linux笔记.doc

Linux学习笔记- 3 -基本命令- 3 -pwd命令，显示当前目录- 3 -cd命令，改变当前目录- 3 -ls命令，用于列显文件和目录- 3 -touch命令，新建一个空文件- 4 -cp命令，文件复制- 4 -mv命令，文件移动- 4 -rm命令，删除文件和目录- 4 -ln命令，文件的复制、移动和链接- 4 -mkdir和rmdir命令，建立和删除目录- 4 -clear命令，清屏- 5 -文件管理命令- 5 -file命令，浏览每个文件的文件类型- 5 -cat命令，用于显示文本文件- 5 -head和tail命令，用于文件预览- 5 -more和less命令，分页显示文件- 5 -Linux的文件权限- 5 -Umask命令，默认的权限掩码- 6 -Wc命令，取得文件的行数，字数和字符数- 6 -Find命令，在目录中搜索文件- 6 -Locate和slocate命令，按索引搜索文件- 6 -Grep命令，可以搜索文件中的字符串- 7 -Vi编辑器命令- 7 -linux文件系统- 7 -/bin目录，基本命令行实用程序- 7 -/boot目录，启动时需要的文件，包括grub- 8 -/dev目录，列出可用的驱动程序- 8 -/etc目录，存放基本配置命令和文件- 8 -/home目录，用户目录- 8 -/initrd目录，初始内存盘- 8 -/lib目录 linux和其他程序的运行库- 8 -/lost+found目录，存放不可标示的文件- 8 -/misc目录，指定共享NFS的公共挂载点- 8 -/mnt目录，软盘、光驱的公共挂载点- 8 -/opt目录，运行SUN staroffice等应用的标准位置- 8 -/proc目录，资源和进程分配的配置文件- 8 -/root目录， 根用户的根目录- 9 -/sbin目录，存放系统管理命令- 9 -/tftpboot目录，支持无盘工作站- 9 -/tmp目录，存放临时文件- 9 -/usr目录，存放所有用户可用的程序和数据- 9 -/var目录，存放变量数据- 9 -磁盘管理命令- 9 -fdisk命令，磁盘分区- 9 -mkfs命令，设置文件系统- 9 -du和df命令，显示空间信息- 9 -e2label，添加卷标- 9 -dumpe2fs，获取分区更多信息- 10 -mount命令，装载分区和目录- 10 -fsck命令，检查文件系统- 10 -Bourne again shell- 10 -env命令，查看环境变量- 10 -bash的输入输出重定向- 10 -bash的命名管道- 10 -bash后台执行程序- 10 -特殊shell字符- 11 -基本用户和组管理- 11 -RPM包管理器- 12 -从tar中编译二进制包- 13 -红帽子更新主体UP2DATE- 13 -Linux排错- 13 -Linux引导过程- 13 -GRUB- 14 -Linux的标准运行级- 14 -虚拟控制台- 14 -配置Linux内核- 14 -Linux管理- 15 -cron监控程序- 15 -at监控程序- 15 -Linux服务管理- 16 -Linux系统日志- 16 -Linux进程管理- 16 -系统备份和还原- 17 -X环境- 18 -X环境的硬件配置- 18 -GNOME环境- 18 -KDE环境- 19 -GUI应用程序- 19 -红帽子图形前端- 19 -Linux网络特性- 20 -ifconfig命令，网络参数的配置- 20 -ARP设置- 20 -网络配置文件- 20 -配置Linux防火墙- 20 -IP伪装技术：NAT技术- 23 -入侵检测- 23 -Linux网络服务- 23 -远程访问和Xinetd服务- 23 -DNS和DHCP服务- 24 -Linux学习笔记周哥哥 2009-1-30 17：45基本命令pwd命令，显示当前目录显示当前的绝对路径cd命令，改变当前目录同dos下的cd命令有相同的参数，linux下都用/而不用反斜杠，Cd 命令用于快速返回用户根目录ls命令，用于列显文件和目录l当与dos下的dir命令Ls（不加参数）按字母顺序列出当前文件夹下的非隐藏文件Ls a按字母顺序列出当前文件夹下的非隐藏文件Ls r按字母逆序。Ls F按文件类型显示文件，/表示目录，*表示可执行文件，表示链接文件Ls I列出带inode编号的文件，inode编号表示文件在卷中的地址，具有同一inode编号的两个或多个文件是同一文件的不同名称。Ls l长列表方式显示所有文件，显示权限属性，父目录和拥有者。