四、系統(tǒng)安全相關(guān)命令

　　su

　　1.作用

　　su的作用是變更為其它使用者的身份，超級(jí)用戶(hù)除外，需要鍵入該使用者的密碼。

　　2.格式

　　su ［選項(xiàng)］。。。 ［-］ ［USER ［ARG］。。。］

　　3.主要參數(shù)

　　-f ， --fast：不必讀啟動(dòng)文件（如 csh.cshrc 等），僅用于csh或tcsh兩種Shell。

　　-l ， --login：加了這個(gè)參數(shù)之后，就好像是重新登陸為該使用者一樣，大部分環(huán)境變量（例如HOME、SHELL和USER等）都是以該使用者（USER）為主，并且工作目錄也會(huì)改變。如果沒(méi)有指定USER，缺省情況是root。

　　-m， -p ，--preserve-environment：執(zhí)行su時(shí)不改變環(huán)境變數(shù)。

　　-c command：變更賬號(hào)為USER的使用者，并執(zhí)行指令（command）后再變回原來(lái)使用者。

　　USER：欲變更的使用者賬號(hào)，ARG傳入新的Shell參數(shù)。

　　4.應(yīng)用實(shí)例

　　變更賬號(hào)為超級(jí)用戶(hù)，并在執(zhí)行df命令后還原使用者。 su -c df root

　　umask

　　1.作用

　　umask設(shè)置用戶(hù)文件和目錄的文件創(chuàng)建缺省屏蔽值，若將此命令放入profile文件，就可控制該用戶(hù)后續(xù)所建文件的存取許可。它告訴系統(tǒng)在創(chuàng)建文件時(shí)不給誰(shuí)存取許可。使用權(quán)限是所有用戶(hù)。

　　2.格式

　　umask ［-p］ ［-S］ ［mode］

　　3.參數(shù)

　?。璖：確定當(dāng)前的umask設(shè)置。

　?。璸：修改umask 設(shè)置。

　　［mode］：修改數(shù)值。

　　4.說(shuō)明

　　傳統(tǒng)Unix的umask值是022，這樣就可以防止同屬于該組的其它用戶(hù)及別的組的用戶(hù)修改該用戶(hù)的文件。既然每個(gè)用戶(hù)都擁有并屬于一個(gè)自己的私有組，那么這種“組保護(hù)模式”就不在需要了。嚴(yán)密的權(quán)限設(shè)定構(gòu)成了Linux安全的基礎(chǔ)，在權(quán)限上犯錯(cuò)誤是致命的。需要注意的是，umask命令用來(lái)設(shè)置進(jìn)程所創(chuàng)建的文件的讀寫(xiě)權(quán)限，最保險(xiǎn)的值是0077，即關(guān)閉創(chuàng)建文件的進(jìn)程以外的所有進(jìn)程的讀寫(xiě)權(quán)限，表示為-rw-------。在～/.bash_profile中，加上一行命令umask 0077可以保證每次啟動(dòng)Shell后， 進(jìn)程的umask權(quán)限都可以被正確設(shè)定。

　　5.應(yīng)用實(shí)例

　　umask -S

　　u=rwx，g=rx，o=rx

　　umask -p 177

　　umask -S

　　u=rw，g=，o=

　　上述5行命令，首先顯示當(dāng)前狀態(tài)，然后把umask值改為177，結(jié)果只有文件所有者具有讀寫(xiě)文件的權(quán)限，其它用戶(hù)不能訪(fǎng)問(wèn)該文件。這顯然是一種非常安全的設(shè)置。

　　chgrp

　　1.作用

　　chgrp表示修改一個(gè)或多個(gè)文件或目錄所屬的組。使用權(quán)限是超級(jí)用戶(hù)。

　　2.格式

　　chgrp ［選項(xiàng)］。。。 組 文件。。?；騝hgrp ［選項(xiàng)］。。。 --reference=參考文件 文件。。。將每個(gè)的所屬組設(shè)定為。

　　3.參數(shù)

　　-c， --changes ：像 --verbose，但只在有更改時(shí)才顯示結(jié)果。

　　--dereference：會(huì)影響符號(hào)鏈接所指示的對(duì)象，而非符號(hào)鏈接本身。

　　-h， --no-dereference：會(huì)影響符號(hào)鏈接本身，而非符號(hào)鏈接所指示的目的地（當(dāng)系統(tǒng)支持更改符號(hào)鏈接的所有者，此選項(xiàng)才有效）。

