稱改成目標(biāo)文件名，此時(shí)源文件（或目錄）只能有一個(gè)；當(dāng)為目錄類型時(shí)，mv命令將參數(shù)指定的源文件（或目錄）移到指定的目標(biāo)目錄，此時(shí)源文件（或目錄）可以有多個(gè)。在跨越文件系統(tǒng)移動文件時(shí)，mv先進(jìn)行復(fù)制，再將原有文件刪除，而鏈接至該文件的鏈接也將丟失。 -r：若給出的是源目錄，

16、則遞歸復(fù)制該目錄下的 mv命令的選項(xiàng)及其含義如下： -i：交互式操作。同cp命令中的“i”選項(xiàng)類似，如果執(zhí)行mv操作時(shí)，目標(biāo)文件已經(jīng)存在，系統(tǒng)會詢問是否覆蓋，回答“y”，則覆蓋已經(jīng)存在的文件，回答“n”，則不覆蓋，這樣可以避免錯誤地覆蓋目標(biāo)文件。 -f：禁止交互操作。執(zhí)行mv操作時(shí)，即使目標(biāo)文件已存在，也不進(jìn)行任何提示，而是直接執(zhí)行mv命令。使用此選項(xiàng)時(shí)，“i”選項(xiàng)將失效。 8. rm命令 rm命令用來刪除不需要的文件。它可以將某個(gè)目錄及其下的所有文件及子目錄一起刪除。對于鏈接文件，只是斷開鏈接，源文件保持不變。其語法格式如下： rm 選項(xiàng) 文件名 mv命令的選項(xiàng)及其含義如下： rm命令的選項(xiàng)

17、及其含義如下：-f：刪除文件時(shí)不進(jìn)行任何交互操作，直接執(zhí)行刪除命令。-r：將參數(shù)中列出的全部目錄及其子目錄均遞歸地刪除，即刪除指定目錄中的所有子目錄和文件。如果不使用此選項(xiàng)，則不刪除目錄，只刪除文件。-i：進(jìn)行交互操作。詢問用戶是否刪除，回答“y”，則刪除相應(yīng)的文件或目錄，回答“n”，則不刪除。 9. find命令 find命令用于查找文件，其語法格式如下： find 路徑 匹配表達(dá)式 其中，匹配表達(dá)式有以下幾種類型：name filename：查找指定名稱的文件。user username：查找指定用戶名的文件。 rm命令的選項(xiàng)及其含義如下： -group groupname：查找指定用戶組

18、的文件。-print：將查找的結(jié)果輸出到標(biāo)準(zhǔn)輸出。-size +/-nc：查找大小為n塊的文件，一塊等于512 B。c表示文件大小以字符計(jì)算，而不是以塊計(jì)算。例如，+n表示查找大小大于n塊的文件，nc表示查找大小等于n個(gè)字符的文件，-nc表示查找大小小于n個(gè)字符的文件。-inum n：查找索引節(jié)點(diǎn)號（inode）為n的文件。-atime +n或-n：按被訪問時(shí)間查找文件。+n表示n天以前被訪問的文件，-n表示n天以內(nèi)被訪問的文件。-mtime +n或-n：類似于atime，但是檢查的是文件的內(nèi)容被修改的時(shí)間。-ctime +n或-n：類似于atime，但是檢查的是文件索引節(jié)點(diǎn)被改變的時(shí)間。 -

19、group groupname：查找指定用 -perm mode：查找與給定權(quán)限（必須以八進(jìn)制的數(shù)字形式給出訪問權(quán)限）匹配的文件。-newer file：查找比指定文件新的文件，即最后修改時(shí)間離現(xiàn)在較近的文件。-exec command：對匹配的文件執(zhí)行command命令，其格式為“-exec command 文件名 ；”。-ok command：執(zhí)行command命令的時(shí)候要求用戶確認(rèn)，其他與“-exec”選項(xiàng)相同。 例如，查找當(dāng)前目錄下所有以“.tmp”結(jié)尾的文件并刪除，可以執(zhí)行如下命令： find .-name *.tmp -exec rm ; -perm mode：查找與給定權(quán)限（必須

20、以 10.cat命令 cat命令用來查看文件內(nèi)容、從鍵盤讀取數(shù)據(jù)、合并文件等。其語法格式如下： cat 選項(xiàng) 文件名 cat命令各選項(xiàng)的含義如下：-A：相當(dāng)于“-vET”。-b：空白行不編號。-E：在文件的每一行行尾加上“$”字符。-T：將文件中的制表符用字符“I”顯示。-n：在文件的每行前面顯示行號。-s：將連續(xù)的多個(gè)空行用一行空白符來顯示。-v：顯示制表符和換行符之外的所有字符。 10.cat命令2.1.4 vi編輯器 vi編輯器是visual interface的簡稱，是Linux和UNIX中最基本的文本編輯器，在其中可以執(zhí)行刪除、查找、替換、塊操作等文本操作。 vim是vi的加強(qiáng)版，比

21、vi更容易使用，vi的命令幾乎都可以在vim上使用，習(xí)慣上也將vim稱為vi。 1. 進(jìn)入和退出vi編輯器 在命令提示字符下輸入“vi ”，可以打開所要編輯的文件，如果指定的文件不存在，則新建并打開該文件，此時(shí)就進(jìn)入了vi編輯器。例如，下面語句可以打開/home目錄下的tmp.txt文件： vi /home/tmp.txt 如果要保存或退出vi編輯器，可以使用下表中的命令。2.1.4 vi編輯器Linux服務(wù)器配置與管理第2章課件 2. 操作模式 vi編輯器有兩種操作模式，分別是指令模式和輸入模式。在指令模式下，vi將用戶的按鍵輸入作為指令來處理。在輸入模式下，vi把按鍵輸入當(dāng)作插入字符來處理