Ls t按修改时间显示文件，最近修改的文件靠前显示。Ls u按访问时间显示文件，最近访问的文件靠前显示。touch命令，新建一个空文件可以方便的创建一个空白的文件# touch /home/zhougege/asp.asp还可以改变现有文件的时间标志，即改变文件的修改时间，但是不改变文件的内容cp命令，文件复制Cp命令的开关-f替换已存在的文件 i需要替换时提示-p复制，但是保存修改日期和inode编号，相当于建立一个比较高级一点的快捷方式此命令不能跨分区执行，由于不同分区的文件不可能有相同的inode编号。-r复制文件夹的时候同时复制子文件夹的内容，递归的-u目的文件夹中已经存在同名文件的时候，如果当前复制的文件较新则替换原文件mv命令，文件移动常用于改变文件名（除非跨分区移动，否则不改变inode编号）-f替换已存在的文件 i需要替换时提示rm命令，删除文件和目录-d 不确认提示-i确认提示Rm r * 递归删除文件，可以覆盖别名 alias rm=”rm -i”ln命令，文件的复制、移动和链接Ln file1 file2 建立一个从1到2的硬链接，两个文件保持相同的inode编号Ln file1 file2=copy p file1 file2Ln s file1 file2 建立一个软链接，可以用ls l查看连接公式，真正意义上的“快捷方式” 软链接就是符号链接mkdir和rmdir命令，建立和删除目录此命令可以在生成目录的同时指定权限Mkdir p dir1/dir2 如果dir1已经存在，则生成dir2，如果dir1不存在，则建立dir1和dir2两个目录Mkdir m 755 dir3 建立dir3，同时指定权限为755，也就是rwxrmdir p dir1/dir2 这个是删除多级目录，如果dir1中只有dir2一个文件，则在删除dir2后也删除dir1clear命令，清屏相当于DOS的cls文件管理命令file命令，浏览每个文件的文件类型可能会遇到权限问题cat命令，用于显示文本文件相当于dos下的type命令head和tail命令，用于文件预览Head n20 a.txt查看文件的前20行，用tail就是查看后20行Head 20b a.txt查看文件的前20字节Head 20k a.txt查看文件的前20kHead 2m a.txt查看文件的前2MBmore和less命令，分页显示文件More同dos下的more命令，space翻页，enter换行Less跟more差不多，但是更灵活，可以使用page up和page down上下翻页/abc 可以在文档中搜索abc，这个命令源于vi这两个命令也成为分页器，q键推出浏览Linux的文件权限linux权限从左边起，如果第一个权限描述符不是-,则目标不是文件，可能是目录d或者链接l其余的每三个一组，第一组是拥有者的权限，r是读取，w是写入，x是执行第二组是拥有者所在组的权限第三组是不与拥有者在同一组的用户的权限Chmod命令用于设置权限，权限用三位数字表示 chmod XXX file第一位是拥有者的权限，第二位是拥有者所在的组的权限，第三位是不与拥有者在同一组的用户的权限。表格，数字权限的约定权限数字基础R44W22X11Rx54+1Rw64+2Wx32+1rwx74+2+1Chown改变文件的拥有者，chown zhougege dir1设置zhougege为dir1的拥有者同理，chgrp用于修改组拥有者Umask命令，默认的权限掩码第一位未使用，默认值0022代表644，也就是rw-r-r-，默认不配置x权限Wc命令，取得文件的行数，字数和字符数开关：-l显示行数-w显示字数 -c 显示字符数Find命令，在目录中搜索文件例如：在当前目录和所有子目录中搜索zhougege.txtFind / name zhougege.txt可以使用通配符Locate和slocate命令，按索引搜索文件Locate是slocate的软链接Linux默认每天凌晨4点2分更新索引，索引更新依照/etc/cron.daily/slocate.cron脚本执行索引数据库为updatedbLocate命令就像在关键字前后加了*一样Grep命令，可以搜索文件中的字符串Grep string file-c 参数用于计算字符串在文件中出现的次数小命令组合：命令管道实例：# find / -name *.html |grep bookmark管道传输方向从左到右Vi编辑器命令：set nu 显示行号方向键：k向上 H向左L向右 J向下X删除当前字符，包括空格和制表位（以下命令全部小写）DW 删除当前单词DD删除当前行U 撤销i插入inserta追加appendo打开opencw删除当前单词或者空格，并把插入点置于此处ESC键随时进入插入模式执行shell命令，在命令前加：！