fedora-linux目录结构详解

时间:2021-05-12 00:44:46

Linux目录结构和windows目录结构有很多不同之处,这很容易让初学者搞不明白。这里是个人总结的一些知识点,讲解Linux目录结构包括文件类型和一些重要的文件子目录。
linux
文件系统的最顶端是/,称为linuxroot,所有的目录、文件、设备都在/之下。
文件类型
linux
有四种基本文件系统类型:普通文件、目录文件、连续文件和特殊文件。可以用file命令来识别。
普通文件:如文本文件、c语言源代码、shell脚本等,可以用catlessmorevi等来察看内容,用mv来改名。
目录文件:包括文件名、子目录名及其指针。可以用ls列出目录文件
链接文件:是指向一索引节点的那些目录条目,用ls来查看时,链接文件的标志用l开头,而文件后以"->"指向所链接的文件
特殊文件:如磁盘、终端、打印机等都在文件系统中表示出来,常放在/etc目录内。例如:软驱A称为/dev/fd0/dev/had来自第一硬盘。
/bin
存放系统所需要的那些命令,二进制可执行文件。比如lscpmkdir等命令;功能

/usr/bin类似,这个目录中的文件都是可执行的、普通用户可以使用的命令。
/boot
这是Linux的内核及引导系统程序所需要的文件目录,比如initrd.img等文件都

位于这个目录中,grub系统引导管理器也位于这个目录。

/cgroup:最早control group 是叫做"Containers",利用configfs作配置.

"Containers"着眼于资源的分配,有两个重要概念:
1.subsystem,
内核可以给进程提供的服务/资源
2.container,
一个进程组,成员共享同样的一个或多个子系统分配限制。containers是层次的,一个container可以hold多个container

它的最可取之处是创建了一个资源分配的框架,其它开发者可以利用这个框架去开发自己的资源分配patch,比如上回提到的磁盘设备。

后来不知道为什么没有采用configfs,自己搞了一个container filesystem.

最后在 2.6.24内核(081)中被正式合并进入主线,被改名为control group 或简写为cgroup.详细介绍在内核源代码文档目录中的cgroups.txt

刚刚进入 2.6.24的时候,只有cpusets(绑定cpu/memorynode)CFSgroup scheduling( cpu带宽分配)两个资源。2.6.25又引入了memoryresource.

/cdrom光驱
/dev
设备文件存储目录,比如声卡、磁盘。
/etc
系统配置文件的所在,一些服务器的配置文件也在这里;如用户帐号及密码配置件。
/home
普通用户目录默认存放目录。
/lib
库文件存放目录,用户无权限执行这个目录下的命令,这个目录和/usr/sbin;

/usr/local/sbin目录是相似的。凡是目录sbin中包含的都是root权限才能执行的。

/lost+found:ext2ext3文件系中,当系意外崩或机器意外关机,而生一些文件碎片放在里。当系程中fsck工具会检查这里,并修复已经损坏的文件系统发问题,有很多的文件被移到个目中,可能会用手工的方式来修复,或移到文件到原来的位置上

/media本目录是空的,是用于挂载的。即插即用型存储设备的挂点自个目建,比如USB后,会在个目生一个目CDROM/DVD后,也会在个目建一个目,类似cdrom的目个只有在最新的行套件上才有,比如FedoraCore 4.0 5.0 等。可以参看/etc/fstab的定

/mnt:个目一般是用于存放挂载储设备的挂的,比如有cdrom等目。可以参看/etc/fstab的定。有可以把开机自文件系,把挂点放在里也是可以的。主要看/etc/fstab中怎么定了;比如光可以挂/mnt/cdrom

/opt:表示的是可选择的意思,有些件包也会被安装在里,也就是自定义软件包,比如在FedoraCore 5.0中,OpenOffice就是安装在里。有些我自己编译件包,就可以安装在个目中;通包安装的件,可以通./configure--prefix=/opt/

/proc:操作系运行程(正在运行中的程序)信息及内核信息(比如cpu、硬分区、内存信息等)存放在里。/proc录伪装的文件系proc的挂proc并不是真正的文件系,它的定可以参/etc/fstab

