SA-238 Solaris 8读书笔记.doc

此文档收集于网络，如有侵权，请联系网站删除SA-238读书笔记1http:/T 2005-9-13 14:03:00 ChinaU经过2个半月的实践，现在的我已经对Solaris有了一个基本的了解。但是很多概念模糊不清，后来经过看蜘蛛老师的CHM，使我认识了chinaunix。在论坛中，我学到了很多东西，但是不够系统，很多问题的回答都是以经验和技巧为主。所以，我决定学习SUN的认证教材，以使我能系统的学习Solaris。但是，我身边没有老师，完全是自学。为了能够解决我在学习过程中遇到的问题，我决定把我的读书笔记放到论坛上来。希望各位老师，朋友辛苦辛苦，看到有错的地方，看到有理解不对的地方，都帮我指出来。谢谢各位老师。Solaris8操作环境系统管理导论管理独立的系统。管理用户帐号。维护系统安全。设置新设备。安装磁盘驱动器和分区。调度系统相关的工作。维护打印服务。管理bootPROM。设置系统初始化文件。安装Solaris操作环境软件（Solaris操作系统）。管理软件包和补丁。执行备份和恢复操作。管理灾难恢复管理客户/服务器系统。设置网络环境。设置syslog实用程序。设置和管理网络文件系统（NFS）。设置cacheFS文件系统。使用自动mount。设置名称服务。设置启动协议。安装和设置SolsticeAdminSuite。使用Jumpstart安装操作系统（无人职守）系统管理员术语。Host：计算机系统的另外一个名字。Hostname：系统管理员为了区别网络上的其他主机，为主机取的唯一的名字。使用uname-n显示主机名。Internet(IP)address。Ethernetaddress。Server：主机提供一个或者多个服务在一个网络上。Client：使用服务器提供的服务的主机。文件服务器。打印服务器。应用服务器SA-238读书笔记2http:/T 2005-9-13 14:03:00 ChinaU添加用户为每一个需要访问系统的用户设置用户帐号是系统管理员的重要任务。每个用户帐号都包括以下的5个部分。用户名：用户登陆进系统的唯一的名字。也叫做loginname（登陆名）密码：用户获取访问权限时必须输入的一组字母，数字或者特殊字符组成的6-8位的字符串（也就是说，密码的长度必须是6-8位）用户的主目录：用户登陆后所处的位置目录，用来建立和存储文件用户的登陆shell：用户的工作环境，是根据初始化文件中定义的用户登陆shell决定的，在Solaris操作系统中总共有6中shell，他们包括Bourneshell,Kornshell,Zshell,BASHshell和TCshell。用户初始化文件：决定用户在登陆进系统后的工作环境的shell脚本。管理用户帐号在能够添加用户之前，必须为新用户确定下列的事情：。登陆名：每个用户名必须是唯一的。并且包括2-8个字母（A-Z,a-z），也就是大小写敏感。和数字。第一个字符必须是字母，并且最少有一个小写字母。用户名不能包含下划线和空格。用户识别号码（UID）：用户在系统中的唯一的号码。UID的范围是100-60000，所有的UID必须唯一。组识别号码（GID）：每一个用户属组在系统中的唯一的识别号码。GID的范围是100-60000。描述：定义用户。通常包括用户的全名和功能信息。例如电话号码或者地址。home目录：定义用户的home目录的路径。loginshell：。Password过期：使用admintool管理用户帐号PrimaryGID,SecondaryGID一个用户只能同时属于2个组吗？这两个组有区别吗？比如一个用户属于A组，同时属于B组，他们之间是互补的吗？定位用户的所有文件#find/-userUID删除拥护的所有文件#find/-userUID-execrm;保存用户和组帐号信息/etc/passwd/etc/shadow/etc/group/etc/passwd文件loginID:UID:GID:comment:home_directory:login_shell一些默认的系统帐号rootUID:0超级用户帐号，几乎没有任何约束并且不考虑其他所有的登陆，保护和许可；可以进入系统访问daemonUID:1控制后台进程的系统帐号binUID:2管理大部分命令的帐号sysUID:3管理许多系统文件的帐号admUID:4管理某些管理文件的帐号lpUID:71打印服务帐号smtpUID:0smtp邮件者使用简单网络管理协议。SMTP是INTERNET标准协议uucpUID:5为UNIX-to-UNIX拷贝程序（UUCP）捆绑数据文件和目标的帐号nuucpUID:6使用远程系统登陆到主机传送文件的帐号listenUID:37网络监听帐号nobodyUID:60001匿名帐号，当独立于root用户建立一个需求时分派NFS服务器。