【文章內(nèi)容簡介】 021年 3 月就發(fā)布了 RHEL5）。 RHEL5基于 Linux ，支持多核處理器，其版本主要分為 Server 和 Desktop兩個。 1． Server 版 RHEL Server 版本是 RHEL 家族中最強(qiáng)的版本，支持大型服務(wù)器，包括最全面的支持服務(wù)，適用于大型企業(yè)部門及數(shù)據(jù)中心。 淺談 Linux 操作系統(tǒng)的安全 9 Server 版本可分為 Red Hat Enterprise Linux Advanced Platform（對應(yīng)以前的 Red Hat Enterprise Linux AS）和 Red Hat Enterprise Linux（對應(yīng)以前的 Red Hat Enterprise Linux AS）。 2． Desktop 版 RHEL Desktop 版是 RHEL 的桌面版。適合所有桌面部署，包括辦公室軟件、軟件制作環(huán)境及一些 ISV 客戶程序。 Desktop 版本分為 Red Hat Enterprise Linux Desktop（對應(yīng)以前的 Red Hat Desktop）和 Red Hat Enterprise Linux Desktop with Workstation option（對應(yīng)以前的 Red Hat Enterprise Linux WS）。 內(nèi)核版本的選擇 內(nèi)核是 Linux 操作系統(tǒng)的最重要的部分，從最初的 版本到目前的 版本， Linux 內(nèi)核開發(fā)經(jīng)過了近 20 年的時間，其架構(gòu)已經(jīng)十分穩(wěn)定。 Linux 內(nèi)核的編號采用 如下編號形式： 主版本號 .次版本號 .主補(bǔ)丁號 .次補(bǔ)丁號 例如 各數(shù)字的含義如下： (1) 第 1個 數(shù)字（ 2） 是主版本號， 表示第 2大版本； (2) 第 2 個數(shù)字（ 6） 是次版本號， 有兩個含義： 既表示是 Linux 內(nèi)核 大版本的第 6 個小版本 ，同時因?yàn)?6 是 偶數(shù)表示 為發(fā)布版本 （奇數(shù)表示測試版）； (3) 第 3 個數(shù)字（ 26） 是主版本補(bǔ)丁號， 表示指定小版本的第 26 個補(bǔ)丁包； (4) 第 4 個數(shù)字（ 3）是次版本補(bǔ)丁號，表示次補(bǔ)丁號的第 3 個小補(bǔ)丁。 在 安裝 Linux 操作系統(tǒng)的時候， 最好不要 采用發(fā)行版本號中的 小版本號是奇數(shù)的內(nèi)核 ，因?yàn)殚_發(fā)中的版本沒有經(jīng)過比較完善的測試，有一些 bug 是未知的，有可能造成使用中不必要的麻煩 。 ?注意： Debian Linux 內(nèi)核的版本稍有不同，如 ， 可以發(fā)現(xiàn)多了一組數(shù)淺談 Linux 操作系統(tǒng)的安全 10 該數(shù)字是 構(gòu)建 號。每個 構(gòu)建 號可以增加少量新的驅(qū)動程序或缺陷修復(fù)。 Linux 內(nèi)核版本的開發(fā)源代碼樹目前比較通用的是 的版本，當(dāng)然，有部分 的版本仍在使用。與 版本的內(nèi)核相比較， 版本內(nèi)核具有如下的優(yōu)勢： ? 支持絕大多數(shù)的嵌入式系統(tǒng)，加入了之前嵌入式系統(tǒng)經(jīng)常使用的μ Clinux 的大部分代碼，并且子系統(tǒng)的支持更加細(xì)化可以支持硬件體系結(jié)構(gòu)的多樣性，可搶占內(nèi)核的調(diào)度方式支持實(shí)時系統(tǒng)，可定制內(nèi)核。 ? 支持目前最新的 CPU，例如 Intel 的超線程、可擴(kuò)展的地址空間訪問。 ? 驅(qū)動程序框架變 更，例如用 .ko 替代了原來的 .o 方式，消除內(nèi)核競爭，更加透明的子模塊方式。 ? 增加了更多的內(nèi)核級的硬件支持。 本書中的環(huán)境對 Linux 的內(nèi)核沒有特殊要求，因此讀者在選擇內(nèi)核版本的時候不需要重新編譯內(nèi)核，使用操作系統(tǒng)自帶的內(nèi)核就可以滿足需要。本書作者的操作系統(tǒng)內(nèi)核為 。 