fedora-linux目录结构详解

Linux目录结构和windows目录结构有很多不同之处，这很容易让初学者搞不明白。这里是个人总结的一些知识点，讲解Linux目录结构包括文件类型和一些重要的文件子目录。
linux文件系统的最顶端是/，称为linux的root，所有的目录、文件、设备都在/之下。
文件类型：
linux有四种基本文件系统类型：普通文件、目录文件、连续文件和特殊文件。可以用file命令来识别。
普通文件：如文本文件、c语言源代码、shell脚本等，可以用cat、less、more、vi等来察看内容，用mv来改名。
目录文件：包括文件名、子目录名及其指针。可以用ls列出目录文件
链接文件：是指向一索引节点的那些目录条目，用ls来查看时，链接文件的标志用l开头，而文件后以"->"指向所链接的文件
特殊文件：如磁盘、终端、打印机等都在文件系统中表示出来，常放在/etc目录内。例如：软驱A称为/dev/fd0，/dev/had来自第一硬盘。
/bin：存放系统所需要的那些命令,二进制可执行文件。比如ls、cp、mkdir等命令；功能

和/usr/bin类似，这个目录中的文件都是可执行的、普通用户可以使用的命令。
/boot：这是Linux的内核及引导系统程序所需要的文件目录，比如initrd.img等文件都

位于这个目录中，grub系统引导管理器也位于这个目录。

/cgroup:最早control group 是叫做"Containers"，利用configfs作配置.

"Containers"着眼于资源的分配，有两个重要概念：
1.subsystem, 内核可以给进程提供的服务/资源
2.container, 一个进程组，成员共享同样的一个或多个子系统分配限制。containers是层次的，一个container可以hold多个container

它的最可取之处是创建了一个资源分配的框架，其它开发者可以利用这个框架去开发自己的资源分配patch，比如上回提到的磁盘设备。

后来不知道为什么没有采用configfs，自己搞了一个container filesystem.

最后在 2.6.24内核(08年1月)中被正式合并进入主线，被改名为control group 或简写为cgroup.详细介绍在内核源代码文档目录中的cgroups.txt。

刚刚进入 2.6.24的时候，只有cpusets(绑定cpu/memorynode)和 CFSgroup scheduling( cpu带宽分配)两个资源。2.6.25又引入了memoryresource.

/cdrom：光驱
/dev：设备文件存储目录，比如声卡、磁盘。
/etc：系统配置文件的所在，一些服务器的配置文件也在这里；如用户帐号及密码配置件。
/home：普通用户目录默认存放目录。
/lib：库文件存放目录,用户无权限执行这个目录下的命令，这个目录和/usr/sbin;

/usr/local/sbin目录是相似的。凡是目录sbin中包含的都是root权限才能执行的。

/lost+found:在ext2或ext3文件系统中，当系统意外崩溃或机器意外关机，而产生一些文件碎片放在这里。当系统启动的过程中fsck工具会检查这里，并修复已经损坏的文件系统。有时系统发生问题，有很多的文件被移到这个目录中，可能会用手工的方式来修复，或移到文件到原来的位置上。

/media：本目录是空的，是用于挂载的。即插即用型存储设备的挂载点自动在这个目录下创建，比如USB盘系统自动挂载后，会在这个目录下产生一个目录；CDROM/DVD自动挂载后，也会在这个目录中创建一个目录，类似cdrom的目录。这个只有在最新的发行套件上才有，比如FedoraCore 4.0 5.0 等。可以参看/etc/fstab的定义；

/mnt:这个目录一般是用于存放挂载储存设备的挂载目录的，比如有cdrom等目录。可以参看/etc/fstab的定义。有时我们可以把让系统开机自动挂载文件系统，把挂载点放在这里也是可以的。主要看/etc/fstab中怎么定义了；比如光驱可以挂载到/mnt/cdrom。

/opt:表示的是可选择的意思，有些软件包也会被安装在这里，也就是自定义软件包，比如在FedoraCore 5.0中，OpenOffice就是安装在这里。有些我们自己编译的软件包，就可以安装在这个目录中；通过源码包安装的软件，可以通过./configure--prefix=/opt/目录。

/proc:操作系统运行时，进程（正在运行中的程序）信息及内核信息（比如cpu、硬盘分区、内存信息等）存放在这里。/proc目录伪装的文件系统proc的挂载目录，proc并不是真正的文件系统，它的定义可以参见/etc/fstab。