nobody帐号分派软件进程时不需要任何特殊的权限。noaccessUID:60002需通过一些应用程序而不登陆系统时，为了访问系统而为一个用户或者进程分派的帐号nobody4UID:65534SunOS4.0或者4.1的匿名帐号/etc/shadow文件loginID:password:lastchg:min:max:warn:inactive:expire/etc/group文件groupname:group-password:GID:username-list从命令行建立和管理帐号建立帐号useradd-uuid-ggid-Ggid,gid,.-ddir-m-sshell-ccommentloginname其中-m和-d有什么区别呢？相关命令usermoduserdelgroupaddgroupmodgroupdel总共有2个问题有点不明白1。一个用户只能同时属于2个组吗？这两个组有区别吗？2。useradd命令中，-m和-d有什么区别呢？SA-238读书笔记3http:/T 2005-9-13 14:03:00 ChinaU理解初始化文件当用户登陆到系统，他们的登陆SHELL会检查和执行2个不同类型的初始化文件。第一个文件控制的是系统的大环境。第二个文件控制的是用户的工作环境。系统大环境初始化文件：2个主要的系统初始化文件叫做/etc/profile；/etc/.loginBshell和Kshell执行/etc/profile文件Cshell使用/etc/.login文件用户初始化文件：用户初始化文件定位于每个用户的home目录用户初始化文件的主要工作是定义特有的用户工作环境，包括诸如用户搜索路径，环境变量和窗口环境。文件的所有者或者root可以改变或者定制这些文件的内容6种shell的初始化文件shell类别系统大环境初始化文件用户初始化文件shell路径Bourne/etc/profile$HOME/.profile/bin/shKorn/etc/profile$HOME/.profile/bin/kshC/etc/.login$HOME/.cshrc/bin/cshZ/etc/zshenv$HOME/.zshenv/bin/zsh/etc/zprofile$HOME/.zprofile/etc/zshrc$HOME/.zlogin/etc/zloginBASH/etc/profile$HOME/.bash_profile/bin/bash$HOME/.bash_login$HOME/.profileTC/etc/csh.cshrc$HOME/.tcshrc/bin/tcsh定制工作环境shell支持2个类型的变量环境变量：任何shell程序启动都从这些用户环境变量获得信息。本地变量：这只影响当前的shell，任何子shell启动将没有这些。参考shell编程基本知识。SA-238读书笔记4http:/T 2005-9-13 14:03:00 ChinaU系统安全管理系统安全概述。维护密码和登陆控制。监视系统使用。限制对包含有数据的文件的访问。跟踪root登陆。监视setuid程序。控制在网络上的远程访问管理登陆和访问控制所有的帐号在系统上必须有一个密码。任何帐号在没有密码的情况在，都是为经授权的，所以不能访问本地主机和进入网络。pwconv命令pwconv命令用来从/etc/passwd文件中建立和升级/etc/shadow文件pwconv文件依赖于/etc/passwd文件中密码区域中的x。x指出密码已经存在于/etc/passwd文件。PS:/etc/shadow文件loginID:password:lastchg:min:max:warn:inactive:expire/etc/group文件groupname:group-password:GID:username-list如果/etc/shadow文件不存在，pwconv将利用/etc/passwd文件来建立如果/etc/shadow是存在的，则执行下面的步骤。如果条目在/etc/passwd文件中存在，而不在/etc/shadow文件中，则在shadow文件中添加。如果条目在/etc/shadow文件中存在，而不在/etc/passwd文件中，则在shadow文件中删除记录不良登陆记录当一个用从本地或者远程利用命令行方式登陆进系统。login程序参考/etc/passwd和/etc/shadow文件中有授权的用户来检测用户名和密码。如果拥护提供的是/etc/passwd中的登陆名，并且提供了这个登陆名的正确的密码，login程序就会允许访问系统。如果用户名不存在于/etc/passwd文件中或者密码不是这个用户名的正确密码。