即可其他文本编辑器emacs-GUI界面的还有pico、joelinux文件系统/bin目录，基本命令行实用程序不可以挂载到其他分区/boot目录，启动时需要的文件，包括grub/dev目录，列出可用的驱动程序/etc目录，存放基本配置命令和文件/home目录，用户目录包括除根用户以外的用户的根目录，此文件占空间大，可以挂载到其他分区/initrd目录，初始内存盘启动时用来初始内存，虽然是空目录，但是不能删除，不能挂载到其他分区，删除后无法启动，出现kernel panic错误信息，不属于FHS/lib目录 linux和其他程序的运行库不可以挂载到其他分区，/lost+found目录，存放不可标示的文件不属于FHS/misc目录，指定共享NFS的公共挂载点不属于FHS/mnt目录，软盘、光驱的公共挂载点/opt目录，运行SUN staroffice等应用的标准位置/proc目录，资源和进程分配的配置文件有一些文件存储IRQ的配置，有的包括内核相关进程/root目录， 根用户的根目录不能装载该目录/sbin目录，存放系统管理命令不能装载该目录/tftpboot目录，支持无盘工作站也称为远程终端，无盘工作站装载这个目录，不属于FHS/tmp目录，存放临时文件/usr目录，存放所有用户可用的程序和数据/var目录，存放变量数据linux下这个目录经常可以装载到其他分区磁盘管理命令fdisk命令，磁盘分区支持多硬盘，多种分区格式mkfs命令，设置文件系统mkfs t ext3 /dev/sdb1把sdb1分区格式化为ext3系统还有mkswap命令，用于挂载swap分区mkswap /dev/sdb1du和df命令，显示空间信息du，目录使用，显示各目录的空间使用情况df，磁盘自由，显示磁盘空间状况e2label，添加卷标dumpe2fs，获取分区更多信息mount命令，装载分区和目录# mount t format partition directory实例：把zhougege目录加载成分区1#mount t ext3 /dev/sdb1 /home/zhougegeUmount是卸载fsck命令，检查文件系统开关： -a 不加提示修复检测到的文件系统错误 -A 列出所有的文件系统后检查-R使用-A时跳过根/目录小扎：不要在装载的目录中运行此命令，否则可能导致严重的文件系统损坏就在刚才，我已经运行了这个命令，造成文件系统损坏，现在正在重装虚拟机系统，脆弱的红帽子！2009-2-2 10：38Bourne again shellenv命令，查看环境变量相当于dos下的set命令bash的输入输出重定向基本和DOS一样，错误数据流可以被单独输出：在输出重定向前面添加数字2（不能加空格）# show 2zhougege.txt 用于输出错误信息bash的命名管道跟dos基本一样，从左到右bash后台执行程序在命令后加&符号，可以使程序在后台执行另外一个方法，按ctrl+z键可以暂停程序，然后输入bg命令也可以实现使程序后台化特殊shell字符对应键盘上的ctrl键，C代表ctrl+c快捷键ctrl+发送退出命令ctrl+d停止标准输入，退出控制台ctrl+z暂停运行程序stty命令可以更改这些快捷键- 代词符，用来表示当前用户的主目录在路径中存在空格的时候，在空格前加反斜杠可以使shell忽略这个空格基本用户和组管理基本用户信息在/etc/passwd中组织，/etc/shadow使其口令更安全。基本组信息在/etc/group和/etc/gshadow中组织Linux用户分为：管理用户服务用户普通用户passwd文件语法见截图，一行一个用户的配置，看来Linux的默认用户要比windows要多很多。甚至发邮件，启动服务都需要一个用户。shadow文件语法见截图group文件语法见截图gshadow文件语法见截图新用户的默认配置模板存储在/etc/login.defs添加新用户useradd命令 useradd username删除用户userdel命令userdel username r开关可以删除用户主目录chage命令，管理用户口令chage m days user设置最短口令寿命chage M days user设置最长口令寿命chage I days user 设置多长时间锁定不活动的用户chage E date user设置用户在某时间后不能访问chage W days user 设置days前警告，警告口令将改变chage l user 列出当前用户的口令和账号信息，普通用户可以对自己的帐户运行Linux增强的口令安全性pwconv命令，把普通口令转换成阴影口令，转换现有文件，也就是passwd文件。