Unix基础培训


Unix基础培训 提纲 UNIX系统简介  UNIX的特点  UNIX的系统组成  UNIX的文件系统  UNIX系统启动流程 UNIX系统管理与维护  UNIX系统基本命令  文本编辑程序VI  UNIX的增强命令  UNIX系统用户管理  UNIX系统维护  UNIX系统网络管理 系统安全配置 UNIX的特点 <1> 可移植性 UNIX用C语言编写,易于在不同的机器之间移植。目前UNIX已适用于 各种类型的计算机. <2> 多用户的多任务 UNIX采用时间片,同时为多个用户服务,提供相应的保护机制:口令 和文件访问权限;UNIX支持同时在一台机器上运行多个程序。 <3> 层次式的文件系统 逆向的树型结构,提供管理和获取的弹性。 <4> 文件、设备统一处理 UNIX把普通数据文件、目录文件、外部设备都统一作为文件处理,简 化了系统设计,便于用户使用。 <5> Linux开源 UNIX系统组成 Kernel 库,库函数 Shell Applications UNIX系统组成 硬件层:包括系统的各个物理成份 内核层:是UNIX操作系统和核心。内核直接与系统硬件发生联系。 用户Shell层:这一层是用户与UNIX系统内核的接口。 应用层:应用层包括众多由应用软件,如正文处理、语言翻译、文件 管理、电子邮件,软件开发工具等 UNIX的文件系统 UNIX的文件系统 UNIX的文件系统 UNIX的文件类型:  正规文件:(ASCII文本文件、二进制数据文件、二进制可执行文 件等)  目录  特殊文件  链接 (硬链接、软链接)  Sockets(进程间通信时使用的特殊文件) UNIX的文件系统 Modification Date File Type # Links Owner Group Size NameFile mode (Permissions) $ ll –-rw-r--r-- 1 user1 users 64 Nov 13 20:10 File2 – drwxr-xr-x 2 user1 users 512 Nov 13 21:13 dir1 – drwxr-xr-x 3 user1 users 512 Nov 13 20:08 dir2 –-rw-r--r-- 1 user1 users 97 Nov 13 20:10 file1 UNIX的文件系统 文件权限 read write execute 文件 -rwxr--r-- 路径 drwxr-xr-x User GroupOther 文件类型 b : 块特殊文件,如硬 盘和CDROM设备 c : 字符文件设备 l : 符号连接 p : 管道或流,用于进 程通讯 d : 目录 开机启动流程图 系统启动级别 设置系统启动级别 配置文件:/etc/inittab •# Default runlevel. The runlevels used by RHS are: # 0 - halt (Do NOT set initdefault to this) # 1 - Single user mode # 2 - Multiuser, without NFS (The same as 3, if you do not have networking) # 3 - Full multiuser mode # 4 - unused # 5 - X11 # 6 - reboot (Do NOT set initdefault to this) # id:5:initdefault: X11图形界面切换 • 虚拟控制台 Ctrl+Alt+Fn (n=1-6) 文字控制台 • 在文字控制台间切换 Alt+Fn • 切换回图形界面 Alt+F7 • 从文本界面进入到图形界面方法,可以敲入命令 :startx UNIX的基本命令 基本的文件与目录管理操作 – ls, pwd, cd, mkdir, rmdir – cp, mv, rm, – cat, nl, head, tail, less, more, tail – file, diff – du, find, df – date UNIX的基本命令 • 1.ls 显示文件名,等同于dos下dir命令 命令格式:ls [option] file option: -l 显示详细列表 -a 显示所有文件,包含隐藏文件(以. 起头的文件名) -R 显示文件及所有子目录 -F 显示文件(后跟*)和目录(后跟/) -d 与l选项合用,显示目录名而非其内容 UNIX的基本命令 • 2.cd 目录转换,等同于dos下cd命令 注意目录分隔符为“/”,与dos相反 命令格式:cd dirname • 3.pwd 显示当前路径 • 4.cat 显示文件内容,等同于dos下type命令 命令格式:cat filename • 5.more 以分页方式查看文件内容. 命令格式:more filename UNIX的基本命令 • 6.rm 删除文件 命令格式: rm [-r] filename (filename 可为档名,或档名缩写符号.) 例子 : rm file1 删除档名为 file1 之文档. rm file? 