Linux 的系統(tǒng)架構(gòu) Linux系統(tǒng)從應(yīng)用角度來看，分為內(nèi)核空間和用戶空間兩個部分。內(nèi)核空間是 Linux操作系統(tǒng)的主要部分，但是僅有內(nèi)核的操作系統(tǒng)是不能完成用戶任務(wù)的。豐富并且功能強(qiáng)大的應(yīng)用程 序包是一個操作系統(tǒng)成功的必要條件 Linux 內(nèi)核的主要模塊 Linux 的內(nèi)核主要由 5 個子系統(tǒng)組成：進(jìn)程調(diào)度、內(nèi)存管理、虛擬文件系統(tǒng)、網(wǎng)絡(luò)接口、進(jìn)程間通信。 (1) 進(jìn)程調(diào)度 SCHED 進(jìn)程調(diào)度指的是系統(tǒng)對進(jìn)程的多種狀態(tài)之間轉(zhuǎn)換的策略。 Linux 下的進(jìn)程調(diào)度有3 種策略： SCHED_OTHER、 SCHED_FIFO 和 SCHED_RR。 ? SCHED_OTHER 是用于針對普通進(jìn)程的時間片輪轉(zhuǎn)調(diào)度策略。這種策略中，淺談 Linux 操作系統(tǒng)的安全 11 系統(tǒng)給所有的運(yùn)行狀態(tài)的進(jìn)程分配時間片。在當(dāng)前進(jìn)程的時間片用完之后，系統(tǒng)從進(jìn)程中優(yōu)先級最高 的進(jìn)程中選擇進(jìn)程運(yùn)行。 ? SCHED_FIFO是針對運(yùn)行的實(shí)時性要求比較高、運(yùn)行時間短的進(jìn)程調(diào)度策略。這種策略中，系統(tǒng)按照進(jìn)入隊(duì)列的先后進(jìn)行進(jìn)程的調(diào)度，在沒有更高優(yōu)先級進(jìn)程到來或者當(dāng)前進(jìn)程沒有因?yàn)榈却Y源而阻塞的情況下，會一直運(yùn)行。 ? SCHED_RR 是針對實(shí)時性要求比較高、運(yùn)行時間比較長的進(jìn)程調(diào)度策略。這種策略與 SCHED_OTHER 的策略類似，只不過 SCHED_RR 進(jìn)程的優(yōu)先級要高得多。系統(tǒng)分配給 SCHED_RR 進(jìn)程時間片，然后輪循運(yùn)行這些進(jìn)程，將時間片用完的進(jìn)程放入隊(duì)列的末尾。 由于存在多種調(diào)度方式， Li nux 進(jìn)程調(diào)度采用的是 “ 有條件可剝奪 ” 的調(diào)度方式。普通進(jìn)程中采用的是 SCHED_OTHER 的時間片輪循方式，實(shí)時進(jìn)程可以剝奪普通進(jìn)程。如果普通進(jìn)程在用戶空間運(yùn)行，則普通進(jìn)程立即停止運(yùn)行，將資源讓給實(shí)時進(jìn)程；如果普通進(jìn)程運(yùn)行在內(nèi)核空間，需要等系統(tǒng)調(diào)用返回用戶空間后方可剝奪資源。 (2)內(nèi)存管理 MMU 內(nèi)存管理是多個進(jìn)程間的內(nèi)存共享策略。在 Linux 系統(tǒng)中，內(nèi)存管理的主要概念是虛擬內(nèi)存。 虛擬內(nèi)存可以讓進(jìn)程擁有比實(shí)際物理內(nèi)存更大的內(nèi)存，可以是實(shí)際內(nèi)存的很多倍。每個進(jìn)程的虛擬內(nèi)存有不同的地址空間，多個進(jìn)程的虛擬內(nèi) 存不會沖突。 虛擬內(nèi)存的分配策略是每個進(jìn)程都可以公平地使用虛擬內(nèi)存。虛擬內(nèi)存的大小通常設(shè)置為物理內(nèi)存的兩倍。 (3)虛擬文件系統(tǒng) VFS 在 Linux 下支持多種文件系統(tǒng)，如 ext、 ext minix、 umsdos、 msdos、 vfat、 ntfs、proc、 smb、 ncp、 iso9660、 sysv、 hpfs、 affs 等。目前 Linux 下最常用的文件格式是ext2 和 ext3。 ext2 文件系統(tǒng)用于固定文件系統(tǒng)和可活動文件系統(tǒng)，是 ext 文件系統(tǒng)的擴(kuò)展。 ext3 文件系統(tǒng)是在 ext2 上增加日志功能后的擴(kuò)展，它兼容 ext2。