反之，有一个pwunconv命令。grpconv适用于组口令的阴影化，同理也有grpunconv命令配置用户的磁盘配额需要qutoa软件包RPM包管理器查询已安装包的信息：rpm q packagename q应该是queryqi获得汇总信息qf表示文件所属的包名ql列出包所包含的文件包的命名：处理器类型：noarch.rpm不依赖处理器类型ia64.rpm 适用于intel itanium 处理器的计算机ppc.rpm apple power pcsparc.rpmsun公司的sparc服务器s390.rpm IBM公司的s390cpu的服务器uname p查看本机的处理器类型安装RPM包rmp i packagename-ivh 用来扩展显示带散列的输出，可以监视安装进程。-v是冗长开关，-h是散列开关-F是升级开关，不安装新包-U是升级开关，安装新包-nodeps开关，忽略依赖性-e 开关，删除某个包-k 参数，验证某个包的完整性：GNU采用PGP加密的隐私保护RPM源代码包规范标准%prep%install%build-这三个可以建立二进制文件重要变量：requires和buildrequires其他：%define包括基本参数，如包的顶层目录地址，这一段中可能包含 root /var/ftp,这个段中包括RPM的基本汇总信息，安装后可以用qi开关查看到%package 列出依赖于这个RPM包的特定的包%description提供qi开关的更多参数%prep包括档案和补丁包的准备命令%setup 包含解包档案的处理命令%build建立要编译的代码%install增加名利，实际建立文件，在定义好的目录中安装包%clean从系统中删除任何中间文件的基本命令%post包含安装后脚本%postun包含删除包后的脚本%pre包含安装前脚本，比如建立目录的脚本%preun包含删除包之前的脚本%triggerin包含复制的其他包的部分%config列出/etc配置文件从tar中编译二进制包tar，常见的tar.gz或者tar.bz2或者.tgz压缩文件需要一个.spec文件命令：rpmbuild ba name.spec生成二进制包和源代码包，a应该是all rpmbuild bb name.spec 生成二进制包，b应该是binaryRPM包完整性验证安装包的验证 RPM的-K开关，标准PGP验证对已安装的包的完整性验证采用 Vf开关，rpm Vf /bin/mount 没有输出则说明数据完整错误代码：S文件长度不匹配M方式（不同权限或文件类型）5md5校验和错误L符号链接不一致D设备号不对U用于拥有权改变G组拥有权改变T文件修改时间不匹配？文件不可读c配置文件标志并不是所有的数据不完整都是数据被篡改，有时候正常的配置也可以导致文件的长度、md5和修改时间被修改。红帽子更新主体UP2DATEGUI界面，易于操作，更新之前，必须注册你的红帽子系统Linux排错Linux引导过程BIOS初始化硬盘执行Linux引导装入器装入器载入内核启动init程序Linux引导装入器载入kudzu程序探测硬件，然后用/etc/modules.conf中存储的设置增加与硬件相关的模块。可以用dmesg命令分析结果，如果遇到硬件问题，则不难从dmesg的输出中看到问题的所在kudzu：帮助Linux实现了即插即用Linux运行级:默认运行级设置存储在/etc/inittab文件中。lsmod命令，列出模块rmmod命令，删除模块insmod命令，安装模块GRUBgrub-md5-crypt命令可以执行对密码的md5加密，取得32位密文GRUB变量，只记录我不知道的splashimage指定默认grub映像initrd指定初始化内存盘root指定/boot文件所在分区rootnoverify对xp之类的敏感操作系统指定引导文件所在的分区chainloader+1表示对指定的分区中第一个扇区寻找引导文件Linux的标准运行级0 关闭状态1 单用户模式，不联网，只载入基本Linux服务2 多用户模式，不能访问NFS、init启动程序3 多用户网络模式，5图形登陆，这是默认的运行级，设置默认的运行级在/etc/inittab文件中，不要设置为0或者6重新启动虚拟控制台默认6个，最多12个，增加或者删除在配置文件/etc/inittab里面配置Linux内核1.