22、。從輸入模式切換到指令模式，需要在輸入模式下按Esc鍵；而從指令模式切換到輸入模式，需要用戶根據(jù)需要輸入相應(yīng)的指令，這些指令如下： 1）新增 （1）a：從當(dāng)前光標(biāo)所在位置后面開始新增字符，光標(biāo)后的字符隨新增字符向后移動。 （2）A：從當(dāng)前光標(biāo)所在行的最后面開始輸入。 2）插入 （1）i：從當(dāng)前光標(biāo)所在位置插入新字符，光標(biāo)后的內(nèi)容隨新增字符向后移動。 （2）I：從當(dāng)前光標(biāo)所在行的第一個(gè)非空白字符前面開始插入字符。 2. 操作模式 3）開始新行（1）o：在當(dāng)前光標(biāo)所在行下新增一行，并將光標(biāo)移動到下一行的開頭。（2）O：在光標(biāo)所在行上方新增一行。 3.基本編輯 常用的編輯指令有如下幾個(gè)：x：刪除光標(biāo)

23、后面的一個(gè)字符。X：刪除光標(biāo)前面的一個(gè)字符。d：按d鍵，放開后，再按鍵盤上的“”鍵，將刪除光標(biāo)位置前的一個(gè)字符；按“”鍵，將光標(biāo)位置后的一個(gè)字符刪除；按“”鍵，可以將光標(biāo)所在的行及其前一行一起刪除；按“”鍵，將光標(biāo)所在行及其后一行刪除。dd：刪除光標(biāo)所在的行。r：修改光標(biāo)所在的字符。R：新增文字會覆蓋原文字，直至按Esc鍵為止。s：刪除光標(biāo)所在的字符，并進(jìn)入輸入模式。S：刪除光標(biāo)所在的列，并進(jìn)入輸入模式。u：恢復(fù)被刪除的文字。U：恢復(fù)光標(biāo)所在處的所有改變。 3）開始新行光標(biāo)移動指令0： 將光標(biāo)移動到所在行的最前面$： 將光標(biāo)移動到所在行的最后面Ctrl+D： 向下移動半頁Ctrl+F： 向下移

24、動一頁，也可以使用PageDown： 鍵完成此功能Ctrl+U： 向上移動半頁Ctrl+B： 向上移動一頁，也可以使用PageUp ：鍵完成此功能H： 將光標(biāo)移動到當(dāng)前窗口的第一行M ：將光標(biāo)移動到當(dāng)前窗口的中間行L： 將光標(biāo)移動到當(dāng)前窗口的最后一行B： 將光標(biāo)移動到前一個(gè)單詞的第一個(gè)字符W： 將光標(biāo)移動到下一個(gè)字符的第一個(gè)字符E將光標(biāo)移動到下一個(gè)單詞的最后一個(gè)字符光標(biāo)移動指令：將光標(biāo)移動到所在行的第一個(gè)非空字符nG：將光標(biāo)移動到第n行開頭fx：向右移動到x字符上，例如，按f鍵和e鍵，則移動到當(dāng)前光標(biāo)所在行的e字符上，并進(jìn)入插入模式Fx：向左移動到x字符上，并進(jìn)入插入模式tx：向右移到x字符前

25、一個(gè)字符上，并進(jìn)入插入模式Tx：向左移動到x字符前一個(gè)字符上，并進(jìn)入插入模式/：向前查找?：向后查找：將光標(biāo)移動到所在行的第一個(gè)非空字符 vi編輯器中還有許多的行編輯指令。行編輯指令由指令名稱與范圍構(gòu)成。其中，指令名稱主要有d(刪除）、y(復(fù)制)、p(粘貼)和c(修改)。范圍可以是下列幾個(gè)：e：光標(biāo)所在位置到下個(gè)單詞的前一個(gè)字符。w：光標(biāo)所在位置到下個(gè)單詞的第一個(gè)字符。b：光標(biāo)所在位置到上個(gè)單詞的第一個(gè)字符。$：光標(biāo)所在位置到該行的最后一個(gè)字符。0：光標(biāo)所在位置到該行的第一個(gè)字符。）：光標(biāo)所在位置到下個(gè)句子的第一個(gè)字符。(：光標(biāo)所在位置到該句的第一個(gè)字符。：光標(biāo)所在位置到該段落的最后一個(gè)字符。

26、：光標(biāo)所在位置到該段落的第一個(gè)字符。 vi編輯器中還有許多的行編輯指令。 4.環(huán)境變量的設(shè)置 vi編輯器的環(huán)境變量是使用“:set”來設(shè)置的。vi編輯器的環(huán)境變量很多，可以用“:set all”顯示所有的環(huán)境變量，使用“:set 變量名及參數(shù)”設(shè)置對應(yīng)的環(huán)境變量。常用的環(huán)境變量如下：（1）number：顯示行號。（2）readonly：將文件設(shè)置為只讀。（3）autowrite：使文件在執(zhí)行“:n”和“:!”命令之前都自動保存。（4）showmode：顯示用戶處在什么模式下。（5）noshowmode：不顯示用戶處在什么模式下。 4.環(huán)境變量的設(shè)置2.1.5 shell基礎(chǔ)應(yīng)用 shell是L