/root:Linux的内核及引导系统程序所需要的文件，比如vmlinuzinitrd.img文件都位于这个目录中。在一般情况下，GRUB或LILO系统引导管理器也位于这个目录；

/sbin:大多是涉及系统管理的命令的存放，是超级权限用户root的可执行命令存放地，普通用户无权限执行这个目录下的命令，这个目录和/usr/sbin;/usr/X11R6/sbin或/usr/local/sbin目录是相似的；我们记住就行了，凡是目录sbin中包含的都是root权限才能执行的。

/selinux:

/srv：一些服务需要访问的文件存放在这

/sys：系统的核心文件
/tmp：临时文件目录，有时用户运行程序的时候，会产生临时文件。这个目录和/var/tmp

目录相似。
/usr：这个是系统存放程序的目录，比如命令、帮助文件等。当我们安装一个linux发行版

官方提供的软件包时，大多安装在这里。如果有涉及服务器配置文件的，会把配置

文件安装在/etc目录中。/usr目录下包括设计字体目录/usr/share/fonts,帮助目录

/usr/share/man或/usr/share/doc，普通用户可执行文件目录/usr/bin或

/usr/local/bin；超级权限用户root可执行命令存放目录，比如/usr/sbin或

/usr/local/sbin等，还有程序的头文件存放目录/usr/include
/var：这个目录的内容是经常变动的，/var下有/var/log这是用来存放系统日志的目

录,/var/lib用来存放一些库文件，比如MySQL的。

一些重要子目录

/etc/init.d：这个目录是用来存放系统或服务器以SystemV模式启动的脚本，这在以SystemV模式启动或初始化的系统中常见。比如Fedora/RedHat；

/etc/xinit.d:如果服务器是通过xinetd模式运行的，它的脚本要放在这个目录下。有些系统没有这个目录，比如Slackware，有些老的版本也没有。在Rehat/Fedora中比较新的版本中存在。

/etc/rc.d:这是Slackware发行版有的一个目录，是BSD方式启动脚本的存放地；比如定义网卡，服务器开启脚本等。

/etc/X11：这是X-Window相关的配置文件存放地。

比如下面的例子：

                            

[root@localhost ~]# /etc/init.d/sshdstart   注：启动sshd服务器
[root@localhost~]# /etc/init.d/sshd stop 注：停止sshd服务器

这就是典型的sshd服务器SystemV模式启动脚本，通过这运行这个脚本可以启动sshd服务器了。

/usr/bin：这个目录是可执行程序的目录，普通用户就有权限执行；当我们从系统自带的软件包安装一个程序时，他的可执行文件大多会放在这个目录。比如安装gaim软件包时。相似的目录是/usr/local/bin；有时/usr/bin中的文件是/usr/local/bin的链接文件；

/usr/sbin：这个目录也是可执行程序的目录，但大多存放涉及系统管理的命令。只有root权限才能执行；相似目录是/sbin或/usr/local/sbin或/usr/X11R6/sbin等；

/usr/local：这个目录一般是用来存放用户自编译安装软件的存放目录；一般是通过源码包安装的软件，如果没有特别指定安装目录的话，一般是安装在这个目录中。
/usr/share：系统共用的东西存放地，比如/usr/share/fonts是字体目录，是用户都共用的吧。

/usr/src：是内核源码存放的目录，比如下面有内核源码目录，比如linux、linux-2.xxx.xx目录等。有的系统也会把源码软件包安装在这里。比如Fedora/Redhat，当我们安装file.src.rpm的时候，这些软件包会安装在/usr/src/redhat相应的目录中。另外Fedhat4.0 5.0，他的内核源码包的目录位于/usr/src/kernels目录下的某个目录中（只有安装后才会生成相应目录）；

/var/adm:比如软件包安装信息、日志、管理信息等，在Slackware操作系统中是有这个目录的。在Fedora中好象没有；自己看看吧。

/var/log:系统日志存放，分析日志要看这个目录的东西；

/var/spool:打印机、邮件、代理服务器等假脱机目录；

SELinux简介

SELinux全称是SecurityEnhanced Linux，由美国国家安全部(NationalSecurity Agency)领导开发的GPL项目，它拥有一个灵活而强制性的访问控制结构，旨在提高

