【文章內(nèi)容簡(jiǎn)介】 021年 3 月就發(fā)布了 RHEL5）。 RHEL5基于 Linux ，支持多核處理器，其版本主要分為 Server 和 Desktop兩個(gè)。 1． Server 版 RHEL Server 版本是 RHEL 家族中最強(qiáng)的版本，支持大型服務(wù)器，包括最全面的支持服務(wù)，適用于大型企業(yè)部門(mén)及數(shù)據(jù)中心。 淺談 Linux 操作系統(tǒng)的安全 9 Server 版本可分為 Red Hat Enterprise Linux Advanced Platform（對(duì)應(yīng)以前的 Red Hat Enterprise Linux AS）和 Red Hat Enterprise Linux（對(duì)應(yīng)以前的 Red Hat Enterprise Linux AS）。 2． Desktop 版 RHEL Desktop 版是 RHEL 的桌面版。適合所有桌面部署，包括辦公室軟件、軟件制作環(huán)境及一些 ISV 客戶(hù)程序。 Desktop 版本分為 Red Hat Enterprise Linux Desktop（對(duì)應(yīng)以前的 Red Hat Desktop）和 Red Hat Enterprise Linux Desktop with Workstation option（對(duì)應(yīng)以前的 Red Hat Enterprise Linux WS）。 內(nèi)核版本的選擇 內(nèi)核是 Linux 操作系統(tǒng)的最重要的部分，從最初的 版本到目前的 版本， Linux 內(nèi)核開(kāi)發(fā)經(jīng)過(guò)了近 20 年的時(shí)間，其架構(gòu)已經(jīng)十分穩(wěn)定。 Linux 內(nèi)核的編號(hào)采用 如下編號(hào)形式： 主版本號(hào) .次版本號(hào) .主補(bǔ)丁號(hào) .次補(bǔ)丁號(hào) 例如 各數(shù)字的含義如下： (1) 第 1個(gè) 數(shù)字（ 2） 是主版本號(hào)， 表示第 2大版本； (2) 第 2 個(gè)數(shù)字（ 6） 是次版本號(hào)， 有兩個(gè)含義： 既表示是 Linux 內(nèi)核 大版本的第 6 個(gè)小版本 ，同時(shí)因?yàn)?6 是 偶數(shù)表示 為發(fā)布版本 （奇數(shù)表示測(cè)試版）； (3) 第 3 個(gè)數(shù)字（ 26） 是主版本補(bǔ)丁號(hào)， 表示指定小版本的第 26 個(gè)補(bǔ)丁包； (4) 第 4 個(gè)數(shù)字（ 3）是次版本補(bǔ)丁號(hào)，表示次補(bǔ)丁號(hào)的第 3 個(gè)小補(bǔ)丁。 在 安裝 Linux 操作系統(tǒng)的時(shí)候， 最好不要 采用發(fā)行版本號(hào)中的 小版本號(hào)是奇數(shù)的內(nèi)核 ，因?yàn)殚_(kāi)發(fā)中的版本沒(méi)有經(jīng)過(guò)比較完善的測(cè)試，有一些 bug 是未知的，有可能造成使用中不必要的麻煩 。 ?注意： Debian Linux 內(nèi)核的版本稍有不同，如 ， 可以發(fā)現(xiàn)多了一組數(shù)淺談 Linux 操作系統(tǒng)的安全 10 該數(shù)字是 構(gòu)建 號(hào)。每個(gè) 構(gòu)建 號(hào)可以增加少量新的驅(qū)動(dòng)程序或缺陷修復(fù)。 Linux 內(nèi)核版本的開(kāi)發(fā)源代碼樹(shù)目前比較通用的是 的版本，當(dāng)然，有部分 的版本仍在使用。與 版本的內(nèi)核相比較， 版本內(nèi)核具有如下的優(yōu)勢(shì)： ? 