RedHat系统管理2.ppt

1、RHEL系统管理（二）,1,内容提要,文件系统管理 目录和文件管理 用户、组和权限管理 rpm 包管理 网络配置管理 常用服务配置 简单故障处理,2,文件系统管理,3,Linux文件系统概述 文件系统的使用方法 文件系统的创建 挂装和卸装文件系统 常用的文件系统维护命令 自动挂装文件系统 磁盘限额 交换空间和内存管理,文件系统管理,4,文件系统概述（1）,从系统角度理解文件系统 文件系统是操作系统用于明确磁盘分区上的文件的方法和数据结构，即文件在磁盘上的组织方法。 文件系统规定了如何在存储设备上存储数据以及如何访问存储在设备上的数据。 一个文件系统在逻辑上是独立的实体，他能单独地被操作系统管理

2、和使用。 Linux的内核采用了称之为虚拟文件系统（VFS）的技术， 因此Linux可以支持多种不同的文件系统类型。,5,文件系统概述（2）,从用户角度理解文件系统 文件系统是Linux下的所有文件和目录的集合，这些文件和目录结构是以一个树状的结构来组织的， 这个树状结构构成了Linux中的文件系统。,6,文件系统概述（2）,从用户角度理解文件系统,7,常用的文件系统类型,ext3 和 ext2 Linux自身使用的文件系统 swap Linux使用的交换文件系统 vfat FAT文件系统 ISO9660 光盘使用的标准文件系统 NFS 网络文件系统，用于在UNIX系统间通 过网络实现文件共享

3、,8,日志文件系统,Linux支持的日志文件系统 Ext3 （Redhat） GFS （Redhat Cluster Filesystem） Reiserfs JFS（IBM） XFS（ SGI ）,9,日志文件系统,使用日志文件系统的最大好处就是在系统因出现异常断电等事件而停机后再次启动时， 操作系统会根据文件系统的日志快速检测并恢复文件系统到正常状态 使用日志文件系统的优点 提高了文件的存储安全性 降低了文件被破坏的机率 缩短了对磁盘的扫描时间 减少了磁盘整体扫描次数,10,使用文件系统的一般方法,在硬盘上创建分区 在分区上建立文件系统 在需要时或系统启动时挂装文件系统到系统中 使用后或关

4、机时卸装文件系统,11,创建文件系统,磁盘在分区之后首先要创建文件系统，即格式化操作。 在Linux下可以用命令mkfs来完成文件系统的创建工作。 # mkfs 常用选项 -t fstype：指定要创建的文件系统的类型 -c：查找坏块，初始化坏块列表,12,创建文件系统,操作举例 1)在系统第一块IDE接口硬盘的第11个分区上创建 ext3类型的文件系统 # mkfs.ext3 /dev/hda11 2)在系统第二块SCSI接口的硬盘的第5个分区上创建 FAT32类型的文件系统 # mkfs.vfat /dev/sdb5,13,挂载文件系统,使用mount命令挂装文件系统 # mount 常用

5、选项 -t fstype：指定要挂装的文件系统的类型 -r：以只读方式来挂装文件系统 -o：用于设置各种挂装选项 -a：挂装/etc/fstab文件中记录的设备,14,挂载文件系统,操作举例 1)将/dev/hda11上的ext3文件系统挂装到/opt # mount -t ext3 /dev/hda11 /opt 2)将/dev/sdb5上的FAT32文件系统挂装到/mnt/win # mkdir /mnt/win # mount -t vfat /dev/sdb5 /mnt/win 3)显示当前已经挂装的文件系统 # mount 4)重新挂装/etc/fstab文件中记录的设备 # mou

6、nt -a,15,卸载文件系统,使用umount命令卸装文件系统 # umount 操作举例 1)使用设备名卸装已经挂装的文件系统 # umount /dev/sdb5 2)使用挂装点卸装已经挂装的文件系统 # umount /opt,16,挂载/卸载文件系统注意事项,挂装点目录必须存在 应该在挂装目录的上级目录下进行挂装操作 不该在同一个挂装点目录下挂装两个文件系统 当文件系统处于“busy”状态时不能进行卸装,17,使用USB盘,USB硬盘在Linux系统下是被模拟成SCSI设备来使用的,对应的设备文件是/dev/sd，如果有多块USB硬盘， 则设备文件依次是/dev/sdb,sdc等 操

