一、linux 操作系统的简单应用
1.1 linux 的文本模式介绍
第一列 root 代表当前用户
第二列 localhost 代表主机名
第三列~代表当前所在的目录 ~家目录 home 目录
linux 的命令可以补全目录和文件名,如果不能补全双击 tab 键可以显示出要选择的命令
1.2 linux 的登陆与登出
login 登入系统
logout 登出系统
exit 注销当前用户
clear 清屏命令
1.3 linux 的关 机shutdown 关 机 命 令 shutdown now 立即进入维护模式
halt 直接关机
shutdown -h now 立即关机 shutdown -h 20:00& 20:00 关闭计算机
shutdown -r now 立即重新启动计算机 shutdown -r 20:00& 20:00 重新启动计算机
shutdown -k 3 warning:system will shutdown! 只是发送消息给所以用户 3 分钟后进入维护模式shutdown +3 "system will shutdown after 3 minutes!" 发送消息给所以用户 3 分钟后进入系统维护模式
1.4 linux 的 Init 进程
Init 是 Linux 操作系统中不可缺少的程序之一。init 进程是 Linux 内核引导运行的,是系统中的第一个进程,其进程号(PID)永远为 1。
#0 停机(千万不能把 initdefault 设置为 0)
#1 单用户模式
#2 多用户,没有 NFS(和级别 3 相似,会停止部分服务)
#3 完全多用户模式
#4 没有用到
#5 x11(Xwindow)
#6 重新启动(千万不要把 initdefault 设置为 6)
1.5 查看linux系统信息
hostname 显 示 主 机 名 hostname eduask 修改主机名为 eduask
uname 显示系统及版本信息
-a 显示系统及版本的所有信息
-s 显示内核名称
-n 显示网络节点名称(完整的计算机名称)
-r 显示内核发行版本
-v 显示内核版本信息
-m 显示计算机类型
-o 显示操作系统的类型
--version 显示系统发行版本信息
--help 系统命令的帮助信息和参数含义
1.6 linux 下查看用户信息
whoami 显示当前用户
who 当前系统所登陆的用户,以及所登录的控制台
w 当前系统所登陆的用户,以及所登录的控制台的详细信息
二、linux 的常用命令
1 目录命令
2.1 改变目录 cd
目录的表达方法
/根目录
.当前目录
.. 上一级目录
~家目录
#cd / 进入到系统根目录 #cd . 进入当前目录
#cd .. 进入当前目录的父目录,返回上层目录 #cd /tmp 进入指定目录/tmp
#cd ~ 进入当前用户的家目录
#cd 进入当前用户的家目录 #cd - 回到刚才所在的目录
2.2 显示当前所在目录 pwd
pwd 显示当前所在目录的路径
2.3 显示文件或目录的属性 ls
(dir) #dir 显示当前目录的内容(无颜色)
#ls 显示当前目录的内容(有颜色) #ls /tmp 显示指定目录/tmp 的内容
#ls -l 列出文件和文件夹的基本属性和详细信息
#ll 列出文件和文件夹的基本属性和详细信息
#ls -a 列出当前目录的全部内容,包括隐藏文件(在文件和文件夹前面加“.”隐藏) #ls -l -a 列出当前目录的全部文件和文件夹的基本属性和详细信息
#ls -la 列出当前目录的全部文件和文件夹的基本属性和详细信息 #ll -a 列出当前目录的全部文件和文件夹的基本属性和详细信息
#ls -A 列出当前目录的全部内容,包括隐藏文件,不显示“.”和“..” #ls --help 列出 ls 命令的帮助内容
#ls a2* 列出以 a2 开头的文件和文件夹
#ls -l a2* 列出以 a2 开头的文件和文件夹的基本属性和详细信息
文件和文件夹(蓝色代表目录, 白色代表文件,黄色代表设备文件,红色代表压缩文件,绿色代表可执行文件,浅蓝色代表链接文件)linux 是以属性来控制文件是否能执行。
2.4 创建目录 mkdir
mkdir dir1 在当前目录下创建 dir 子目录mkdir /tmp/dir2 在指定目录/tmp 下创建 dir2 子目录
mkdir -p dir3/dir4 在当前目录下创建 2 级目录 dir3 和其子目录 dir4 mkdir -p /dir5/dir6 在根目录下创建 2 级目录 dir5 和其子目录 dir6
mkdir dir7 dir8 dir9 在当前目录下创建 3 个目录 dir7 dir8 dir9,以空格隔开
2.5 创建空文本文件 touch
#touch file1 在当前目录下创建 file1 文件#touch /tmp/file2 在指定目录/tmp 下创建 file2 文件
2.6 复制文件命令 cp
#cp file2 /tmp 复制 file2 文件到/tmp 目录下
#cp /tmp/file2 /home 复制/tmp/file2 文件到/home 目录下
#cp /home/file2 /tmp/file3 复制/home/file2 到/tmp 目录下并改名为 file3 #cp -p /tmp/file3 /home 复制/tmp/file3 到/home 目录下并复制文件属性#cp -r /dir5 /tmp 复制/dir5 目录到/tmp 下
2.7 移动文件或目录命令 mv
#mv file4 /tmp 移动 file4 文件到/tmp 目录下
#mv /home/file3 /tmp 移动/home/file3 文件到/tmp 目录下
#mv /home/file3 /tmp/file5 移动/home/file3 文件到/tmp 目录下并改名为 file5 #mv file3 file4 将 file3 改名为 file4
#mv dir10 /tmp 移动目录到/tmp 下
#mv dir10 dir11 讲 dir10 目录改名为 dir11
2.8 删除文件命令 rm
#rm file1 删除文件 file1
#rm -f file1 不用确认直接删除 file1 #rm -f file1 file2 file3 不用确认同时删除多个文件