27、inux操作系統(tǒng)的外殼，它為用戶提供了使用操作系統(tǒng)的接口，是命令語言、命令解釋程序以及程序設(shè)計(jì)語言的統(tǒng)稱。 1.shell的歷史 第一個(gè)重要的標(biāo)準(zhǔn)UNIX shell是于1977年在V7(AT&T的第7版)UNIX上推出，并以作者Stephen Bourne的名字命名為Bourne shell，也稱為sh。 C shell是于20世紀(jì)70年代末開發(fā)，作為BSD UNIX系統(tǒng)的一部分發(fā)布的，它的主要開發(fā)者是Bill Joy。 Bourne shell和C shell的共存使UNIX用戶有了選擇，也導(dǎo)致了人們對哪個(gè)shell更好的爭論。20世紀(jì)80年代中期，AT&T的David Korn推出了Ko

28、rn shell。 bash是Linux操作系統(tǒng)上默認(rèn)的shell，它是Bourne again shell的簡稱。 TC shell是C shell的擴(kuò)展版本，且具有完全兼容性。2.1.5 shell基礎(chǔ)應(yīng)用 2.什么是shell shell是Linux系統(tǒng)中的一個(gè)重要組成部分，是用戶和系統(tǒng)交互的界面。它不僅是命令解釋程序，還是一種高級編程語言，利用shell語言可以寫出代碼簡單但功能強(qiáng)大的程序，尤其是在Linux環(huán)境中使用shell語言，與Linux系統(tǒng)的命令相結(jié)合，能極大地提高編程的效率。 shell是用戶與Linux內(nèi)核之間的接口程序，如果把Linux操作系統(tǒng)的內(nèi)核看成是一個(gè)球體的中心

29、，那么shell就是圍繞內(nèi)核的外層，當(dāng)從shell向Linux傳遞命令時(shí)，內(nèi)核會進(jìn)行響應(yīng)。 shell擁有自己內(nèi)建的shell命令集，可以使用shell命令集編寫shell程序，寫好的shell程序通常稱為shell腳本。用戶在命令提示符下輸入的命令都是先由shell解釋，然后再傳給Linux內(nèi)核的。 2.什么是shell 3.如何使用shell Linux系統(tǒng)的命令分為包含在shell內(nèi)部的命令（如cd命令）和存在于文件系統(tǒng)中的某個(gè)目錄下的單獨(dú)程序（如cp命令）。對于用戶而言，不必知道一個(gè)命令是shell內(nèi)部的命令，還是一個(gè)單獨(dú)的程序，該工作由shell自動完成。 當(dāng)用戶執(zhí)行一個(gè)命令時(shí)，sh

30、ell首先檢查該命令是否是內(nèi)部命令，若不是，再檢查是否是一個(gè)單獨(dú)的程序，若兩者都不是，則返回一條出錯信息。如果能夠找到該命令，系統(tǒng)就會調(diào)用此命令，并將其傳給Linux內(nèi)核。 用戶在命令提示符下輸入命令時(shí)，可以與鍵盤上的某些按鍵配合使用。常用的幾個(gè)按鍵及其功能如下： 3.如何使用shell：顯示上一個(gè)命令。：顯示下一個(gè)命令。：光標(biāo)左移。：光標(biāo)右移。BackSpace鍵：向左刪除一個(gè)字符。常用的shell操作有如下幾類：1）定位文件和目錄2）管道和分頁器3）Tab自動補(bǔ)全4）使用多個(gè)命令：顯示上一個(gè)命令。2.2 文件管理2.2.1磁盤分區(qū) 1.磁盤分區(qū)工具簡介 在安裝Red Hat Linux 9

31、操作系統(tǒng)的過程中，可以選擇使用可視化的Disk Druid工具進(jìn)行分區(qū)。系統(tǒng)安裝完成后，用戶還可以使用磁盤分區(qū)管理工具fdisk和parted等對磁盤分區(qū)進(jìn)行管理。這兩個(gè)工具都可以對分區(qū)進(jìn)行創(chuàng)建、刪除、查看信息等基本操作，除此之外，parted工具還可以調(diào)整已有分區(qū)的大小。本節(jié)討論如何使用fdisk工具執(zhí)行分區(qū)管理任務(wù)，關(guān)于parted工具的使用可以參考其使用手冊。 2.使用fdisk進(jìn)行分區(qū)管理 首先啟動fdisk，然后在命令提示符下以管理員身份執(zhí)行以下操作： fdisk /dev/sda 這里的/dev/sda是用戶要配置的設(shè)備名稱。啟動fdisk工具后，可以輸入命令m來查看fdisk的使

32、用方法。2.2 文件管理2.2.1磁盤分區(qū)2.2.2 文件系統(tǒng) 1.文件系統(tǒng)簡介 文件系統(tǒng)是操作系統(tǒng)在硬盤或者分區(qū)上保存文件信息的方法和數(shù)據(jù)結(jié)構(gòu)，即文件在硬盤或者分區(qū)上的組織結(jié)構(gòu)方式。 Linux文件系統(tǒng)的關(guān)鍵組成部分有超級塊（super block）、索引節(jié)點(diǎn)（inode）、數(shù)據(jù)塊（data block）和目錄塊（directory block）等。 超級塊中包含了該分區(qū)上的文件系統(tǒng)的整體信息，如文件系統(tǒng)的大小等。超級塊后面的數(shù)據(jù)結(jié)構(gòu)是索引節(jié)點(diǎn)，它包含了某一個(gè)具體文件的幾乎全部的信息，如文件的存取權(quán)限、擁有者、大小、建立時(shí)間以及對應(yīng)的目錄塊和數(shù)據(jù)塊等，索引節(jié)點(diǎn)中不包括文件的名稱，文件名是放在