/root:Linux的内核及引程序所需要的文件,比如vmlinuzinitrd.img文件都位于个目中。在一般情况下,GRUBLILO管理器也位于个目

/sbin:大多是涉及系管理的命令的存放,是超权限用root的可行命令存放地,普通用无权限个目下的命令,个目/usr/sbin;/usr/X11R6/sbin/usr/local/sbin是相似的;们记住就行了,凡是目sbin中包含的都是root权限才能行的

/selinux:

/srv一些服务需要访问的文件存放在这

/sys系统的核心文件
/tmp
临时文件目录,有时用户运行程序的时候,会产生临时文件。这个目录和/var/tmp

目录相似。
/usr
这个是系统存放程序的目录,比如命令、帮助文件等。当我们安装一个linux发行版

官方提供的软件包时,大多安装在这里。如果有涉及服务器配置文件的,会把配置

文件安装在/etc目录中。/usr目录下包括设计字体目录/usr/share/fonts,帮助目录

/usr/share/man/usr/share/doc,普通用户可执行文件目录/usr/bin

/usr/local/bin;超级权限用户root可执行命令存放目录,比如/usr/sbin

/usr/local/sbin等,还有程序的头文件存放目录/usr/include
/var
这个目录的内容是经常变动的,/var下有/var/log这是用来存放系统日志的目

,/var/lib用来存放一些库文件,比如MySQL的。

一些重要子目录

/etc/init.d这个目录是用来存放系统或服务器以SystemV模式启动的脚本,这在以SystemV模式启动或初始化的系统中常见。比如Fedora/RedHat

/etc/xinit.d:如果服器是通xinetd模式运行的,它的脚本要放在个目下。有些系没有个目比如Slackware,有些老的版本也没有。在Rehat/Fedora中比新的版本中存在

/etc/rc.d:Slackware行版有的一个目,是BSD方式启脚本的存放地;比如定网卡,服器开启脚本等

/etc/X11这是X-Window相关的配置文件存放地。

比如下面的例子:

                            

[root@localhost ~]# /etc/init.d/sshdstart   注:启动sshd服务器
[root@localhost~]# /etc/init.d/sshd stop
注:停止sshd服务器

这就是典型的sshd服务器SystemV模式启动脚本,通过这运行这个脚本可以启动sshd服务器了。

/usr/bin个目是可行程序的目普通用就有权限行;当我从系件包安装一个程序,他的可行文件大多会放在个目。比如安装gaim件包。相似的目/usr/local/bin;有/usr/bin中的文件是/usr/local/bin接文件

/usr/sbin个目也是可行程序的目,但大多存放涉及系管理的命令。只有root权限才能行;相似目/sbin/usr/local/sbin/usr/X11R6/sbin等;

/usr/local这个目录一般是用来存放用户自编译安装软件的存放目录;一般是通过源码包安装的软件,如果没有特别指定安装目录的话,一般是安装在这个目录中。
/usr/share
共用的西存放地,比如/usr/share/fonts是字体目,是用户都共用的吧。

/usr/src是内核源存放的目,比如下面有内核源,比如linuxlinux-2.xxx.xx等。有的系也会把源码软件包安装在里。比如Fedora/Redhat,当我安装file.src.rpm候,件包会安装在/usr/src/redhat的目中。另外Fedhat4.0 5.0,他的内核源包的目位于/usr/src/kernels下的某个目中(只有安装后才会生成相

/var/adm:比如件包安装信息、日志、管理信息等,在Slackware操作系中是有个目的。在Fedora中好象没有;自己看看吧。

/var/log:日志存放,分析日志要看个目西;

/var/spool:打印机、件、代理服器等假脱机目


SELinux简介

SELinux全称是SecurityEnhanced Linux,由美国国家安全部(NationalSecurity Agency)领导开发的GPL项目,它拥有一个灵活而强制性的访问控制结构,旨在提高

Linux系统的安全性,提供强健的安全保证,可防御未知攻击,据称相当于B1级的军事安全性能。比MSNT所谓的C2等高得多。

应用SELinux后,可以减轻恶意攻击或恶意软件带来的灾难,并提供对机密性和完整性有很高要求的信息很高的安全保障。SELinux vs Linux普通Linux安全和传统Unix系统一样,基于自主存取控制方法,即DAC,只要符合规定的权限,如规定的所有者和文件属性等,就可存取资源。在传统的安全机制下,一些通过setuid/setgid的程序就产生了严重安全隐患,甚至一些错误的配置就可引发巨大的漏洞,被轻易攻击。