删除档名中有五个字元,前四个字元为file 之所有文档. rm f* 删除档名中,以 f 为字首之所有文档. rm -r dir1 删除目录 dir1,及其下所有文档及子目录. rm –f filename 强制删除文件 UNIX的基本命令 • 7.mkdir 创建目录 命令格式: mkdir [-p] directory-name Exmaple : mkdir dir1 建立一新目录 dir1. mkdir -p dir/subdir 直接创建多级目录 • 8.rmdir 删除目录 目录必须首先为空 命令格式: rmdir directory UNIX的基本命令 • 9.cp 文档复制 命令格式: cp [-r] source destination 例子: cp file1 file2 将文档 file1 复制成 file2 cp file1 dir1 将文档 file1 复制到目录 dir1 下,文件名仍为 file1. cp -r dir1 dir2 (recursive copy) 复制整个目录. UNIX的基本命令 • 10.mv 文件移动 命令格式: mv source destination 例子: mv file1 file2 将文档 file1,更改文件名为 file2. mv file1 dir1 将文档 file1,移到目录 dir1 下,文件名仍为 file1. mv dir1 dir2 若目录 dir2 不存在,则将目录 dir1,及其所有文件和子 目录,移到目录 dir2 下,新目录名称为 dir1. 若目录 dir2 不存在,则将dir1,及其所有文件和子目录,更改为目 录 dir2. UNIX的基本命令 • 11.du 查看目录所占磁碟容量 命令格式: du [-sk] directory 例子 : du dir1 显示目录 dir1 的总容量及其次目录的容量 du -sk dir1 显示目录 dir1 的总容量,以k bytes为计量 UNIX的基本命令 • 12.find 文件查找 命令格式: find dir -name filename command 例子: find .-name hello -print 寻找目前目录及所有的子目录内叫hello的文档. find .-ctime +7 -print 找出七天内未被更动的文档 find .-size +2000m -print 找出大小超过2000 bytes的文档 find /tmp -user b1234567 -print 在/tmp下属于b1234567的文档 find .-name '*.c' -exec rm {} 删除所有的.c档 find .-name test\*-print 显示当前目录及其子目录文件名前4 位为test的文件名 UNIX的基本命令 • 13. df功能:检查文件系统的磁盘空间占用情况。可以利用该命令来 获取硬盘被占用了多少空间,目前还剩下多少空间等信息。 语法:df [选项] 说明:df命令可显示所有文件系统对i节点和磁盘块的使用情况。 该命令各个选项的含义如下: -a 显示所有文件系统的磁盘使用情况,包括0块(block)的文件系统 ,如/proc文件系统。 -k 以k字节为单位显示。 -i 显示i节点信息,而不是磁盘块。 -t 显示各指定类型的文件系统的磁盘空间使用情况。 -x 列出不是某一指定类型文件系统的磁盘空间使用情况(与t选项相 反)。 -T 显示文件系统类型。 UNIX的基本命令 • 14. date命令查看和设置时间 例1:用预定的格式显示当前的时间。 # date Fri Nov 26 15:20:18 CST 1999 例2:设置时间为下午14点36分。 # date -s 14:36:00 Fri Nov 26 14:15:00 CST 1999 例3:设置时间为1999年11月28号。 # date -s 991128 文本编辑程序VI vi 编辑器 命令状态: j,k,h,l:上下左右 0: 行首 $: 行尾 i,I :插入命令,i 在当前光标处插入 I 行首插入 a,A:追加命令,a 在当前光标后追加,A 在行末追加 o,O:打开命令,o 在当前行下打开一行,O在当前行上插入一行 r,R :替换命令,r 替换当前光标处字符,R从光标处开始替换 数字s: 替换指定数量字符 x: 删除光标处字符 文本编辑程序VI dd: 删除当前行 d0: 删除光标前半行 d$: 删除光标后半行 ctrl+f :后翻页 ctrl+b:前翻页 G: 文件尾 数字G: 数字所指定行 /string 查找字符串 n 继续查找 N 反向继续查找 % 查找对应括号 u 取消上次操作 文本编辑程序VI • ex命令状态 :set number 显示行号 :set smd 显示显示状态 :0 文件首 :1,5 copy 7 块拷贝 :1,5 del 块删除 :1,5 move 7 块移动 :1,$s/string1/string2/g 全文件查找string1并替换为string2 :wq! 存盘退出 UNIX的增强命令 • 1. ln 文档连结 命令格式:ln -s oldname newname ( Hard link ) 同一文档,可拥有一个以上之名称,可将文档做数个连结. 