linux第2章系统管理.pptx

第2章系统管理,本章内容,用户管理进程管理日志管理系统监视系统安全管理,3,1、用户管理,Linux系统的账号分为用户账号和组账号两类。用户账号：通常一个操作者拥有一个用户账号，每个用户账号有唯一的识别号UID（UserID）和自己所属组的识别号GID（GroupID）。Linux系统中可以有两类用户账号：root用户和普通用户。组账号：是一组用户账号的集合。通过使用组账号，可以设置使一组用户对文件具有相同的权限。,4,账号（续）,用户和组的配置信息保存在以下三个文件中：/etc/passwd/etc/shadow/etc/etc/group,5,/etc/passwd文件,每一行存储一个用户的账号信息，每一行可以包含如下域，各域之间以冒号分隔：登录名：即用户账号口令：通常是一个“x”，表示口令已被加密，加密后的口令存储在/etc/shadow文件中。如果是“*”，则表示该账号已被停用。UID：每个用户账号都有一个不同的ID，它是一个整数。GID：用户所属的组的ID，每个组也都具有不同的ID。用户信息：这是账号附加的信息，如用户名、电话、住址等，可以使用命令finger和chfn查询和修改这些信息。主目录：在默认状态下，每个用户都有一个主目录，root用户的主目录是/root，管理员新建立的用户的主目录默认为/home/。登录shell：设置用户在登录时使用的shell，系统默认使用/bin/bash。例如：root：x：0：0：root：/root：/bin/bash,6,/etc/shadow,是根据/etc/passwd文件产生的，一行存储一个用户的信息，各域之间以冒号分隔：用户账号加密的口令密文从1970年1月1日到上次口令修改日期的天数。口令上次修改后，要过多少天才能再修改。若为0表示没有时间限制。如果口令有期限限制，要过期前多少天向用户示警。一般系统默认为7天。从1970年1月1日到账号过期的天数，未过期的账号则为空值。保留域，未使用,7,/etc/group,/etc/group存储所有组账号的数据，一行表示一个组的信息，各域之间以冒号分隔，包括：组名x表示加密的组口令，口令的相关信息存储在/etc/gshadow文件中，其形式与/etc/shadow相似。组ID（GID），系统生成的组ID小于500，管理员新建的第一个组ID为500，以后依次递增。该组包含的用户账号列表，以逗号分隔。例如：bin：x：1：root，bin，daemon,8,用户管理/命令,增加用户：adduser选项-d：指定用户主目录，默认情况下，将会在/home目录下新建一个与用户名相同的用户主目录。-s：指定用户登录时使用的shell，默认的shell为/bin/bash。-g：指定用户归属的组名。默认地，每当创建一个新用户的时候，一个与用户名相同的组就会被创建，而这个用户就是该组的成员。-G：在Linux系统中，一个用户可以属于一个组，也可以属于多个组，其中用户在初始化时属于的组称为主组。如果要让用户属于其它的组，应该使用选项-G。-u：指定新用户的UID。,9,用户管理/命令（续）,设置和修改口令：passwd用户名只有超级用户可以使用“passwd用户名”修改其他用户的口令，普通用户只能用不带参数的passwd命令修改自己的口令。,10,用户管理/命令（续）,删除用户的命令为userdel，该命令的格式为：userdel如果系统不要保存这些文件，可以使用带选项的命令：userdel-r,11,用户管理/命令（续）,修改用户属性usermodg-G-d-s增加用户组groupadd删除用户组groupdel修改组成员：直接编辑/etc/group文件，将用户名写到对应的组名的后面。,12,账号管理和查看命令,whoami命令的功能在于显示用户自身的用户名。who选项：该命令主要用于查看当前在线的用户情况w命令：用于显示登录到系统的用户情况finger命令可用于查找和显示用户信息，并且在查找后显示指定账号的相关信息chfn命令能够改变系统存储的用户信息切换用户身份：su用户名,13,2、进程管理,Linux系统上所有运行的东西都可以称之为一个进程。每个用户任务、每个系统管理任务，都可以称之为进程。进程是一个程序的运行。进程与程序是有区别的。程序只是一个静态的指令集合，不占系统的运行资源；而进程是一个随时都可能发生变化的、动态的、使用系统运行资源的程序。一个程序可以启动多个进程。,14,进程的概念,Linux操作系统包括三种不同类型的进程，每种进程都有自己的特点和属性。交互进程：由shell启动的进程。批处理进程：这种进程和终端没有联系，是一个进程序列。守护进程：在后台持续运行的进程。,启动进程/手工启动,前台启动：一般地，用户键入一个命令，就已经启动了一个前台的进程。后台启动：对于非常耗时进程，可以让进程在后台运行。从后台启动进程其实就是在命令结尾加上一个“&”号。,15,16,启动进程/调度启动,at命令在shell提示符下输入”at时间”，然后按回车键。这时在下一行shell会等待用户继续输入要执行的命令。每一行输入一个命令，所有命令都输入完毕后按Ctrl+d键结束。将各个命令写入shell脚本中，然后使用下面格式设置在指定时间执行shell脚本中的命令：at时间f脚本文件。batch命令,17,启动进程/调度启动/cron命令,cron命令在系统启动时由一个shell脚本自动启动，进入后台。