33、目錄塊中的。目錄塊中包含文件的名稱和該文件的索引節(jié)點(diǎn)號。數(shù)據(jù)塊是真正存儲文件內(nèi)容的地方。2.2.2 文件系統(tǒng) 2.建立文件系統(tǒng) 新建立的分區(qū)沒有文件系統(tǒng)，因此，要想在分區(qū)上存儲數(shù)據(jù)，首先需要建立文件系統(tǒng)。建立文件系統(tǒng)的過程類似Windows系統(tǒng)中的格式化，常用的命令是mkfs，其語法格式如下： mkfs-v -t fs-type -c -l filenamedevice size mkfs命令各選項(xiàng)及參數(shù)的含義如下：-v：強(qiáng)制進(jìn)行長格式輸出。-t fs-type：選擇文件系統(tǒng)類型。-c：查找壞塊，并初始化壞塊表。-l filename：從filename文件中讀初始的壞塊表。 device：將

34、要創(chuàng)建的文件系統(tǒng)所在的設(shè)備號。 size：文件系統(tǒng)的大小。 2.建立文件系統(tǒng) 3.使用命令掛載文件系統(tǒng) 建立文件系統(tǒng)之后，還需要將文件系統(tǒng)安裝到Linux目錄樹的某個(gè)位置上才能使用，這個(gè)過程稱為掛載，文件系統(tǒng)所掛載到的目錄稱為掛載點(diǎn)。除磁盤分區(qū)外，其他存儲設(shè)備（如軟盤、光盤、U盤）在使用前也需要進(jìn)行掛載。 可以在系統(tǒng)引導(dǎo)過程中自動掛載文件系統(tǒng)，也可以使用命令手工掛載。通常將文件系統(tǒng)掛載到某個(gè)可以存取的空目錄下（該目錄是專門為掛載某個(gè)文件系統(tǒng)而建立的）。Linux系統(tǒng)提供了一個(gè)專門的掛載點(diǎn)目錄/mnt，并在該目錄下為軟盤和光盤的使用專門建立了默認(rèn)的子目錄。如/mnt/cdrom目錄通常用來掛載光

35、盤。 掛載文件系統(tǒng)的命令是mount，其語法格式如下： mount -t文件系統(tǒng)類型 -o選項(xiàng)設(shè)備掛載點(diǎn) 3.使用命令掛載文件系統(tǒng) 其中，選項(xiàng)用于指明掛載的具體方式，常用的選項(xiàng)有如下幾個(gè)：ro：以只讀方式掛載。rw：以讀/寫方式掛載。remount：重新掛載已掛載的文件系統(tǒng)。 4.使用配置文件掛載文件系統(tǒng) 在用戶需要一直使用某個(gè)文件系統(tǒng)或者需要掛載多個(gè)文件系統(tǒng)時(shí)，除了可以手工一個(gè)一個(gè)地掛載外，還可以使用/etc/fstab配置文件來進(jìn)行掛載，該文件列出了引導(dǎo)系統(tǒng)時(shí)需要掛載的文件系統(tǒng)的相關(guān)信息和掛載參數(shù)。系統(tǒng)在引導(dǎo)時(shí)會讀取這個(gè)文件，并掛載該文件中列出的文件系統(tǒng)。 /etc/fstab文件的內(nèi)容分

36、為六列，格式如下： /dev/device /dirmount type options dump fs-passno 每列的含義如下：/dev/device：將要被掛載的文件系統(tǒng)。/dirmount：文件系統(tǒng)要被掛載到的目錄。type：文件系統(tǒng)類型。options：掛載選項(xiàng)，用于傳遞給mount命令，以決定如何掛載，各選項(xiàng)間用逗號隔開。dump：由dump程序決定文件系統(tǒng)是否需要備份。fs-passno：由fsck程序決定引導(dǎo)時(shí)是否檢查磁盤以及檢查的次序。 其中，選項(xiàng)用于指明掛載的具體方式，常用的選項(xiàng)有如下幾 5.維護(hù)文件系統(tǒng) 為了保證文件系統(tǒng)的完整性和可靠性，Linux系統(tǒng)默認(rèn)在掛載文件系

37、統(tǒng)之前檢查其狀態(tài)，很少需要用戶來進(jìn)行文件系統(tǒng)的維護(hù)工作。 在Linux系統(tǒng)中，對文件系統(tǒng)的檢查是通過fsck工具進(jìn)行的，其語法格式如下： fsck 選項(xiàng) 文件系統(tǒng) 使用此工具進(jìn)行檢查時(shí)，如果文件系統(tǒng)已經(jīng)掛載，可能會引發(fā)嚴(yán)重的文件系統(tǒng)損害，最好先將文件系統(tǒng)卸載后再檢查。 此外，還可以使用du、df工具查看文件系統(tǒng)的相關(guān)信息。1）dudu命令用于統(tǒng)計(jì)目錄的磁盤使用情況。其語法格式如下：du 選項(xiàng) names 5.維護(hù)文件系統(tǒng) 2）df df命令后面不加選項(xiàng)時(shí)，運(yùn)行結(jié)果會顯示所有已掛載的文件系統(tǒng)的磁盤空間使用情況，也可以在df后面接選項(xiàng)，實(shí)現(xiàn)相應(yīng)的特定功能，其常用的選項(xiàng)如下：a：顯示所有文件系統(tǒng)的磁