例子 : ln -s file1 file2 将名称 file2,连结至文档 file1. UNIX的增强命令 • 2.grep 搜索字符串 命令格式: grep string filename 寻找字串的方法很多,比如说我想找所有以M开头的行.此时必须引进 pattern的观念.以下是一些简单的□例,以及说明: ^M 以M开头的行,^表示开始的意思 M$ 以M结尾的行,$表示结束的意思 UNIX的增强命令 ^[0-9] 以数字开始的行,[]内可列举字母 ^[124ab] 以1,2,4,a,或b开头的行 ^b.503 句点表示任一字母 * 星号表示0个以上的字母(可以没有) + 加号表示1个以上的字母 \. 斜线可以去掉特殊意义 UNIX的增强命令 • 常用实例 • grep ^# /etc/services 检索以#开头的所有行 • grep –v “^#” /etc/services • 检索以非#开头的所有行 UNIX的增强命令 • 3.fgrep 搜索字符串 命令格式:fgrep string file • 4.file 显示文件类型 命令格式:file fileall 文件类型为shell script,ELF 32bit,ASCII text,data or tar file UNIX的增强命令 • 5.ftp 远程文件传输 命令格式: ftp [hostname|IP address] 在进入 ftp 之後,如果与 remote host 连接上了,它将会询问 你 username与密码,如果输入对了就可以开始进行文档传输. 注意:如用户无密码,无法注册 UNIX的增强命令 •(1) ftp 命令 ascii 将传输模式设为 ascii 模式,通常用于传送文本文件。 binary 将传输模式设为 binary 模式,通常用于传送可执行文件、压缩文 件或影像文件等二进制文件。 cd remote-directory 将远程主机上的工作目录改变. lcd [ directory ] 更改本地主机的工作目录. ls [ remote-directory ][ local-file ] 列出远程主机上的文档 UNIX的增强命令 get remote-file [ local-file ] 取得远程的文档. mget remote-files 一次取得多个文档. put local-file [ remote-file] 将本地主机的文档送到远程主机. mput local-files 一次将多个文档放到远程主机上. help [ command ]在 线辅助指令. mkdir directory-name 在远程主机创建一个目录. prompt 更改交谈模式,若为 on 则在 mput 与 mget 时每作一个文档之传 输时均会询问。 quit/bye 离开ftp . UNIX的增强命令 • 6.IO 重新导向 UNIX所有的程序执行时,均需要信息的输入以及输出信息,.一般而 言,信息是从键盘输入,并将信息输出到屏幕上,这就叫做标准输入 及标准输出,而我们可以更改标准出输出入. • 例: cd /tmp ls -l > /tmp/ls.out cat /tmp/ls.out more /tmp/ls.out rm /tmp/ls.out ls | more ls | wc -l (word count, count line number,算出文档数目) UNIX的增强命令 7. 定制个人计划任务crontab • 用户级别 – crontab –e:编辑当前的守护进程表 – crontab –l :列出当前的守护进程表 – crontab –r :删除当前的守护进程表 – crontab –u user :以某一个用户的身份 • crontab格式 * * * * * echo “hello” | wall 分钟/小时/日/月/星期 命令 #每分钟向所有在线用户的屏幕上发送‘hello‟ 用户管理命令 • who:查询当前在线的用户 • groups:查询用户所属的组 • id:显示当前用户信息 • finger:查询用户信息 • 用指令添加命令 – useradd – passwd 用户管理命令 • 1. chmod 改变文档或目录的属性 命令格式:chmod [-R] mode name ( name 可为文件名或目录名;mode可为 3 个 8 进制,或利用ls -l命令, 列出 文档或目录的读、写、执行允许权.) • 例子 : %chmod 755 dir1 将目录dir1,设定成任何使用者,皆有读取及执 行的权利, 但只有属主可做修改. %chmod 700 file1 将文件file1,设定只有属主可以读、写和执行. 用户管理命令 2.chown 改变文档或目录的所有权 命令格式:chown [-R] username name ( name 可为档名或目录名.) 例子 : %chown user file1 将文档 file1 的拥有权,改为使用者 user 所有. %chown -R user dir1 将目录 dir1,及其下所有文档和子目录之拥有权, 改为使用者 user 所有. 