7、作举例 1）挂载 # mkdir /mnt/usb # mount /dev/sdb /mnt/usb 2）卸载 # umount /mnt/usb,18,挂载ISO文件,ISO文件是光盘镜像文件 用mount命令加-o loop选项挂装光盘镜像文件 # mount -o loop 例如： 挂载ISO文件 # mount -o loop rhel5-i386-disc1.iso /mnt/iso 卸载ISO文件 # umount /mnt/iso,19,链接文件的概念,链接文件简介 链接文件为系统中多用户以不同访问权限实现共享文件提供了一种机制。 链接文件实际上是给系统中已有的某个文件指定另外

8、一个可用于访问它的名称。 链接文件的分类 硬链接：复制文件i-node 软（符号）链接：仅仅是指向目的文件的路径，类似于Windows下的快捷方式,20,链接文件的概念,硬链接和软链接的比较 硬链接 链接文件和被链接文件必须位于同一个文件系 统内，不能建立指向目录的硬链接 软链接 链接文件和被链接文件可以位于不同文件系 统；可以建立指向目录的软链接,21,ln 命令,创建硬链接 ln 创建软链接 ln -s ,22,ln 命令,使用方法 1）对目标文件创建硬链接 $ ls -li file1 /查看file1的属性 $ ln file1 file2 /创建硬链接 $ ls -li file*

9、/查看file1和file2的属性 $ rm -rf file1 $ more file2 2）对目标文件/目录创建软链接 $ ln -s somefile softlinkfile,23,find 命令（1）,功能：在文件系统中查找指定的文件。 格式：find ,24,find 命令（2）,常用匹配条件 -name 字串： 查找文件名匹配所给字串的所有文件，匹配字串内可用通配符*、?、 。 -user 字串：查找属于用户名为所给字串的所有的文件。 -perm 权限：查找具有指定权限的文件和目录，权限的表示可以如711，644。 -type x：查找类型为x的文件。x可以是b、c、d、f、l等

10、。 -fstype type：只查找指定类型的文件系统。 -atime n：查找n天以前被访问过的所有文件。 -mtime n：查找n天以前文件内容被修改过的所有文件。,25,find 命令（3）,使用逻辑运算构造复杂的匹配条件 逻辑与：在命令中用“-a”表示，是命令缺省的选项。 表示只有当所给的条件都满足时，匹配条件才算满足。 逻辑或：在命令中用“-o”表示。 该运算符表示只要所给的条件中有一个满足时，匹配条件就算满足。 逻辑非：在命令中用“!”表示。该运算符表示查找不满足所给条件的文件。,26,find 命令（3）,常用操作 -ls：详细列出所找到的所有文件。 -exec 命令： 对符合条

11、件的文件执行所给的Linux命令，而不询问用户是否需要执行该命令。 表示所找到的文件；命令的末尾必须以“ ；”结束。 -ok 命令：对符合条件的文件执行所给的Linux命令，与exec不同的是， 它会询问用户是否需要执行该命令。 -fprint 文件名：将找到的文件名写入指定文件。,27,find 命令（4）,操作举例 1)从当前目录开始查找所有以 d 开头的文件 $ find . -name d* 2)查找并删除当前目录及其子目录下所有扩展名为 .tmp 的文件 $ find . -name sun* -exec rm 3)从当前目录开始查找三个给定条件都满足的所有文件。 $ find .

12、-name tmp -xtype c -user inin 4)从根目录开始查询文件名不是tmp的所有文件。 $ find / ! -name tmp,28,常用的文件系统维护命,fsck命令 只在单用户模式，修复模式或把设备umount后进行 fsck是操作系统扫描文件系统内容检查内部一致性的工具。 主要功能 检测并修正链接中断的目录 检测并修正错误时间标记 检测并修正指向错误磁盘区域的i-node,29,常用的文件系统维护命令,fsck命令 格式： # fsck 选项-t 文件系统类型 附加选项 提示：一般情况下，无需用户手动执行fsck命令。在系统启动过程中， 一旦系统检测到了不一致就会

13、自动运行fsck命令。,30,常用的文件系统维护命令,du 命令 功能：用于查看磁盘使用情况。 使用举例 1)显示当前目录总的使用量（不显示目录中每个文件的使用量）。 # du -s 2)显示目录/root和目录/和home总的使用量。 # du -s /root /home 3)以人类习惯的方式显示目录/root、目录/home和目录/boot总的使 用量。 # du -sh /root /home /boot,31,常用的文件系统维护命,df 命令 功能：用于查看磁盘剩余情况。 使用举例 1)以人类习惯的方式显示磁盘剩余情况。 # df -h 2)显示系统i-node的使用剩余情况，而不是