Linux系统的安全性，提供强健的安全保证，可防御未知攻击，据称相当于B1级的军事安全性能。比MSNT所谓的C2等高得多。

应用SELinux后，可以减轻恶意攻击或恶意软件带来的灾难，并提供对机密性和完整性有很高要求的信息很高的安全保障。SELinux vs Linux普通Linux安全和传统Unix系统一样，基于自主存取控制方法，即DAC，只要符合规定的权限，如规定的所有者和文件属性等，就可存取资源。在传统的安全机制下，一些通过setuid/setgid的程序就产生了严重安全隐患，甚至一些错误的配置就可引发巨大的漏洞，被轻易攻击。

而SELinux则基于强制存取控制方法，即MAC，透过强制性的安全策略，应用程序或用户必须同时符合DAC及对应SELinux的MAC才能进行正常操作，否则都将遭到拒绝或失败，而这些问题将不会影响其他正常运作的程序和应用，并保持它们的安全系统结构。

SELinux的相关配置文件

SELinux的配置相关文件都在/etc/selinux下，其中/etc/selinux/targeted目录里就包含了策略的详细配置和context定义，以下是主要文件及功用：

/etc/selinux/targeted/contexts/*_context默认的context设置
/etc/selinux/targeted/contexts/files/*精确的context类型划分
/etc/selinux/targeted/policy/*策略文件

Apache under SELinux

Apache under SELinux -让Apache跑得顺起来!
对于刚使用RedhatEnterprise Linux 4或FedoraCore 2以上/CentOS4的用户，一定会为Apache经常无法正常运转，报以"Permissiondenied"等错误而大为不解，甚至大为恼火。
其实这是因为这些系统里激活了SELinux，而用户的apache配置与SELinux的配置策略有抵触产生的，只有通过适当调整，使apache的配置和访问符合策略才能正常使用。
现在下面来分析一下SELinux中有关httpd（apache）的context定义（略有删节）

/home/[^/]+/((www)|(web)|(public_html))(/.+)?system_u:object_r:httpd_user_content_t
/var/www(/.*)?system_u:object_r:httpd_sys_content_t
/var/www/cgi-bin(/.*)?system_u:object_r:httpd_sys_script_exec_t
/usr/lib/cgi-bin(/.*)?system_u:object_r:httpd_sys_script_exec_t
/var/www/perl(/.*)?system_u:object_r:httpd_sys_script_exec_t
/var/www/icons(/.*)?system_u:object_r:httpd_sys_content_t
/var/cache/httpd(/.*)?system_u:object_r:httpd_cache_t
/etc/vhosts --system_u:object_r:httpd_config_t
/usr/sbin/httpd --system_u:object_r:httpd_exec_t
/usr/sbin/apache(2)? --system_u:object_r:httpd_exec_t
/usr/sbin/suexec --system_u:object_r:httpd_suexec_exec_t
/var/log/httpd(/.*)?system_u:object_r:httpd_log_t
/var/log/apache(2)?(/.*)?system_u:object_r:httpd_log_t
/var/log/cgiwrap\.log.* --system_u:object_r:httpd_log_t
/var/cache/ssl.*\.sem --system_u:object_r:httpd_cache_t
/var/cache/mod_ssl(/.*)?system_u:object_r:httpd_cache_t
/var/run/apache(2)?\.pid.* --system_u:object_r:httpd_var_run_t
/var/lib/httpd(/.*)?system_u:object_r:httpd_var_lib_t
/var/lib/php/session(/.*)?system_u:object_r:httpd_var_run_t
/etc/apache-ssl(2)?(/.*)?system_u:object_r:httpd_config_t
/usr/lib/apache-ssl(/.*)? --system_u:object_r:httpd_exec_t
/usr/sbin/apache-ssl(2)? --system_u:object_r:httpd_exec_t
/var/log/apache-ssl(2)?(/.*)?system_u:object_r:httpd_log_t
/var/run/apache-ssl(2)?\.pid.* --system_u:object_r:httpd_var_run_t
/var/run/gcache_port -ssystem_u:object_r:httpd_var_run_t
/var/lib/squirrelmail/prefs(/.*)?system_u:object_r:httpd_squirrelmail_t
/usr/bin/htsslpass --system_u:object_r:httpd_helper_exec_t
/usr/share/htdig(/.*)?system_u:object_r:httpd_sys_content_t
/var/lib/htdig(/.*)?system_u:object_r:httpd_sys_content_t