例如: #chown zqj:dba /u/ora 用户管理命令 • 3.touch 改变文档或目录的最后修改时间 命令格式:touch name ( name 可为文档或目录名称.) •#touch file1 –d 20081121 用户管理命令 4.who 查看系统注册用户(w比who更好) #who –r 查看当前系统运行级别 5. id 查看当前用户用户号和组号 6. passwd 修改用户口令 命令格式:passwd username 无用户参数修改本用户口令 7. su 转换用户 命令格式: su [-] username 无用户参数为转换到超级用户 -:执行新用户环境设置 Unix维护命令  ps:查看系统进程  top:查看系统利用率  free:显示内存状态  kill:中止一个进程  rpm:系统rpm包工具  tar:打包工具  mount: 挂载  uptime:系统连续运行时间  uname:显示系统信息 Unix维护命令--ps $ ps PID TTY TIME CMD 3884 pts/1 00:00:00 bash 3955 pts/2 00:00:00 more 3956 pts/5 00:00:05 sqlplus · PID是进程的标识号。 · TTY是进程所属的终端控制台。 · TIME列是进程所使用的总的CPU时间。 · CMD列列出正在执行的命令行。 使用带有-ef选项的ps,返回系统中所有用户的所有进程的完整列表。一般将此 ps命令的结果传送到grep中,则该结果更易于查看。例如: $ ps -ef | grep oracle UID PID PPID C STIME TTY TIME CMD oracle 1633 1 0 13:58 ?00:00:00 ora_pmon_ora1 oracle 1635 1 0 13:58 ?00:00:00 ora_dbw0_ora1 Unix维护命令--top top 查看系统利用率 [root@globalview test]# top top - 15:15:04 up 4 days, 5:08, 14 users, load average: 0.45, 0.40, 0.32 Tasks: 146 total, 2 running, 144 sleeping, 0 stopped, 0 zombie Cpu(s): 0.5% us, 0.7% sy, 0.2% ni, 98.5% id, 0.2% wa, 0.0% hi, 0.0% si Mem: 2074636k total, 1949708k used, 124928k free, 200952k buffers Swap: 4192956k total, 0k used, 4192956k free, 904308k cached PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 9850 root 34 19 4612 2084 1168 R 20 0.1 38:16.45 galaxy 4726 sybase 15 0 100m 58m 57m S 8 2.9 34:13.24 dataserver 9414 root 15 0 15492 11m 2884 S 2 0.6 7:46.73 Xvnc 1 root 16 0 2268 552 472 S 0 0.0 0:00.91 init 2 root RT 0 0 0 0 S 0 0.0 0:00.02 migration/0 3 root 34 19 0 0 0 S 0 0.0 0:00.00 ksoftirqd/0 4 root RT 0 0 0 0 S 0 0.0 0:00.01 migration/1 5 root 34 19 0 0 0 S 0 0.0 0:00.00 ksoftirqd/1 6 root RT 0 0 0 0 S 0 0.0 0:00.02 migration/2 7 root 34 19 0 0 0 S 0 0.0 0:00.00 ksoftirqd/2 8 root RT 0 0 0 0 S 0 0.0 0:00.02 migration/3 11 root 5 -10 0 0 0 S 0 0.0 0:00.00 events/1 Unix维护命令--free • free 命令:显示内存状态。 语 法: free [-bkmotV][-s <间隔秒数>] 补充说明:free指令会显示内存的使用情况,包括实体内存,虚 拟的交换文件内存,共享内存区段,以及系统核心使用的缓冲区等。 参 数: -b 以Byte为单位显示内存使用情况。 -k 以KB为单位显示内存使用情况。 -m 以MB为单位显示内存使用情况。 -o 不显示缓冲区调节列。 -s<间隔秒数> 持续观察内存使用状况。 -t 显示内存总和列。 -V 显示版本信息。 Unix维护命令--kill • kill终止进程 1.作用 kill命令用来中止一个进程。 2.格式 kill [ -s signal | -p ] [ -a ] pid ... kill -l [ signal ] 3.参数 -s:指定发送的信号。 -p:模拟发送信号。 -l:指定信号的名称列表。 pid:要中止进程的ID号。 Signal:表示信号。 