直接安装新内核的rpm包，这样会保留原内核，生成新的grub菜单，显示两个系统选单，新内核的新特性不会得到利用。2.（1）使用新内核的新特性下载最新内核的tar包，tarxzvf kernel.tar.gz解压tar包进入解压的内核目录，配置内核（2）下载内核补丁包一般文件名是patch-x.gz使用下列命令升级内核bash# zcat patch-x.gz |patch p0内核的配置文件/Linux-x/makefile文件EXTRAVERSION变量：用来在GRUB中表示内核的字符串，可以自定义make mrproper命令，使用makefile脚本清理内核安装文件和目录。.实在是看不下去了，译者翻译的实在是太差了Linux管理cron监控程序cron的配置文件：全局配置文件/etc/crontab,另一组是由用户使用crontab命令生成的配置文件。CRON语法：cron文件中的时间与日期字段字段取值范围Minute0-59Hour0-23Day1-31Month1-12Day of week0-7,0和7代表星期天 配置文件中的*都是通配符标准cron任务：logrotate定期轮换日志，将旧日志换名保存slocate.conf刷新与locate命令相关的数据库tmpwatch删除/tmp和/var/tmp中的文件，分别是240和720小时不访问将会删除。用户cron任务crontab e打开配置文件crontab l 列出用户配置默认使用vim打开配置文件，可以export editor=emacs切换到emacs编辑器/etc/cron.allow和/etc/cron.deny配置文件用于配置cron的安全性at监控程序类似dos下的at命令at命令有一个单独的命令行at,可以通过at加时间来启动ctrl+D推出at命令行at的时间表示at now+5minutesat now+1hourat now+2daysat midnight at 10:20pmat 10:20pm 5/12/2009atq命令查看命令队列atrm 编号删除编号对应的at任务Linux服务管理服务相关的脚本存放在/etc/rc.d/init.d目录中服务脚本中的相关命令：start启动服务stop停止服务restart重启动服务reload不重新启动服务，重新读取配置文件status提供服务的当前状态condrcstart如果这个服务锁定，则关闭后重启这个服务rc.d的子目录中rcX.d目录代表相应的运行级中的不同脚本chkconfig list 服务名查看相关服务的运行级信息，有的信息在特定的运行级默认不启动chkconfi level 35 httpd on设置在运行级3和5启动apache服务一个图形化的查看运行级服务的程序ntsysv level XF12关闭这个程序Linux系统日志按照重要性由大到小排列emerg(emergency,紧急)alert（警报）crit(critical,关键)err(error，错误)warning(警告)notice(通知)info（信息）debug(调试)日志的总配置文件位于/etc/syslog.conf,大部分日志位于/var/log目录内日志通过标准cron程序logrotate来维护Linux进程管理ps命令查看当前与安装相关的进程ps aux 查看包括监控程序在内的所有进程进程相关术语：PID：跟windows下的PID一样，进程标示符PPID：父进程标示符PRI：优先级值STAT：进程当前状态，有三种可能：1.S 休眠 2.R 运行 3.SW 交换分区Top命令：查看系统资源的使用状况（实时）进程的删除：kill PID可以使用ps aux |grep 关键字查找进程的PIDnice和renice命令，以特定优先级运行程序Linux的优先级从-20（最高）到19命令格式：nice n x cmdrenice n x PID改变已启动程序的优先级nohup命令，因为印刷质量问题，有待查找资料据说是可以在关闭计算机后继续运行某程序系统备份和还原采用tar命令的备份和还原备份：tar cvzf filename.tar.gz /home/zhougegec生成，v冗长，z压缩，f输出到文件打开压缩档案tar tkvzffilename.tar.gzt列出文件，k保留原文件，注意：tar命令应该以c、t或者x开关开头tar命令的开关开关用途c生成档案d比较档案与当前目录中的文件f使用下列档案名j压缩成bzip2格式，tar.bz2扩展名，优秀k不覆盖当前文件r将文件添加到档案末尾t列出当前档案中的文件v冗长方式，就是详细输出z按普通gzip格式压缩 