14、磁盘空间的大小。 # df -i 3)显示所有文件系统的磁盘剩余情况。 # df -a,32,常用的文件系统维护命令,e2label命令 功能：用于显示或设置指定ext2或ext3分区的卷标。 格式：# e2label 举例： 1)设置“/dev/hda5”的卷标为“/data” # e2label /dev/hda5 /data 2)显示文件系统/dev/hda5的卷标 # e2label /dev/hda5,33,系统挂载表,系统挂装表简介 系统启动所要挂装的文件系统、挂装点、文件系统类型等都记录在/etc/fstab文件里。 /etc/fstab文件称为系统挂装表。 使系统启动时自动挂装

15、文件系统 只需要用文本编辑器修改系统挂装表，添加相应的挂装记录即可。,34,文件/etc/fstab的格式,每一行说明一个文件系统的挂装记录。 每一条记录包括如下的项目： ：挂装的设备 ：挂装点 ：文件系统类型 ： 挂装选项 ：使用dump命令备份文件系统的频率 ：规定检查文件系统的顺序,35,磁盘限额概述,磁盘限额是系统管理员用来监控和限制用户或组对磁盘的使用的工具。 用户使用文件的两方面限制 限制用户或组可以拥有的inode数（文件数） 限制分配给用户或组的磁盘块的数目（以千字节为单位的磁盘空间）,36,磁盘限额概述,设置磁盘限额还涉及的三个概念 硬限制：超过此设定值后不能继续存储新的文件

16、。 软限制：超过此设定值后仍旧可以继续存储新的文件，同时系统发出警告信息, 建议用户清理自己的文件，释放出更多的空间。 时限：超过软限制多长时间之内（默认为7天）可以继续存储新的文件。,37,磁盘限额概述,注意事项 磁盘限额是以每一使用者，每一文件系统为基础的。 如果使用者可以在超过一个以上的文件系统上建立文件，那么必须在每一文件系统上分别设定。 并非所有的文件系统都支持磁盘限额功能，但Red Hat 默认的 ext2和ext3 文件系统均支持磁盘限额。,38,配置磁盘限额,安装quota 编辑/etc/fstab启用quota功能 在要设置限额的文件系统上创建quota文件 分配用户和组的q

17、uota,39,配置磁盘限额,安装quota 1)rpm q quota 2)rpm ivh quota*,40,配置磁盘限额,编辑/etc/fstab启用quota功能 在相应的分区上修改挂装参数,在option项添加usrquota或grpquota；重新挂载文件系统或重启系统,41,配置磁盘限额,在要设置限额的文件系统上创建quota文件，重新生成磁盘用量表 1）在文件系统上创建配额文件（aquota.user 和 aquota.group） #quotacheck -acug /home 2）生成每个启用了配额的文件系统的当前磁盘用量表 #quotacheck -avug,42,设置磁

18、盘限额,分配用户和组的quota 1）设置用户的限额 # edquota -u usernam 2）将相同的限额设置复制给其他用户 # edquota -p 3）设置组的限额 # edquota -g groupname 4）设置软限制的宽限期 # edquota -t 启动限额设置 重新启动系统 执行命令：# quotaon -avug,43,查看磁盘限额,查看指定用户的quota设置 # quota -ugv 查看当前用户的quota设置 # quota -ugv 查看所有用户的quota设置 # repquota -augv,44,使用交换分区,使用fdisk命令创建swap分区 创建交

19、换文件系统 # mkswap c /dev/sda9 激活交换空间 # swapon /dev/sda9 去激活交换空间 # swapoff /dev/sda9 修改系统挂装表，使交换分区在系统启动时被激活 /dev/sda9 swap swap defaults 0 0,45,使用交换文件,建立交换文件 # dd if=/dev/zero of=/swap bs=1024 count=10240 创建交换文件系统 # mkswap /swap 10240; sync 激活交换空间 # swapon /swap 去激活交换空间 # swapoff /swap,46,目录和文件管理,47,目录/