#rm /tmp/file1 删除指定目录/tmp 下的文件 file1
#rm fi* 删除以 fi 开头的文件
#rmdir 删除空目录
#rm -r dir 递归的方式删除非空目录 dir
#rm -rf dir 不用确认直接删除非空目录 dir
2.9 查看文件内容命令 cat
#cat /etc/passwd 查看/etc/passwd 文件#cat /etc/passwd |more 分屏查看文件内容
#cat /etc/passwd |less 分屏查看文件内容,可以上下翻页,“q”退出
2.10 查找文件命令 find
#find pass* 在当前目录下查找以 pass 开头的文件#find /etc/pass* 在/etc 目录中查找以 pass 开头的文件
#find /etc/pass* -print 在/etc 目录中查找以 pass 开头的文件,并显示出来
2.11 在文件内容中查找关键字 grep
#grep “rpm” /etc/passwd 在/etc/passwd 文件中查找关键字 rpm
2 vi 文本编辑器
2.1 vi 的两种模式
1、命令模式 vi 的默认进入状态(不可以输入字符,但可以对字符进行操作,复制,移动、删除等操作)
2、输入模式 输入字符状态(只可以输入和使用 del 和退格 backspace 键删除文字)
2.2 vi 的启动和退出
#vi file 编辑 file 文件
#vi /tmp/file1 编辑指定目录/tem 下的 file1 文件
:w 保存修改
:q 退出 vi
:wq 保存并退出
:q! 强行退出 vi,不保存修改
2.3 vi 命令模式下的操作
:set nu 设置行号
:set nonu 取消设置行号
删除字符
x 键或 del 键
7x 删掉光标后面的 7 个字符
dw 删除一个词(剪切) dd 删除行(剪切)
4dd 删除 4 行(剪切)
复制操作
yw 复制一个词
yy 复制光标所在的行
4yy 复制光标所在行的下面 4 行
粘贴操作
p 粘贴在光标所在的下一行(如果粘贴词的话,粘贴在光标字符的后面)
撤销操作
u 撤销,可以撤销到最近的一次保存的状态
:e! 恢复到文档的初始状态
光标快速定位
G 光标到达行末
7G 快速找到第 7 行
/adm 简单搜索,快速定位光标到光标后的第一个 adm 单词的位置,当到行末没有的话,返回从头开始查找(类似于 word 的查找)
技巧
让行号永久生效
进入该用户的家目录,在目录下创建 1 个文件,“.vimrc”内 容 :set nu
替换内容
:7,12 s/:/? 把第 7-12 行中每一行的第一个:改成?
:7,12 s/:/?/g 把第 7-12 行中的:全部改成?
2.4 进入和退出输入模式
i 在光标之前输入文字
ESC 退出
a 在光标之后输入文字
A 在行尾插入文字
o 光标下面插入 1 行空行
O 在光标上面插入 1 行空行
三 linux 的文件系统
3.3 linux 下的目录和文件类型
在查看文件的基本属性的时候,每一行的第一位,也就是权限位之前的那一位表示文件的类型:
- 代表普通文件
d 代表目录文件
l 代表链接文件
p 代表管道文件
以及其他的 s、b、c 等特殊文件
文件的扩展名(后缀)
文件的后缀名主要是方便用户和系统识别,例如:“.jpg”“.mp3”用户看到可以知道.jpg 是图片文件,而.mp3 是音频文件;系统读取的时候可以用来识别与哪些程序关联。以方便双击打开。对系统内部来说, 扩展名没有太大的意义。
3.4 linux 文件系统和 windows 文件系统的对比
LINUX:存储设备在文件系统层次结构中,以目录表示;用正斜杠/分割目录;文件名不需要后缀;每个文 件/目录都有与之相关的权限和所有权
WINDOWS:驱动器以字母表示;用反斜杠\分割目录;文件名的后缀有特殊含义;安全特性各不相同
3.5 linux 系统下的默认目录
/bin
/boot
/dev
/etc
/home
/media
/root
/sbin
/tmp
/usr
/var
3.6 linux 的目录与文件的权限
3.6.1 权限的类型
1 代表执行,2 代表写,3 代表 1+2,4 代表读,5 代表 1+4,6 代表 2+4,7 代表 1+2+4
3.6.2 三组、九位权限位
|
u |
属主 |
前三位 |
文件的主人(文件的所有者) |
|
g |
属组 |
中间三位 |
文件主人所在的组(文件所有者所在的组) |
|
o |
其他用户 |
后三位 |
除了 u 和 g 以外的用户 |
3.6.3 更改目录、文件的权限值
chmod 命 令
1、数值表示法 chmod 数值 文件名/目录名
chmod 766 dir1 将目录 dir1 的权限更改为 4+2+1 4+2 4+2
chmod 777 file1 将文件 file1 的权限更改为 4+2+1 4+2+1 4+2+1
2、字母描述法 chmod?? 属主(或属组或其他人或所有的)=(或者+或者-)权限 文件名/目录名chmod u=r file1 给文件的属组赋予读取权限
chmod u=wx file1 给文件的属组赋予写和执行权限 chmod g+rw file1 给文件的属组增加读写权限chmod g-rw file1 给文件的属组去掉读写权限
chmod o=rw file1 给文件的其他用户的权限改为读写 chmod a+rwx file1 给所有用户增加读写和执行权限
3.6.4 系统的 umask 值
umask 值可以计算,当创建目录或文件时系统默认分配的权限。创建文件的默认权限是 666 减掉权限位数值,目录的默认权限是 777 减掉权限位的数值。
[[email protected] ~]umask 0022
查看系统默认的 umask 值为 0022,第一位 0 代表粘贴位,第 2-4 位代表权限位这样系统默认创建文件的权限为 666-022 为 644 为属主读写,属组读,其他读
系统默认创建文件夹的权限位 777-022 为属主读写执行,属组读执行,其他读执行
3.6.5 粘贴位:(sticky)
当一个目录被设置为"粘着位"(用 chmod a+t),则每个用户可以以完整的权限来使用和执行文件或目录,但是该目录下的文件只能由:
一、超级管理员删除
二、该目录的所有者删除三、该文件的所有者删除
setUID 用户特殊权限位
当设置用户特殊权限位时,用户在执行这个文件时便拥有是属主的权限,便可以使用属主用户所能使用的所有系统资源。
setGID 组的特殊权限位
当设置组的特殊权限位的时候,用户在执行这个文件时便拥有文件属组的权限,便可以使用文件属组所能使用的系统资源。
用户在无特殊要求时,一般情况下,出于安全考虑,不要开启这些权限。
Suid 对应数值为 4
Sgid 对应数值为 2
t 对应数值为 1
特殊权限位在设置过程中占用 x 权限位,如果同时开启 x 权限,则用小写来表示,如果关闭 x 权限则用大写来表示。
设 置 举 例 : chmod 1666 dir1
drw-rw-rwT root root 4096 dec 17 19:05 dir1
更改 dir1 的权限,增加粘贴位权限,属主为读写,属组为读写,其他用户为读写chmod 2666 dir1
drw-rwSrw- root root 4096 dec 17 19:05 dir1
更改 dir1 的权限,增加组位特殊权限,属主为读写,属组为读写,其他用户为读写
chmod 7777 dir1
drwsrwsrwt root root 4096 dec 17 19:05 dir1
更改 dir1 的权限,增加粘贴位权限,用户和组位特殊权限,属主为读写执行,属组为读写执行,其他用户为读写执行
3.6.6 更改目录或是文件的属主或属组
必须由文件或目录的属主或超级用户才能修改!!!
chown 命令更改目录或文件的属主和属组
chown u1 dir1 将当前目录下的 dir1 目录的属主改为 u1
chown u2.g1 dir1 将当前目录下的 dir2 目录的属主改为 u2 属组改为 g1
-R 递归式改变指定目录及目录下所有文件和子目录
-v 显示 chown 命令所做的工作
可以以空格分开,同时更改多个目录或文件,并且支持通配符来修改多个文件或目录,支持用户和组的
ID 来修改
chgrp 命令更改目录或文件所属的组chgrp g1 dir2 将 dir2 的属组更改为 g2
以空格分开,同时更改多个目录,并且支持通配符来修改多个目录和文件,支持用户和组的 ID 来修改
-R 递归式改变指定目录及目录下所有文件和子目录
第五章.linux 下的用户和组的管理
5.1 linux 系统下用户角色
在 linux 系统下用户的角色不同,权限和所能完成的任务也不同,用户角色是通过 UID 来识别的, 注意:在 linux 下要注意 root 用户的 UID 的唯一性。
1、Root
系统管理员超级用户,系统唯一,可以登陆系统,可以操作任何文件和命令,拥有最高权限,UID 值
为 0
2、虚拟用户
与真实的用户分开来,这类用户不能登陆系统,但是在使用某些服务的时候使用,这类用户是系统默认添加的。
3、普通真实用户
这类用户可以登陆系统,但是只能操作自己家目录的内容,受限账户,这类用户都是管理员自行添加
的。
5.1.1 用户相关文件介绍
在 windows 当中可以使用计算机管理工具中的用户和组的管理工具来对用户进行管理,在 linux 下是
通过对用户配置文件(区别与 windows 中的用户配置文件)的管理来实现对用户和组的管理
1、/etc/passwd 用户账号文件,记录所有用户记录
每行表示一个用户信息,7 个字段都有各自的含义
root : x : 0 : 0 : root : /root : /bin/bash
用户名 密码 UserID GroupID 用户相关说明 用户家目录路径 用户的登陆 shell
2、/etc/shadow 用户账户的影子文件,包含用户的加密密码和其他信息,两个文件互补来记录用户信息,这个文件只有 root 可以读取和操作
每行包含 8 个字段,各项说明如下: 第 1 个字段 用户名
第 2 个字段 加密口令
第 3 个字段 上次口令改变时间,从 1970 年 1 月 1 日算起的天数第 4 个字段 多少天内不能改变口令
第 5 个字段 多少天内必须改变口令
第 6 个字段 口令到期前多少天会出现警告
第 7 个字段 如果口令到期后几天不使用账号,则无法登陆
第 8 个字段 如果到这个日期不用账号则无法登陆,可以以 YYYY-MM-DD 格式,也可以用 1970 年 1 月 1 日起
的天数
3、/etc/login.defs
打开这个文件对文件内容进行解释,如果修改,修改哪些位置有哪些作用。
MAIL_DIR 邮件存放目录
PASS_MAX_DAYS 密码有效期最长时间
PASS_MIN_DAYS 密码有效期最短时间
PASS_MIN_LEN 密码最小长度
PASS_WARN_AGE 密码到期提示时间 UID_MIN UID 最小值
UID_MAX UID 最大值
GID_MIN GID 最小值
GID_MAX GID 最大值
CREATE_HOME 是否创建家目录 UMASK UMASK 值
USERGROUPS_ENAB 当删除用户后,同名组中不在存在用户的时候,是否删除该组
4、/etc/skel
存放用户启动文件的目录,类似与 windows 的用户配置文件目录,为用户提供用户环境,该目录下的文件全部为隐藏文件。在添加用户时会从该目录下复制文件到用户的家目录下,相当与统一的登陆模板。
开启和关闭投影密码命令
开启用户的投影密码,使得密码得到更好的保护,不容易被别的用户得到。
该选项是一个安全选项,执行命令可以把用户名和密码分别存放在两个文件当中,影子文件就是密码
文件。
pwconv 开启投影密码命令
pwunconv 关闭投影密码命令
5.1.2 用户管理
1、useradd 创建用户命令
useradd jake 创建名为 jake 的用户
-d 指定用户的家目录
-g 指定用户组
-G 指定用户的附加组
-u 指定用户的 UID 值
-p 创建密码
useradd -d /rose -g group -G root -u 505 rose 创建 rose 用户,指定家目录在/rose 下,加入到
group 组,同时附加到 root 组,并设置 UID 号为 505
users 查看所有登陆的用户(who) 2、tail 命令查看指定文件的末行