CPIO档案通过处理标准输出来创建备份备份文件夹：# find /home/zhougege |cpio o zhougege.cpio#find *.tif |cpio o backtif.cpio从备份还原#cpio I -iinput-ooutput-u替换所有文件，即使其最新-v冗长方式生成ISO镜像mkisofd命令用法不明将iso文件装载到光驱#mount t iso9660 o loop cd.iso /mnt/cdrom刻录iso镜像#cdrecord v speed=2 dev=0,0,0 cd.iso#dvdrecord v speed=1 dev=0,1,0 dvd.iso关于RAID的内容在以后研究X环境X环境的硬件配置xf86config命令（未包含在redhat9中）向导式配置。配置文件位于etc/X11/XF86Configredhat-config-xfree86设置向导，直接运行此命令出现GUI界面#X configure自动配置X参数switchdest命令可以在不同GUI间切换，如GNOME和KDEGNOME：GUI网络对象模型环境gdmsetup：GUI的GNOME设置环境在命令行界面启动x窗口：startxint 5进入运行级5，也就是进入x环境GNOME环境nautilus资源管理器VNC viewer图形化的远程桌面，由AT&T公司开发.GnomeMeeting，相当于NetMeetingexmh用于查看和管理内部邮件galeon，Gnome中自带的网页浏览器pan新闻组阅读器Mozilla浏览器ctrl+1navigator浏览器ctrl+2邮件和新闻组ctrl+3IRC聊天ctrl+4编写器ctrl+5地址簿设置随gnome启动的程序：redhatpreferencemore preferencesessionsGripgnome的音乐和光碟播放器和刻录器lokkit防火墙设置程序x3270可以启动一个终端，访问IBM的大型计算机KDE环境省略GUI应用程序openoffice桌面套件组件对应office或者功能writerwordcalcexcelimpresspptmath公式生成器printer setup管理打印接口draw框图生成器repaire安装管理器openoffice draw可以处理AUTOCAD文件红帽子图形前端rehat-config-*红帽子的GUI或者TUI配置界面在终端输入redhat-config-，再输入两次tab可以出现命令列表service servicename stop start restart命令用于服务状态的切换Linux网络特性ifconfig命令，网络参数的配置直接输出：eth0显示本地以太网卡的配置信息 lo显示本地网络的回环设置，用来连接TCP/IP协议栈设置IP地址： ifconfig eth0 8设置子网掩码：ifconfig eth0 netmask 设置中断号： ifconfig eth0 irq 9设置IO地址： ifconfig io_addr 0x300冻结（禁用）网卡： ifconfig eth0 down激活网卡：ifconfig eth0 upARP设置直接运行此命令，显示ARP本地缓存表-d 开关删除记录网络配置文件静态主机名：/etc/hosts相当于windows下的hosts文件DNS服务器：/etc/resolv.conf存放DNS服务器的IP地址。搜索顺序：/etc/host.conf不清楚这个说的是什么意思基本网络配置：/etc/sysconfig/network=小知识点=私有IP地址段：54A 54B 54Cnetstat命令，检查网络状态，功能和用法同windows下的netstat命令ping和traceroute命令，同windows下的ping和tracert命令配置Linux防火墙可插入验证模块（PAM）配置文件：/etc/pam.d,各个模块存放在/lib/security目录中，并在/usr/share/doc/pam-version/txts目录中建档。PAM命令行按下列格式组织：module_type control_flagmodule_locationarguments模块类型口令模块：设置登陆次数和口令长度限制极限会话模块：生成应用程序设置，例如限定特定用户的登陆次数账号模块：根据政策管理访问，例如可以根据时间限定某时段某用户的登陆验证模块：检查用户标示，提示用户输入口令PAM命令行的控制标志：optional（可选）required（必须-该模块失败，则相关的应用程序也失败requisite（必要）-貌似意思也是必须，如果这个模块失败，则立即停止验证过程sufficient（充分）-如果这个模块成功，则立即停止验证过程。