Linux补充知识.doc

Linux补充知识一.口令文件2二.禁止Ctrl+Alt+Delete重新启动机器命令2三.避免显示系统和版本信息3四.阻止ping3五.防止IP欺骗3六.防止DoS攻击3七.find命令4八.输出命令4八.grep命令5九.定时执行任务5一. 口令文件chattr命令给下面的文件加上不可更改属性，从而防止非授权用户获得权限。# chattr +i /etc/passwd# chattr +i /etc/shadow# chattr +i /etc/group# chattr +i /etc/gshadow 对于系统中的某些关键性文件如passwd、passwd.old、passwd._、shadow、shadown._、inetd.conf、services和lilo.conf等可修改其属性，防止意外修改和被普通用户查看。 如将inetd文件属性改为600： # chmod 600 /etc/inetd.conf 这样就保证文件的属主为root，然后还可以将其设置为不能改变: # chattr +i /etc/inetd.conf 这样，对该文件的任何改变都将被禁止。 你可能要问：那我自己不是也不能修改了？当然，我们可以设置成只有root重新设置复位标志后才能进行修改: # chattr -i /etc/inetd.conf二.禁止Ctrl+Alt+Delete重新启动机器命令修改/etc/inittab文件，将“ca:ctrlaltdel:/sbin/shutdown -t3 -r now”一行注释掉。然后重新设置/etc/rc.d/init.d/目录下所有文件的许可权限，运行如下命令：# chmod -R 700 /etc/rc.d/init.d/*这样便仅有root可以读、写或执行上述所有脚本文件。三.避免显示系统和版本信息如果你希望远程登录用户看不到系统和版本信息，可以通过以下操作改变/etc/inetd.conf文件：telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd h加-h表示telnet不显示系统信息，而仅仅显示“login:”。四.阻止ping如果没人能ping通你的系统，安全性自然增加了。为此，可以在/etc/rc.d/rc.local文件中增加如下一行：echo 1/proc/sys/net/ipv4/icmp_echo_ignore_all 五.防止IP欺骗 编辑host.conf文件并增加如下几行来防止IP欺骗攻击。order bind，hostsmulti offnospoof on六.防止DoS攻击对系统所有的用户设置资源限制可以防止DoS类型攻击。如最大进程数和内存使用数量等。例如，可以在/etc/security/limits.conf中添加如下几行：* hard core 0 * hard rss 5000* hard nproc 50然后必须编辑/etc/pam.d/login文件检查下面一行是否存在。session required /lib/security/pam_limits.so 上面的命令禁止调试文件，限制进程数为50并且限制内存使用为5MB。七.find命令查找/etc目录下以http开头的文件，保存结果到/tmp/fhttp.filefind /etc -type f -name httpd* /tmp/fhttp.file八.输出命令Command filename把标准输出重定向到一个新文件中Command filename把标准输出重定向到一个新文件中（追加方式）echo命令的功能是在显示器上显示一段文字，一般起到一个提示的作用。该命令的一般格式为： echo -n 字符串其中选项n表示输出文字后不换行；字符串能加引号，也能不加引号。用echo命令输出加引号的字符串时，将字符串原样输出；用echo命令输出不加引号的字符串时，将字符串中的各个单词作为字符串输出，各字符串之间用一个空格分割。八.grep命令查找/etc下以shell开头且与shell大小写无关的文件名及其匹配的行（不包括错误信息和父目录），并导出到/tmp/ishell.files有些时候，我们存储文件时随手乱取了一个文件名，事后自己都忘了那个文件名叫什么，连开头第一个字母都想不起来。那么，如果您还记得该文件一点特殊的词语，应该可以用 grep 命令找到。例如，我们想在一个目录的200个文件里面，找出哪一个文件提到“SYSFONT”这个词语：rootrac1 Desktop# grep l SYSFONT *.txt2222.txt查找文件rootrac1 Desktop# grep -c SYSFONT *.txt2出现了几次rootrac1 Desktop# grep -n SYSFONT *.txt4:SYSFONT=lat0-sun165:SYSFONT出现的行数grep i 不区分大小写九.定时执行任务查查看/etc/crontab文件SHELL=/bin/bashPATH=/sbin:/bin:/usr/sbin:/usr/binMAILTO=rootHOME=/# run-parts01 * * * * root run-parts /etc/cron.hourly02 4 * * * root run-parts /etc/cron.daily22 4 * * 0 root run-parts /etc/cron.weekly42 4 1 * * root run-parts /etc/cron.monthly前四行是有关设置cron任务运行的环境变量. SHELL变量的值指定系统使用的SHELL环境(该 样例为bash shell)，PATH变 量定义了执行命令的路径。Cron的输出以电子邮件的形式发给MSILTO变 量定义的用户名. 如 果MAILTO变量定义为空字符串(MAILTO=), 电子邮件不会被发送. 执行命令或脚本时HOME变量可用来设置家目录。文件/etc/crontab中每行任务的描述格式如下: minute hour day month dayofweek command minute - 从0 到 59的 整数 hour - 从0到23的 整数 day - 从1到31的 整数 (必须是指定月份的有效日期) month - 从1到12的 整数 (或如Jan或Feb简写的月份)dayofweek - 从0到7的整数,0或7用来描述周日 (或 用Sun或Mon简 写来表示) command - 需要执行的命令(可用as ls /proc /tmp/proc或 执行自定义脚本的命令) root表示以root用户身份来运行run-parts表示后面跟着的是一个文件夹，要执行的是该文件夹下的所有脚本对于以上各语句,星 号(*)表 示所有可用的值. 