login程序就拒绝访问系统。可以保存不良的登陆尝试到一个文件。/var/adm/loginlog系统默认这个文件是不存在的，需要用#touche/var/adm/loginlog来建立他，并且赋予他只有root才有的读写权限。loginlog中的每个条目都包含一次不良登陆记录，每个条目包括用户登陆名，TTY设备和不良登陆尝试时的时间。监视系统访问显示在系统上的用户#whowho命令信息来自于/var/adm/utmpx登陆设备类型。console：用于显示系统启动和错误信息的设备(显示器吗？)。pts：表示一个不需要物理设备的登陆或者窗口会话的伪设备。term：一个在物理上连接的设备。如串口。包括一个终端或者一个modem显示用户信息finger-musernamefinger-musernameremotehostname-m只与用户名相匹配finger显示用户登陆名，home目录路径，登陆时间，登陆设备名，/etc/passwd文件中的描述部分的数据，登陆shell和主机名。如果用户建立了标准的ASCII文件.plan或者.projects在他们的home目录中，这些文件中的内容就会在finger命令中输出。这些文件传统意义上用于用户当前的计划和项目的大纲。并且必须建立文件访问权限为644显示登陆活动的记录使用last命令来记录所有的登陆和登出。last信息来自于/var/adm/wtmpx每一条目包含用户名，登陆设备，登陆的主机，日期和时间，总共用时。包括reboot时间。显示远程系统上的用户rusers命令的显示类似于who命令，但是显示用户登陆地点的远程主机名。如果rps.rusersd后台程序（既守护程序）是打开的，远程主机只回应rusers命令。网络服务器则返回远程主机上的列表。控制root访问系统管理员应该仅仅在完成管理任务时使用root帐号，尽量避免利用root帐号完成日常工作。这样可以保护系统不被未经授权的访问威胁。可以用以下方式变更为root。直接使用root登陆，并且提供正确的root口令。使用正常的用户登陆，然后调用su命令并且提供正确的root口令使用su命令变更为其他用户su-username使用su，必须提供正确的密码除非用户已经是root。root拥护可以运行su而不需要密码。如果密码是正确的，su建立一个新的shell进程，根据新用户在/etc/passwd中shell区域中的定义。su-（破折号）选项指定一个完整的登陆。他改变用户的工作环境为期待的用户。有效的用户ID和有效的组ID当运行新的su命令，有效的UID和有效的GID就切换到新用户了，并且由EUID和EGID来决定访问文件和目录的权限。使用whoami命令显示有效的当前用户名whoami命令显示当前的用户IDsysadmin组任何用户属于sysadmin组（GID14）就可以运行admintool来管理本地系统文件和功能。添加和删除用户，组，软件，打印机和串行设备。如果没有添加任何用户到sysadmin，则只有root可以运行admintool实用程序。管理用户访问在/etc/default目录下的三个系统文件使root可以改变去监视谁使用了su命令，限制root访问和为每一个用户设置密码老化规则。管理su尝试/etc/default/su文件控制su尝试的日志。CONSOLE变量默认是注释掉的。因此，所有的su尝试都被记录，不管是成功了还是失败了。如果删除描述提示符（#），CONSOLE变量是定义为/dev/console和所有成功的su尝试。/var/adm/sulog中则只包含不成功的尝试SULOG变量指定由哪个文件记录su常识的日志，如果不定义，则此功能关闭。限制root访问/etc/default/login文件以限定root访问指定设备的方式来保护root帐号CONSOLE变量可以指定三个可能条件中的一个用于root登陆。如果变量定义为CONSOLE=/dev/console，root仅可以从console登陆，任何从其他地方企图使用root登陆的尝试都将失败。如果变量没有定义。root可以从任何设备通过网络，通过modem或者使用终端登陆进系统。如果变量没有分配值（CONSOLE=），则root不能从任何地方登陆。只能使用正常帐号登陆后利用su命令变更为root（最为严格的，一船都不会这样设置）执行大环境密码老化原则/etc/default/passwd中定义了3个不同的变量MAXWEEKS=MINWEEKS=PASSLENGTH=6其中PASSLENGTH是密码的最小长度。:em02:em02:em02:SA-238读书笔记5http:/T 2005-9-13 14:03:00 ChinaU限制对包含有数据的文件的访问当你建立登陆限制之后，下一步就是控制对系统上数据的访问控制。