tail -n 3 /etc/passwd 查看 passwd 文件的最后三行tail -1 /etc/passwd 查看 passwd 文件的最后一行3、passwd 设置密码命令
注意:没有设置密码的用户不能使用 passwd rose 给用户 rose 设置密码
-d 删除密码
-f 强制执行下次登陆时更改密码
-l 停止账号使用
-u 启用已经停止的账号
-S 显示密码信息
4、userdel 删除账号命令userdel rose 删除 rose 账号
userdel -r rose 删除用户登陆目录及目录下的文件(类似于 windows 的删除用户选择是否删除用户的文
档)
5、usermod 修改账号命令usermod -l newname oldname
-d -g -G -u 等参数与 useradd 命令参数使用方法一样usermod -d /home/rose -g group0 -G group1 -u 600 rose 将 rose 用户的家目录,主组和附加组以及 UID 值更改
用户的锁定与解锁
usermod -L rose 锁定 rose 用户usermod -U rose 解除 rose 用户的锁定
6、gpasswd 用户添加到其他组的命令
注意:只有 root 和组管理员能够改变组成员gpasswd -a u1 g1 将 u1 加 入 到 g1 组gpasswd -d u1 g1 将 u1 退 出 g1 组
gpasswd -A u1 g1 将 g1 组的管理员指派给 u1 7、id 查看 ID 信息命令
id rose 查看 rose 用户的 ID 信息
5.1.3 root 单用户
如果希望计算机除了 root 账号外其他账号不能登陆,在/etc 目录中执行 touch nologin,创建 1 个名称为 nologin 的文件。如果系统只有一个人使用,可以考虑修改/etc/inittab 文件,将默认启动值改为
2。
5.2 组的管理
5.2.1 组相关文件介绍
1、/etc/group
用户组的特性在系统管理中为系统管理员提供了极大的方便,但安全性也是值得关注的,如某个用户下有对系统管理有最重要的内容,最好让用户拥有独立的用户组,或者是把用户下的文件的权限设置为完全私有;另外 root 用户组一般不要轻易把普通用户加入进去,
/etc/group 内容具体分析
/etc/group 的内容包括用户组(Group)、用户组口令、GID 及该用户组所包含的用户(User),每个用户组一条记录;格式如下:group_name:passwd:GID:user_list
在/etc/group 中的每条记录分四个字段: 第 1 字段:用户组名称;
第 2 字段:用户组密码;
第 3 字段:GID
第 4 字段:用户列表,每个用户之间用,号分割;本字段可以为空;如果字段为空表示用户组为 GID 的用户名;
root : x : 0 :root,rose
root 组 x 是密码段 GID 是 0 root 用户组下包括 root、rose 以及 GID 为 0 的其它用户(可以通过 /
etc/passwd 查看)
2、/etc/gshadow
/etc/gshadow 是/etc/group 的密码文件,用户组(Group)管理密码就是存放在这个文件 。
/etc/gshadow 和/etc/group 是互补的两个文件;对于大型服务器,针对很多用户和组,定制一些关系结构比较复杂的权限模型,设置用户组密码是极有必要的。比如我们不想让一些非用户组成员永久拥有用户组的权限和特性,这时我们可以通过密码验证的方式来让某些用户临时拥有一些用户组特性,这时就要用到用户组密码;
/etc/gshadow 格 式 如 下 , 每 个 用 户 组 独 占 一 行 ; groupname:password:admin,admin,...:member,member,...第 1 字段:用户组
第 2 字段:用户组密码,这个段可以是空的或!,如果是空的或有!,表示没有密码;
第 3 字段:用户组管理者,这个字段也可为空,如果有多个用户组管理者,用,号分割;
第 4 字段:组成员,如果有多个成员,用,号分割; jake:!::rose
rose:oUS/q7NH75RhQ::rose
第一字段:这个例子中,有两个用户组 jake 用 rose
第二字段:用户组的密码,jake 用户组无密码;rose 用户组有已经,已经加密;第三字段:用户组管理者,两者都为空;
第四字段:jake 用户组所拥有的成员是 rose,rose 用户组有成员 rose
5.2.2 组的管理
1、groupadd 添加用户组
-g 指 定 GID
-o 一般和 g 选项同时使用,可以与已有组的 GID 相同groupadd -go 501 g1 创建组 g1 其 GID 可以与已有的组重复
2、gpasswd 设置用户组的密码
一般的情况下,没有必要设置用户组的密码; gpasswd rose 修改 rose 组的密码
3、groupdel 删除用户组
groupdel g1 删除 g1 组(没有用户的空组)
4、groupmod 修改组属性
-g 指定新的 GID
-o 与-g 配合使用同 groupadd 的-o
-n 修改组名
groupmod -g 601 g1 修改 g1 的 GID 为 601 groupmod -n g11 g1 将 g1 组改名为 g11
5、newgrp 切换用户组newgrp root 切换到 root 组
5.3 普通用户权限提升
1、su 切换用户命令
su 直接默认切换到 root 用户
su - root 更改环境变量为 root 用户的su -m root 保留环境变量不变
su -c “/usr/sbin/useradd u1” root 以 root 的身份执行 useradd 命令,-c 代表执行一个命令后就结
束。其中命令需要输入命令文件的绝对路径。
2、sudo 命令
由于 su 对转换到 root 后,权限的无限制性,所以 su 并不能担任多个管理员所管理的系统。假如用 su 来转换到 root 来管理系统,也不能明确哪些工作是由哪个管理员进行的操作。特别是对于服务器的管理有多人参和管理时,最好是针对每个管理员的技术特长和管理范围,并且有针对性的下放给权限,并且约定其使用哪些工具来完成和其相关的工作,这时我们就有必要用到 sudo。