38、盤使用情況。h：以最適合的容量單位顯示磁盤使用情況。i：顯示索引節(jié)點(diǎn)的使用情況，而不是文件塊的使用情況。 2）df2.2.3 Linux目錄與文件的權(quán)限管理 文件權(quán)限是指文件（目錄）的訪問控制權(quán)限，即哪些用戶和組群可以訪問文件（目錄），以及可以執(zhí)行什么樣的操作。文件（目錄）權(quán)限與系統(tǒng)的數(shù)據(jù)安全息息相關(guān)。 1.Linux的目錄結(jié)構(gòu) 在Microsoft的Windows操作系統(tǒng)中，主分區(qū)和邏輯分區(qū)都被稱為驅(qū)動器，并且為每個(gè)驅(qū)動器分配一個(gè)字母（如C、D、E、F等）表示其名稱，每個(gè)驅(qū)動器都有自己的根(/)目錄結(jié)構(gòu)。與Windows操作系統(tǒng)不同，Linux文件系統(tǒng)不使用驅(qū)動器這個(gè)概念，而是使用單一的根目

39、錄結(jié)構(gòu)，所有的分區(qū)都掛載到根目錄上。 根（/）目錄位于Linux文件系統(tǒng)目錄結(jié)構(gòu)的頂層。在Linux系統(tǒng)中，根目錄是最頂層的分區(qū)，如果還有其他分區(qū)，必須掛載到根目錄下的某個(gè)位置。Linux系統(tǒng)中的目錄結(jié)構(gòu)呈樹形，因此也稱為目錄樹。2.2.3 Linux目錄與文件的權(quán)限管理 2.Linux的文件類型 文件是操作系統(tǒng)用來存儲信息的基本結(jié)構(gòu)，是存儲在某種介質(zhì)（軟盤、硬盤、光盤、U盤等）上的一組信息的集合，并通過文件名來標(biāo)識。文件名由字母、數(shù)字以及其他符號組成，在Linux系統(tǒng)中，文件名嚴(yán)格區(qū)分大小寫，如“test.txt”、“Test.txt”、“test.TXT”、“Test.TXT”代表四個(gè)不同

40、的文件。文件名長度可以達(dá)到255個(gè)字符。 Linux系統(tǒng)中有三種基本的文件類型：（1）普通文件：包括文本文件、數(shù)據(jù)文件、可執(zhí)行的二進(jìn)制程序文件等。（2）目錄文件：Linux系統(tǒng)把目錄看成是一種特殊的文件，并利用它構(gòu)成文件系統(tǒng)的樹形結(jié)構(gòu)。每個(gè)目錄文件中至少包含兩個(gè)條目，“.”表示上一級目錄，“.”表示該目錄本身，這和DOS系統(tǒng)下的目錄結(jié)構(gòu)類似。 2.Linux的文件類型 （3）設(shè)備文件：設(shè)備文件是一種特殊的文件，系統(tǒng)利用它們來標(biāo)識各個(gè)設(shè)備驅(qū)動器，內(nèi)核使用它們與硬件設(shè)備通信。Linux的設(shè)備文件主要有兩類：字符設(shè)備文件和塊設(shè)備文件。字符設(shè)備文件的存取以字符為單位，如鍵盤、鼠標(biāo)等設(shè)備；而塊設(shè)備文件的

41、存取以字符塊為單位，如軟盤、硬盤、光盤和U盤等設(shè)備。 此外，鏈接文件是Linux系統(tǒng)中的一種特殊文件類型，它分為符號鏈接（symbolic link）和硬鏈接（hard link）兩種。 （3）設(shè)備文件：設(shè)備文件是一種特殊的文件，系統(tǒng)利用它們 3.文件的屬主和屬組 屬主就是文件或者目錄的所有者，對文件或目錄有特別的操作權(quán)限。默認(rèn)情況下，文件和目錄的創(chuàng)建者即為其屬主。文件所屬的用戶組稱為文件的屬組。用戶可以使用chown命令修改文件的所有者，其語法格式如下：chown選項(xiàng)用戶或組文件列表使用chown命令也可以更改屬組，其格式如下：chown:組 文件用戶也可以使用chown命令同時(shí)修改文件的屬

42、主和屬組。其基本格式如下：chown：用戶：組 文件可使用chgrp命令修改文件的屬組，其語法格式如下：chgrp選項(xiàng)組文件列表 3.文件的屬主和屬組4.文件權(quán)限1）權(quán)限簡介Linux是一個(gè)多用戶操作系統(tǒng)，對每個(gè)文件和目錄規(guī)定嚴(yán)格的訪問權(quán)限，可以有效地保護(hù)文件。Linux系統(tǒng)中的每個(gè)文件和目錄的訪問權(quán)限是加在其上的一個(gè)數(shù)據(jù)結(jié)構(gòu)，稱為訪問控制列表(ACL)。每個(gè)文件和目錄都具有讀取、寫入和執(zhí)行三個(gè)主要的權(quán)限。文件創(chuàng)建者擁有該文件的所有權(quán)限，并可以修改這些權(quán)限。同時(shí)，每個(gè)文件（目錄）還有屬主和屬組兩個(gè)屬性，因此，可以通過指定文件（目錄）允許被哪些用戶（屬主）或者組群（屬組）訪問來限制用戶對該文件（

43、目錄）的訪問權(quán)限。2）查看權(quán)限使用“l(fā)s l”命令可以查看文件的詳細(xì)信息，顯示在最前面的是文件的類型和權(quán)限，隨后是鏈接的個(gè)數(shù)、文件所有者名稱、屬組、以字節(jié)計(jì)算的文件長度、上次修改該文件的日期和時(shí)間，最后是文件名4.文件權(quán)限3）修改權(quán)限文件權(quán)限可以使用chmod命令來改變，其語法格式如下： chmod操作對象 動作 權(quán)限 文件或目錄名“操作對象”參數(shù)可以使用下列字母中的一個(gè)或它們的組合：u：擁有文件的用戶（文件所有者）。g：文件所有者所在的組群。o：其他用戶（不是所有者且不屬于所有者的組群的用戶）。a：每個(gè)人或者全部用戶（包括u、g和o），這是系統(tǒng)默認(rèn)值。動作有如下幾個(gè)：+：添加權(quán)限。-：刪除權(quán)