当然，一些用户需要能够读不同的文件，其他拥护需要改变或者删除文件的权限,并且一些文件不能被用户访问。将需要共享文件的用户放入一个组中。决定用户组的成员groups命令可以为用户显示组的成员#groups（列本组成员）or#groups用户组名（该组的成员列表）定义用户帐号使用id命令可以更多的鉴别用户。可以列出他们的UID，用户名，GID和组名。当解决用户的文件访问问题时，这个命令比较有用。Id命令返回的是有效的UID和用户名。如果user1登陆入系统，然后使用su命令变更为user4，那么id命令返回的是user4的信息。如果要看到指定用户的所有帐号信息。使用-a选项。使用chown命令改变文件的所有者当需要改变一个文件或者目录的所有者时，就要用chown命令。默认的，只有root才能够改变任何文件或者目录的所有者。命令格式chownoption(s)user_namefilename(s)orchownoption(s)UIDfilename(s)改变目录所有者-R选项使目录包括目录中的所有子目录和文件都改变了所有者。（递归）使用chgrp改变文件的所有者（组）命令格式chgrpgroupnamefilename(s)chgrpGIDfilename(s)指定文件许可有三种类型的特定许可应用于可执行文件和公共目录，他们包括。setuid许可。setgid许可。StickyBit许可setuid许可当setuid设置在一个可执行文件上的时候，运行这个可执行文件的用户或者进程就被替换为启动这个可执行文件的用户的所属文件的访问权限。（通常是root）我的理解：当一个普通用户，访问一些设置了setuid的可执行文件的时候，系统就把普通用户的UID保存起来，改用这个文件的所有者的权限来执行这个可执行文件。然后返回给保存了的普通用户的UID。Setuid的标志在用户执行权限位置是一个“s”Root用户和所有者可以利用chmod命令和8进制数值4000设置setuid许可在一个可执行文件上例子：#chmod4555executable_file查找已经设置了setuid许可的文件的全路径，执行下面的命令#find/-perm4000setgid许可setgid许可与setuid是类似的除了有效的用户GID或者进程是改变文件的所有组。同样，分配到其他组的反问许可也是基于所有组的。Setgid许可显示一个“s”在组执行权限的位置。Root用户和所有者可以使用chmod命令和8进制数值2000设置setgid许可在一个可执行文件上例子：#chmod2555executable_file共享目录setgid在建立共享目录时是非常有用的。当setgid许可应用到一个目录时，文件建立在属于该组所属的目录。如果一个用户在目录中可写并且在那建立了一个文件。那个文件属于相同的组被看作一个目录，并且没有用户组。建立一个共享目录，必须建立setgid#chmodg+sshare_directory搜索已经存在了setgid的文件和目录#find/-perm2000StickyBit许可StickyBit是在公共可写目录中保护文件的特殊许可。如果一个目录有stickyBit设置，一个仅仅可以被文件的所有者，目录的所有者或者root删除。这可以防止一个用户在公共可写目录中删除其他用户的文件。StickyBit显示是一个“t”在other的执行区域。Root用户和所有者可以使用chmod命令和8进制数值1000设置StickyBit许可在目录上例子：#chmod1777public_directory搜索已经设置了StickyBit许可的目录#find/-typedperm-1000系统安全这一部分我觉得很难，不过最终还是理解了一些。但不知道是不是正确，请论坛的各位老师给些指点，主要是setuid,setgid。我的理解：当一个普通用户，访问一些设置了setuid的可执行文件的时候，系统就把普通用户的UID保存起来，改用这个文件的所有者的权限来执行这个可执行文件。然后返回给保存了的普通用户的UID。我这个理解对不对呢SA-238读书笔记6http:/T 2005-9-13 14:03:00 ChinaU访问控制列表（AccessControlLists）：当传统文件保护不足时，访问控制列表（简称ACLs）可以提供更好的对文件访问许可的控制。ACL提供更好的文件安全，授权文件所有者，文件所属组，其他，指定的用户和组允许定义文件许可。ACLs同样授权用户为每一个种类设置默认的许可。例子：如果系统管理员希望每一个在特定组中的成员可以读一个文件，可以简单的为这个组设置这个文件的读许可。无论如何，如果系统管理员希望只有一个人可以对这个文件进行写操作呢？