针对上述的内容，可以对如下的几个常见问题进行简单处理：

1.phpmyadmin在非默认/var/www/html目录下无法运转

通常类似的情况都是在配置了虚拟主机时，访问/phpmyadmin等提示403访问拒绝，日志里也提示Permissiondenied，这是因为phpmyadmin防止的目录及文件本身属性不符合context要求。
假设phpmyadmin放在/web目录下，那么执行:
chcon-R -t httpd_user_content_t/web
则会令/web及其下所有子目录/文件，包括phpmyadmin文件都获得了httpd_user_content_t的属性，如果其传统的Unix属性对httpd来说是可读的话，再重新访问一下就应该可以了。

2./home目录下的虚拟主机无法运转

与问题1也是类似的，不过根据上文中context的定义，/home目录下必须是用户的$HOME/www或public_html或web目录才是httpd_user_content_t类型，因此建议将要作为web页面的内容放置在用户的$HOME/www或web或public_html里，并确保其属性是httpd_user_content_t，使用如下命令查看：
ls-Z /home/abc/
drwxr-xr-x abc abc user_u:object_r:user_home_dir_ttmp
drwxrwxr-x abc abc user_u:object_r:httpd_user_contentwww
如不是，则可通过chcon来逐级目录及文件更改，直至最后能访问：
chcon-R -t httpd_user_content_t /home/abc/web
chcon -t user_home_dir_t/home/abc

3.CGI程序无法运行

如果cgi程序放在/var/www/cgi-bin/里也无法执行，遇到403或500错误的话，可以检查cgi程序的属性，按SELinuxcontexts文件里定义的，/var/www/cgi-bin/里必须是httpd_sys_script_exec_t属性。通过ls-Z查看，如果不是则通过如下命令更改：
chcon-t httpd_sys_script_exec_t/var/www/cgi-bin/*.cgi
如果是虚拟主机里的cgi，则参考问题2使之能正常使用普通的功能后，再通过chcon设置cgi文件的context为httpd_sys_script_exec_t即可。

4.Setuid/gid程序无法运行

例如早期的SqWebMail及qmailadmin等，需要setuid/gid的支持，但在SELinux下这将受到严格限制。第一种方法是比较彻底的办法，能保留系统的安全性，通过：
audit2allow-l -i /var/log/messages
将SELinux拒绝的信息转换为相应的policyallow指令，将这些指令添加到SELinuxpolicy的src里相应的配置文件，重新生成policy并加载。但这样做相对比较麻烦。
另一个方法最简单，但将使apache得不到保护。首先确定SELinux类型是targeted的：
cat/etc/selinux/config|grep SELINUXTYPE
然后，使apache脱离SELinux保护：
setsebool-P httpd_disable_trans 1
然后重启动apache：
/etc/init.d/httpdrestart
这样所有apache强制的检查都失效，需要setuid/gid的程序可以正常使用。但这样带来了增加漏洞的危险，对于迫切需要运行而又很急的情况，本方法是一个最大限度减少系统安全缺失的最后办法。对于取消SELinux未必是一个好方法。
　

SElinux的几个相关命令

一.

ps -Z
ls -Z
id -Z

例:
[root@ljjcgi-bin]# ls -Z
-rwxrwxrwx root rootroot:object_r:httpd_sys_script_exec_t a.cgi
-rw-r--r-- root rootroot:object_r:httpd_sys_script_exec_t a.txt
　

二.chcon

修改文件的属性fild1:fild2:fild3

chcon -ufild1 file
chcon -l fild2 file
chcon -t fild3 file

例:
chcon-u root file1

三.getsebool

获取se相关的bool值
例:
[root@ljjcgi-bin]# getsebool -a | grep httpd
httpd_builtin_scripting -->inactive
httpd_disable_trans --> active
httpd_enable_cgi -->active
httpd_enable_homedirs --> active
httpd_ssi_exec -->active
httpd_tty_comm --> inactive
httpd_unified -->inactive

得到了一些与httpd相关的bool值，配置httpd.conf中的user_dir时，要保证这里的httpd_enable_homedirs是active的，还要保证：

chcon -R -t httpd_sys_content_t~user/public_html；

• httpd与selinux之间的关系更多详见：manhttpd_selinux

四.togglesebool

给se的相关bool值取反
例:
toggleseboolhttpd_enable_homedirs