兩種文件系統(tǒng)之間可以互相轉(zhuǎn)換， ext2 不用格式化就可以轉(zhuǎn)換為 ext3 文件系統(tǒng)，而 ext3 文件系統(tǒng)轉(zhuǎn)換為 ext2 文件系統(tǒng)也不會丟失數(shù)據(jù)。 淺談 Linux 操作系統(tǒng)的安全 12 (4)網(wǎng)絡(luò)接口 Linux 是在 Inter 飛速發(fā)展的時期成長起來的，所以 Linux 支持多種網(wǎng)絡(luò)接口和協(xié)議。網(wǎng)絡(luò)接口分為網(wǎng)絡(luò)協(xié)議和驅(qū)動程序，網(wǎng)絡(luò)協(xié)議是一種網(wǎng)絡(luò)傳輸?shù)耐ㄐ艠?biāo)準(zhǔn)，而網(wǎng)絡(luò)驅(qū)動則是對硬件設(shè)備的驅(qū)動程序。 Linux 支持的網(wǎng)絡(luò)設(shè)備多種多樣，幾乎目前所有網(wǎng)絡(luò)設(shè)備都有驅(qū)動程序。 (5)進(jìn)程間通信 Linux 操作系統(tǒng)支持多進(jìn)程，進(jìn)程之間需要進(jìn)行數(shù)據(jù)的交流才能完成控制、協(xié)同工作等功能， Linux 的進(jìn)程間通信是從 UNIX 系統(tǒng)繼承過來的。 Linux 下的進(jìn)程間通信方式主要有管道方式、信號方式、消息隊(duì)列方式、共享內(nèi)存和套接字等方法 Linux 的文件結(jié)構(gòu) 與 Windows 下的文件組織結(jié)構(gòu)不同， Linux 不使用磁盤分區(qū)符號來訪問文件系統(tǒng)，而是將整個文件系統(tǒng)表示成樹狀的結(jié)構(gòu)， Linux 系統(tǒng)每增加一個文件系統(tǒng)都會將其加入到這個樹中。 操作系統(tǒng)文件結(jié)構(gòu)的開始，只有一個單獨(dú)的頂級目錄結(jié)構(gòu)，叫做根目錄。所有一切都從“根”開始，用“ /”代表，并且延伸到子目錄。 DOS/Windows 下文件系統(tǒng)按照磁盤分區(qū)的概念分類，目錄都存于分區(qū)上。 Linux 則通過“掛接”的方式把所有分區(qū)都放置在“根”下 各個目錄里。一個 Linux 系統(tǒng)的文件結(jié)構(gòu)如圖 所 示。 不同的 Linux發(fā)行版本的目錄結(jié)構(gòu)和具體的實(shí) 現(xiàn)功能存在一些細(xì)微的差別。但是主要的功能都是一 致的。 一些常用目錄 的作用如下： ? /etc： 包括 絕大多數(shù) Linux 系統(tǒng)引導(dǎo)所需要的配置文件 ， 系統(tǒng)引導(dǎo)時讀取配置文件，按照配置文件的選項(xiàng)進(jìn)行不同情況的啟動，例如 fstab、 等。 ? /lib： 包含 C 編譯程序需要的函數(shù)庫，是一組 二進(jìn)制文件 ，例如 glibc 等 。 圖 Linux 文件系統(tǒng) 淺談 Linux 操作系統(tǒng)的安全 13 ? /usr： 包括所有其他內(nèi)容，如 src、 local。 Linux 的內(nèi)核就在 /usr/src 中。其下有子目錄 /bin，存放所有安裝語言的命令，如 gcc、 perl 等。 ? /var： 包含系統(tǒng)定義表 ， 以便在系統(tǒng)運(yùn)行改變 時 可以只備份該目錄，如 cache。 ? /tmp： 用于臨時性的存儲。 ? /bin： 大多數(shù)命令存放在這里。 ? /home： 主要存放用戶賬號 ，并且可以支持 ftp 的用戶管理。 系統(tǒng)管理員增加用戶時，系統(tǒng) 在 home 目錄下創(chuàng)建與 用戶同名的目錄，此目錄下一般默認(rèn)有Desktop 目錄。 ? /dev：這個目錄 下存放一種 設(shè)備文件的特殊文件，如 fd0、 had 等。 ? /mnt： 在 Linux 系統(tǒng)中 ， 它是專門給外掛的文件系統(tǒng)使用的，里面有兩個文件 cdrom、 floopy，登錄光驅(qū)、軟驅(qū)時要用到。 剛開始使用 Linux 的人比較容易混淆的是 Linux 下使用斜杠“ /”，而在DOS/Windows 下使用的是反斜杠“ \”。例如在 Linux 中，由于從 UNIX 集成的關(guān)系，路徑用“ /usr/src/Linux”表示，而在 Windows 下則用“ \usr\src\Linux”表示。