20、文件管理,文件名、类型 不使用文件名扩展来识别文件的类型，根据文件的头内容来识别其类型。 人类可读性 VS 机器可读性 链接与快捷方式 软链接 硬链接 Linux的文件目录结构是如何组织的？,48,文件目录与路径 Linux的文件系统从整体来看是一个树型结构，一般称这样的结构为目录树。整个文件系统是以一个树根“/”为起点的，所有的文件和外部设备都以文件的形式挂结在这个目录树上，包括硬盘、软盘、光驱、调制解调器等。,目录/文件管理,49,Linux目录结构,Linux文件系统标准结构,50,目录/文件管理,51,工作目录：用户当前正在操作的目录 用户主目录：通常在/home下，以用户名建立的子目

21、录，用于存放用户的私人文件。 例如：用户user01的主目录为/home/user01。 root用户的主目录为/root。 可以用“”符号表示用户的主目录。,目录/文件管理,52,用户和权限管理,53,账户实质 账户文件 账户设置 权限表示 权限设置,用户，组和权限管理,54,账户概述,账户实质 账户实质上就是一个用户在系统上的标识，系统 依据账户来区分每个用户的文件、 进程、任务， 给每个用户提供特定的工作环境（如用户的工作 目录、shell版本、 以及X-Windows环境的配置 等），使每个用户的工作都能独立不受干扰地进 行。,55,账户概述,用户账户 超级用户：UID=0，GID=0

22、 普通用户：UID=500 系统用户：0UID500 组账户 标准组：标准组可以容纳多个用户，若使用标准组， 在创建一个新的用户时就应该指定他所属于的组。 私有组：私有组中只有用户自己。当在创建一个新用户user时， 若没有指定他所属于的组，Red Hat 就建立一个和该用户同名的私有组。,56,账户概述,用户和组的关系 组是用户的集合。一个标准组可以容纳多个用户。 同一个用户可以同属于多个组，这些组可以是私有组，也可以是标准组。 当一个用户同属于多个组时，将这些组分为： 主组：用户登录系统时的组。 附加组：可切换的其他组。,57,系统账户文件,用户口令文件/etc/passwd 文件权限：(

23、-rw-r-r-) 用户影子口令文件/etc/shadow 文件权限：(-r-) 组账号文件/etc/group 文件权限： (-rw-r-r-) 组口令文件/etc/gshadow 文件权限：(-r-),58,Red Hat 的账户管理,默认启用shadow passwords功能。 /etc/passwd文件对任何用户均可读， 为了增加系统的安全性， 用户的口令通常用shadow passwords保护。 经过shadow passwords保护的账户密码和相关设置信息保存在/etc/shadow文件里。 /etc/shadow只对root用户可读。 默认使用MD5算法的用户口令。 一般不

24、设置组口令。因为绝大多数应用程序不使用组口令。 Red Hat 建议尽量使用私有组来提高系统安全性。,59,使用命令行添加用户账号,命令格式：# useradd 常用选项： -g group：指定新用户的主组。 -G group：指定新用户的附加组。 -d directory：指定新用户的自家目录。 -s shell：指定新用户使用的Shell，默认为bash。 -e expire：指定用户的登录失效时间，例如：10/31/2009 -M：不建立新用户的家目录。,60,用命令行添加用户,操作举例： # useradd user1 # useradd -s /bin/bash user2 # u

25、seradd -g usergrp -e 10/31/2009 user3 # useradd -G sharegrp # useradd -G ftpgrp -d /var/ftpuser -s /sbin/nologin,61,口令设置,使用useradd命令创建用户账户之后需要使用passwd命令设置初始口令 格式：# passwd 举例： 为指定用户设置口令 # passwd jason 修改用户自己的口令 $ passwd,62,用命令行修改用户账号,命令格式：# usermod 常用选项：选项与useradd命令基本相同。 操作举例： # usermod -G sharegrp u

26、ser01,63,使用命令行删除用户账号,命令格式：# userdel 常用选项：-r 用于删除用户的宿主目录 操作举例： # userdel user01 # userdel -r user01,64,使用命令行添加组账号,命令格式：# groupadd 常用选项： -r：用于创建系统组账号（GID小于500 ） -g：用于指定GID 操作举例： # groupadd sharegrp,65,使用命令行修改组账号,命令格式：# groupmod 常用选项： -g：改变组账号的GID ，组账号名保持不变。 -n：改变组账号名。 操作举例： # groupmod -g 503 mygroup #

