Linux 端口安全

最新推荐文章于 2024-08-02 20:42:33 发布

爱凌寒

最新推荐文章于 2024-08-02 20:42:33 发布

阅读量2.6k

点赞数

分类专栏：技术相关文章标签： linux mozilla 服务器工具 ssh 加密

技术相关专栏收录该内容

15 篇文章 0 订阅

订阅专栏

Linux系统安全是有很多方面来保证的，这里主要介绍Linux端口安全的知识，这里涉及有关Linux端口的设置，这里有些东西是从网上总结出来的，现在拿出来跟大家分享一下。这里一般要注意主机的包漏洞修补,放火墙的设置,关闭危险服务(端口)以及每日的日志分析. 什么是端口一台主机的端口可以分为监听端口与随机取用的高级端口.所谓监听端口就是主机开启了哪些服务,那么这个服务会在Linux系统里启用一个端口来监听客户端的请求.例如FTP服务器,就会开放21号端口,这个端口会一直启用,直到FTP服务关闭为止.所谓随机取用的高级端口就是Linux要向某个主机请求服务时,Linux主机需要启用一个端口来对外连接,那么端口号是多少?Linux会随机取用一个未被使用且端口号大于1024的端口进行连接. 所以server/Client之间的数据传送其实就是端口与端口之间的传送. 总共有多少端口,哪些是保留端口端口编号是由1-65535组成,所以会有65535个端口.一般而言,只有root才可以开启1-1023一内的端口,这些端口就是特殊抟口,用于保留给系统使用.至于大于1024的端口,除了给系统随机取用作为连接需求之外,也可以用来服务的监听之用. 如果1-1023的端口的程序被入侵,那将表示入侵者拥有root的权限,是因为只有root才可以开启1-1023一内的端口.这个时候就要注意主机的安全了. 在Linux中保留端口与它所对应的服务其实已经有了一个对照表,那就是/etc/services文件,可以使用netstat -n以数值方式显示连接状态,使用netatst -tl可以显示当前正在监听的服务名称. /etc/services文件也是某些端口启动时设置端口的重要依据. 要了解所谓的端口与服务对于安全的关系:真正影响面安全的并不是端口,而是启动端口的服务. 所以真正的危害是某些不安全的服务而不是开放的端口.基本上,如果没有必要,就关掉一些用不到的端口,而且服务的版本要持续更新. 如何查看端口 1.需要知道主机当前开了多少端口? 2.了解服务跟端口对应的文件是那一个?/etc/services 介绍查看主机端口最常用的命令: netstat:在本机上检查自己的程序检测端口,没有危险 nmap:在本机上以特殊的检测程序检测自己,可能会违法关闭或启动一个端口要开或关闭一个端口,只需要开启或关闭一个服务即可.所以,当检测完端口后,接下来就是要找出端口所对应的服务,将该服务关掉,就会把端口关掉. 设置开机时启动服务的方法如果以文字方式登录,文字界面的run-level为3,所以就在/etc/rc.d/rc3.d里可以找到服务的启动参数,就是以S开头的文件.如果不要启动一些服务,就将服务对应的文件(以S开头的文件)删除即可. 一般情况下不需要手工删除文件,Linux一般为我们提供了程序可以完成: ntsysv setup 是不是要将所有的Linux默认的服务关闭?因为系统有很多服务是一定要启动的,否则反而变的不安全. 以下列出一些完全没有对外开放端口,但却是系统必须的服务,这些服务不要关闭. atd:在例行命令里提到的,只执行一次的预约执行任务,务必启动 cron:在例行命令里提到的,循环执行的命令,务必启动 iptables:防火墙,无论如何,先启动它 keytables:设置键盘上的字母格式,当然需要读入,否则如何控制 network:网络功能 random:快速使系统在随即时间内保存到映象文件,对系统相当重要,因为在开机之后,系统回迅速回复到关机之前的状态 syslog:在系统日志文件提过,是相当重要的文件,务必启动 xinetd:服务器面理器super deamon,是必须启动的服务之一 xfs:如果使用run-level的图形界面,这个必须启动关闭所有对外开放的端口在装完Linux后,就要将不必要的程序或服务关闭,最重要的是将对外开放的端口先关闭,需要的时候在开启.如果要假设服务器,可以逐个开启这些端口. 1.使用ntsysv设置开机时启动哪些服务一般只选择:atd,cron,iptables,keytables,network,random,syslog,xinetd,xfs(如有图形界面) 2.重新启动 reboot 3.查看当前开启了多少端口 netstat -an 这里就说明了Linux端口安全的所有相关知识。全面介绍Linux重要安全命令（一） Linux重要安全命令这里介绍三个命令passwd、su和umask这三个命令。对于系统管理员一定要熟悉这些有关Linux安全命令。现在我们就开始这个系列的文章，以期待会对您产生一些有意义帮助。一、passwd 1.作用 asswd命令原来修改账户的登陆密码，使用权限是所有用户。 2.格式 asswd [选项] 账户名称 3.