　　-f， --silent， --quiet：去除大部分的錯(cuò)誤信息。

　　--reference=參考文件：使用的所屬組，而非指定的。

　　-R， --recursive：遞歸處理所有的文件及子目錄。

　　-v， --verbose：處理任何文件都會(huì)顯示信息。

　　4.應(yīng)用說(shuō)明

　　該命令改變指定指定文件所屬的用戶(hù)組。其中g(shù)roup可以是用戶(hù)組ID，也可以是/etc/group文件中用戶(hù)組的組名。文件名是以空格分開(kāi)的要改變屬組的文件列表，支持通配符。如果用戶(hù)不是該文件的屬主或超級(jí)用戶(hù)，則不能改變?cè)撐募慕M。

　　5.應(yīng)用實(shí)例

　　改變/opt/local /book/及其子目錄下的所有文件的屬組為book，命令如下：

　　$ chgrp - R book /opt/local /book

　　chmod

　　1.作用

　　chmod命令是非常重要的，用于改變文件或目錄的訪(fǎng)問(wèn)權(quán)限，用戶(hù)可以用它控制文件或目錄的訪(fǎng)問(wèn)權(quán)限，使用權(quán)限是超級(jí)用戶(hù)。

　　2.格式

　　chmod命令有兩種用法。一種是包含字母和操作符表達(dá)式的字符設(shè)定法（相對(duì)權(quán)限設(shè)定）；另一種是包含數(shù)字的數(shù)字設(shè)定法（絕對(duì)權(quán)限設(shè)定）。

　?。?）字符設(shè)定法

　　chmod ［who］ ［+ | - | =］ ［mode］ 文件名

　　◆操作對(duì)象who可以是下述字母中的任一個(gè)或它們的組合

　　u：表示用戶(hù)，即文件或目錄的所有者。

　　g：表示同組用戶(hù)，即與文件屬主有相同組ID的所有用戶(hù)。

　　o：表示其它用戶(hù)。

　　a：表示所有用戶(hù)，它是系統(tǒng)默認(rèn)值。

　　◆操作符號(hào)

　　+：添加某個(gè)權(quán)限。

　　-：取消某個(gè)權(quán)限。

　　=：賦予給定權(quán)限，并取消其它所有權(quán)限（如果有的話(huà)）。

　　◆設(shè)置mode的權(quán)限可用下述字母的任意組合

　　r：可讀。

　　w：可寫(xiě)。

　　x：可執(zhí)行。

　　X：只有目標(biāo)文件對(duì)某些用戶(hù)是可執(zhí)行的或該目標(biāo)文件是目錄時(shí)才追加x屬性。

　　s：文件執(zhí)行時(shí)把進(jìn)程的屬主或組ID置為該文件的文件屬主。方式“u＋s”設(shè)置文件的用戶(hù)ID位，“g＋s”設(shè)置組ID位。

　　t：保存程序的文本到交換設(shè)備上。

　　u：與文件屬主擁有一樣的權(quán)限。

　　g：與和文件屬主同組的用戶(hù)擁有一樣的權(quán)限。

　　o：與其它用戶(hù)擁有一樣的權(quán)限。

　　文件名：以空格分開(kāi)的要改變權(quán)限的文件列表，支持通配符。一個(gè)命令行中可以給出多個(gè)權(quán)限方式，其間用逗號(hào)隔開(kāi)。

　?。?） 數(shù)字設(shè)定法

　　數(shù)字設(shè)定法的一般形式為： chmod ［mode］ 文件名數(shù)字屬性的格式應(yīng)為3個(gè)0到7的八進(jìn)制數(shù)，其順序是（u）（g）（o）文件名，以空格分開(kāi)的要改變權(quán)限的文件列表，支持通配符。

　 ? ?數(shù)字表示的權(quán)限的含義如下：0001為所有者的執(zhí)行權(quán)限；0002為所有者的寫(xiě)權(quán)限；0004為所有者的讀權(quán)限；0010為組的執(zhí)行權(quán)限；0020為組的寫(xiě)權(quán)限；0040為組的讀權(quán)限；0100為其他人的執(zhí)行權(quán)限；0200為其他人的寫(xiě)權(quán)限；0400為其他人的讀權(quán)限；1000為粘貼位置位；2000表示假如這個(gè)文件是可執(zhí)行文件，則為組ID為位置位，否則其中文件鎖定位置位；4000表示假如這個(gè)文件是可執(zhí)行文件，則為用戶(hù)ID為位置位。

　　3.實(shí)例

　　如果一個(gè)系統(tǒng)管理員寫(xiě)了一個(gè)表格（tem）讓所有用戶(hù)填寫(xiě)，那么必須授權(quán)用戶(hù)對(duì)這個(gè)文件有讀寫(xiě)權(quán)限，可以使用命令：＃chmod 666 tem