通过 sudo,我们能把某些 root 有针对性的下放,并且无需普通用户知道 root 密码,所以 sudo 相对于权限无限制性的 su 来说,还是比较安全的,所以 sudo 也能被称为受限制的 su ;另外 sudo 是需要授权许可的,所以也被称为授权许可的 su;
sudo 执行命令的流程是当前用户转换到 root(或其他指定转换到的用户),然后以 root(或其他指定的转换到的用户)身份执行命令,执行完成后,直接退回到当前用户;而这些的前提是要通过 sudo 的配置文档/etc/sudoers 来进行授权;
visudo 来增加一行
u1 ALL=(root) NOPASSWD:/bin/cat u1 用户可以转换到 root 下不需要输入密码执行/bin/cat 命令u1 ALL=(root)/bin/cat,/user/bin/passwd,!/user/bin/passwd root u1 用户可以转换到 root 下需要输入密码执行/bin/cat,/user/bin/passwd,但不能执
行/user/bin/passwd root 来修改用户密码。执行 sudo 命令
sudo -l 列出用户在主机上可用的和被禁止的命令
sudo 命令(命令为绝对路径)来执行命令 sudo /bin/cat /etc/shadow
5.4 磁盘配额
windows 不能对组进行配额设置,而 linux 可以对组进行配额限制。
1、vi /etc/fstab 文件
将要设置配额的分区设置开机自动挂载在添加行在 defaults 后面加上,usrquota(grpquota)表示要建立用户或组的磁盘配额
2、重新挂载文件系统
之前重启看效果,可以使用 umount -a 卸载所有文件挂载,然后使用 mount -a 挂载所有文件系统
3、在挂载目录下创建 aquota.user 文件在挂载目录下执行 touch aquota.user
通常要对该文件配置权限,防止用户随便访问。
4、进行配额检查
执行 quotacheck -avu(g)(g 是启用组配额)
5、设置用户磁盘配额
执 行 edquota -u rose
默认使用 vi 编辑 rose 用户的配额文件
filesystem blocks soft hard inodes soft hard
/dev/sdb1 4 0 0 1 0 0
4 个数据块和 1 个 inodes
软极限和硬极限讲解(结合 windows 中的配额提醒来讲)
如果设置宽限时间,可以让用户在规定的时间内可以超过软极限,但必须在硬极限之内。
6、设置宽限时间edquota -t 编辑时间。
7、启用配额
quotaon /qt(配额目录)
8、进行配额测试
创建文件,占用磁盘空间,然后超过软极限,看提醒,然后再超过硬极限,看效果
如果要对其他用户设置相同的配额,可以复制配额 edquota -up rose u1 u2 u3
如果要使配额每次启动生效,可以将配额检查和**命令放在默认/etc/rc.d/rc.sysinit 启动脚本中。
第六章.linux 下软件的安装与管理
6.1 linux 下软件介绍
6.1.1 rpm 包
Redhat Package Manager
红帽子包管理器(RPM)提供了标准化方式,可以对各种实用程序和应用程序组织所要的软件。红帽子包管理 器使红帽子公司很容易地把 Linux 组织成不到两千个包,而不是几万个文件。
类似于 windows 的.exe 文件
6.1.2 srpm 包
srpm 包为未编译过的 rpm 包,需要以 rpm 管理的方式编译,然后以 rpm 的安装方式安装
6.1.3 tar 包
压缩包,常见的有.tar.gz 和.tar.bz2,其中 gz 为使用 gzip 压缩的 tar 包,如“linuxqq_v1.0- preview3_i386.tar.gz”最新的 QQ 版本,前面为文件名称,后面为文件的扩展名,我们可以看出是以
gzip 压缩的 tar 包;.tar.bz2 是以 bzip 压缩的 tar 包。
6.2 rpm 包
6.2.1 rpm 与 cpu
rpm 包是依赖 cpu 架构的,常见的格式:
扩展名 CPU
noarch.rpm
不依赖于 CPU, 可以在所有计算机上安装i386.rpm
基于 Intel 386 CPU,这些 RPM 包可以在所有 Intel 兼容计算机上安装i486.r pm
用于带 Intel 486 CPU 的计算机(随时) i586.rpm
用于带 Intel 586 CPU 的计算机i686.rpm
用于带 Intel 686 CPU 的计算机ia64.rpm
用于带 Intel ltanium 64 位 CPU 的计算机alpha.rpm
用于带 HP Alpha CPU 的计算机,最初是 DEC 公司开发的nthlon.rpm
基于 AMD Athlon CPU ppc.rpm
用于带 Apple Powe rPC CPU 的计算机s390.rpm
用于基于 S/390 CPU 的 IBM 服务器 sparc.rpm
用于带 Sun 系统公司 SPARC CPU 的计算机
6.2.2 rpm 软件包的查询
rpm 命 令
-q 对已安装的包进行简单查询
rpm -q packagename(包的名称)
rpm -qi packagename 对已安装的包进行详细信息查询
rpm -ql packagename 查询已安装包中包含的文件 rpm -qa 显示已经安装的所有 rpm 包
rpm -qa |grep linux 显示已经安装的所有包含 linux 字段的包
6.2.3 rpm 包的安装
rpm -i packagename 安装包(在包所在的目录下)
rpm -i /media/udisk/linux/linuxqq_v1.0-preview3_i386.rpm 安装指定目录下的包rpm -ivh packagename 安装包并显示安装的进度和详细信息
-v 显示安装过程的详细处理过程
-h 显示安装进度
6.2.3 rpm 包的卸载
rpm -e packagename 卸载已安装的 rpm 包可以以空格隔开同时删除多个包
举例为:
linuxqq-v1.0-preview3.i386.rpm RealPlayerGoldforLinuxGold11.rpm VirtualBox-2.1.0_41146_rhel5-1.i386.rpm
6.3 srpm 包的安装
源代码 RPM 包的结尾通常是.src.rpm
使用方法
rpm -i rpmpackage.src.rpm cd /usr/src/redhat/SPECS
rpmbuild -bb rpmpackage.specs
/usr/src/redhat/RPM/i386/目录下,有一个新的 rpm 包,这个是编译好的二进制文件。rpm -i new-package.rpm 即可安装完成。
6.4 tar 包软件的安装和卸载
tar 包为压缩包
常见的文件类型为.tar.gz .tar.bz2 .tgz .tar.zip 在 linux 下安装方式为:
1、先解压缩,各种文件类型的解压缩方式不同
.tar.gz .tgz 文件执行tar -xvzf softname.tar.gz tar -xvzf softname.tgz
-x 解压缩文件
-v 显示详细过程
-z 支持 gzip 压缩文件
-f 指定压缩文件
tar -xvjf softname.tar.bz2
-j 支持 bzip2 压缩文件unzip -v softname.tar.zip
-v 解压文件
-d 指定解压缩目录
2、在软件所在目录下会生成同名的目录,里面会存放着所有文件,进入到这个目录
3、阅读 readme 文件或是 install 文件,查找执行配置,编译,安装命令方式
4、执行配置、编译和安装命令
通常为
./configure 执行配置
make 编译
make install 安 装
make clean 清理临时文件
5、tar 包的卸载
可以在安装目录下执行 make uninstall
也可以直接删除目录,文件分散多多少个目录就删除多少个目录
演示举例
linuxqq_v1.0-preview3_i386.tar.gz VmwareToolsforlinux.iso
webmin-1.400.tar.gz wine-1.1.11.tar.bz2
第七章.linux 网络基础与网络服务管理
7.1 网卡的配置
7.1.1 修改网卡的配置文件
网卡配置文件的目录/etc/sysconfig/network-scripts 网卡的配置文件类型
ifconfig-ethX 有线网卡的配置文件
ifconfig-ethX:X 有线网卡的虚拟网卡的配置文件 ifconfig-wlanX 无线网卡的配置文件
网卡配置文件中各行代表的含义
DEVICE——设备名
BOOTPROTO ——IP 地址的获取方式(静态 static 或者 dhcp)
HWADDR ——MAC 地 址
ONBOOT ——开机启动IPADDR ——Ip 地 址
NETMASK——子网掩码
可以使用 vi 编辑配置文件来配置网卡
7.1.2 使用命令配置网卡
ifconfig 查 看 ip 信 息
ifconfig eth0 200.200.200.2 netmask 255.255.255.0
配置 eth0 的 IP 信息,如果是有类的 IP 地址可以省略 netmask(比较 rip 路由协议) ifdown eth0 禁用网卡
ifup eth0 启用网卡
ifconfig eth0 hw ether 00:11:22:33:44:55 修改网卡 eth0 的 MAC 地址
7.1.3 使用 setup 命令配置(文本用户接口模式)
7.2 服务管理
7.2.1 服务的查看
1、ntsysv 文本用户接口查看
使用空格键选择或是取消
2、chkconfig 命令查看开机服务启动情况
chkconfig - - list 查看所有服务开机同时的开启情况chkconfig - - list 服务名 查看开机服务开启的情况chkconfig - - add 服务名 设置为开机启动chkconfig - - del 服务名 设置为开机不启动
7.2.2 服务的管理
service 服务名 start 启动服务
service 服务名 stop 停止服务service 服务名 restart 重新启动服务
/etc/init.d/服务名 start 启动服务
/etc/init.d/服务名 stop 停止服务
/etc/init.d/服务名 restart 重新启动服务
7.2.3 查看和关闭服务进程
ps 命 令
ps -A 简明查看系统启动的所有进程
ps -aux 显示所有用户所有进程的详细信息
ps -A |grep 服务名 显示指定服务的进程简明信息ps -aux |grep 服务名 显示指定服务的详细进程信息
kill 命 令
kill 进程号 关闭指定进程
killall 服务名 关闭服务的所有进程 kill -9 进程号 强制关闭指定进程
killall -9 服务名 强制关闭服务的所有进程
第十三章. Iptables 防火墙
13.1 防火墙
1、防火墙的定义
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使 Internet 与
Intranet 之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关 4 个部分组成,
防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少,例如国防部以及大型机房等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。
2、防火墙的功能
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,*特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
3、以设备划分防火墙的种类
1):软件防火墙
软件防火墙就是保护计算机的一套软件,装在计算机里面,以提供保护计算机的功能。如用 Linux 主机架设一个防火墙 2):硬件防火墙
硬件防火墙主要是由厂商设计好的硬件,里面有自己的操作系统,以提供封包过滤机制,故性能较佳。
4、以技术划分防火墙
1):包过滤型
主要依据是网络中的分包传输技术。包过滤技术的优点是简单实用,实现成本较低