主要参数 -l：锁定已经命名的账户名称，只有具备超级用户权限的使用者方可使用。 -u：解开账户锁定状态，只有具备超级用户权限的使用者方可使用。 -x, –maximum=DAYS：最大密码使用时间（天），只有具备超级用户权限的使用者方可使用。 -n, –minimum=DAYS：最小密码使用时间（天），只有具备超级用户权限的使用者方可使用。 -d：删除使用者的密码, 只有具备超级用户权限的使用者方可使用。 -S：检查指定使用者的密码认证种类, 只有具备超级用户权限的使用者方可使用。 4.应用实例 $ passwd Changing password for user cao. Changing password for cao (current) UNIX password: New UNIX password: Retype new UNIX password: passwd: all authentication tokens updated successfully. 从上面可以看到，使用passwd命令需要输入旧的密码，然后再输入两次新密码。二、su 1.作用 su的作用是变更为其它使用者的身份，超级用户除外，需要键入该使用者的密码。 2.格式 su [选项]… [-] [USER [ARG]…] 3.主要参数 -f ， –fast：不必读启动文件（如 csh.cshrc 等），仅用于csh或tcsh两种Shell。 -l ， –login：加了这个参数之后，就好像是重新登陆为该使用者一样，大部分环境变量（例如HOME、SHELL和USER等）都是以该使用者（USER）为主，并且工作目录也会改变。如果没有指定USER，缺省情况是root。 -m， -p ，–preserve-environment：执行su时不改变环境变数。 -c command：变更账号为USER的使用者，并执行指令（command）后再变回原来使用者。 USER：欲变更的使用者账号，ARG传入新的Shell参数。 4.应用实例变更账号为超级用户，并在执行df命令后还原使用者。 su -c df root 三、umask 1.作用 umask设置用户文件和目录的文件创建缺省屏蔽值，若将此命令放入profile文件，就可控制该用户后续所建文件的存取许可。它告诉系统在创建文件时不给谁存取许可。使用权限是所有用户。 2.格式 umask [-p] [-S] [mode] 3.参数－S：确定当前的umask设置。－p：修改umask 设置。 [mode]：修改数值。 4.说明传统Unix的umask值是022，这样就可以防止同属于该组的其它用户及别的组的用户修改该用户的文件。既然每个用户都拥有并属于一个自己的私有组，那么这种“组保护模式”就不在需要了。严密的权限设定构成了Linux安全的基础，在权限上犯错误是致命的。需要注意的是，umask命令用来设置进程所创建的文件的读写权限，最保险的值是0077，即关闭创建文件的进程以外的所有进程的读写权限，表示为-rw——-。在～/.bash_profile中，加上一行命令umask 0077可以保证每次启动Shell后, 进程的umask权限都可以被正确设定。 5.应用实例 umask -S u=rwx,g=rx,o=rx umask -p 177 umask -S u=rw,g=,o= 上述5行命令，首先显示当前状态，然后把umask值改为177，结果只有文件所有者具有读写文件的权限，其它用户不能访问该文件。这显然是一种非常安全的设置。 Linux重要安全命令这个系列第一讲我们就介绍到这里。解决Linux ssh后门问题 Linux ssh后门问题关系到系统的安全，作为Linux系统管理员应该及时解决这一问题，这里先介绍一下这个Linux ssh后门问题，然后具体来说明一下这个问题的解决方法，以帮助管理员处理这一Linux ssh后门。有很多次，我所在的站点需要某人的远程支持，而他却被公司防火强阻挡在外。很少有人意识到，如果能通过防火墙到达外部，那么也能轻松实现让外部的信息进来。从本意讲，这称为 “在防火墙上砸一个洞”。我称之为 SSH 后门。为了使用它，必须有一台作为中介的连接到 Internet 的机器。在本例中，将这样台机器称为 blackbox.example.com。公司防火墙后面的机器称为 ginger。此技术支持的机器称为 tech。下图解释了设置过程。图：在防火墙上砸一个洞以下是操作步骤： 1.检查什么是允许做的，但要确保您问对了人。大多数人都担心您打开了防火墙，但他们不明白这是完全加密的。而且，必须破解外部机器才能进入公司内部。不过，您可能属于 “敢作敢为” 型的人物。自己进行判断应该选择的方式，但不如意时不抱怨别人。 2.使用 -R 标记通过 SSH 从 ginger 连接到 blackbox.example.com。假设您是 ginger 上的根用户，tech 需要根用户 ID 来帮助使用系统。使用 -R 标记将 blackbox 上端口 2222 的说明转发到 ginger 的端口 22 上。这就设置了 SSH 通道。注意，只有 SSH 通信可以进入 ginger：您不会将 ginger 放在无保护的 Internet 上。