ACLs可以提供文件的安全级别，而传统的UNIX文件系统的保护则不能提供这个功能。ACL信息是保存的并且使每一个文件或者目录联系起来。ACLs为文件或者目录设置或者查看正在使用的命令和选项的描述。ACL命令和选项Command/Option描述Getfaclfilename(s)显示在一个文件中的ACL条目Setfacloptionsfilename在一个文件上设置，添加，更改和删除ACL条目Setfaclmacl_entries在文件上建立或者改变ACL条目 modifySetfaclsacl_entries在文件上删除老的ACL条目并且重新添加一个新的ACL条目Setfacldacl_entries在文件上删除一个或多个ACL条目Setfaclfacl_file指定一个ACL设置文件包括在其他文件上设置的许可列表。acl_file仅仅是这个命令的一个变量Setfaclr为ACL重新计算许可ACL条目每个下面列出的ACL描述区的条目都以冒号分开ACLFields描述Entry-type为所有者，所有者所在的组，指定的用户，附加的组，或者ACLmask设置文件许可的条目的类型。UIDorGID用户名或者识别号码（UID）组名或者识别号码（GID）perm为entry-type设置的许可，可以使用r,w,x和-或者使用0-7中的8进制数的许可提示符。格式：setfacluu：perm，g：perm，o：perm，m：perm，u：UID：perm，g：GID：permfilename(s)Setfacl命令使用这些ACL条目在文件上设置文件的许可。例子：。user：perm-设置所有者的许可。group：perm-设置所有者所在组的许可。other：perm-设置用户许可，除了所有者或者所有者所在组的成员。user：UID：perm-为一个特定的用户设置许可。用户名必须是已经存在在/etc/passwd文件中。（user：username：perm）。group：GID：perm-为一个特定的组设置许可。组名必须是已经存在于/etc/group文件中（或者group：groupname：perm）。mask：perm-设置ACLmask。Mask条目需要最大的许可允许所有的用户，除了所有者和所有组。Mask是为所有用户和组改变权限的快速的方法。在一个文件上添加和改变ACL许可使用setfaclm命令添加和改变ACL许可在一个或者多个文件的ACL条目。命令格式：setfaclmacl_entry，acl_entryfilename1filename2决定如果文件已经有一个ACL有2条路径决定已经有一个ACL在文件上。使用getfacl命令。使用lsl命令使用lsl显示的时候，任何已经有一个ACL的文件都权限模式的末端附加一个“+”在文件上删除ACL条目使用setfacld命令从文件删除一个ACL条目。要删除ACL条目，要指定UID或者GID。文件所有者，文件组所有者，其他和ACLmask不能删除ACL条目命令格式setfacldACL_entryfilename(s)orsetfacldACL_entry,ACL_entryfilename(s)重新定位文件上的ACL条目要从命令行重新定位文件上的ACL条目，最少必须指定设置的用户，组，其他和mask许可及文件名命令格式setfacluu：perm，g：perm，o：perm，m：perm，u：UID：perm，g：GID：permfilename(s)SA-238读书笔记7http:/T 2005-9-13 14:03:00 ChinaU管理远程访问发布在网络上有着更多的访问，这对远程系统用户来说是有益的。无论如何，无限制的访问和共享的数据和资源都需要考虑安全问题。本地主机的远程安全办法一般是从远程系统用户基于验证，限定，或者块操作等方法。下面列举了三个为操作基本的安全发布提供某些方法包括远程访问本地系统的用户的网络文件：。/etc/hosts.equiv文件。$HOME/.rhosts文件。/etc/ftpusers文件/etc/hosts.equiv和$HOME/.rhosts文件一般的，当一个远程用户需要登陆访问到一个本地主机，本地主机读的第一个文件是/etc/passwd文件。从远程登陆的用户在文件中都有一个已经生效的条目。如果有一个密码和这个用户关联。那么，用户就必须提供正确的密码才能访问系统。当用户名不在远程主机的/etc/passwd中，则访问拒绝。/etc/hosts.equiv和$HOME/.rhosts文件是另外一种使用基本密码验证的方法。如果远程用户允许访问本地主机，则和本地用户一致。这些文件提供一个远程鉴定程序来进行决定。这个程序第一个检查/etc/host.equiv文件，然后在需要访问本地用户的home目录检查$HOME/.rhosts文件。