cron启动后搜索/var/spool/cron目录，寻找以/etc/passwd文件中的用户名命名的crontab文件，被找到的这种文件将载入内存。如果没有crontab文件，就转入“休眠”状态，释放系统资源。cron每分钟“醒”过来一次，查看当前是否有需要运行的命令。如果发现某个用户设置了crontab文件，它将以该用户的身份去运行文件中指定的命令。命令执行结束后，任何输出都将作为邮件发送给crontab的所有者，或者/etc/crontab文件中MAILTO环境变量中指定的用户。,18,cron,crontab文件格式5923*tarczvflhy.tar.gz/home/lhycrontab命令用于安装、删除或者列出用于驱动cron后台进程的crontab文件：crontab-ucrontab源文件格式5923*tarczvflhy.tar.gz/home/lhy,进程管理命令,进程查看命令psps选项主要选项的含义如下：-e：显示所有进程；-h：不显示标题；-l：采用详细的格式来显示进程；-a：显示所有终端上的进程，包括其他用户的进程；-r：只显示当前终端上正在运行的进程；-x：显示所有进程，不以终端来区分；-u：以用户为主的格式来显示进程；,19,进程管理命令（续）,删除进程命令killkill-s|-p-akill-s|-p-a.kill-l信号选项的含义如下：-s：指定需要送出的信号。既可以是信号名也可以是信号名对应的数字。-p：指定kill命令只显示命名进程的pid，并不真正送出任何信号。-l：显示信号名称列表，该列表也可以在/usr/include/linux/signal.h文件中找到。,20,21,3、日志查看,日志文件（logfiles）是包含关于系统消息的文件，包括内核、服务、在系统上运行的应用程序等。不同的日志文件记载不同的信息。多数的日志文件位于/var/log目录下。某些程序（如apache）在/var/log中有单独的日志文件目录。日志可以滚动。,日志文件示例,图形化日志查看器,日志过滤,4、系统监视,系统监控命令top：能显示实时的进程列表，而且还能实时监视系统资源，包括内存、交换分区和CPU的使用率等。,系统监视命令,内存查看命令free,27,磁盘空间用量查看命令df,系统监视器,系统负载选项卡,5、系统安全管理,系统的安全设置BIOS安全设置安全分区：建议/home目录单独分区，避免Linux分区溢出的恶意攻击。系统文件的权限：保证系统中关键文件的读写权限。系统升级：保证自动下载补丁。限制用户资源：设置用户对资源（最大进程数、内存数量等）的使用。/etc/security/limits.conf文件内容见下页,/etc/security/limits.conf,core：限制内容文件的大小data：最大数据大小fsize：最大文件大小memlock：最大内存锁定地址空间nofile：最大打开文件个数cpu：最大CPU时间nproc：最大进程数maxlogins：用户的最大登录数priority：运行用户进程的优先级,账号安全设置,账号安全管理禁止所有默认被OS启动但不需要的账号删除系统上不需要的用户和用户组suid程序suid程序在运行时，将有效用户ID改变为该程序的所有者ID，使得进程在很大程度上拥有该程序的特权。如在运行时拥有root用户的权限，会给系统带来危险。口令安全管理长度、策略自动注销账号设置自动账号注销时间,网络服务的安全设置,关闭不必要的服务禁止响应ping命令避免黑客扫描屏蔽系统信息etc/issue：本地用户登录前显示的信息文本文件etc/：网络用户登录前显示的信息文本文件,安全增强的LinuxSELinux,SELinux简介自主访问控制DAC模型：标准Linux系统基于“所有者组其他”的许可模式。强制访问控制MAC模型：SELinux，所有文件、目录、端口等资源都是基于策略设定，而这些策略由管理员定制，一般用户无权更改。当用户有意或无意访问或修改程序正常运行所不需要的文件或者不在程序所控制的目录中的文件，则访问被拒绝，动作会被记录到日志中。SELinux的发展由美国国家安全局NSA开发的访问控制体制。1999年，NSA在Linux内核中实现Flask安全架构，2000年发布。,SELinux的特点,采用强制访问控制MAC类型加强TE（TypeEnforcement）对进程只赋予最小权限进行类型的迁移防止权限升级基于角色的访问控制RBAC对用户只赋予最小权限SELinux策略决定保护类别和方式,SELinux的基本概念,用户身份（useridentity）类型（type）角色（role）安全上下文（context）策略多层安全（MLS）,SELinux的模式,enforcing：启用并强制执行系统上的SELinux安全机制，记录它拒绝的所有动作。permissive：启用SELinux，但是不强制执行安全策略。即使操作违反安全策略，也不会阻止，但会记录。disabled：关闭SELinux。,查看SELinux模式,SELinux的运行模式控制,setenforcegetenforce配置文件/etc/selinux/config,SELinux的策略管理,SELinux的监视,SELinux诊断工具,SELinux与原访问控制机制的关系,安装并启用SELinux后，Linux的原有安全机制，即“所有者组其他”的访问控制机制仍然有效，二者可以共存。当执行某操作时，原有访问控制机制首先起作用，如原有规则允许该操作，那么SELinux会检查并根据自己的策略允许或拒绝访问。,本章小结,