27、 groupmod -n newgroup mygroup,66,使用命令行删除组账号,命令格式：# groupdel 注意事项： 被删除的组账号必须存在 当有用户使用组账号作为私有组时不能删除 与用户名同名的私有组账号在使用userdel命令删除用户时被同时删除 操作举例： # groupdel mygroup,67,口令管理,禁用用户账户口令 # passwd -l 查看用户账户口令状态 # passwd -S 恢复用户账户口令 # passwd -u 删除用户账户口令 # passwd -d ,68,口令时效,口令时效简介 口令时效是系统管理员用来防止机构内不良口令的一种技术。 口令时效

28、意味着过了一段预先设定的时间后（通常是90天）， 用户会被提示创建一个新口令。 强制用户在一段时间之后更改口令的机制称为口令时效。,69,口令时效,chage命令 命令格式：# chage 常用选项： -m days：指定用户必须改变口令所间隔的最少天数。如果值 为 0，口令就不会过期。 -M days：指定口令有效的最多天数。 当该选项指定的天数加 上-d 选项指定的天数小于当前的日期，用户在使用 该账号前就必须改变口令。 -d days：指定自从1970年1月1日起，口令被改变的天数。 -I days：指定口令过期后，账号被锁前不活跃的天数。 如果 值为0，账号在口令过期后就不会被锁。 -

29、E date：指定账号被锁的日期，日期格式为YYYY-MM-DD。 -W days：指定口令过期前要警告用户的天数。 -l：列出指定用户当前的口令时效信息，以确定账号何时过期。,70,口令时效,操作举例： 用户user1两天内不能更改口令，并且口令最长的存活期为30天， 并在口令过期前5天通知user1。 # chage -m 2 -M 30 -W 5 user1 查看用户user1当前的口令时效信息。 # chage -l user1,71,用户和组状态命令,常用的用户和组状态命令 whoami：用于显示当前用户的名称。 groups ： 用于显示指定用户所属的组，如未指定用户则显示当前用户

30、所属的组。 id：用于显示用户当前的uid、gid和用户所属的组列表。 su -： 用于转换当前用户到指定的用户账号，若不指定用户名则转换当前用户到root。 若使用参数“-”则在转换当前用户的同时转换用户工作环境。 newgrp ： 用于转换用户的当前组到指定的附加组，用户必须属于该组才可以进行。,72,操作权限概述,Linux是多用户的操作系统，允许多个用户同时在系统上登录和工作。 为了确保系统和用户的安全，Linux采取了很多的安全措施。 通过用户的代号（UID）来确定每个用户在登录系统后都做了些什么， 也可以用来区别不同用户所建立的文件或目录。 Linux文件系统安全模型是通过给系统中

31、的文件赋予三个属性来起作用的，这三个赋予每个文件的属性称为所有者、组和访问权限。 Linux下每一个文件必须严格地属于一个用户和一个组。,73,使用系统资源的三类人员,在Linux中，将使用文件系统权限的人员分为三类： 文件或目录的属主 属主的同组人 其他人员,74,使用文件系统权限人员,由于超级用户具有操作Linux系统的一切权限，所以不用指定超级用户对文件和目录的访问权限。 对于普通的三类用户都要指定对文件和目录的访问权限。 用户只能不受限制的操作自家目录及其子目录下的所有文件。 对系统中其他目录的访问受到同组和其他人的访问限制。,75,设置文件权限的准则,尽量使用私有组，保护用户各自的文

32、件或目录。 应随时了解指定给文件和目录的权限，注意检查文件和目录以确保指定了正确的权限。 如果在目录下发现陌生的文件请向系统管理员或安全人员报告。 为文件和目录指定权限时请慎重考虑只有在具有充分的理由。 例如：处理小组项目时组员可能需要访问特定的文件或目录需要让他人访问时再将访问权限授予他人。,76,三种基本的访问权限,三种基本的访问权限 读（r） 写（w） 执行（x） 三种基本的访问权限对文件的含义 r：可以读文件的内容 w：可以修改该文件 x：可以执行该文件,77,三种基本的访问权限,三种基本的访问权限对目录的含义 r：可以列出目录中的文件列表 w：可以在该目录中创建、删除文件 x：可以使