基于这两个文件包含的信息（如果他们存在），决定是否允许用户访问系统。/etc/hosts.equiv文件适用于整个系统，而个别用户可以在他们的home目录中维护他们自己的$HOME/.rhosts文件。远程访问鉴别（书上有个流程图，在3-69），如图。进入/etc/hosts.equiv和$HOME/.rhosts当/etc/hosts.equiv和$HOME/.rhosts文件具有相同的格式时，相同的条目在不同的文件中有不同的效果。常规格式包括下面的条目。2个文件都有一个一行的条目，他们可能是下面条目中的一种：hostnamehostnameusername+。如果只使用了hostname，那么所有的用户都信任指定的主机，提供他们已知的本地主机。如果hostname和username都使用了，那么只有指定的远程用户从指定的远程主机可以访问到本地主机。一个文件中只包含了一个单独的加号，任何一个在网络上的远程主机是被信赖的。/etc/hosts.equiv文件对于正常的用户，/etc/hosts.equiv文件通常是定义远程主机和远程用户是被信赖的如果本地主机的/etc/hosts.equiv文件包含一个远程主机名，那么在远程主机上的所有的正常用户是被信赖的并且不需要密码就可以登陆到本地主机。每个远程用户在本地主机上已知；其他的都被拒绝访问。这在正常用户在多个不同系统上有帐号的情况下是非常有用的，排除在网络上传送二进制密码的安全风险。/etc/hosts.equiv文件默认是不存在的，如果远程用户需要访问本地主机的话，就建立文件。$HOME/.rhosts文件/etc/hosts.equiv文件适用于广泛的非root用户，.rhosts则适用于指定的用户所有的用户包括root，都可以自己的home目录中建立并且维护他们自己的.rhosts文件例子：如果用户从远程主机运行rlogin程序并且获得root权限访问到本地主机，程序就会在root的本地主机的home目录中检测/.rhosts文件。如果远程主机名在文件中列表，他就被认为是可信赖主机并且允许远程的用户访问，在这个过程中的root访问，是在本地主机上得到的。$HOME/.rhosts文件默认是不存在的，需要用户在自己的home目录中建立。限制FTP登陆Solaris操作系统提供一个叫做/etc/ftpusers的ASCII文件。ftpusers文件列出的是禁止运行FTP登陆到系统的用户名。在文件中的每一行包括一个被限制的用户名当ftp会话被调用的时候，FTP服务器in.ftpd守护进程会读这个ftpusers文件，如果登陆名与列表中的一个匹配，就拒绝会话，并返回“loginfaild”信息。默认的，ftpusers文件包括下列系统帐号：root；daemon；bin；sys；adm；lp；uucp；nuucp；listen；nobody；noaccess；nobody4http:/T 2005-9-13 14:03:00 ChinaU可以添加任何用户名；这些条目中的帐号必须是在/etc/passwd文件中存在的。因为Solaris8新的安全策略不允许root登陆，所以root也被包括在/etc/ftpusers文件中。如果在/etc/ftpusers中删除root条目，那么root登陆权限就将被允许，/etc/default/login文件肯定反映远程root登陆权限。/etc/shells文件/etc/shells文件包含的是系统中shell的列表。在实际应用中，例如sendmail和ftp，可以使用这个文件来决定一个shell是不是有效的。这个文件默认是不存在的。建立文件时，希望认可的每个shell必须有一个单独的条目行，条目行由shell的路径组成。#touch/etc/shells/sbin/sh/bin/sh/bin/ksh当/etc/ftpusers文件禁止某个用户ftp连接的时候，可以建立一个/etc/shells文件来允许只有那些运行了在文件中定义了的shell的用户进行ftp连接。如果某个shell不在这个文件中，那么任何用户运行了这个未定义的shell都将不能允许利用ftp连接到系统。复习在进入下一模块之前，检查一下在这一章都学到了什么。建立/var/adm/loginlog文件来保存不良的登陆企图。使用finger，last和rusers来监视系统的使用。使用su命令在系统上改变成root或者其他用户。修改/etc/default/login文件来限制用户的访问。使用id命令和groups来定义用户和他们的组成员。使用chown和chgrp命令分别的改变文件的所有者或文件的所属组。解释setuid，setgid和StickyBit是如何建立文件安全机制的。