支持絕大多數(shù)的嵌入式系統(tǒng)，加入了之前嵌入式系統(tǒng)經(jīng)常使用的μ Clinux 的大部分代碼，并且子系統(tǒng)的支持更加細(xì)化可以支持硬件體系結(jié)構(gòu)的多樣性，可搶占內(nèi)核的調(diào)度方式支持實(shí)時(shí)系統(tǒng)，可定制內(nèi)核。 ? 支持目前最新的 CPU，例如 Intel 的超線(xiàn)程、可擴(kuò)展的地址空間訪(fǎng)問(wèn)。 ? 驅(qū)動(dòng)程序框架變 更，例如用 .ko 替代了原來(lái)的 .o 方式，消除內(nèi)核競(jìng)爭(zhēng)，更加透明的子模塊方式。 ? 增加了更多的內(nèi)核級(jí)的硬件支持。 本書(shū)中的環(huán)境對(duì) Linux 的內(nèi)核沒(méi)有特殊要求，因此讀者在選擇內(nèi)核版本的時(shí)候不需要重新編譯內(nèi)核，使用操作系統(tǒng)自帶的內(nèi)核就可以滿(mǎn)足需要。本書(shū)作者的操作系統(tǒng)內(nèi)核為 。 Linux 的系統(tǒng)架構(gòu) Linux系統(tǒng)從應(yīng)用角度來(lái)看，分為內(nèi)核空間和用戶(hù)空間兩個(gè)部分。內(nèi)核空間是 Linux操作系統(tǒng)的主要部分，但是僅有內(nèi)核的操作系統(tǒng)是不能完成用戶(hù)任務(wù)的。豐富并且功能強(qiáng)大的應(yīng)用程 序包是一個(gè)操作系統(tǒng)成功的必要條件 Linux 內(nèi)核的主要模塊 Linux 的內(nèi)核主要由 5 個(gè)子系統(tǒng)組成：進(jìn)程調(diào)度、內(nèi)存管理、虛擬文件系統(tǒng)、網(wǎng)絡(luò)接口、進(jìn)程間通信。 (1) 進(jìn)程調(diào)度 SCHED 進(jìn)程調(diào)度指的是系統(tǒng)對(duì)進(jìn)程的多種狀態(tài)之間轉(zhuǎn)換的策略。 Linux 下的進(jìn)程調(diào)度有3 種策略： SCHED_OTHER、 SCHED_FIFO 和 SCHED_RR。 ? SCHED_OTHER 是用于針對(duì)普通進(jìn)程的時(shí)間片輪轉(zhuǎn)調(diào)度策略。這種策略中，淺談 Linux 操作系統(tǒng)的安全 11 系統(tǒng)給所有的運(yùn)行狀態(tài)的進(jìn)程分配時(shí)間片。在當(dāng)前進(jìn)程的時(shí)間片用完之后，系統(tǒng)從進(jìn)程中優(yōu)先級(jí)最高 的進(jìn)程中選擇進(jìn)程運(yùn)行。 ? SCHED_FIFO是針對(duì)運(yùn)行的實(shí)時(shí)性要求比較高、運(yùn)行時(shí)間短的進(jìn)程調(diào)度策略。這種策略中，系統(tǒng)按照進(jìn)入隊(duì)列的先后進(jìn)行進(jìn)程的調(diào)度，在沒(méi)有更高優(yōu)先級(jí)進(jìn)程到來(lái)或者當(dāng)前進(jìn)程沒(méi)有因?yàn)榈却Y源而阻塞的情況下，會(huì)一直運(yùn)行。 ? SCHED_RR 是針對(duì)實(shí)時(shí)性要求比較高、運(yùn)行時(shí)間比較長(zhǎng)的進(jìn)程調(diào)度策略。這種策略與 SCHED_OTHER 的策略類(lèi)似，只不過(guò) SCHED_RR 進(jìn)程的優(yōu)先級(jí)要高得多。系統(tǒng)分配給 SCHED_RR 進(jìn)程時(shí)間片，然后輪循運(yùn)行這些進(jìn)程，將時(shí)間片用完的進(jìn)程放入隊(duì)列的末尾。 由于存在多種調(diào)度方式， Li nux 進(jìn)程調(diào)度采用的是 “ 有條件可剝奪 ” 的調(diào)度方式。