安全基礎(chǔ) Linux必學(xué)的系統(tǒng)安全命令

雖然Linux和Windows NT/2000系統(tǒng)一樣是一個多用戶的系統(tǒng)，但是它們之間有不少重要的差別。對于很多習(xí)慣了Windows系統(tǒng)的管理員來講，如何保證Linux操作系統(tǒng)安全、可靠將會面臨許多新的挑戰(zhàn)。本文將重點介紹Linux系統(tǒng)安全的命令。

　　雖然Linux和Windows NT/2000系統(tǒng)一樣是一個多用戶的系統(tǒng)，但是它們之間有不少重要的差別。對于很多習(xí)慣了Windows系統(tǒng)的管理員來講，如何保證Linux操作系統(tǒng)安全、可靠將會面臨許多新的挑戰(zhàn)。本文將重點介紹Linux系統(tǒng)安全的命令。

　　passwd

　　1.作用

　　passwd命令原來修改賬戶的登陸密碼，使用權(quán)限是所有用戶。

　　2.格式

　　passwd [選項] 賬戶名稱

　　3.主要參數(shù)

　　-l：鎖定已經(jīng)命名的賬戶名稱，只有具備超級用戶權(quán)限的使用者方可使用。

　　-u：解開賬戶鎖定狀態(tài)，只有具備超級用戶權(quán)限的使用者方可使用。

　　-x, --maximum=DAYS：最大密碼使用時間(天)，只有具備超級用戶權(quán)限的使用者方可使用。

　　-n, --minimum=DAYS：最小密碼使用時間(天)，只有具備超級用戶權(quán)限的使用者方可使用。

　　-d：刪除使用者的密碼, 只有具備超級用戶權(quán)限的使用者方可使用。

　　-S：檢查指定使用者的密碼認(rèn)證種類, 只有具備超級用戶權(quán)限的使用者方可使用。

　　4.應(yīng)用實例

　　$ passwd

　　Changing password for user cao.

　　Changing password for cao

　　(current) UNIX password:

　　New UNIX password:

　　Retype new UNIX password:

　　passwd: all authentication tokens updated successfully.

　　從上面可以看到，使用passwd命令需要輸入舊的密碼，然后再輸入兩次新密碼。

　　su

　　1.作用

　　su的作用是變更為其它使用者的身份，超級用戶除外，需要鍵入該使用者的密碼。

　　2.格式

　　su [選項]... [-] [USER [ARG]...]

　　3.主要參數(shù)

　　-f ， --fast：不必讀啟動文件(如 csh.cshrc 等)，僅用于csh或tcsh兩種Shell。

　　-l ， --login：加了這個參數(shù)之后，就好像是重新登陸為該使用者一樣，大部分環(huán)境變量(例如HOME、SHELL和USER等)都是以該使用者(USER)為主，并且工作目錄也會改變。如果沒有指定USER，缺省情況是root。

　　-m， -p ，--preserve-environment：執(zhí)行su時不改變環(huán)境變數(shù)。

　　-c command：變更賬號為USER的使用者，并執(zhí)行指令(command)后再變回原來使用者。

　　USER：欲變更的使用者賬號，ARG傳入新的Shell參數(shù)。

　　4.應(yīng)用實例

　　變更賬號為超級用戶，并在執(zhí)行df命令后還原使用者。

　　su -c df root

　　umask

　　1.作用

　　umask設(shè)置用戶文件和目錄的文件創(chuàng)建缺省屏蔽值，若將此命令放入profile文件，就可控制該用戶后續(xù)所建文件的存取許可。它告訴系統(tǒng)在創(chuàng)建文件時不給誰存取許可。使用權(quán)限是所有用戶。

　　2.格式

　　umask [-p] [-S] [mode]

　　3.參數(shù)

　　-S：確定當(dāng)前的umask設(shè)置。

　　-p：修改umask 設(shè)置。

　　[mode]：修改數(shù)值。

　　4.說明

　　傳統(tǒng)Unix的umask值是022，這樣就可以防止同屬于該組的其它用戶及別的組的用戶修改該用戶的文件。既然每個用戶都擁有并屬于一個自己的私有組，那么這種“組保護(hù)模式”就不在需要了。嚴(yán)密的權(quán)限設(shè)定構(gòu)成了Linux安全的基礎(chǔ)，在權(quán)限上犯錯誤是致命的。需要注意的是，umask命令用來設(shè)置進(jìn)程所創(chuàng)建的文件的讀寫權(quán)限，最保險的值是0077，即關(guān)閉創(chuàng)建文件的進(jìn)程以外的所有進(jìn)程的讀寫權(quán)限，表示為-rw-------。在～/.bash_profile中，加上一行命令umask 0077可以保證每次啟動Shell后, 進(jìn)程的umask權(quán)限都可以被正確設(shè)定。

　　5.應(yīng)用實例

　　umask -S

　　u=rwx,g=rx,o=rx

　　umask -p 177

　　umask -S

　　u=rw,g=,o=

　　上述5行命令，首先顯示當(dāng)前狀態(tài)，然后把umask值改為177，結(jié)果只有文件所有者具有讀寫文件的權(quán)限，其它用戶不能訪問該文件。這顯然是一種非常安全的設(shè)置。
linux操作系統(tǒng)文章專題:linux操作系統(tǒng)詳解（linux不再難懂）