在文件上建立，更改和删除ACLs。通过维护三个基本网络文件来控制远程登陆访问：/etc/hosts.equiv，$HOME/.rhosts和/etc/ftpusers第三章虽然结束了，但是我有很多地方不明白。1。ACL到底有什么用？没彻底看明白啊2。/etc/hosts.equiv是用来定义主机间信任关系的吗？3。id命令能够帮助我做什么呢？他返回的数值，比我直接去看/etc/passwd文件来的更快吗？4。setuid我的理解正确吗？是不是一种用户身份的切换呢？希望老师们能给解答一下，谢谢SA-238读书笔记8http:/T 2005-9-13 14:03:00 ChinaU第四章目录层次Solaris操作环境的文件类型。普通文件。目录。符号链接。设备文件分辨文件类型使用lsl命令可以简单的看到文件的类型。-普通文件。d目录。l连接文件。b块设备文件。c字符设备文件文件名，Inodes（信息节点）和数据块所有的文件都使用一个文件名和一个叫做inode的记录来建立Solaris操作环境的文件。大部分文件使用数据块来建立文件文件名通常用于访问和操作文件inode则用于记录文件的信息数据块则用于在磁盘空间上保存数据一个文件必须有一个与inode相联系的文件名。普通情况下，inode包含2个部分。第一，他们包含关于文件的信息，包括谁是所有者，文件的权限和长度。第二，他们包含一个指针指向与文件相关联的数据块。后面的inode模块内容详细记录着ufs文件系统的描述。无论如何，在普通情况下，一个文件名是与一个inode相关联的，并且inode提供着对数据块的访问。;inodenumber（信息节点编号）Filename（文件名）-数据块Inode是被编号的，并且每个文件系统在inode列表中都是独立的。当用户建立一个新的文件系统时，就会在文件系统中产生一个完整的inode列表。普通文件一个普通文件简单的包含着数据。在Solaris操作系统中，大部分的公共文件都是普通文件，并且允许用户保存不同种类的数据。普通文件可以保存ASCII文本，二进制数据，图片，数据库，与应用相关的数据和其他的用户可以通过多种方法来建立普通文件。比如，用户可以使用vi来建立ASCII文本文件，也可以通过编译器来建立包含了二进制数据的文件。同样可以使用touch命令来建立空的普通文件。目录目录保存的信息是与文件名和inode编号想关联的。不同于普通文件可以包含多种类别的数据那样，目录只能包含一种。用户必须理解，目录本身不能包含其他文件。一个目录包含的是所有文件的逻辑条目。符号链接一个符号链接是一个指向其他文件的指针。就象目录那样，符号链接只包含一种类型的数据。符号链接指向文件路径名的指针。因为符号链接使用路径来指向其他文件，他们可以指向其他文件系统的文件。同样，符号链接文件的长度总是与指向路径所需的字符数是匹配的。例如，一个符号链接文件/bin指向目录./usr/bin，那么/bin就是9个字节。符号链接文件，可以指向普通文件，目录，其他符号链接文件和设备文件。并且他们可以使用绝对的或者相对的路径名。（符号链接也可以指向符号链接）使用ln-s命令来建立符号链接文件设备文件设备文件提供对设备的访问。不同于普通文件，目录和链接文件，设备文件不能使用数据块，作为替换，在他们的inode信息中，他们包含引用设备的编号。在其他文件显示长度的地方，设备文件显示2个号码，并用逗号分开。这两个号码叫做主，副设备号码。在下面的实例中，设备文件dad0,0a引用于主设备编号136和副设备编号0#cd/devices/pai1f,0/pci1,1/ide3#lsltotalbrw-lrootsys136,0Apr311:11dad0,0:abrw-lrootsys136,0Apr311:11dad0,0:a,raw主设备编号定义需要访问的指定的设备驱动。副设备编号定义在此设备控制器上的指定的单元。建立设备编号的命令包括devfsadm（Solaris8）drvconfig（Solaris7以前）mknod（Solaris1）在普通情况下，当用户执行一个从新设置启动时设备文件是自动建立的，在Solaris8操作系统，用户可以使用devfsadm来手动建立新的设备文件。之前的Solairs操作系统则使用drvconfig来建立。关于解释设备文件名的信息和手动或者自动建立设备文件的程序的表书在后一个模块中。字符设备文件文件类型为“c”的设备文件为字符设备文件。字符设备文件为磁盘设备调用基于磁盘最小地址单元或者扇区的I/O操作。每个扇区是512字节。块设备文件文件类型为“b”的设备文件叫做块设备文件。块设备文件为磁盘设备调用基于一个定义了大小的块的I/O操作。块的长度以来于字符设备，但是UFS文件系统，默认的块大小为8K字节。