普通進(jìn)程中采用的是 SCHED_OTHER 的時(shí)間片輪循方式，實(shí)時(shí)進(jìn)程可以剝奪普通進(jìn)程。如果普通進(jìn)程在用戶(hù)空間運(yùn)行，則普通進(jìn)程立即停止運(yùn)行，將資源讓給實(shí)時(shí)進(jìn)程；如果普通進(jìn)程運(yùn)行在內(nèi)核空間，需要等系統(tǒng)調(diào)用返回用戶(hù)空間后方可剝奪資源。 (2)內(nèi)存管理 MMU 內(nèi)存管理是多個(gè)進(jìn)程間的內(nèi)存共享策略。在 Linux 系統(tǒng)中，內(nèi)存管理的主要概念是虛擬內(nèi)存。 虛擬內(nèi)存可以讓進(jìn)程擁有比實(shí)際物理內(nèi)存更大的內(nèi)存，可以是實(shí)際內(nèi)存的很多倍。每個(gè)進(jìn)程的虛擬內(nèi)存有不同的地址空間，多個(gè)進(jìn)程的虛擬內(nèi) 存不會(huì)沖突。 虛擬內(nèi)存的分配策略是每個(gè)進(jìn)程都可以公平地使用虛擬內(nèi)存。虛擬內(nèi)存的大小通常設(shè)置為物理內(nèi)存的兩倍。 (3)虛擬文件系統(tǒng) VFS 在 Linux 下支持多種文件系統(tǒng)，如 ext、 ext minix、 umsdos、 msdos、 vfat、 ntfs、proc、 smb、 ncp、 iso9660、 sysv、 hpfs、 affs 等。目前 Linux 下最常用的文件格式是ext2 和 ext3。 ext2 文件系統(tǒng)用于固定文件系統(tǒng)和可活動(dòng)文件系統(tǒng)，是 ext 文件系統(tǒng)的擴(kuò)展。 ext3 文件系統(tǒng)是在 ext2 上增加日志功能后的擴(kuò)展，它兼容 ext2。兩種文件系統(tǒng)之間可以互相轉(zhuǎn)換， ext2 不用格式化就可以轉(zhuǎn)換為 ext3 文件系統(tǒng)，而 ext3 文件系統(tǒng)轉(zhuǎn)換為 ext2 文件系統(tǒng)也不會(huì)丟失數(shù)據(jù)。 淺談 Linux 操作系統(tǒng)的安全 12 (4)網(wǎng)絡(luò)接口 Linux 是在 Inter 飛速發(fā)展的時(shí)期成長(zhǎng)起來(lái)的，所以 Linux 支持多種網(wǎng)絡(luò)接口和協(xié)議。網(wǎng)絡(luò)接口分為網(wǎng)絡(luò)協(xié)議和驅(qū)動(dòng)程序，網(wǎng)絡(luò)協(xié)議是一種網(wǎng)絡(luò)傳輸?shù)耐ㄐ艠?biāo)準(zhǔn)，而網(wǎng)絡(luò)驅(qū)動(dòng)則是對(duì)硬件設(shè)備的驅(qū)動(dòng)程序。 Linux 支持的網(wǎng)絡(luò)設(shè)備多種多樣，幾乎目前所有網(wǎng)絡(luò)設(shè)備都有驅(qū)動(dòng)程序。 (5)進(jìn)程間通信 Linux 操作系統(tǒng)支持多進(jìn)程，進(jìn)程之間需要進(jìn)行數(shù)據(jù)的交流才能完成控制、協(xié)同工作等功能， Linux 的進(jìn)程間通信是從 UNIX 系統(tǒng)繼承過(guò)來(lái)的。 Linux 下的進(jìn)程間通信方式主要有管道方式、信號(hào)方式、消息隊(duì)列方式、共享內(nèi)存和套接字等方法 Linux 的文件結(jié)構(gòu) 與 Windows 下的文件組織結(jié)構(gòu)不同， Linux 不使用磁盤(pán)分區(qū)符號(hào)來(lái)訪(fǎng)問(wèn)文件系統(tǒng)，而是將整個(gè)文件系統(tǒng)表示成樹(shù)狀的結(jié)構(gòu)， Linux 系統(tǒng)每增加一個(gè)文件系統(tǒng)都會(huì)將其加入到這個(gè)樹(shù)中。 