可以使用以下语法实现此操作： ~# ssh -R 2222:localhost:22 thedude@blackbox.example.com 进入 blackbox 后，只需一直保持登录状态。我总是输入以下命令： thedude@blackbox:~$ while [ 1 ]; do date; sleep 300; done 使机器保持忙碌状态。然后最小化窗口。 3.现在指示 tech 上的朋友使用 SSH 连接到 blackbox，而不需要使用任何特殊的 SSH 标记。但必须把密码给他们： root@tech:~# ssh thedude@blackbox.example.com . 4.tech 位于 blackbox 上后，可以使用以下命令从 SSH 连接到 ginger： thedude@blackbox:~$: ssh -p 2222 root@localhost 5.Tech 将提示输入密码。应该输入 ginger 的根密码。 6.现在您和来自 tech 的支持可以一起工作并解决问题。甚至需要一起使用屏幕！以上就是解决Linux ssh后门问题的详细步骤。介绍一种Linux启动引导加密 Linux启动引导加密是提高Linux安全性的一种措施，这里以RedHat Linux为例来进行Linux启动引导加密的设置，实验是提高我们技术的一种手段，我们一定要亲手试一试这种方法，完成技术的学习。让linux启动引导加密方法 #vi /boot/grub/grub.conf # grub.conf generated by anaconda # # Note that you do not have to rerun grub after making changes to this file # NOTICE: You have a /boot partition. This means that # all kernel and initrd paths are relative to /boot/, eg. # root (hd0,0) # kernel /vmlinuz-version ro root=/dev/sda2 # initrd /initrd-version.img #boot=/dev/sda default=0 timeout=10 splashimage=(hd0,0)/grub/splash.xpm.gz title Red Hat Linux (2.4.18-3) password 12345678 root (hd0,0) kernel /vmlinuz-2.4.18-3 ro root=/dev/sda2 initrd /initrd-2.4.18-3.img ~ ~ “/boot/grub/grub.conf” 17L, 569C written [root@localhost root]# reboot 现以上提示输入：12345678 系统才可以引导注意：远程勿试！以密文方式 [root@localhost root]# grub-md5-crypt Password: $1$jQORq$BbVuVrnQ60b87FlXP/aau/ [root@localhost root]# vi /boot/grub/grub.conf # grub.conf generated by anaconda # # Note that you do not have to rerun grub after making changes to this file # NOTICE: You have a /boot partition. This means that # all kernel and initrd paths are relative to /boot/, eg. # root (hd0,0) # kernel /vmlinuz-version ro root=/dev/sda2 # initrd /initrd-version.img #boot=/dev/sda default=0 timeout=10 splashimage=(hd0,0)/grub/splash.xpm.gz title Red Hat Linux (2.4.18-3) password –md5 $1$jQORq$BbVuVrnQ60b87FlXP/aau/ root (hd0,0) kernel /vmlinuz-2.4.18-3 ro root=/dev/sda2 initrd /initrd-2.4.18-3.img ~ ~ “/boot/grub/grub.conf” 17L, 598C written [root@localhost root]# reboot 这里就进行了Linux启动引导加密的设置。全面解析Linux时钟 Linux时钟和windows时钟有着本质大区别，从概念的分类、使用到设置都与这明显的区别，搞清楚Linux时钟对初学Linux和我们使用Linux服务器有着质的帮助，希望这篇文章能够达到编写的目的。 