硬链接硬链接是文件名与inode之间关联的链接。硬链接不区分文件类型。每个类型的文件都使用最少一个硬链接。目录中的每个条目都由一个硬链接组成。每个文件名都被认为是对一个inode的硬链接。当一个用户使用touch建立一个文件，一个新的目录条目链接就链接到用户指定的文件名和一个单独的inode之间。每个inode都保存有一个与文件名关联的计数器。这被成为链接计数器。Lsl命令输出时，链接计数器在文件权限和所有者之间显示使用ln命令，可以建立新的硬链接到一个普通的文件。命令lnfile1file2建立一个新的目录条目叫做file2，file2关联的inode与file1关联的inode是相同的。使用lsli命令，可以列出文件的inode编号删除其中一个，并不会导致其他的一起生效。链接计数器也会等价消耗。根目录。/-是所有文件系统的根部。/bin链接于/usr/bin下的目录，目录中包括标准的系统命令或者二进制文件。/dev主要用于定位逻辑设备名。这些符号链接文件指向/devices目录。/devices主要用于定位物理设备名，他们是设备文件。/etc主机特定系统管理设置文件和数据库。/export默认的公共目录文件。/home默认的用户家目录。/kernel自由平台可承载的内核模块需要的启动进程。/mnt临时性的文件系统的mount点。/opt附加应用软件包的默认目录。/sbin实用程序。/tmp临时文件。/usr是UNIXSystemResoures的缩写。/var可变文件的目录SA-238读书笔记9http:/T 2006-6-6 0:57:42 ChinaUnix第五章 设备结构 磁盘的基本体系结构 物理结构磁盘的组成。一个或者多个磁盘片（platters）。磁盘片围绕轴进行旋转。机械臂在磁盘片上移动进行读/写 磁盘片的组成。扇区（Sector）在盘片上的最小的可编址单元。一个扇区可以保持512个字节的数据。扇区通常被称为磁盘块。磁轨（Track）围绕轴心的，有扇区组成的连续的圆。柱头（Cylinder）磁轨之间的部分 定义磁盘分区（Slice）磁盘可以被分成单独的分区，成为磁盘分区（Slice）。磁盘分区通常是用于组织数据的由柱头组成的组。 一个磁盘在SunOS下可以被分成8个分区，称为Slice 0到Slice 7 按照管理，Slice 2用于表示整个磁盘。记录了磁盘的实际容量和可用于保存数据的柱头数目。 启动磁盘 下面是一个按照管理在启动磁盘上的逻辑组织方法。SliceName功能0/root的系统文件1swap交换区2整个磁盘5/opt可选择的软件6/usr用户文件系统7/export/home用户文件和目录 磁盘命名规则 。控制器号定义主机总线控制器，控制器在磁盘单元和系统之间进行通信。通常为c0，c1，c2。目标号目标号诸如t0，t1，t2等符合为每一个磁盘，磁带机或者CD-ROM选择的唯一的地址号码。对于外置磁盘驱动器，在后面板上设置地址。而对于内置磁盘驱动器，则利用跳线来设置分配目标号（在SCSI通道上，实际上就是SCSI ID）。磁盘号码磁盘号码同样也是已知的逻辑单元号码（LUN）。这个号码反映了磁盘在目标位置的号码。磁盘号码通常都是由d0设置的。分区号码分区号码由0-7之间选择。 设备命名管理 在Solaris操作环境中，所有的设备都有3个不同类型的名字：。逻辑设备名。物理设备名。Instance名 逻辑设备名 用户使用逻辑设备名，并且在一些普通用户的场合上，主要用于在命令行查阅。 所有的逻辑设备名都保存在/dev目录 逻辑设备名是符号链接文件到保存在/devices中的物理设备名的 逻辑设备名包含控制器号，目标号，磁盘号和分区号 每个磁盘设备都有一个条目在/dev/dsk和/dev/rdsk目录。分别是块磁盘设备和字符磁盘设备。 物理设备名 物理设备名唯一的定义了系统上的物理设备在硬件设备上的位置，并且在/devices目录中维护。 包括硬件信息，连续的节点名的表示，隔离，指出与硬件连通的设备的路径。 Instance名 Instance名是每个设备在系统上分配个内核的缩写 列出系统的设备 /etc/path_to_inst文件 在Solaris操作环境中，每一个设备系统都在/etc/path_to_inst文件中记录了instance名和顺延号码与设备名。这些名字用来为内核定义每一个可能的设备。这个文件在系统启动后是只读的。 /etc/path_to_inst文件是用于维护内核的。所以，一般没有必要，系统管理员也不要随意修改这个文件。 Prtconf命令 (用prtconf |grep v not 足以看到全部的信息)用户使用prtconf命令来显示系统的设置信息，包括已经安装了的内存的总数和设置设备树的系统外围格式。 Prtconf命令列出所有的设备实例