44、限。=：使它成為唯一權(quán)限?！皺?quán)限”參數(shù)可以使用下列字母中的一個(gè)或它們的組合，當(dāng)是多個(gè)字母的組合時(shí)，各字母間應(yīng)用逗號隔開：r：讀取權(quán)。w：寫入權(quán)。x：執(zhí)行權(quán)。3）修改權(quán)限2.2.4 磁盤配額管理 為了防止某個(gè)用戶或者用戶組占用過多的磁盤空間，需要對用戶和用戶組的可用存儲空間進(jìn)行限制。在Linux系統(tǒng)中，可以通過設(shè)置磁盤配額（disk quota）來限制用戶和用戶組對磁盤空間的使用。 1.磁盤配額的功能 磁盤配額就是管理員對本域中的每個(gè)用戶（用戶組）所能使用的磁盤空間進(jìn)行配額限制，即每個(gè)用戶（用戶組）只能使用最大配額范圍內(nèi)的磁盤空間。它監(jiān)視每個(gè)個(gè)人用戶卷的使用情況，因此，每個(gè)用戶對磁盤空間的使用不

45、會影響同一卷上其他用戶的磁盤配額。 磁盤配額可以對每個(gè)用戶（用戶組）的磁盤使用情況進(jìn)行跟蹤和控制：通過掃描磁盤分區(qū)，檢測每個(gè)用戶（用戶組）對磁盤空間的使用情況，并用不同的顏色標(biāo)識出使用的磁盤空間超過報(bào)警值和配額限制的用戶。通過使用磁盤配額，可以使登錄到相同計(jì)算機(jī)的多個(gè)用戶互不干涉，并能保證用戶不獨(dú)占公用服務(wù)器上的磁盤空間。 磁盤配額提供了一種基于用戶和分區(qū)的文件存儲管理，使管理員可以方便地利用這個(gè)工具合理地分配存儲資源，避免由于磁盤空間使用失控而造成的系統(tǒng)崩潰，從而提高系統(tǒng)的安全性。2.2.4 磁盤配額管理2.啟用Linux的磁盤配額功能 在Linux系統(tǒng)中，磁盤配額可以從以下兩方面限制磁盤的

46、使用：限制用戶能夠使用的索引節(jié)點(diǎn)數(shù)，從而限制用戶可以創(chuàng)建的文件數(shù)量。限制用戶能夠使用的磁盤區(qū)塊數(shù)，從而限制用戶可以占用的磁盤容量。 要實(shí)現(xiàn)磁盤配額功能需要以下幾步：（1）檢查是否安裝了quota軟件包，大部分情況下系統(tǒng)會默認(rèn)安裝該軟件包?？梢酝ㄟ^以下命令查看quota軟件包的安裝情況：# rpm -qa | grep quotaquota-3.06-9（2）修改/etc/fstab文件，啟用文件系統(tǒng)的配額功能。 以root用戶身份登錄系統(tǒng)，使用vi編輯器編輯/etc/fstab文件，給需要設(shè)置配額的文件系統(tǒng)添加usrquota和grpquota選項(xiàng)，用來啟用用戶配額和組配額2.啟用Linux的

47、磁盤配額功能（3）重啟系統(tǒng)，使修改的磁盤配額生效。（4）運(yùn)行quotacheck命令生成磁盤配額文件。運(yùn)行的命令及結(jié)果如下：# quotacheck -cvug /homequotacheck: Scanning /dev/sda3 /home donequotacheck: Checked 7 directories and 11 filesquotacheck: Old file not found.quotacheck: Old file not found. 其中，“-c”選項(xiàng)用來生成配額文件（aquota.user和aquota.group），“-v”選項(xiàng)用來顯示操作過程，“-u”選

48、項(xiàng)檢查用戶配額，“-g”選項(xiàng)檢查用戶組配額。系統(tǒng)在進(jìn)行配額檢查的時(shí)候會在配額文件中創(chuàng)建磁盤使用信息。（5）運(yùn)行如下命令： quotaon /home 或者： quotaon /dev/sda3 打開文件系統(tǒng)的磁盤配額管理功能。（3）重啟系統(tǒng)，使修改的磁盤配額生效。 3.編輯用戶和用戶組配額限制 用戶和用戶組的磁盤配額限制分為兩種：（1）軟限制：用戶和用戶組在文件系統(tǒng)上可以使用的磁盤空間和文件數(shù)量，在某個(gè)過渡期內(nèi)可以暫時(shí)超過這個(gè)限制。（2）硬限制：用戶和組可以使用的最大磁盤空間或最多的文件數(shù)量，絕對不允許超過這個(gè)限制。 可以使用edquota命令設(shè)置配額，格式如下： edquota 用戶名 3.