Linux时钟分类 Windows时钟大家可能十分熟悉了，Linux时钟在概念上类似Windows时钟显示当前系统时间，但在时钟分类和设置上却和Windows大相径庭。和Windows不同的是，Linux将时钟分为系统时钟(System Clock)和硬件(Real Time Clock，简称RTC)时钟两种。系统时间是指当前Linux Kernel中的时钟，而硬件时钟则是主板上由电池供电的那个主板硬件时钟，这个时钟可以在BIOS的“Standard BIOS Feture”项中进行设置。既然Linux有两个时钟系统，那么大家所使用的Linux默认使用哪种时钟系统呢？会不回出现两种系统时钟冲突的情况呢？这些疑问和担心不无道理。首先，Linux并没有默认哪个时钟系统。当Linux启动时，硬件时钟会去读取系统时钟的设置，然后系统时钟就会独立于硬件运作。从Linux启动过程来看，系统时钟和硬件时钟不会发生冲突，但Linux中的所有命令(包括函数)都是采用的系统时钟设置。不仅如此，系统时钟和硬件时钟还可以采用异步方式，即系统时间和硬件时间可以不同。这样做的好处对于普通用户意义不大，但对于Linux网络管理员却有很大的用处。例如，要将一个很大的网络中(跨越若干时区)的服务器同步，假如位于美国纽约的Linux服务器和北京的Linux服务器，其中一台服务器无须改变硬件时钟而只需临时设置一个系统时间，如要将北京服务器上的时间设置为纽约时间，两台服务器完成文件的同步后，再与原来的时钟同步一下即可。这样系统和硬件时钟就提供了更为灵活的操作。设置Linux时钟在Linux中，用于时钟查看和设置的命令主要有date、hwclock和clock。其中，clock和hwclock用法相近，只不过clock命令除了支持x86硬件体系外，还支持Alpha硬件体系。由于目前绝大多数用户使用x86硬件体系，所以可以视这两个命令为一个命令来学习。 1.在虚拟终端中使用date命令来查看和设置系统时间查看系统时钟的操作： # date 设置系统时钟的操作： # date 091713272003.30 通用的设置格式： # date 月日时分年.秒 2.使用hwclock或clock命令查看和设置硬件时钟查看硬件时钟的操作： # hwclock –show 或 # clock –show 2003年09月17日星期三 13时24分11秒 -0.482735 seconds 设置硬件时钟的操作： # hwclock –set –date=”09/17/2003 13:26:00″ 或者 # clock –set –date=”09/17/2003 13:26:00″ 通用的设置格式：hwclock/clock –set –date=“月/日/年时：分：秒”。 3.同步系统时钟和硬件时钟 Linux系统(笔者使用的是Red Hat 8.0，其它系统没有做过实验)默认重启后，硬件时钟和系统时钟同步。如果不大方便重新启动的话(服务器通常很少重启)，使用clock或hwclock命令来同步系统时钟和硬件时钟。硬件时钟与系统时钟同步： # hwclock –hctosys 或者 # clock –hctosys 上面命令中，–hctosys表示Hardware Clock to SYStem clock。系统时钟和硬件时钟同步： # hwclock –systohc 或者 # clock –systohc 使用图形化系统设置工具设置时间对于初学者来，笔者推荐使用图形化的时钟设置工具，如Red Hat 8.0中的日期与时间设置工具，可以在虚拟终端中键“redhat-config-time”命令，或者选择“K选单/系统设置/日期与时间”来启动日期时间设置工具。使用该工具不必考虑系统时间和硬件时间，只需从该对话框中设置日期时间，可同时设置、修改系统时钟和硬件时钟。 Internet同步时钟设置在Windows XP日期与时间设置中有一项与Internet同步的功能，有了这项功能只要上网便可得到十分准确的时间。Red Hat 8.0也提供了这样的功能，在日期与时间设置工具对话框中的下部，有一个“启用网络时间协议”的选项，将该项选中就可以使用网络时间协议来同步Linux时钟。选中该项后，其下面的服务器下拉列表框就变为可用状态，可从中选择一个时间服务器作为远程时间服务器。然后单击确定按钮，便可连接所设定的时间服务器，并与之同步时间。详细解析Linux密码破解问题大家都说Linux系统安全性比较高但是并不是说无懈可击，Linux密码破解是一种特殊的做法来完成这一目的的。现在这里是解决Redhat Linux的一个问题，在其他发行版本上还没做实验。有兴趣可以试一试这个Linux密码破解方法。 linux安装完毕后会有一个root用户。那么如何在不知道密码的情况下修改掉root用户的密码呢？本系统使用RedHat Linux 安装环境是vmware 6.0 使用GRUB引导。方法如下： 1.在grub引导界面中按“e”进入grub的编辑模式。 2.编辑模式下选择第二项，即：“kernel /vmlinuz-2.4.20-8 ro root=LABEL=/”。然后再按“e”编辑此项。 3.在后面加上“ single”(注意：前面有一个空格)。