操作系統(tǒng)文件結(jié)構(gòu)的開(kāi)始，只有一個(gè)單獨(dú)的頂級(jí)目錄結(jié)構(gòu)，叫做根目錄。所有一切都從“根”開(kāi)始，用“ /”代表，并且延伸到子目錄。 DOS/Windows 下文件系統(tǒng)按照磁盤(pán)分區(qū)的概念分類(lèi)，目錄都存于分區(qū)上。 Linux 則通過(guò)“掛接”的方式把所有分區(qū)都放置在“根”下 各個(gè)目錄里。一個(gè) Linux 系統(tǒng)的文件結(jié)構(gòu)如圖 所 示。 不同的 Linux發(fā)行版本的目錄結(jié)構(gòu)和具體的實(shí) 現(xiàn)功能存在一些細(xì)微的差別。但是主要的功能都是一 致的。 一些常用目錄 的作用如下： ? /etc： 包括 絕大多數(shù) Linux 系統(tǒng)引導(dǎo)所需要的配置文件 ， 系統(tǒng)引導(dǎo)時(shí)讀取配置文件，按照配置文件的選項(xiàng)進(jìn)行不同情況的啟動(dòng)，例如 fstab、 等。 ? /lib： 包含 C 編譯程序需要的函數(shù)庫(kù)，是一組 二進(jìn)制文件 ，例如 glibc 等 。 圖 Linux 文件系統(tǒng) 淺談 Linux 操作系統(tǒng)的安全 13 ? /usr： 包括所有其他內(nèi)容，如 src、 local。 Linux 的內(nèi)核就在 /usr/src 中。其下有子目錄 /bin，存放所有安裝語(yǔ)言的命令，如 gcc、 perl 等。 ? /var： 包含系統(tǒng)定義表 ， 以便在系統(tǒng)運(yùn)行改變 時(shí) 可以只備份該目錄，如 cache。 ? /tmp： 用于臨時(shí)性的存儲(chǔ)。 ? /bin： 大多數(shù)命令存放在這里。 ? /home： 主要存放用戶(hù)賬號(hào) ，并且可以支持 ftp 的用戶(hù)管理。 系統(tǒng)管理員增加用戶(hù)時(shí)，系統(tǒng) 在 home 目錄下創(chuàng)建與 用戶(hù)同名的目錄，此目錄下一般默認(rèn)有Desktop 目錄。 ? /dev：這個(gè)目錄 下存放一種 設(shè)備文件的特殊文件，如 fd0、 had 等。 ? /mnt： 在 Linux 系統(tǒng)中 ， 它是專(zhuān)門(mén)給外掛的文件系統(tǒng)使用的，里面有兩個(gè)文件 cdrom、 floopy，登錄光驅(qū)、軟驅(qū)時(shí)要用到。 剛開(kāi)始使用 Linux 的人比較容易混淆的是 Linux 下使用斜杠“ /”，而在DOS/Windows 下使用的是反斜杠“ \”。例如在 Linux 中，由于從 UNIX 集成的關(guān)系，路徑用“ /usr/src/Linux”表示，而在 Windows 下則用“ \usr\src\Linux”表示。在 Linux下更加普遍的問(wèn)題是大小寫(xiě)敏感，這樣字母的大小寫(xiě)十 分重要，例如文件 和文件 在 Linux 下不是一個(gè)文件，而在 Windows 下則表示同一個(gè)文件。 GNU 通用公共許可證 導(dǎo)致 Linux 系統(tǒng)迅速發(fā)展的重要原因之一 ,是因?yàn)?Linux 系統(tǒng)遵循 GNU 通用公共版權(quán)協(xié)議。實(shí)際上， Linux 系統(tǒng)中絕大多數(shù)系統(tǒng)工具和應(yīng)用軟件都是 GNU 的。 1. 什么是 GNU 簡(jiǎn)單地說(shuō)， GNU 是一種自由軟件體系。 1984 年，自由軟件的積極倡導(dǎo)者、自由軟件基金會(huì)的董事長(zhǎng) Richard （ RMS）組織成立了一個(gè)完全基于自由軟件的軟件體系 GNU，并擬定了一份通用公共版權(quán)協(xié)議。 