49、編輯用戶和用戶組配額限制 4.管理磁盤配額 磁盤配額生效后，可以查看磁盤使用是否超過限制，并根據(jù)不同情況進(jìn)行相應(yīng)的處理。例如，某用戶的磁盤使用屢次超出其配額或持續(xù)達(dá)到其軟限制，系統(tǒng)管理員可以根據(jù)實(shí)際情況通知用戶進(jìn)行相應(yīng)的處理。 1）查看磁盤配額的報(bào)告 可以通過如下命令查看某個(gè)用戶的磁盤配額報(bào)告： quota user 如果要查看某個(gè)組群的磁盤配額報(bào)告，可以使用如下命令： quota -g group 其中，user和group為用戶和組的名稱或者UID和GID。 另外，系統(tǒng)管理員還可以使用repquota命令生成完整的磁盤配額報(bào)告. 4.管理磁盤配額 2）磁盤配額的啟用和關(guān)閉 當(dāng)不需要使用磁盤

50、配額時(shí)，可以將其關(guān)閉，例如，關(guān)閉/home文件系統(tǒng)的用戶和組的磁盤配額的命令如下： quotaoff -vaug /home 其中，“-v”表示在關(guān)閉磁盤配額過程中顯示詳細(xì)的狀態(tài)信息，“-a”表示關(guān)閉所有本地掛載的文件系統(tǒng)的磁盤配額，“-u”表示關(guān)閉用戶磁盤配額，“-g”表示關(guān)閉組磁盤配額。 需要重新啟用磁盤配額時(shí)，可以使用具有同樣選項(xiàng)的quotaon命令，例如，要為/home文件系統(tǒng)啟用用戶和組磁盤配額，命令如下： quotaon -vaug /home 2）磁盤配額的啟用和關(guān)閉2.3 安全管理2.3.1安全管理的內(nèi)容 安全管理包含的內(nèi)容主要有權(quán)限管理，數(shù)據(jù)保護(hù)，保證系統(tǒng)完整并能正常運(yùn)行，以

51、及日志記錄審核等。 1.權(quán)限管理 權(quán)限管理是安全管理中的一個(gè)最基本的方法，它體現(xiàn)在賬戶口令的正確設(shè)置和賬戶權(quán)限的正確配置。權(quán)限管理的首要目標(biāo)就是防止系統(tǒng)以外的非授權(quán)用戶越權(quán)使用系統(tǒng)，其次是要防止系統(tǒng)內(nèi)沒有被授予相應(yīng)權(quán)限的用戶對系統(tǒng)進(jìn)行越權(quán)操作。 2.數(shù)據(jù)保護(hù) 幾乎所有的安全管理都涉及數(shù)據(jù)保護(hù)問題，數(shù)據(jù)包括存儲設(shè)備上的以靜態(tài)文件形式存在的數(shù)據(jù)和網(wǎng)絡(luò)傳輸過程中的數(shù)據(jù)。對于網(wǎng)絡(luò)傳輸過程中的數(shù)據(jù)的保護(hù)，在后面的網(wǎng)絡(luò)安全中會詳細(xì)講述。對于以靜態(tài)文件形式存在的數(shù)據(jù)的保護(hù)，主要是防止數(shù)據(jù)遭到未授權(quán)用戶的破壞和篡改，并防止數(shù)據(jù)內(nèi)容泄漏。2.3 安全管理2.3.1安全管理的內(nèi)容 3.保證系統(tǒng)完整并能正常運(yùn)行 保

52、證系統(tǒng)完整的主要手段是對系統(tǒng)進(jìn)行周期性的備份和系統(tǒng)崩潰后的及時(shí)恢復(fù)。而維護(hù)系統(tǒng)的正常運(yùn)行主要是對用戶的程序進(jìn)程進(jìn)行管理，解除來自用戶的安全威脅，并防止某些進(jìn)程可能導(dǎo)致的系統(tǒng)崩潰。 4.日志記錄審核 安全管理中必不可少的操作是日志管理。日志是事件或操作發(fā)生以后的相關(guān)記錄，是安全管理中在操作順序上比較靠后的手段，管理員可以通過查看日志記錄來分析用戶曾經(jīng)進(jìn)行了什么操作，還可以在這些操作中分析出哪些對系統(tǒng)不利，哪些對系統(tǒng)是致命的，并能發(fā)現(xiàn)導(dǎo)致安全問題的原因，給以后的安全管理提供參考，避免相同的危險(xiǎn)。 3.保證系統(tǒng)完整并能正常運(yùn)行2.3.2 用戶及組的管理 1.認(rèn)識用戶和組 在Linux系統(tǒng)中，每個(gè)用戶

53、對應(yīng)一個(gè)賬號。賬號是用戶的身份標(biāo)識，通過賬號用戶可以登錄到某個(gè)計(jì)算機(jī)，并訪問已被授權(quán)的資源。 超級用戶root是Red Hat Linux系統(tǒng)在安裝完成后自動創(chuàng)建的一個(gè)特殊的用戶，它可以執(zhí)行所有的管理任務(wù)，可以不受限制地進(jìn)行任何操作。普通用戶若要在Linux系統(tǒng)中工作，必須由超級用戶為其創(chuàng)建允許登錄系統(tǒng)的普通用戶賬號。 組是用戶賬號的集合，被用來簡化對用戶的管理。把對系統(tǒng)資源的訪問權(quán)授予某個(gè)組，此組中的所有用戶就都自動獲取了這種權(quán)限。用戶賬號可以同時(shí)是多個(gè)組的成員，其中只有一個(gè)組為該用戶的主組群。2.3.2 用戶及組的管理用戶和組的一些基本概念如下：用戶名：用來標(biāo)識用戶的名稱，可以是由字母、數(shù)