2):网络地址转换
将封包中的来源或者目的 IP 进行更改,可以使私有网络连上互连网
3):代理性防火墙
可以代理客户端将需要的资料进行查找并返回给客户端,安全性较高,但是性能要求较高
4):监测型防火墙
可以对各个网络层进行主动的数据分析,安全性极高,但性能要求很高
5、Linux 下的防火墙软件
Linux 防火墙直接由内核进行处理,安全性高,不同的 Linux 内核使用的防火墙机制内核版本 使用的软件
2.0 ipfwadm
2.2 ipchains
2.4 与 2.6 iptables
13.2 iptables
1、iptables 介绍
iptables 是建立在 netfilter 架构基础上的一个包过滤管理工具。
用户通过 /sbin/iptables 命令来管理 iptables,和 route 命令相同,iptables 命令的效果在重新启动以后就不再有效。
可以使用 /etc/rc.d/init.d/iptables save 将当前 iptables 规则写到 /etc/sysconfig/iptables 文件中,那么每次开机时/etc/rc.d/init.d/iptables start 命令会使 /etc/sysconfig/iptables 中的规则生效。
2、iptables 防火墙框架图
3、表
iptables 是由几张表所组成,每张表又由几条链组成,每张表负责不同的封包处理机制,每条链负责不同的封包走向,具体采取的策略由链里的规则设定
filter 表: 用于过滤封包
Nat 表 : 用 于 做 地 址 转 换mangle 表: 允许改变包的内容来进一步矫正包
4、链
INPUT 链: 存在于 filter 表,主要用于处理进入本机的封包
OUTPUT 链: 存在于 filter 表,主要用于处理离开本机的封包
FORWARD 链: 存在于 fileter 表,主要用于处理穿过本机的封包 PREROUTING 链: 存在于 nat 表,主要用于修改目的地址(DNAT) POSTROUTING 链: 存在于 nat 表,主要用于修改来源地址(SNAT)
13.3 iptebles文 件
1、防火墙配置保存文件
/etc/sysconfig/iptables
2、防火墙配置保存命令service iptables save
3、防火墙的启动/停止/重启service iptables start service iptables stot service iptables restart
13.4 iptables 的配置
1、iptables 的标准语法
iptables [-t table] 命 令 [chain] [rules] [-j target] table——指定表名
NAT 和一般的 mangle 用 -t 参数指定要操作哪个表。filter 是默认的表,如果没有 -t 参数,就默认对filter 表操作。
命令——对链的操作命令chain—— 链 名 rules——规则
target——动作如何进行example:
iptables -A INPUT -p icmp -j DROP
设置 INPUT 规则,将所有基于 icmp 协议的数据包全部丢弃
2、对链的操作
-L 列出当前的 iptables 的规则
-vnL 列出所有 iptables 相关规则的详细参数
-A 追加一条规则(默认添加道最后)
iptables -A INPUT -s 200.200.200.200 -j DROP
追加一条 INPUT 记录,将源目的地址为 200.200.200.200 的数据包丢弃
-I 插入一条规则
iptables -I INPUT 1 -s 200.200.200.200 -j DROP
插入一条 INPUT 记录,将源目的地址为 200.200.200.200 的数据包丢弃
-D 删除一条规则
iptables -D INPUT 1
iptables -D INPUT -s 200.200.200.200 -j DROP
-P 设置某条链的默认规则iptables -P OUTPUT DROP 设置所有发送的数据包丢弃
-F 清空规则 iptables -F
清空所有 iptables 规则
3、操作命令
按网络接口匹配
-i eth0 匹配数据进入的网络端口
-o eth0 匹配数据流出的网络端口按来源目的地址匹配
-s ip 匹配来源 IP
-d ip 匹配目的 IP example:
iptables -A INPUT -i eth0 –s 200.200.200.200 –j DROP
在 INPUT 链里追加一条规则,所有从 eth0 口进入的源地址为 200.200.200.200 的数据包全部丢弃
按协议匹配
协议可以是 TCP,UDP,ICMP,也可以不加 example:
iptables –A INPUT -p tcp -s 200.200.200.200 -j ACCEPT
在 INPUT 链里追加一条规则,所有源地址为 200.200.200.200 的基于 tcp 协议的数据包允许通过
按来源目的端口匹配
--sport 来源端口
--dport 目的端口 example:
iptables -A INPUT -p tcp -sport 21 -j DROP
在 INPUT 链里追加一条规则,所有基于 TCP 的源端口为 21 号端口的数据包,全部丢弃。
动作处理
-j ACCEPT 允许封包通过而不拦截
-j DROP 不允许封包通过
指定碎片
在 TCP/IP 通讯中,每个网络接口都有一个最大的传输单元(MTU),用来定义了通过数据包大小的最大范围,如果数据大于 MTU 时,系统会将大数据包分割成多个小数据包来传输(我们把这些包称为 IP 碎片), 接收方再对数据进行重组,来还原整个包。
在进行包过滤的时候,IP 碎片会导致一个问题,第一个数据包会包含完整的包头信息,而后续的数据包只有部分包头信息,当存在这样一条规则的时候
iptables -A FORWARD -p tcp -s 200.200.200.200/24 -d 200.200.200.1 –dport 80 -j ACCEPT
iptables -P FORWARD DROP
系统会把第一个以后的包过滤掉
我们可以添加一条规则来解决这个问题