GNU 的創(chuàng)始人 Stal1man 認(rèn)為 UNIX 雖然不是最好的操作系統(tǒng)，但至少不會(huì)太差，而他自信有能力把 UNIX 不足的地方加以改進(jìn)，使它成為一個(gè)優(yōu)良的操作系統(tǒng)。這就淺談 Linux 操作系統(tǒng)的安全 14 是同 UNIX 兼容的、名為 GNU 的操作系統(tǒng)。 開(kāi)發(fā)這個(gè)系統(tǒng)的目的，就是為了讓所有的計(jì)算機(jī)用戶(hù)都可以自由地使用這個(gè)系統(tǒng)和免費(fèi)獲得其源代碼，并且可以自由復(fù)制。當(dāng)然 GNU 也擁有自己的版權(quán)申明，那就是用戶(hù)獲得 GNU 軟件后，既可以自由使用和修改，也可以散布 GNU 軟件，但是必須讓下一個(gè)用戶(hù)也有獲得源代碼的權(quán)利。規(guī)定是為了防止有些 人或公司將 GNU 軟件稍加修改就去申請(qǐng)版權(quán)，將其據(jù)為己有，其目的是要讓 GNU軟件永遠(yuǎn)是自由和公開(kāi)的。 目前， GNU 目前已經(jīng)推出的軟件主要有功能強(qiáng)大的集成編輯環(huán)境 — Emacs、性能優(yōu)異的多平臺(tái)多語(yǔ)言編譯器以及其他幾十種軟件。人們已經(jīng)很熟悉的一些軟件如BIND、 Pd、 Apache、 TCP/IP 等實(shí)際上都是自由軟件的經(jīng)典之作，現(xiàn)在又有了 Netscape的加盟。 2. Linux 系統(tǒng)與 GNU 的關(guān)系 Linux 不僅是一個(gè)理想主義者，而且他又非常講求實(shí)際。 1993 年， Linux 系統(tǒng)的第一個(gè)版本問(wèn)世的時(shí)候，是按完全自由 擴(kuò)散版權(quán)進(jìn)行擴(kuò)散的。它要求所有的源代碼必須公開(kāi)，而且任何人均不得從 Linux 交易中獲利。然而半年以后，他開(kāi)始意識(shí)到這種純粹的自由軟件的理想對(duì)于 Linux 的擴(kuò)散和發(fā)展來(lái)說(shuō)實(shí)際上是一種障礙，因?yàn)樗拗屏?Linux 系統(tǒng)以磁盤(pán)復(fù)制或者 CDROM 等媒體形式進(jìn)行擴(kuò)散的可能，也限制了一些商業(yè)公司參與 Linux 系統(tǒng)的進(jìn)一步開(kāi)發(fā)并提供技術(shù)支持的良好愿望。于是， Linux 先生決定轉(zhuǎn)向 GPL 版權(quán)。 淺談 Linux 操作系統(tǒng)的安全 15 第二章 Linux 與其他操作系統(tǒng)的比較 Linux 與 UNIX 的異同 Linux 是 UNIX 操作系統(tǒng)的一 個(gè)克隆系統(tǒng)，沒(méi)有 UNIX 就沒(méi)有 Linux。但是， Linux和傳統(tǒng)的 UNIX 有很大的不同，兩者之間的最大區(qū)別是關(guān)于版權(quán)方面的： Linux 是開(kāi)放源代碼的自由軟件，而 UNIX 是對(duì)源代碼實(shí)行知識(shí)產(chǎn)權(quán)保護(hù)的傳統(tǒng)商業(yè)軟件。兩者之間還存在如下的區(qū)別： ? UNIX 操作系統(tǒng)大多數(shù)是與硬件配套的，操作系統(tǒng)與硬件進(jìn)行了綁定；而Linux 則可運(yùn)行在多種硬件平臺(tái)上。 ? UNIX 操作系統(tǒng)是一種商業(yè)軟件（授權(quán)費(fèi)大約為 5 萬(wàn)美元）；而 Linux 操作提供則是一種自由軟件，是免費(fèi)的，并且公開(kāi)源代碼。 ? UNIX 的歷史要