强行中止(经常使用杀掉)一个进程标识号为324的进程 #kill -9 324 # killall -HUP inetd Unix维护命令--rpm • rpm -ivh rpm包 安装rpm包 • rpm -Uvh rpm包 升级rpm包 • rpm -e rpm包 删除rpm包 • rpm -qi 包名称 列出信息 • rpm -qf `which 命令` 显示命令所在包 • rpm -ql包名称 包中的文件列表 • 例: – rpm -qf:查询某文件属于哪一个RPM包 – rpm -qa:列出当前系统所有已安装的包 Unix维护命令--tar • tar -cvf /tmp/etc.tar /etc 打包 • tar -tvf /tmp/etc.tar 显示包内内容 • tar -xvf /tmp/etc.tar 解包 • tar -cvzf /tmp/etc.tar.gz /etc 打压缩包 • tar -tvzf /tmp/etc.tar.gz 显示压缩包内容 • tar -xvzf /tmp/etc.tar.gz 解压缩包 Unix维护命令--mount • fat32的分区 mount -o codepage=936,iocharset=cp936 /dev/hda7 /mnt (mount -t vfat -o iocharset=cp936 /dev/hda7 /mnt) • ntfs的分区 mount -o iocharset=cp936 /dev/hda7 /mnt • iso文件 mount -o loop /abc.iso /mnt • 软盘 mount /dev/fd0 /mnt •U盘 mount /dev/sda1 /mnt • 光驱 mount /dev/cdrom /mnt 可以指定文件格式"-t 格式", 格式可以为vfat, ext2, ext3等. Unix维护命令--uname • 功能说明:显示系统信息。 • 语 法:uname [-amnrsv][--help][--version] • 参 数: -a或--all 显示全部的信息。 -m或--machine 显示电脑类型。 -n或-nodename 显示在网络上的主机名称。 -r或--release 显示操作系统的发行编号。 -s或--sysname 显示操作系统名称。 -v 显示操作系统的版本。 --help 显示帮助。 --version 显示版本信息。 • 例子:# uname -a Linux zhangqj 2.6.18-8.el5 #1 SMP Fri Jan 26 14:15:21 EST 2007 i686 i686 i386 GNU/Linux 配置或修改系统IP、网关、DNS 第一种是通过GUI中的“系统设置”中的“网络”,来配置IP地址 第二种是通过终端窗口的setup命令,配置IP地址 第三种是修改系统配置文件, [root@globalview test]# vi /etc/sysconfig/network-scripts/ifcfg-eth0 修改IP和网关 DEVICE=eth0 BOOTPROTO=none BROADCAST=192.168.28.255 HWADDR=00:15:C5:E9:DF:53 IPADDR=192.168.28.100 NETMASK=255.255.255.0 NETWORK=192.168.28.0 ONBOOT=yes TYPE=Ethernet GATEWAY=192.168.28.1 …… [root@globalview test]# vi /etc/resolv.conf 配置DNS nameserver 202.102.24.35 • 用ifup/ifdown开启或停止网络服务 • 在/etc/init.d/network中也被调用到 Unix网络管理  netstat: 显示网络连接、路由表和网络接口信息  ping:检测主机  ifconfig:显示或设置网络设备  route:在本地 IP 路由表中显示和修改条目  traceroute :显示数据包到主机间的路径  hostname: 显示或设置主机名  nmap IP_ADDR -p „1-65535‟:扫描主机端口  tcpdump:抓取网络传输数据  iptables: 防火墙配置  lsof: 查看系统端口使用情况 Unix网络管理--netstat netstat 命令,显示网络连接、路由表和网络接口信息 netstat命令的功能是显示网络连接、路由表和网络接口信息,可以让用 户得知目前都有哪些网络连接正在运作。 该命令的一般格式为: netstat [选项] 命令中各选项的含义如下: -a 显示所有socket,包括正在监听的。 -c 每隔1秒就重新显示一遍,直到用户中断它 -i 显示所有网络接口的信息,格式同“ifconfig -e”。 -n 以网络IP地址代替名称,显示出网络连接情形。 -r 显示核心路由表,格式同“route -e”。 -t 显示TCP协议的连接情况。 -u 显示UDP协议的连接情况。 -v 显示正在进行的工作。 Unix网络管理--ping • 功能说明:检测主机。 • 语 法:ping [-dfnqrRv][-c<完成次数>][-i<间隔秒数>][-I<网络界面 >][-l<前置载入>][-p<范本样式>][-s<数据包大小>][-t<存活数值>][主机 名称或IP地址] • 补充说明:执行ping指令会使用ICMP传输协议,发出要求回应的信 息,若远端主机的网络功能没有问题,就会回应该信息,因而得知该 主机运作正常。 • 阻止ping: sysctl -w net.ipv4.icmp_echo_ignore_all=1 Unix网络管理--ifconfig • 功能说明:显示或设置网络设备。 语 法:ifconfig [网络设备][down up -allmulti -arp - promisc][add<地址>][del<地址>][<网络设备类型> <硬件 地址>][io_addr][irq ][media<网络媒介类型>][mem_start< 内存地址>][metric<数目>][mtu<字节>][netmask<子网掩 码>][tunnel<地址>][-broadcast<地址>][-pointopoint<地址 >][IP地址] 补充说明:ifconfig可设置网络设备的状态,或是显示目前 的设置。 Unix网络管理--route [root@globalview test]# route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.28.0 * 255.255.255.0 U 0 0 0 eth0 192.168.28.0 * 255.255.255.0 U 0 0 0 eth1 169.254.0.0 * 255.255.0.0 U 0 0 0 eth1 default 192.168.28.1 0.0.0.0 UG 0 0 0 eth0 手工增加一条路由: [root@globalview test]# route add -net 192.168.0.0 netmask 255.255.255.0 gw 172.16.0.1 手工删除一条路由: [root@globalview test]# route del -net 192.168.0.0 netmask 255.255.255.0 gw 172.16.0.1 Unix网络管理--traceroute • 功能说明:显示数据包到主机间的路径。 • 语 法:traceroute [-dFlnrvx][-f<存活数值>][-g<网关 >...][-i<网络界面>][-m<存活数值>][-p<通信端口>][-s<来源 地址>][-t<服务类型>][-w<超时秒数>][主机名称或IP地址][ 数据包大小] • 补充说明:traceroute指令让你追踪网络数据包的路由途 径,预设数据包大小是40Bytes,用户可另行设置。 Unix网络管理--tcpdump • 功能说明:抓取网络传输数据。 • 语 法:tcpdump [-adeflnNOpqStvx][-c<数据包数目 >][-dd][-ddd][-F<表达文件>][-i<网络界面>][-r<数据包文件 >][-s<数据包大小>][-tt][-T<数据包类型>][-vv][-w<数据包 文件>][输出数据栏位] • 补充说明:执行tcpdump指令可列出经过指定网络界面的 数据包文件头,在Linux操作系统中,你必须是系统管理 员。 • 例:tcpdump src host 222.185.226.150 and dst port 49 Unix网络管理--iptables iptables是Red Hat Linux里默认使用的防火 墙 iptables提供多个设定参数可以用来定义过 滤规则,包括IP/MAC地址、协议、端口、 子网掩码 iptables支持在路由算法发生前后进行网络 地址转换 Unix网络管理--lsof lsof 查看系统端口使用情况 [root@globalview test]# lsof -i :22 COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME sshd 3299 root 3u IPv6 6382 TCP *:ssh (LISTEN) sshd 9443 root 3u IPv6 200284 TCP globalview:ssh- >192.168.28.30:1060 (ESTABLISHED) sshd 9445 root 3u IPv6 200305 TCP globalview:ssh- >192.168.28.30:1061 (ESTABLISHED) sshd 9447 root 3u IPv6 200326 TCP globalview:ssh- >192.168.28.30:1062 (ESTABLISHED) sshd 9725 root 3u IPv6 201376 TCP globalview:ssh- >192.168.28.15:1285 (ESTABLISHED) sshd 10401 root 3u IPv6 204818 TCP 系统安全配置 • 监视文件系统 • 可插入认证模块(PAM) • 基于主机的安全 – Inetd – tcp_wrapper • 监控系统日志 监视文件系统  监视文件系统可以防止: 硬盘空间被占满 可能造成安全问题的错误权限  监视文件系统包括: 数据正确性检验 搜寻不需要或可能造成系统破坏的文件 