33、用cd命令进入该目录 目录权限提示 有只读权限的用户不能用 cd 进入该目录；还必须有执行权限才能进入。 有执行权限的用户只有在知道文件名并拥有该文件的读权限的情况下才可以访问目录下的文件。 必须有读和执行权限才可以使用 ls 列出目录清单，或使用 cd 进入目录。 如用户有目录的写权限，则可以创建、删除或修改目录下的任何文件或子目录，既使该文件或子目录属于其他用户。,78,查看文件和目录的权限,使用如下命令查看权限 $ ls -l 常见的权限字符串及其含义 字符 数值 说明 -rw- 600 只有属主才有读取和写入的权限。 -rw-r-r- 644 只有属主才有读取和写入的权限；同组人和 其

34、他人只有读取的权限。 -rwx- 700 只有属主才有读取、写入、和执行的权限。 -rwxr-xr-x 755 属主有读取、写入、和执行的权限；同组人 和其他人只有读取和执行的权限。,79,权限的符号设定法,chmod命令的符号设定法格式 chmod ugoa+-=rwxugo 人员标识 属主（u） 同组（g） 其他人（o） 所有的人员（a）,80,设定方法 + ：增加权限 - ：删除权限 = ：分配权限，同时删除旧的权限 权限字符 r（读） w（写） x（执行） u（和属主的权限相同） g（和所属组用户的权限相同） o（和其他用户的权限相同）,权限的符号设定法,81,取消组用户和其他用户对文

35、件users的读取权限 # ls -l users -rw-r-r- 1 root root 42 May 2 18:07 users # chmod go-r users # ll users -rw- 1 root root 42 May 2 18:07 users,权限的符号设定法举例,82,对文件addusers的属主添加执行权限 # ll addusers -rw-r-r- 1 root root 452 May 2 17:44 addusers # chmod u+x addusers # ll addusers -rwxr-r- 1 root root 452 May 2 17:

36、44 addusers,权限的符号设定法举例,83,对文件addusers1的属主添加执行权限，同时取消组用户和其他用户对文件的读取权限 # ll addusers -rw-r-r- 1 root root 399 May 2 18:14 addusers1 # chmod u+x,go-r addusers # ll addusers -rwx- 1 root root 399 May 2 18:14 addusers1,权限的符号设定法举例,84,权限的数值设定法,chmod命令的数值设定法格式 chmod n1n2n3 n1n2n3 其中n1代表属主的权限，n2代表组用户的权限，n3代表

37、其他用户的权限 n1、n2、n3选项都是8进制数字，表示相应的权限。,85,权限的数值设定法,读 写 执行 二进制 八进制 说明 - - - 000 0 没有权限 - - x 001 1 允许执行 - w - 010 2 允许写入 - w x 011 3 允许执行和写入 r - - 100 4 允许读取 r - x 101 5 允许执行和读取 r w - 110 6 允许写入和读取 r w x 111 7 允许执行写入和读取,86,权限的数值设定法举例,对文件addusers的属主设置可读、写和执行权限， 所属组用户和其他用户只设置读和执行的权限，没有写的权限。 # ll addusers -

38、rwxr-r- 1 root root 452 May 2 17:44 addusers # chmod 755 addusers # ll addusers -rwxr-xr-x 1 root root 452 May 2 17:44 addusers,87,权限的数值设定法举例,取消组用户和其他用户对文件users1的一切权限 # ll users1 -rw-r-r- 1 root root 24 May 2 18:15 users1 # chmod 600 users1 # ll users1 -rw- 1 root root 24 May 2 18:15 users1,88,更改属主和

39、组,chown命令 功能：更改属主和组。 格式： # chown -R 参数-R：表示对目录及其子目录进行递归设置。,89,更改属主和组,举例： 将文件users1的属主改成osmond # chmod osmond users1 将文件users1的组改成staff # chmod .staff users1 将文件users的属主和组都改成osmond # chown osmond.osmond users 将mydir目录及其子目录下的所有文件或目录的属主和组都改成osmond # chown R osmond.osmond mydir,90,三种特殊权限简介,SUID 当一个设置了SU

40、ID 位的可执行文件被执行时，该文件将以所有者的 身份运行， 也就是说无论谁来执行这个文件，他都有文件所有者的 特权。如果所有者是 root 的话，那么执行人就有超级用户的特权。 SGID 当一个设置了SGID 位的可执行文件运行时，该文件将具有所属组的 特权， 任意存取整个组所能使用的系统资源。若一个目录设置了 SGID，则所有被复制到这个目录下的文件， 其所属的组都会被重设 为和这个目录一样，除非在复制文件时加上-p （preserve，保留文 件属性）的参数，才能保留原来所属的群组设置。 sticky-bit 对一个文件设置了sticky-bit之后，尽管其他用户有写权限， 也必须 由属