然后回车，再按“b”这样就启动了linux的单用户模式。 4.由于是单用户模式，所以不需要密码。启动完毕后，在提示符下（注意这时提示符是sh-2.05b#之类的，不是以前的提示符了）输入：“passwd root”（passwd是修改用户密码的命令。）。然后根据提示修改密码就可以了。（有时会提示bad password，没有关系的。主要是设置的密码过于简单或者是常见的单词的原因。） 5.重启，正常进入。OK，root密码被修改了。我们就完成了Linux密码破解的工作。全面总结查看Linux全部硬件信息 Linux全部硬件信息是我们使用这一系统时关注的一个重点，这里介绍产看CPU、内存大小、硬盘、网卡等等。Linux全部硬件信息查看要注意每个命令后面所跟的参数，参数不同效果不同。 1、如何查看CPU类型以及相关特性？方法一： Linux下CPU相关的参数保存在 /proc/cpuinfo 文件里，查看文件内容，即可知道CPU相关的技术参数。方法二：采用命令 dmesg | grep CPU 可以查看到相关CPU的启动信息查看CPU的位数可以这样 getconf LONG_BIT，不是32位就是64位了：） 2、如何查看内存大小以及使用情况？方法一：直接查看 /proc/meminfo 文件方法二：使用 free -m 命令查看，如下： [root@miix proc]# free -m total used free shared buffers cached Mem: 748 738 9 0 121 304 -/+ buffers/cache: 313 435 Swap: 768 0 768 可以看到总内存为748M，使用了738M，空闲9M，交换空间768M还没使用。其实我的物理内存是768M的，一些内存和显卡共享了。方法三：使用 top 命令也可以看到实时的内存使用情况。 3、如何查看硬盘型号以及相关参数？方法一： fdisk -l 可以看到系统上的磁盘(包括U盘)的分区以及大小相关信息。方法二：直接查看 /proc/partitions 文件。方法三：通过命令 hdparm -i /dev/hda 获取硬盘详细物理参数 4、如何查看网卡相关信息？方法一： ethtool eth0 采用此命令可以查看到网卡相关的技术指标（本人测试过不一定所有网卡都支持此命令） ethtool -i eth1 加上 -i 参数查看网卡驱动可以尝试其它参数查看网卡相关技术参数方法二：也可以通过 dmesg | grep eth0 等看到网卡名字(厂家)等信息通过查看 /etc/sysconfig/network-.s/ifcfg-eth0 可以看到当前的网卡配置包括IP、网关地址等信息。当然也可以通过ifconfig命令查看。 5、如何查看USB设备相关信息？方法一：其实通过 fdisk -l 命令可以查看到接入的U盘信息，本人的U盘信息如下： Disk /dev/sda: 2012 MB, 2012217344 bytes 16 heads, 32 sectors/track, 7676 cylinders Units = cylinders of 512 * 512 = 262144 bytes Device BootStartEndBlocksId System /dev/sda1* 16 7676 1961024 b W95 FAT32 U盘的设备文件是 /dev/sda，2G大小，FAT32格式。如果用户登陆的不是Linux图形界面，U盘不会自动挂载上来。此时可以通过手工挂载(mount)： mount /dev/sda1 mount_point 以上命令将U盘挂载到当前目录的 mount_point 目录，注意挂的是 sda1 不是 sda。卸载命令是 umount mount_point Linux默认没有自带支持NTFS格式磁盘的驱动，但对FAT32支持良好，挂载的时候一般不需要 -t vfat 参数。如果支持ntfs，对ntfs格式的磁盘分区应使用 -t ntfs 参数。如果出现乱码情况，可以考虑用 -o iocharset=字符集参数。可以通过 lsusb 命令查看 USB 设备信息哦： [root@miix tmp]# lsusb Bus 001 Device 001: ID 0000:0000 Bus 002 Device 001: ID 0000:0000 Bus 003 Device 001: ID 0000:0000 Bus 004 Device 002: ID 0951:1613 Kingston Technology Bus 004 Device 001: ID 0000:0000 6、如何查看光盘相关信息？方法一：插入CD光碟后，在本人的RHEL5系统里，光碟文件是 /dev/cdrom，因此只需 mount /dev/cdrom mount_point 即可。 [root@miix tmp]# mount /dev/cdrom mount_point mount: block device /dev/cdrom is write-protected, mounting read-only 其实仔细看一下，光驱的设备文件是 hdc [root@miix tmp]# ls -l /dev/cdrom* lrwxrwxrwx 1 root root 3 01-08 08:54 /dev/cdrom -> hdc lrwxrwxrwx 1 root root 3 01-08 08:54 /dev/cdrom-hdc -> hdc 因此我们也可以这样 mount /dev/hdc mount_point 如果光驱里没放入有效光盘，则报错： [root@miix tmp]# mount /dev/hdc mount_point mount: 找不到介质 7、如何挂载ISO文件？方法： mount -o loop *.iso mount_point 8、如何查看主板信息？使用命令 lspci 即可详细解析Linux目录结构 Linux目录结构是和windows有大不同的设计，这很容易让初学者搞不明白，这里是个人总结的一些知识点，讲解Linux目录结构包括文件类型和一些重要的文件子目录。 linux文件系统的最顶端是/，称为linux的root，所有的目录、文件、设备都在/之下。文件类型 linux有四种基本文件系统类型：普通文件、目录文件、连续文件和特殊文件。可以用file命令来识别。普通文件：如文本文件、c语言源代码、shell脚本等，可以用cat、less、more、vi等来察看内容，用mv来改名。目录文件：包括文件名、子目录名及其指针。可以用ls列出目录文件链接文件：是指向一索引节点的那些目录条目，用ls来查看时，链接文件的标志用l开头，而文件后以”->”指向所链接的文件特殊文件：如磁盘、终端、打印机等都在文件系统中表示出来，常放在/etc目录内。例如：软驱A称为/dev/fd0，/dev/had来自第一硬盘。 /bin：存放系统所需要的那些命令，比如ls、cp、mkdir等命令；功能和/usr/bin类似，这个目录中的文件都是可执行的、普通用户可以使用的命令。 /boot：这是Linux的内核及引导系统程序所需要的文件目录，比如initrd.img等文件都位于这个目录中，grub系统引导管理器也位于这个目录。 /dev：设备文件存储目录，比如声卡、磁盘。 /etc：系统配置文件的所在，一些服务器的配置文件也在这里；比如用户帐号及密码配置文件。 /home：普通用户目录默认存放目录。 /lib：库文件存放目录 /lost+found：当系统意外崩溃或机器意外关机，而产生一些文件碎片放在这里。当系统启动的过程中fsck公交会检查这里，并修复已经损坏的文件系统。 /mnt：这个目录是用于存放挂载储存设备的挂载目录的。比如有cdrom等目录。/etc/fatab /opt：表示的是可选择的意思，有些软件包也会被安装在这里，也就是自定义软件包。 /proc：操作系统运行时，进程信息及内核信息存放在这里。proc并不是真正的文件系统，它的定义可以参见/etc/fstab /root：linux超级权限用户root的目录。 /sbin：大多是涉及系统管理的命令的存放，是超级权限用户root的可指向命令存放地，普通用户无权限执行这个目录下的命令，这个目录和/usr/sbin;/usr/local/sbin目录是相似的。凡是目录sbin中包含的都是root权限才能执行的。 /tmp：临时文件目录，有时用户运行程序的时候，会产生临时文件。这个目录和/var/tmp目录相似。 /usr：这个是系统存放程序的目录，比如命令、帮助文件等。当我们安装一个linux发行版官方提供的软件包时，大多安装在这里。如果有涉及服务器配置文件的，会把配置文件安装在/etc目录中。/usr目录下包括设计字体目录/usr/share/fonts,帮助目录/usr/share/man 或/usr/share/doc，普通用户可执行文件目录/usr/bin或/usr/local/bin；超级权限用户root可执行命令存放目录，比如/usr/sbin或/usr/local/sbin等，还有程序的头文件存放目录/usr/include /var：这个目录的内容是经常变动的，/var下有/var/log这是用来存放系统日志的目录。/var/lib用来存放一些库文件，比如MySQL的。 /media：本目录是空的，是用于挂载的。 /selinux：不知道到底是怎么用的！！！ /srv：一些服务需要访问的文件存放在这 /sys：系统的核心文件 /cdrom：光驱一些重要子目录： /etc/init.d：这个目录是用来存放系统或服务器以System V模式启动的脚本。 /etc/X11：这是X-Window相关的配置文件存放地。 /usr/bin：这个目录是可执行程序的目录，普通用户就有权限执行；当我们从系统自带的软件包安装一个程序时，他的可执行文件大多会放在这个目录。 /usr/sbin ：这个目录也是可执行程序的目录，但大多存放设计系统管理的命令，只有root权限才能执行。 /usr/local：这个目录一般是用来存放用户自编译安装软件的存放目录；一般是通过源码包安装的软件，如果没有特别指定安装目录的话，一般是安装在这个目录中。 /usr/share：系统共用的东西存放地。 /usr/src：内核源码存放的目录。