iptables -A FORWARD -f -s 200.200.200.200/24 -d 200.200.200.1 -j ACCEPT
指定非
在某些选项前加上!来表示非指定值
example: -s -!200.200.200.1/24 代表除 200.200.200.1 以外的 IP 地址
-p -!icmp 代表除了 icmp 以外的协议。
13.5 防火墙配置
service iptables restart
重新启动 iptables 服务 iptables -F
清除规则
iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP 改变默认规则策略
iptables -A INPUT -p tcp -s 0/0 –-dport ssh -j ACCEPT iptables -A OUTPUT -p tcp --sport ssh -j ACCEPT
允许 ssh
iptables -A INPUT -p udp -s 0/0 –-dport 53 -j ACCEPT iptables -A OUTPUT -p udp -d 0/0 –-sport 53 -j ACCEPT 允许 DNS
iptables -A INPUT -p tcp -s 0/0 –-dport 80 -j ACCEPT iptables -A INPUT -p tcp -s 0/0 –-dport 443 -j ACCEPT iptables -A OUTPUT -p tcp -d 0/0 –-sport 80 -j ACCEPT iptables -A OUTPUT -p tcp -d 0/0 –-sport 443 -j ACCEPT 允许 www 服务
13.6 NAT 表配置
1、NAT 的定义
NAT 英文全称是 Network Address Translation,称是网络地址转换,它是一个 IETF 标准,允许一个机构以一个地址出现在 Internet 上。NAT 将每个局域网节点的地址转换成一个 IP 地址,反之亦然。它也可以应用到防火墙技术里,把个别 IP 地址隐藏起来不被外界发现,使外界无法直接访问内部网络设备,同时, 它还帮助网络可以超越地址的限制,合理地安排网络中的公有 Internet 地址和私有 IP 地址的使用。
2、NAT 的类型
静 态 NAT(Static NAT)
静态 NAT 设置起来最为简单和最容易实现的一种,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。
动态地址 NAT(Pooled NAT)
动态地址 NAT 是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。动态地址
NAT 只是转换 IP 地址,它为每一个内部的 IP 地址分配一个临时的外部 IP 地址,主要应用于拨号,对于频
繁的远程联接也可以采用动态 NAT。
网络地址端口转换 NAPT(Port-Level NAT)
NAPT 是把内部地址映射到外部网络的一个 IP 地址的不同端口上。
最熟悉的一种转换方式。NAPT 普遍应用于接入设备中,它可以将中小型的网络隐藏在一个合法的 IP 地址后面。NAPT 与动态地址 NAT 不同,它将内部连接映射到外部网络中的一个单独的 IP 地址上,同时在该地址上加上一个由 NAT 设备选定的 TCP 端口号。
3、对于 POSTROUTING 的目标动作
-j SNAT –to IP1[-IP2] : [port1][-port2]
IP1-IP2,指定 IP 地址范围port1-port2,指定端口范围例如:
iptables –t nat -A POSTROUTING -o eth0 -j SNAT --to 202.106.0.20
4、对于 PREROUTING 的目标动作
-j DNAT –to IP1[-IP2] : [port1][-port2]
IP1-IP2,指定 IP 地址范围port1-port2,指定端口范围例如:
iptables –t nat -A POSTROUTING -d 202.106.0.20 -j DNAT --to 192.168.10.239
5、NAT+防火墙配置案例
eth0=192.168.1.1 eth1=200.200.200.1
echo 1 > /proc/sys/net/ipv4/ip_forward 打开 IP 转发功能
service iptables restart iptables -F
iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT 配置默认规则策略
iptables -t nat -A POSTROUTING -o eth0 -j SNAT –-to 200.200.200.1
配置企业内部上网,将内网的 IP 地址伪装成 200.200.200.1
iptables -t nat -A PREROUTING -p tcp -d 200.200.200.1 –-dport 80 -j DNAT --to 192.168.1.2:80
做端口映射,将 192.168.1.2:80 映射成公网 200.200.200.1
iptables -t nat -A PREROUTING -p tcp -d 200.200.200.1 --dport 443 -j DNAT --to 192.168.1.2.443
做端口映射,将 192.168.1.2:443 映射成公网 200.200.200.1 iptables -A INPUT -p icmp -s 0/0 -j ACCEPT
iptables -A OUTPUT -p icmp -d 0/0 -j ACCEPT
允许 ping
iptables -A FORWARD -p tcp -s 0/0 -d 192.168.1.2 –-dport 80 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d 192.168.1.2 –-dport 443 -j ACCEPT 设置转发规则,允许外网访问内网的 www 服务
service iptables save
保存配置