　　上面代碼中，這個(gè)666數(shù)字是如何計(jì)算出來(lái)的呢？0002為所有者的寫(xiě)權(quán)限，0004為所有者的讀權(quán)限，0020為組的寫(xiě)權(quán)限，0040為組的讀權(quán)限，0200為其他人的寫(xiě)權(quán)限，0400為其他人的讀權(quán)限，這6個(gè)數(shù)字相加就是666（注以上數(shù)字都是八進(jìn)制數(shù)）。

　　 用chmod數(shù)字方法設(shè)定文件權(quán)限

　　可以看出，tem文件的權(quán)限是-rw-rw-rw-，即用戶(hù)對(duì)這個(gè)文件有讀寫(xiě)權(quán)限。

　　如果用字符權(quán)限設(shè)定使用下面命令：

　?。hmod a =wx tem

　　chown

　　1.作用

　　更改一個(gè)或多個(gè)文件或目錄的屬主和屬組。使用權(quán)限是超級(jí)用戶(hù)。

　　2.格式

　　chown ［選項(xiàng)］ 用戶(hù)或組 文件

　　3.主要參數(shù)

　　--dereference：受影響的是符號(hào)鏈接所指示的對(duì)象，而非符號(hào)鏈接本身。

　　-h， --no-dereference：會(huì)影響符號(hào)鏈接本身，而非符號(hào)鏈接所指示的目的地（當(dāng)系統(tǒng)支持更改符號(hào)鏈接的所有者，此選項(xiàng)才有效）。

　　--from=目前所有者：目前組只當(dāng)每個(gè)文件的所有者和組符合選項(xiàng)所指定的，才會(huì)更改所有者和組。其中一個(gè)可以省略，這已省略的屬性就不需要符合原有的屬性。

　　-f， --silent， --quiet：去除大部分的錯(cuò)誤信息。

　　-R， --recursive：遞歸處理所有的文件及子目錄。

　　-v， --verbose：處理任何文件都會(huì)顯示信息。

　　4.說(shuō)明

　　chown 將指定文件的擁有者改為指定的用戶(hù)或組，用戶(hù)可以是用戶(hù)名或用戶(hù)ID；組可以是組名或組ID；文件是以空格分開(kāi)的要改變權(quán)限的文件列表，支持通配符。系統(tǒng)管理員經(jīng)常使用chown命令，在將文件拷貝到另一個(gè)用戶(hù)的目錄下以后，讓用戶(hù)擁有使用該文件的權(quán)限。

　　5.應(yīng)用實(shí)例

　　1.把文件shiyan.c的所有者改為wan

　　$ chown wan shiyan.c

　　2.把目錄/hi及其下的所有文件和子目錄的屬主改成wan，屬組改成users。

　　$ chown - R wan.users /hi

　　chattr

　　1.作用

　　修改ext2和ext3文件系統(tǒng)屬性（attribute），使用權(quán)限超級(jí)用戶(hù)。

　　2.格式

　　chattr ［-RV］ ［-+=AacDdijsSu］ ［-v version］ 文件或目錄

　　3.主要參數(shù)

　?。璕：遞歸處理所有的文件及子目錄。

　　－V：詳細(xì)顯示修改內(nèi)容，并打印輸出。

　?。菏傩?。

　　＋：激活屬性。

　　= ：指定屬性。

　　A：Atime，告訴系統(tǒng)不要修改對(duì)這個(gè)文件的最后訪(fǎng)問(wèn)時(shí)間。

　　S：Sync，一旦應(yīng)用程序?qū)@個(gè)文件執(zhí)行了寫(xiě)操作，使系統(tǒng)立刻把修改的結(jié)果寫(xiě)到磁盤(pán)。

　　a：Append Only，系統(tǒng)只允許在這個(gè)文件之后追加數(shù)據(jù)，不允許任何進(jìn)程覆蓋或截?cái)噙@個(gè)文件。如果目錄具有這個(gè)屬性，系統(tǒng)將只允許在這個(gè)目錄下建立和修改文件，而不允許刪除任何文件。

　　i：Immutable，系統(tǒng)不允許對(duì)這個(gè)文件進(jìn)行任何的修改。如果目錄具有這個(gè)屬性，那么任何的進(jìn)程只能修改目錄之下的文件，不允許建立和刪除文件。

　　D：檢查壓縮文件中的錯(cuò)誤。

　　d：No dump，在進(jìn)行文件系統(tǒng)備份時(shí)，dump程序?qū)⒑雎赃@個(gè)文件。

　　C：Compress，系統(tǒng)以透明的方式壓縮這個(gè)文件。從這個(gè)文件讀取時(shí)，返回的是解壓之后的數(shù)據(jù)；而向這個(gè)文件中寫(xiě)入數(shù)據(jù)時(shí)，數(shù)據(jù)首先被壓縮之后才寫(xiě)入磁盤(pán)。

　　s：Secure Delete，讓系統(tǒng)在刪除這個(gè)文件時(shí)，使用0填充文件所在的區(qū)域。

　　u：Undelete，當(dāng)一個(gè)應(yīng)用程序請(qǐng)求刪除這個(gè)文件，系統(tǒng)會(huì)保留其數(shù)據(jù)塊以便以后能夠恢復(fù)刪除這個(gè)文件。