41、主执行删除、移动等操作。对一个目录设置了sticky-bit之后， 存放在该目录的文件仅准许其属主执行删除、 移动等操作。,91,特殊权限实例,SUID的典型例子是passwd程序 # ll /usr/bin/passwd -r-s-x-x 1 root root 16336 Feb 14 2003 /usr/bin/passwd 设置了sticky-bit的典型例子是系统临时文件目录/tmp # ll -d /tmp drwxrwxrwt 4 root root 4096 May 3 08:20 /tmp,92,特殊权限的文字表示,SUID和SGID用s表示；Sticky-bit用t表示 S

42、UID是占用属主的x位置来表示 SGID是占用组的x位置来表示 Sticky-bit是占用其他人的x位置来表示的 在表示上有大小写之分 假若同时设置执行权限和SUID、SGID与Sticky，权限标识字符是小写的形式 倘若关闭执行的权限，则标识字符会变成大写,93,特殊权限的符号表示,例如： -rwsr-sr-t 1 root root 9Aug 19 21:47 showme -rwSr-Sr-T 1 root root 9Aug 19 21:47 showme -rwsr-Sr-T 1 root root 9Aug 19 21:47 showme -rwsr-Sr-t 1 root roo

43、t 9Aug 19 21:47 showme -rwsr-sr-T 1 root root 9Aug 19 21:47 showme,94,特殊权限的数值表示,三种特殊权限可以用单独的一位8进制数值表示 SUID、SGID和sticky-bit的数值表示 SUID SGID sticky 二进制 八进制 说明 - - - 000 0 不设置特殊权限 - - t 001 1 只设置sticky - s - 010 2 只设置SGID - s t 011 3 只设置SGID和sticky s - - 100 4 只设置SUID s - t 101 5 只设置SUIDsticky s s - 110

44、 6 只设置SUID和SGID s s t 111 7 设置三种特殊权限,95,设置特殊权限举例,为程序/usr/bin/myapp添加SUID权限 # chmod u+s /usr/bin/myapp 为目录/home/groupspace添加SGID权限 # chmod g+s /home/groupspace 为目录/home/share添加sticky权限 # chmod o+t /home/share 为程序/usr/bin/myapp添加SUID权限 # chmod 4755 /usr/bin/myapp 为目录/home/groupspace添加SGID权限 # chmod 27

45、55 /home/groupspace 为目录/home/share添加sticky权限 # chmod 1755 /home/share,96,RPM包管理,97,RPM包管理,RPM介绍 RPM常用命令,98,RPM介绍,RPM: Redhat Package Manager RPM是由RedHat公司开发并维护的软件包格式及管理工具。RPM已经按照GPL协议成为Linux软件包发行的标准格式。很多Linux发行版本都使用RPM来管理软件。,99,RPM介绍,符合RPM格式的软件包的扩展名为“.rpm”。其中包含：包名称、版本和描述；相关依赖信息；程序本身；安装前和安装后的脚本等。 安装R

46、PM软件包时，系统会在RPM的数据库(/var/lib/rpm)中登记安装软件包的信息。这个数据库本身也是RPM格式的，需要用rpm命令来查询。,100,rpm常用命令,安装与卸除 安装：rpm -i 升级：rpm -U 更新：rpm -F 卸除：rpm -e 可能会用到的补充参数 输出用：-v，-h 预设条件：-nodeps，-force 重定位：-root,101,rpm常用命令,RPM包的查询： rpm -q：查询某一个RPM包是否已安装 rpm -qi：查询某一个RPM包的详细信息 rpm -ql：列出某RPM包中所包含的文件 rpm -qf：查询某文件属于哪一个RPM包 rpm -q

47、a：列出当前系统所有已安装的包,102,rpm常用命令,RPM包的校验 rpm -V：校验某个RPM包 rpm -Va：校验所有已安装的RPM包 RPM包的检查 rpm -K：检查RPM包的GPG签名,103,网络配置,104,网络配置,网络配置工具 查询网络配置信息 检查物理链路 网卡邦定 使网络配置生效,105,网络配置,字符界面配置工具 system-config-network-tui 图形界面配置工具 system-config-network 命令行配置工具 ifconfig,106,网络配置,具体配置文件位置 /etc/sysconfig/network-scripts/ifcf

