雖然Linux和Windows NT/2000系統一樣是一個多用戶的系統,但是它們之間有不少重要的差別。對於很多習慣了Windows系統的管理員來講,如何保證Linux操作系統安全、可靠將會面臨許多新的挑戰。本文將重點介紹Linux系統安全的命令。
passwd
1.作用
passwd命令原來修改賬戶的登陸密碼,使用權限是所有用戶。
2.格式
passwd [選項] 賬戶名稱
3.主要參數
-l:鎖定已經命名的賬戶名稱,只有具備超級用戶權限的使用者方可使用。
-u:解開賬戶鎖定狀態,只有具備超級用戶權限的使用者方可使用。
-x, --maximum=DAYS:最大密碼使用時間(天),只有具備超級用戶權限的使用者方可使用。
-n, --minimum=DAYS:最小密碼使用時間(天),只有具備超級用戶權限的使用者方可使用。
-d:刪除使用者的密碼, 只有具備超級用戶權限的使用者方可使用。
-S:檢查指定使用者的密碼認證種類, 只有具備超級用戶權限的使用者方可使用。
4.應用實例
$ passwd Changing password for user cao. Changing password for cao (current) UNIX password: New UNIX password: Retype new UNIX password: passwd: all authentication tokens updated successfully.
從上面可以看到,使用passwd命令需要輸入舊的密碼,然後再輸入兩次新密碼。
su
1.作用
su的作用是變更為其它使用者的身份,超級用戶除外,需要鍵入該使用者的密碼。
2.格式
su [選項]... [-] [USER [ARG]...]
3.主要參數
-f , --fast:不必讀啟動文件(如 csh.cshrc 等),僅用於csh或tcsh兩種Shell。
-l , --login:加了這個參數之後,就好像是重新登陸為該使用者一樣,大部分環境變量(例如HOME、SHELL和USER等)都是以該使用者(USER)為主,並且工作目錄也會改變。如果沒有指定USER,缺省情況是root。
-m, -p ,--preserve-environment:執行su時不改變環境變數。
-c command:變更賬號為USER的使用者,並執行指令(command)後再變回原來使用者。
USER:欲變更的使用者賬號,ARG傳入新的Shell參數。
4.應用實例
變更賬號為超級用戶,並在執行df命令後還原使用者。 su -c df root
umask
1.作用
umask設置用戶文件和目錄的文件創建缺省屏蔽值,若將此命令放入profile文件,就可控制該用戶後續所建文件的存取許可。它告訴系統在創建文件時不給誰存取許可。使用權限是所有用戶。
2.格式
umask [-p] [-S] [mode]
3.參數
-S:確定當前的umask設置。
-p:修改umask 設置。
[mode]:修改數值。
4.說明
傳統Unix的umask值是022,這樣就可以防止同屬於該組的其它用戶及別的組的用戶修改該用戶的文件。既然每個用戶都擁有並屬於一個自己的私有組,那麼這種“組保護模式”就不在需要了。嚴密的權限設定構成了Linux安全的基礎,在權限上犯錯誤是致命的。需要注意的是,umask命令用來設置進程所創建的文件的讀寫權限,最保險的值是0077,即關閉創建文件的進程以外的所有進程的讀寫權限,表示為-rw-------。在~/.bash_profile中,加上一行命令umask 0077可以保證每次啟動Shell後, 進程的umask權限都可以被正確設定。
5.應用實例
umask -S u=rwx,g=rx,o=rx umask -p 177 umask -S u=rw,g=,o=
上述5行命令,首先顯示當前狀態,然後把umask值改為177,結果只有文件所有者具有讀寫文件的權限,其它用戶不能訪問該文件。這顯然是一種非常安全的設置。
chgrp
1.作用
chgrp表示修改一個或多個文件或目錄所屬的組。使用權限是超級用戶。
2.格式
chgrp [選項]... 組 文件...
或
chgrp [選項]... --reference=參考文件 文件...
將每個<文件>的所屬組設定為<組>。
3.參數
-c, --changes :像 --verbose,但只在有更改時才顯示結果。
--dereference:會影響符號鏈接所指示的對象,而非符號鏈接本身。
-h, --no-dereference:會影響符號鏈接本身,而非符號鏈接所指示的目的地(當系統支持更改符號鏈接的所有者,此選項才有效)。