这是收集的比较全面的介绍Linux目录结构的知识了。详细讲述Linux用户组管理方案在Linux系统管理中，Linux用户组管理方案是解决对一组用户管理的方法。不同Linux系统对用户组的规定有所不同，如Linux下的用户属于与它同名的用户组，这个用户组在创建用户时同时创建。用户组的管理涉及用户组的添加、删除和修改。组的增加、删除和修改实际上就是对/etc/group文件的更新。 1、增加一个新的用户组使用groupadd命令。其格式如下： groupadd选项用户组可以使用的选项有： -gGID指定新用户组的组标识号（GID）。 -o一般与-g选项同时使用，表示新用户组的GID可以与系统已有用户组的GID相同。]例1： #groupaddgroup1此命令向系统中增加了一个新组group1，新组的组标识号是在当前已有的最大组标识号的基础上加1。例2： #groupadd-g101group2 此命令向系统中增加了一个新组group2，同时指定新组的组标识号是101。 2、如果要删除一个已有的用户组，使用groupdel命令，其格式如下： groupdel用户组例如： #groupdelgroup1 此命令从系统中删除组group1。 3、修改用户组的属性使用groupmod命令。其语法如下： groupmod选项用户组常用的选项有： -gGID为用户组指定新的组标识号。 -o与-g选项同时使用，用户组的新GID可以与系统已有用户组的GID相同。 -n新用户组将用户组的名字改为新名字例1： #groupmod-g102group2 此命令将组group2的组标识号修改为102。例2： #groupmod–g10000-ngroup3group2 此命令将组group2的标识号改为10000，组名修改为group3。 4、如果一个用户同时属于多个用户组，那么用户可以在用户组之间切换，以便具有其他用户组的权限。用户可以在登录后，使用命令newgrp切换到其他用户组，这个命令的参数就是目的用户组。例如： $newgrproot 这条命令将当前用户切换到root用户组，前提条件是root用户组确实是该用户的主组或附加组。类似于用户账号的管理，用户组的管理也可以通过集成的系统管理工具来完成。 Linux用户组管理方案这里就解决了同时对一个组的成员进行关了的解决方案。怎么检查Linux安全漏洞 Linux系统号称是比较安全的系统，但是Linux安全漏洞还是存在的，既然存在安全漏洞的，在这个网络世界中有漏洞就意味着有危险，怎么减少自己系统的漏洞呢？那就得先检查出有哪些漏洞。无论你是否用过Bastille UNIX工具，以便手动加固你的Linux系统，或者只是想对目前系统的状态进行快照，你需要使用BackTrack。这是款基于Slackware Linux的版本，通过启动CD或虚拟机镜像(VMI)运行。在官方的第三个版本(如果你计算最新发布的就是第四版)，BackTrack含有方便的安全工具，用于检测Linux系统里的漏洞。本着“黑客入侵”的精神，BackTrack集成这种通常的安全测试方法： BackTrack包含利基安全工具，很难下载、编译和安装。无论你是Linux技术专家或新手，很难下载完整版本的Linux与安全测试工具。BackTrack的主要接口如下图所示：使用BackTrack测试内部Linux系统的常用安全评估情景如下：使用fping识别活动主机使用nmap识别操作系统和检测打开的端口使用amap识别正在运行的应用使用SAINT查找Linux安全漏洞使用Metasploit开发操作系统和应用漏洞 Linux的集中可能性是无穷的。此外，BackTrack包括广泛的数据库、Web和无缝工具的设置，用于查找和挖掘Linux宣称之外的系统缺陷。它甚至包含内置的HTTP、TFTP、SSH和VNC设备，在漏洞验证和分析期间使用。并且，如果你有这样的需求，BackTrack也能集成数字取证工具。事实上，使用Autopsy和Sleuthkit这样的工具对于“倒回”黑客技术，进一步坚强的你安全技能是很好的。我一直是使用好的商业安全测试工具的支持者，不过你可能不再使用付费工具。实际上，BackTrack工具不止是够好，她其实非常不错，尤其是精心的报道和正在遭遇漏洞的管理不是你首要考虑的。我将继续在安全评估方面使用商业工具。介绍一种Linux启动引导加密 Linux启动引导加密是提高Linux安全性的一种措施，这里以RedHat Linux为例来进行Linux启动引导加密的设置，实验是提高我们技术的一种手段，我们一定要亲手试一试这种方法，完成技术的学习。