SELinux则基于强制存取控制方法,即MAC,透过强制性的安全策略,应用程序或用户必须同时符合DAC及对应SELinuxMAC才能进行正常操作,否则都将遭到拒绝或失败,而这些问题将不会影响其他正常运作的程序和应用,并保持它们的安全系统结构。

SELinux的相关配置文件

SELinux的配置相关文件都在/etc/selinux下,其中/etc/selinux/targeted目录里就包含了策略的详细配置和context定义,以下是主要文件及功用:

/etc/selinux/targeted/contexts/*_context默认的context设置
/etc/selinux/targeted/contexts/files/*
精确的context类型划分
/etc/selinux/targeted/policy/*
策略文件

Apache under SELinux

Apache under SELinux -Apache跑得顺起来!
对于刚使用RedhatEnterprise Linux 4FedoraCore 2以上/CentOS4的用户,一定会为Apache经常无法正常运转,报以"Permissiondenied"等错误而大为不解,甚至大为恼火。
其实这是因为这些系统里激活了SELinux,而用户的apache配置与SELinux的配置策略有抵触产生的,只有通过适当调整,使apache的配置和访问符合策略才能正常使用。
现在下面来分析一下SELinux中有关httpdapache)的context定义(略有删节)

/home/[^/]+/((www)|(web)|(public_html))(/.+)?system_u:object_r:httpd_user_content_t
/var/www(/.*)?system_u:object_r:httpd_sys_content_t
/var/www/cgi-bin(/.*)?system_u:object_r:httpd_sys_script_exec_t
/usr/lib/cgi-bin(/.*)?system_u:object_r:httpd_sys_script_exec_t
/var/www/perl(/.*)?system_u:object_r:httpd_sys_script_exec_t
/var/www/icons(/.*)?system_u:object_r:httpd_sys_content_t
/var/cache/httpd(/.*)?system_u:object_r:httpd_cache_t
/etc/vhosts --system_u:object_r:httpd_config_t
/usr/sbin/httpd --system_u:object_r:httpd_exec_t
/usr/sbin/apache(2)? --system_u:object_r:httpd_exec_t
/usr/sbin/suexec --system_u:object_r:httpd_suexec_exec_t
/var/log/httpd(/.*)?system_u:object_r:httpd_log_t
/var/log/apache(2)?(/.*)?system_u:object_r:httpd_log_t
/var/log/cgiwrap\.log.* --system_u:object_r:httpd_log_t
/var/cache/ssl.*\.sem --system_u:object_r:httpd_cache_t
/var/cache/mod_ssl(/.*)?system_u:object_r:httpd_cache_t
/var/run/apache(2)?\.pid.* --system_u:object_r:httpd_var_run_t
/var/lib/httpd(/.*)?system_u:object_r:httpd_var_lib_t
/var/lib/php/session(/.*)?system_u:object_r:httpd_var_run_t
/etc/apache-ssl(2)?(/.*)?system_u:object_r:httpd_config_t
/usr/lib/apache-ssl(/.*)? --system_u:object_r:httpd_exec_t
/usr/sbin/apache-ssl(2)? --system_u:object_r:httpd_exec_t
/var/log/apache-ssl(2)?(/.*)?system_u:object_r:httpd_log_t
/var/run/apache-ssl(2)?\.pid.* --system_u:object_r:httpd_var_run_t
/var/run/gcache_port -ssystem_u:object_r:httpd_var_run_t
/var/lib/squirrelmail/prefs(/.*)?system_u:object_r:httpd_squirrelmail_t
/usr/bin/htsslpass --system_u:object_r:httpd_helper_exec_t
/usr/share/htdig(/.*)?system_u:object_r:httpd_sys_content_t
/var/lib/htdig(/.*)?system_u:object_r:httpd_sys_content_t

针对上述的内容,可以对如下的几个常见问题进行简单处理:

1.phpmyadmin
在非默认/var/www/html目录下无法运转

通常类似的情况都是在配置了虚拟主机时,访问/phpmyadmin等提示403访问拒绝,日志里也提示Permissiondenied,这是因为phpmyadmin防止的目录及文件本身属性不符合context要求。
假设phpmyadmin放在/web目录下,那么执行:
chcon-R -t httpd_user_content_t/web
则会令/web及其下所有子目录/文件,包括phpmyadmin文件都获得了httpd_user_content_t的属性,如果其传统的Unix属性对httpd来说是可读的话,再重新访问一下就应该可以了。

2./home
目录下的虚拟主机无法运转

与问题1也是类似的,不过根据上文中context的定义,/home目录下必须是用户的$HOME/wwwpublic_htmlweb目录才是httpd_user_content_t类型,因此建议将要作为web页面的内容放置在用户的$HOME/wwwwebpublic_html里,并确保其属性是httpd_user_content_t,使用如下命令查看:
ls-Z /home/abc/
drwxr-xr-x abc abc user_u:object_r:user_home_dir_ttmp
drwxrwxr-x abc abc user_u:object_r:httpd_user_contentwww
如不是,则可通过chcon来逐级目录及文件更改,直至最后能访问:
chcon-R -t httpd_user_content_t /home/abc/web
chcon -t user_home_dir_t/home/abc

3.CGI
程序无法运行

如果cgi程序放在/var/www/cgi-bin/里也无法执行,遇到403500错误的话,可以检查cgi程序的属性,按SELinuxcontexts文件里定义的,/var/www/cgi-bin/里必须是httpd_sys_script_exec_t属性。通过ls-Z查看,如果不是则通过如下命令更改:
chcon-t httpd_sys_script_exec_t/var/www/cgi-bin/*.cgi
如果是虚拟主机里的cgi,则参考问题2使之能正常使用普通的功能后,再通过chcon设置cgi文件的contexthttpd_sys_script_exec_t即可。

4.Setuid/gid
程序无法运行

例如早期的SqWebMailqmailadmin等,需要setuid/gid的支持,但在SELinux下这将受到严格限制。第一种方法是比较彻底的办法,能保留系统的安全性,通过:
audit2allow-l -i /var/log/messages
SELinux拒绝的信息转换为相应的policyallow指令,将这些指令添加到SELinuxpolicysrc里相应的配置文件,重新生成policy并加载。但这样做相对比较麻烦。
另一个方法最简单,但将使apache得不到保护。首先确定SELinux类型是targeted的:
cat/etc/selinux/config|grep SELINUXTYPE
然后,使apache脱离SELinux保护:
setsebool-P httpd_disable_trans 1
然后重启动apache
/etc/init.d/httpdrestart
这样所有apache强制的检查都失效,需要setuid/gid的程序可以正常使用。但这样带来了增加漏洞的危险,对于迫切需要运行而又很急的情况,本方法是一个最大限度减少系统安全缺失的最后办法。对于取消SELinux未必是一个好方法。
 

SElinux的几个相关命令

.

ps -Z
ls -Z
id -Z

:
[root@ljjcgi-bin]# ls -Z
-rwxrwxrwx root rootroot:object_r:httpd_sys_script_exec_t a.cgi
-rw-r--r-- root rootroot:object_r:httpd_sys_script_exec_t a.txt
 

.chcon

修改文件的属性fild1:fild2:fild3

chcon -ufild1 file
chcon -l fild2 file
chcon -t fild3 file

:
chcon-u root file1

.getsebool

获取se相关的bool
:
[root@ljjcgi-bin]# getsebool -a | grep httpd
httpd_builtin_scripting -->inactive
httpd_disable_trans --> active
httpd_enable_cgi -->active
httpd_enable_homedirs --> active
httpd_ssi_exec -->active
httpd_tty_comm --> inactive
httpd_unified -->inactive

得到了一些与httpd相关的bool值,配置httpd.conf中的user_dir时,要保证这里的httpd_enable_homedirsactive的,还要保证:

chcon -R -t httpd_sys_content_t~user/public_html

  • httpdselinux之间的关系更多详见:manhttpd_selinux

.togglesebool

se的相关bool值取反
:
toggleseboolhttpd_enable_homedirs