48、g-ethX 通过vi编辑器直接配置 DEVICE=eth0 ONBOOT=yes BOOTPROTO=static IPADDR= NETMASK= GATEWAY=54,107,网络配置,网络相关配置文件 /etc/modprobe.conf alias eth0 tg3 /etc/resolv.conf nameserver /etc/sysconfig/network GATEWAY=54,108,网络配置,查询网络配置信息 ifconfig a route 或 ip

49、addr show ip route show,109,网络配置,检查网络物理链路 mii-tool ethX 或 ethtool ethX 简单网络测试 ping arp host,110,网络配置,网卡绑定 需要配置的文件 /etc/modprobe.conf /etc/sysconfig/network-scripts/ifcfg-bond0 /etc/sysconfig/network-scripts/ifcfg-ethX,111,网络配置,网卡绑定 编辑modprobe.conf #vi /etc/modprobe.conf 加入以下行 alias bond0 bonding opt

50、ions bond0 miimon=100 mode=1,112,网络配置,网卡邦定 创建绑定配置文件ifcfg-bond0 #vi /etc/sysconfig/network-scripts/ifcfg-bond0 DEVICE=bond0 BOOTPROTO=none ONBOOT=yes USERCTL=no BROADCAST=55 IPADDR= NETMASK= NETWORK=,113,网络配置,网卡邦定 修改邦定网卡的配置文件ifcfg-ethX #vi /etc/sysconfig/

51、network-scripts/ifcfg-ethX DEVICE=ethX BOOTPROTO=none HWADDR=00:18:fe:2d:2d:b7 ONBOOT=yes MASTER=bond0 SLAVE=yes,114,网络配置,使网络配置生效 reboot service network restart ifdown/ifup,115,常用网络服务,116,常用网络服务,安全Shell（SSH） Telnet服务 网络文件服务NFS 文件传输服务FTP,117,常用网络服务,安全Shell（SSH）,远程登录程序，能够实现安全的远程登录和会话加密，是telnet的安全替代品 远

52、程文件拷贝工具，用于在网络内的计算机安全地复制文件，支持用户名和密码 用于进行安全的文件传输，是ftp的安全替代品,118,常用网络服务,安全Shell（SSH） 编辑sshd_config Port 22 Protocol 2 HostKey /etc/ssh/ssh_host_dsa_key LoginGraceTime 600 PermitRootLogin no PasswordAuthentication yes AuthorizedKeyFile .ssh/authorized_keys X11Forwarding yes,119,常用网络服务,安全Shell（SSH）,Allow

53、Groups AllowUsers 设置哪些用户、组可以从sshd登录系统 AuthorizedKeysFile 用户登录认证使用的公用密钥的存放文件，默认为用户主目录下.ssh/authorized_keys文件中 HostKey /etc/ssh/ssh_host_dsa_key 系统私用密钥的存放文件和目录 LoginGraceTime 设置登录超时时间，单位为秒。如果超过此时间用户还没有登录系统，则断开连接。,120,常用网络服务,安全Shell（SSH）,PasswordAuthentication 设置是否允许用户使用密码认证的方式登录系统。Yes允许，no拒绝。默认是允许 Per

54、mitRootLogin 是否允许root用户登录，Yes允许，no拒绝 PermitEmptyPasswds 是否允许使用空密码。默认是no,不允许 PubKeyAuthentication 是否允许以公用密码的方式进行认证 Subsystem 设置外部子系统，如sftp，则允许用户通过sftp来传输文件,121,常用网络服务,安全Shell客户端软件 Linux OpenSSH Windows Putty NetSarang Xmanager StarNet X-Win32,122,常用网络服务,安全Shell客户端的使用,ssh：安全shell进程 ssh -X 主机名 ssh -X 用户主机名 ssh -X 主机名 远端指令 scp：基于ssh的安全远端拷贝文件与目录 scp 文件 用户主机名：远端目录 scp r 用户主机名：远端目录 本地目录 sftp：基于ssh的安全ftp传送 sftp 主机名 sftp C 用户主机名,123,常用网络服务,启用Telnet服务,vi /etc/xinetd.d/telnet,:wq # service xinetd restart,124,网络文件服务NFS,NFS：Network File System/网络文件系统 Linux与Linux之间的文件共