让linux启动引导加密方法 #vi /boot/grub/grub.conf # grub.conf generated by anaconda # # Note that you do not have to rerun grub after making changes to this file # NOTICE: You have a /boot partition. This means that # all kernel and initrd paths are relative to /boot/, eg. # root (hd0,0) # kernel /vmlinuz-version ro root=/dev/sda2 # initrd /initrd-version.img #boot=/dev/sda default=0 timeout=10 splashimage=(hd0,0)/grub/splash.xpm.gz title Red Hat Linux (2.4.18-3) password 12345678 root (hd0,0) kernel /vmlinuz-2.4.18-3 ro root=/dev/sda2 initrd /initrd-2.4.18-3.img ~ ~ “/boot/grub/grub.conf” 17L, 569C written [root@localhost root]# reboot 现以上提示输入：12345678 系统才可以引导注意：远程勿试！以密文方式 [root@localhost root]# grub-md5-crypt Password: $1$jQORq$BbVuVrnQ60b87FlXP/aau/ [root@localhost root]# vi /boot/grub/grub.conf # grub.conf generated by anaconda # # Note that you do not have to rerun grub after making changes to this file # NOTICE: You have a /boot partition. This means that # all kernel and initrd paths are relative to /boot/, eg. # root (hd0,0) # kernel /vmlinuz-version ro root=/dev/sda2 # initrd /initrd-version.img #boot=/dev/sda default=0 timeout=10 splashimage=(hd0,0)/grub/splash.xpm.gz title Red Hat Linux (2.4.18-3) password –md5 $1$jQORq$BbVuVrnQ60b87FlXP/aau/ root (hd0,0) kernel /vmlinuz-2.4.18-3 ro root=/dev/sda2 initrd /initrd-2.4.18-3.img ~ ~ “/boot/grub/grub.conf” 17L, 598C written [root@localhost root]# reboot 这里就进行了Linux启动引导加密的设置。介绍十个Linux新手知识点这里总结Linux新手知识点以供初学者来加快了解Linux系统。Linux新手知识点这十个是必须要知道的，而且了解这些知识点对于以后学习Linux知识会有帮助。 1.Linux是大小写敏感的系统，举个例子，Mozilla,MOZILLA, mOzilla和mozilla是四个不同的命令（但是只有第四个mozilla是真正有效的命令）。还有，my_filE,my_file,和 my_FILE是三个不同的文件。用户的登录名和秘密也是大小写敏感的（这是因为UNIX系统和C语言的传统一向是大小写敏感所致）。 2.文件名最多可以有256个字符，可以包含数字，点号”.”，下划线”_”，横杆”-”，加上其他一些不被建议使用的字符。 3.文件名前面带”.”的文件在输入”ls”或者”dir” 命令时一般不显示。可以把这些文件看作是隐含文件，当然你也可以使用命令”ls –a”来显示这些文件。 4.“/”对等于DOS下的”/”(根目录，意味着所有其他目录的父目录，或者是在目录之间和目录和文件之间的一个间隔符号)。举个例子，cd /usr/doc。 5.在Linux系统下，所有的目录显示在单一目录树下（有别于DOS系统的驱动器标识）。这意味着所有的物理设备上的所有文件和目录都合并在单一的目录树下。 6.在配置文件里，以#打头的行是注释行。在修改配置文件的时候尽量不要删除旧的设置――可以把原来的设置加上”#”变成注释行，总是在修改地方对应地加入一些关于修改的注释，你会发觉在以后的管理中获益多多。 7.Linux是继承性的多用户操作系统。你的个人设定（和其他用户的个人设定）放在你的主目录下（一般是/home/your_user_login_name）。许多的配置文件的文件名都以”.”开头，这样用户一般看不到这些文件。 8.整个系统范围的设定一般放在目录/etc下。 9.和其他的多用户操作系统类似，在Linux下，文件和目录有自己的拥有者和访问权限。一般来说，你只被允许文件到你的主目录下（/home /your_user_login_name）。学习一些关于文件权限管理的相关知识，否则你肯定会觉得Linux实在很麻烦。 10.命令参数选项一般由”-”引导，后面跟一个字符（或者”–“,当选项超过一个字符时）。这样,”-”有点象DOS下的”/”。举个例子，输入命令 rm –help。