例 如,*在 指代month时表示每月执行（需要符合其他限制条件）该命令。 整数间的连字号(-)表 示整数列,例 如1-4意 思是整数1,2,3,4.指定数值由逗号分开。如：3,4,6,8表 示这四个指定整数. 符号“/”指定步进设置.“/”表示步进值。如0-59/2定义每两分钟执行一次。步进值也可用星号表示。如*/3用来运行每三个月份运行指定任务. 以“#”开头的为注释行,不会被执行。如果一个cron任 务需要定期而不是按小时,天,周,月来执行,则需要添加/etc/cron.d目录. 这个目录下的所有文件和文件/etc/crontab语法相同. 查看样例 # record the memory usage of the system every monday # at 3:30AM in the file /tmp/meminfo 30 3 * * mon cat /proc/meminfo /tmp/meminfo # run custom scrpt the first day of every month at 4:10AM 10 4 1 * * /root/scrpts/backup.sh 除了root用户之外的用户可以执行crontab配置计划任务。所有用户定义的crontab存储在目录/var/spool/cron下, 任务会以创建者的身份被执行。要以特定用户创建一个crontab, 先以该用户登录,执行命令crontab -e, 系统会启动在VISUAL或者EDITOR中指定的的编辑软件编辑crontab. 文件内容与/etc/crontab格式相同.示例如下：0 3 * * * /home/dbbackup/db1backup.sh backup0 4 * * * /home/dbbackup/db2backup.sh backup表示每天3点执行/home/dbbackup/db1backup.sh backup，4点执行/home/dbbackup/db2backup.sh backup，如果是每五分钟执行一次可改为*/5 * * * * /home/dbbackup/db2backup.sh backup当更改的crontab需 要保存时,文件会保存在成如下文件/var/spool/cron/username.文件名会根据用户名而不同。 cron 服务会每分钟检查一次/etc/crontab, /etc/cron.d/, 和/var/spool/cron文件下的变更.如果发现变化,就会下载到存储器中.因此,即使crontab文件改变了,程序也不需要重新启动。推荐自定义的任务使用crontab -e命令添加，退出后用/etc/init.d/crond restart命令重启crond进程，官方文件说不用重启进程，但我遇到不重启无法运行任务的情况。开始不知道/etc/crontab文件中的run-parts是什么意思，直接把命令按照/etc/crontab的格式加上总是无法运行，后来才知道run-parts是指后面跟着的是文件夹cron是一个linux下的定时执行工具，可以在无需人工干预的情况下运行作业。由于Cron 是Linux的内置服务，但它不自动起来，可以用以下的方法启动、关闭这个服务：/sbin/service crond start /启动服务/sbin/service crond stop /关闭服务/sbin/service crond restart /重启服务/sbin/service crond reload /重新载入配置你也可以将这个服务在系统启动的时候自动启动：在/etc/rc.d/rc.local这个脚本的末尾加上： /sbin/service crond start现在Cron这个服务已经在进程里面了，我们就可以用这个服务了，Cron服务提供以下几种接口供大家使用：1. 直接用crontab命令编辑cron服务提供crontab命令来设定cron服务的，以下是这个命令的一些参数与说明：crontab -u /设定某个用户的cron服务，一般root用户在执行这个命令的时候需要此参数crontab -l /列出某个用户cron服务的详细内容crontab -r /删除没个用户的cron服务crontab -e /编辑某个用户的cron服务比如说root查看自己的cron设置：crontab -u root l再例如，root想删除fred的cron设置：crontab -u fred r在编辑cron服务时，编辑的内容有一些格式和约定，输入：crontab -u root e进入vi编辑模式，编辑的内容一定要符合下面的格式：*/1 * * * * ls /tmp/ls.txt这个格式的前一部分是对时间的设定，后面一部分是要执行的命令，如果要执行的命令太多，可以把这些命令写到一个脚本里面，然后在这里直接调用这个脚本就可以了，调用的时候记得写出命令的完整路径。时间的设定我们有一定的约定，前面五个*号代表五个数字，数字的取值范围和含义如下：分钟（0-59）小時（0-23）日期（1-31）月份（1-12）星期（0-6）/0代表星期天除了数字还有几个个特殊的符号就是*、/和-、,，*代表所有的取值范围内的数字，/代表每的意思,*/5表示每5个单位，-代表从某个数字到某个数字,分开几个离散的数字。以下举几个例子说明问题：每天早上6点0 6 * * * echo Good morning. /tmp/test.txt /注意单纯echo，从屏幕上看不到任何输出，因为cron把任何输出都email到root的信箱了。每两个小时0 */2 * * * echo Have a break now. /tmp/test.txt晚上11点到早上8点之间每两个小时，早上八点0 23-7/2，8 * * * echo Have a good dream：） /tmp/test.txt每个月的4号和每个礼拜的礼拜一到礼拜三的早上11点0 11 4 * 1-3 command line1月1日早上4点0 4 1 1 * command line每次编辑完某个用户的cron设置后，cron自动在/var/spool/cron下生成一个与此用户同名的文件，此用户的cron信息都记录在这个文件中，这个文件是不可以直接编辑的，只可以用crontab -e 来编辑。cron启动后每过一份钟读一次这个文件，检查是否要执行里面的命令。因此此文件修改后不需要重新启