个例分析：pam.d目录下的redhat-config-xfree86文件auth sufficient pam_rootok.soauth指定要验证用户标示，sufficient表明如果该验证返回一个PAM_SUCCESS则停止改脚本下面的所有验证，pam_rootok.so脚本用于验证当前执行命令的用户是不是根用户，如果是则返回成功如果当前用户是根用户，则可以直接运行xfree86配置程序auth sufficient pam_timestamp.sopam_timestamp.so模块用于给5分钟内使用了sodu命令的普通用户返回PAM_SUCCESS如果普通用户在sudo有效期内执行xfree86程序，则放行auth required pam_stack.so service=system-auth如果满足service=system=auth变量，则返回PAM_SUCCESS该句验证失败，则启动应用程序失败session required pam_permit.sopam_permit.so模块总是返回PAM_SUCCESS，因此继续下一行session optional pam_xauth.sopam_xauth.so不返回成功或者失败，因此对该文件的影响不大，但是可以增加变量，把此次访问记录下来下面的字段省略建立防火墙*使用iptables的上一代版本ipchains，兼容模式*1.service iptables stop停止该服务2.用rmmod命令，删除ip_tables和相关模块3.安装ipchains-*RPM包4.用insmod命令激活ipchains.o模块。网络数据方式：in、out、through防火墙命令存储在/etc/sysconfig/iptablesiptables详解iptables命令格式：iptables t table option pattern j target第一个选项-t基于表格选项，有两个基本表filter和natiptables选项默认链：INPUT,OUTPUT,FORWARD-L chain列表-A chain rule添加-D chain number删除-F chain从定义的链中刷新或者删除所有的规则-I chain number rule在制定的链中插入一个规则-N chain开始新的标准链-X chain删除用户定义链实例：防止死亡之ping：限制每秒从每台计算机上转发的ping命令的数据量# iptables A forward p icmp -icmp-type echo-request m limit -limit 1/s -j ACCEPTiptables的模式ip地址模式限制特定IP ping本机# iptables -A FORWARD -s 2 -p -icmp-type echo-request -m limit -limit 1/s -j ACCEPT-s开关，为源IP地址做准备。若想把此IP地址设置为排除地址，即限制除此之外的所有IP地址ping本机，则可以在IP地址前加一个！：# iptables -A FORWARD -s !2 -p -icmp-type echo-request -m limit -limit 1/s -j ACCEPT开关描述-dport port指定目标TCP/IP端口号-icmp-type message可以指定ICMP消息类型，echo-request对应于ping命令发送的消息。-j action表示满足命令要求时采取的操作，通常为ACCEPT，DROP，REJECT或LOG-limit time设置特定消息允许的速率，可以是秒、分、时、天，如2/s表示每秒2个消息-m condition检查匹配数据，可以是tcp与udp之类的协议，也可以是极限之类的条件-p protocol检查tcp与udp之类的协议的数据-s ip_addr指定源IP地址-sport port设置源TCP/IP端口-tcp-flags fl1检查TCP数据包中的标志TCP/IP协议模式略TCP/IP端口模式略iptables的操作ACCEPT允许数据进入离开或经过REJECT阻止数据进入离开或经过，并给源主机发送一个消息DROP组织数据进入离开或经过。LOG在var/log/masseges中记录分组匹配记录。发现：查看用户防火墙规则使用 iptables -LIP伪装技术