　　4.說(shuō)明

　　chattr命令的作用很大，其中一些功能是由Linux內(nèi)核版本來(lái)支持的，如果Linux內(nèi)核版本低于2.2，那么許多功能不能實(shí)現(xiàn)。同樣－D檢查壓縮文件中的錯(cuò)誤的功能，需要2.5.19以上內(nèi)核才能支持。另外，通過(guò)chattr命令修改屬性能夠提高系統(tǒng)的安全性，但是它并不適合所有的目錄。chattr命令不能

　　保護(hù)/、/dev、/tmp、/var目錄。

　　5.應(yīng)用實(shí)例

　　1.恢復(fù)/root目錄，即子目錄的所有文件

　　# chattr -R +u/root

　　2.用chattr命令防止系統(tǒng)中某個(gè)關(guān)鍵文件被修改

　　在Linux下，有些配置文件（passwd ，fatab）是不允許任何人修改的，為了防止被誤刪除或修改，可以設(shè)定該文件的“不可修改位（immutable）”，命令如下：

　　# chattr +i /etc/fstab

　　ps

　　1.作用

　　ps顯示瞬間進(jìn)程 （process） 的動(dòng)態(tài)，使用權(quán)限是所有使用者。

　　2.格式

　　ps ［options］ ［--help］

　　3.主要參數(shù)

　　ps的參數(shù)非常多， 此出僅列出幾個(gè)常用的參數(shù)。

　　-A：列出所有的進(jìn)程。

　　-l：顯示長(zhǎng)列表。

　　-m：顯示內(nèi)存信息。

　　-w：顯示加寬可以顯示較多的信息。

　　-e：顯示所有進(jìn)程。

　　a：顯示終端上的所有進(jìn)程，包括其它用戶(hù)的進(jìn)程。

　　-au：顯示較詳細(xì)的信息。

　　-aux：顯示所有包含其它使用者的進(jìn)程。

　　4.說(shuō)明

　　要對(duì)進(jìn)程進(jìn)行監(jiān)測(cè)和控制，首先要了解當(dāng)前進(jìn)程的情況，也就是需要查看當(dāng)前進(jìn)程。ps命令就是最基本、也是非常強(qiáng)大的進(jìn)程查看命令。使用該命令可以確定有哪些進(jìn)程正在運(yùn)行、運(yùn)行的狀態(tài)、進(jìn)程是否結(jié)束、進(jìn)程有沒(méi)有僵尸、哪些進(jìn)程占用了過(guò)多的資源等。圖2給出了ps-aux命令詳解。大部分信息都可以通過(guò)執(zhí)行該命令得到。最常用的三個(gè)參數(shù)是u、a、x。下面就結(jié)合這三個(gè)參數(shù)詳細(xì)說(shuō)明ps命令的作用：ps aux

　　USER表示進(jìn)程擁有者；PID表示進(jìn)程標(biāo)示符；%CPU表示占用的CPU使用率；%MEM占用的物理內(nèi)存使用率；VSZ表示占用的虛擬內(nèi)存大??；RSS為進(jìn)程占用的物理內(nèi)存值；TTY為終端的次要裝置號(hào)碼。

　　STAT表示進(jìn)程的狀態(tài)，其中D為不可中斷的靜止（I/O動(dòng)作）；R正在執(zhí)行中；S靜止?fàn)顟B(tài)；T暫停執(zhí)行；Z不存在，但暫時(shí)無(wú)法消除；W沒(méi)有足夠的內(nèi)存分頁(yè)可分配；高優(yōu)先序的進(jìn)程；N低優(yōu)先序的進(jìn)程；L有內(nèi)存分頁(yè)分配并鎖在內(nèi)存體內(nèi) （實(shí)時(shí)系統(tǒng)或I/O）。START為進(jìn)程開(kāi)始時(shí)間。TIME為執(zhí)行的時(shí)間。COMMAND是所執(zhí)行的指令。

　　4.應(yīng)用實(shí)例

　　在進(jìn)行系統(tǒng)維護(hù)時(shí)，經(jīng)常會(huì)出現(xiàn)內(nèi)存使用量驚人，而又不知道是哪一個(gè)進(jìn)程占用了大量進(jìn)程的情況。除了可以使用top命令查看內(nèi)存使用情況之外，還可以使用下面的命令：

　　ps aux | sort +5n