在 Linux下更加普遍的問題是大小寫敏感，這樣字母的大小寫十 分重要，例如文件 和文件 在 Linux 下不是一個文件，而在 Windows 下則表示同一個文件。 GNU 通用公共許可證 導(dǎo)致 Linux 系統(tǒng)迅速發(fā)展的重要原因之一 ,是因?yàn)?Linux 系統(tǒng)遵循 GNU 通用公共版權(quán)協(xié)議。實(shí)際上， Linux 系統(tǒng)中絕大多數(shù)系統(tǒng)工具和應(yīng)用軟件都是 GNU 的。 1. 什么是 GNU 簡單地說， GNU 是一種自由軟件體系。 1984 年，自由軟件的積極倡導(dǎo)者、自由軟件基金會的董事長 Richard （ RMS）組織成立了一個完全基于自由軟件的軟件體系 GNU，并擬定了一份通用公共版權(quán)協(xié)議。 GNU 的創(chuàng)始人 Stal1man 認(rèn)為 UNIX 雖然不是最好的操作系統(tǒng)，但至少不會太差，而他自信有能力把 UNIX 不足的地方加以改進(jìn)，使它成為一個優(yōu)良的操作系統(tǒng)。這就淺談 Linux 操作系統(tǒng)的安全 14 是同 UNIX 兼容的、名為 GNU 的操作系統(tǒng)。 開發(fā)這個系統(tǒng)的目的，就是為了讓所有的計算機(jī)用戶都可以自由地使用這個系統(tǒng)和免費(fèi)獲得其源代碼，并且可以自由復(fù)制。當(dāng)然 GNU 也擁有自己的版權(quán)申明，那就是用戶獲得 GNU 軟件后，既可以自由使用和修改，也可以散布 GNU 軟件，但是必須讓下一個用戶也有獲得源代碼的權(quán)利。規(guī)定是為了防止有些 人或公司將 GNU 軟件稍加修改就去申請版權(quán)，將其據(jù)為己有，其目的是要讓 GNU軟件永遠(yuǎn)是自由和公開的。 目前， GNU 目前已經(jīng)推出的軟件主要有功能強(qiáng)大的集成編輯環(huán)境 — Emacs、性能優(yōu)異的多平臺多語言編譯器以及其他幾十種軟件。人們已經(jīng)很熟悉的一些軟件如BIND、 Pd、 Apache、 TCP/IP 等實(shí)際上都是自由軟件的經(jīng)典之作，現(xiàn)在又有了 Netscape的加盟。 2. Linux 系統(tǒng)與 GNU 的關(guān)系 Linux 不僅是一個理想主義者，而且他又非常講求實(shí)際。 1993 年， Linux 系統(tǒng)的第一個版本問世的時候，是按完全自由 擴(kuò)散版權(quán)進(jìn)行擴(kuò)散的。它要求所有的源代碼必須公開，而且任何人均不得從 Linux 交易中獲利。然而半年以后，他開始意識到這種純粹的自由軟件的理想對于 Linux 的擴(kuò)散和發(fā)展來說實(shí)際上是一種障礙，因?yàn)樗拗屏?Linux 系統(tǒng)以磁盤復(fù)制或者 CDROM 等媒體形式進(jìn)行擴(kuò)散的可能，也限制了一些商業(yè)公司參與 Linux 系統(tǒng)的進(jìn)一步開發(fā)并提供技術(shù)支持的良好愿望。于是， Linux 先生決定轉(zhuǎn)向 GPL 版權(quán)。 淺談 Linux 操作系統(tǒng)的安全 15 第二章 Linux 與其他操作系統(tǒng)的比較 Linux 與 UNIX 的異同 Linux 是 UNIX 操作系統(tǒng)的一 個克隆系統(tǒng)，沒有 UNIX 就沒有 Linux。但是， Linux和傳統(tǒng)的 UNIX 有很大的不同，兩者之間的最大區(qū)別是關(guān)于版權(quán)方面的： Linux 是開放源代碼的自由軟件，而 UNIX 是對源代碼實(shí)行知識產(chǎn)權(quán)保護(hù)的傳統(tǒng)商業(yè)軟件。兩者之間還存在如下的區(qū)別： ? UNIX 操作系統(tǒng)大多數(shù)是與硬件配套的，操作系統(tǒng)與硬件進(jìn)行了綁定；而Linux 則可運(yùn)行在多種硬件平臺上。 ? UNIX 操作系統(tǒng)是一種商業(yè)軟件（授權(quán)費(fèi)大約為 5 萬美元）；而 Linux 操作提供則是一種自由軟件，是免費(fèi)的，并且公開源代碼。 ? UNIX 的歷史要