例:常规搜寻  搜寻可以被任何用户写入的文件 find / -type f –perm 2  搜寻不属于任何用户与组的文件 find / -nouser –o -nogroup 可插入认证模块(PAM)  /lib/security 动态可加载库 集中安全管理 配置在模块被调用时即生效  /etc/pam.d 为PAM „客户’配置文件 选择需要的库 满足所有条件通过认证或失败 基于主机的安全  限制不受欢迎的来源  封锁不作利用的端口  不安装与启动不使用的服务  一般,每一种服务本身一般都会提供相应方式做 相关限制  配制防火墙保护主机 系统设置 inetd守护进程 • inetd也叫作“超级服务器”,就是监视一些网络请求的守护进程, 其根据网络请求来调用相应的服务进程来处理连接请求 • inetd.conf则是inetd的配置文件。inetd.conf文件告诉inetd监听哪 些网络端口,为每个端口启动哪个服务监视一些网络请求的守护进程 • 提供本机网络服务(ftp,telnet,ssh等) • 配置路径/etc/xinet.d • 相关文件/etc/services • 相关安全软件TCP wrapper 系统设置 • Tcp Wrappers提供了一个守护进程 •“Wrappers”的意思就是指对于很多程序来说,它像一个在外面的包 装物一样,起到保护的作用。 • 结合inetd超级守护进程,对本地服务进行访问控制 TCP连接示意图 Inetd守护进程 ftp、telnet、 Finger等服务 外部TCP连接请求 应答且调用相应服务 外部TCP连接请求 Inetd守 护进程 Tcp wrappers ftp、telnet、 Finger等服务 转交给TCP wrappers 检查对应策略并调用相应服务 系统设置 wrapper设置  在/etc/hosts.allow中可以配置允许登录到本机的远程机器IP,这样可 以拒绝未经过授权的机器的访问  在/etc/hosts.deny中配置“ALL:ALL”禁用登录到本机的远程机器 IP,这样可以拒绝未经过授权的机器的访问 • Tcp Wrappers会按照由上至下的顺序逐一核对每一条规则(先 hosts.allow后hosts.deny),只要有一条规则符合当前连接的条件, 此规则就会生效建立连接 • 编辑完毕,立即生效 Linux 问题的处理程序 • 先查看屏幕出现的错误信息; • 由屏幕出现的错误信息以 man 来查询该问题的解 决办法; • 查程序自己的日志 • 在修改配置之前先看系统日志文件(/var/log/…) • 检查网络(IP、网关、路由)、系统资源 • 使用服务程序的调试模式 • 由日志文件中错误记录反查该程序的配置文件设 置或程序参数是否正确! 常用技巧 • root密码忘记:单用户登录 • TAB键的自动补齐 • History命令 其它 • AAA AAA是验证,授权和记账(Authentication, Authorization, and Accounting)的简称。它是 运行于NAS上的客户端程序。它提供了一个用来对 验证,授权和记账这三种安全功能进行配置的一 致的框架。 其它 • Radius Radius是Remote Authentication Dial In User Service(远程拨 入用户认证服务)的简写。其定义了在NAS(Network Access Server -拨号服务器,如:pastmaster,3com rs1500等)和集中存放认证信息 的radius服务器之间传输认证、授权和配置信息的协议。其协议的标 准最新的定义在rfc2865和2866中。RADIUS以Client/Server模式工作 ,实现了对远程用户的身份认证、授权和计费功能。其Client端多为 网络访问服务器(NAS),主要用来将用户信息传递给Server;Server 则对用户进行认证,并返回用户的配置信息。为保证传输的安全性, 在Client和Server之间传送的数据均以MD5方式加密。 其它 • Tacacs+ Tacacs+是Terminal Access Controller Access Control System Plus(通过控制系统进行终端访问控制)的简写 。它是另外一类支持AAA服务的协议,它已经被Cisco设备 和其它的许多终端服务器、路由器、NAS等设备所支持。 TACACS+也是基于客户-服务器模式的AAA协议,它是由 TACACS完善而成。它和RADIUS有很多相同之处,主要有以 下几点差异:1、传送协议 TACACS+利用TCP传送而RADIUS 基于UDP;2、包加密 TACACS+是整个包加密而RADIUS只加 密用户口令;3、认证和授权 TACACS+允许认证和授权独 立而RADIUS是使两者集成使用。 Thanks!
还剩74页未读

继续阅读

下载pdf到电脑,查找使用更方便

pdf的实际排版效果,会与网站的显示效果略有不同!!

需要 10 金币 [ 分享pdf获得金币 ] 0 人已下载

下载pdf

pdf贡献者

开开123

贡献于2016-08-08

下载需要 10 金币 [金币充值 ]
亲,您也可以通过 分享原创pdf 来获得金币奖励!
下载pdf