54、字和其他符號組成的字符串，區(qū)分大小寫用戶標(biāo)識（UID）：用來表示用戶的數(shù)字標(biāo)識。root用戶的UID為0，其他普通用戶的UID從500開始用戶主目錄：用戶的私人目錄，也是用戶登錄系統(tǒng)后默認(rèn)所在的目錄登錄shell：用戶登錄后使用的shell程序，默認(rèn)為/bin/bash組/組群：具有相似屬性的用戶屬于同一個(gè)組組標(biāo)識（GID）：用來表示用戶組的數(shù)字標(biāo)識，普通組的GID也是從500開始用戶和組的一些基本概念如下：2.管理用戶賬號 管理用戶可以使用命令來完成，也可以在圖形化界面下使用圖形工具完成，除此之外，還可以通過直接修改系統(tǒng)文件實(shí)現(xiàn)，這幾種方法沒有本質(zhì)的區(qū)別。這里只介紹使用命令和修改系統(tǒng)文件的方

55、法。 1）使用命令管理 用戶管理包括用戶的創(chuàng)建、密碼設(shè)置、刪除、修改等操作。 創(chuàng)建用戶可以使用useradd命令，其語法格式如下： useradd 選項(xiàng) 在默認(rèn)情況下，只有設(shè)置了口令的用戶才能登錄到系統(tǒng)上?？梢允褂胮asswd命令為新建用戶設(shè)置口令。2.管理用戶賬號 若用戶的賬號到期，可以使用userdel命令將其刪除，其語法格式如下： userdel -r 其中，“-r”選項(xiàng)表示同時(shí)刪除用戶主目錄及其內(nèi)部的文件。因此，在使用帶“-r”選項(xiàng)的userdel命令前，要確認(rèn)用戶主目錄中的數(shù)據(jù)已不再需要。 若用戶的賬號設(shè)置好以后需要修改其中的某些屬性，可以使用usermod命令，其語法格式如下： u

56、sermod 選項(xiàng) 其可用的選項(xiàng)與useradd類似，例如，要將用戶jack的主目錄修改為/var/jack，可以執(zhí)行如下命令： usermod -d /var/jack jack 若用戶的賬號到期，可以使用user 2）使用/etc/passwd文件管理 /etc/passwd是Linux系統(tǒng)中用于管理用戶賬號的文件，它包含了系統(tǒng)中所有用戶的基本信息。系統(tǒng)使用唯一的UID來識別用戶，配置文件/etc/passwd給出了UID與用戶名及其他信息之間的對應(yīng)關(guān)系。每個(gè)用戶賬號在/etc/passwd文件中占用一行，每行有七個(gè)列，并且用冒號“:”作為分隔符將它們分隔開來，如下所示： 用戶名:加密的口

57、令:UID:GID:用戶的全名或描述:主目錄:登錄shell 3）/etc/shadow文件 因?yàn)?etc/passwd文件對系統(tǒng)的所有用戶都是可讀的，所以每個(gè)用戶都可以知道系統(tǒng)上有哪些用戶，這樣使得用戶的口令容易受到攻擊（尤其是當(dāng)口令比較簡單時(shí)）。為解決這個(gè)問題，現(xiàn)在的Linux系統(tǒng)一般使用投影口令格式，將用戶的口令信息存儲在另一個(gè)文件/etc/shadow中，而在/etc/passwd文件的口令域中只能看到一個(gè)“x”標(biāo)識。由于/etc/shadow文件只有超級用戶root可以讀寫，因而大大提高了安全性。/etc/shadow文件保存投影加密之后的口令以及與口令有關(guān)的一系列信息。每個(gè)用戶的信

58、息在其中占用一行，并且用冒號“:”分為九個(gè)域。 2）使用/etc/passwd文件管理 3.管理組 1）使用命令管理 組的添加命令是groupadd，其語法格式如下： groupadd 選項(xiàng) 其常用選項(xiàng)及含義如下：-g gid：指定用戶組的GID，它必須是唯一的，若是普通組，其GID從500開始。-r：創(chuàng)建GID小于500的系統(tǒng)用戶組。-f：若用戶組已經(jīng)存在，退出并顯示錯誤（不會修改組）。如果同時(shí)指定了“-g”和“-f”選項(xiàng)且用戶組不唯一，“-g”選項(xiàng)就會被忽略。 如果需要把用戶添加到新建的組中，可以使用usermod和gpasswd命令修改用戶所屬的組群。當(dāng)不需要某個(gè)組時(shí)，可以刪除此組群，其

59、命令是groupdel。 3.管理組 2）使用/etc/group文件管理 /etc/group是Linux系統(tǒng)中用于管理組賬號的文件。在此文件中，每個(gè)組賬號獨(dú)占一行，并用冒號“:”分為四個(gè)域，其具體含義如下： 組名稱:加密后的組口令:GID:組成員的列表2.3.3 控制root賬戶 1.限制root賬戶 Red Hat Linux系統(tǒng)默認(rèn)不允許使用root賬戶通過telnet來實(shí)現(xiàn)遠(yuǎn)程登錄，因?yàn)樵趖elnet上，用戶名和口令是以明文傳輸?shù)?，極易被嗅探器捕捉到。在/etc/securetty文件里列有默認(rèn)情況下允許root賬戶登錄的tty設(shè)備，分別是vc/1到vc/11，tty1到tty11，

60、pts/0和pts/1。 2）使用/etc/group文件管理此文件的部分內(nèi)容如下：# vi /etc/securettyconsolevc/1vc/2vc/10vc/11tty1tty2tty10tty11pts/0pts/1此文件的部分內(nèi)容如下： 通過這個(gè)文件可以看出哪些設(shè)備可以使用root賬戶登錄，這里不存在telnet和ftp，因此，這兩個(gè)服務(wù)在默認(rèn)情況下都是不能使用root賬戶登錄的。 除此之外，ssh雖然也沒有在上面的文件中列出，但仍可以使用root賬號登錄。這是因?yàn)閟sh不是由/etc/securetty文件控制，而是由/etc/ssh/sshd_config文件中的“Permi