【正文】 沒(méi)有輸入用戶信息。可以使用chfn命令，系統(tǒng)會(huì)出現(xiàn)相關(guān)提示信息要求操作者錄入用戶的信息，錄入完畢后，系統(tǒng)會(huì)將這些信息保存到文件/etc/passswd中與用戶對(duì)應(yīng)的行中，并以逗號(hào)分隔。命令格式：chfn [用戶名]如果不指定用戶名則修改自己的用戶信息。1. 如何刪除一個(gè)用戶及其所建立的文件？刪除用戶的命令為userdel，該命令的格式為：userdel 用戶名但這個(gè)命令僅刪除賬號(hào)，而該賬號(hào)創(chuàng)建的文件還會(huì)保留在系統(tǒng)中。如果系統(tǒng)不要保存這些文件，可以使用帶選項(xiàng)的命令：userdel r 用戶名1. 結(jié)合一個(gè)單位的實(shí)際情況，在一臺(tái)Linux主機(jī)中為每個(gè)成員開設(shè)一個(gè)賬號(hào)，并建立一些公共資源和私有資源，設(shè)計(jì)一個(gè)方案對(duì)賬號(hào)和資源進(jìn)行管理。1） 分析不同資源的性質(zhì)，是公共的還是私有的，不同人員對(duì)它的訪問(wèn)權(quán)限如何；2） 根據(jù)訪問(wèn)權(quán)限將用戶分組；3） 創(chuàng)建用戶組；4） 創(chuàng)建用戶，并將其放入適當(dāng)?shù)慕M；5） 使用chmod設(shè)置資源的訪問(wèn)權(quán)限。10. 什么是進(jìn)程，進(jìn)程與程序有何區(qū)別？Linux系統(tǒng)上所有運(yùn)行的東西都可以稱之為一個(gè)進(jìn)程。每個(gè)用戶任務(wù)、每個(gè)系統(tǒng)管理任務(wù)，都可以稱之為進(jìn)程。進(jìn)程是一個(gè)程序的運(yùn)行。進(jìn)程與程序是有區(qū)別的，進(jìn)程不是程序，雖然它由程序產(chǎn)生。程序只是一個(gè)靜態(tài)的指令集合，不占系統(tǒng)的運(yùn)行資源；而進(jìn)程是一個(gè)隨時(shí)都可能發(fā)生變化的、動(dòng)態(tài)的、使用系統(tǒng)運(yùn)行資源的程序。一個(gè)程序可以啟動(dòng)多個(gè)進(jìn)程。11. 分析交互式進(jìn)程與守護(hù)進(jìn)程的區(qū)別。l 交互進(jìn)程——由shell啟動(dòng)的進(jìn)程，用戶發(fā)布一個(gè)命令后系統(tǒng)執(zhí)行，執(zhí)行完后顯示結(jié)果，等待用戶再次輸入新的命令；l 守護(hù)進(jìn)程——在后臺(tái)持續(xù)運(yùn)行的進(jìn)程，不接受用戶從控制臺(tái)發(fā)布的命令，按照固定的方式運(yùn)行12. 分析前臺(tái)進(jìn)程與后臺(tái)進(jìn)程的區(qū)別。所謂前臺(tái)，是指一個(gè)進(jìn)程控制著標(biāo)準(zhǔn)輸入和輸出。在程序執(zhí)行時(shí)，shell暫時(shí)掛起，程序執(zhí)行完畢后回到shell。前臺(tái)進(jìn)程運(yùn)行時(shí)，在同一個(gè)控制臺(tái)上用戶不能再執(zhí)行其他的程序。所謂后臺(tái)進(jìn)程，是指一個(gè)程序不從標(biāo)準(zhǔn)輸入接受輸入，一般也不將結(jié)果輸出到標(biāo)準(zhǔn)輸出上。一些運(yùn)行時(shí)間較長(zhǎng)、運(yùn)行之后不需要用戶干預(yù)的程序適合運(yùn)行在后臺(tái)。13. 如何手工啟動(dòng)一個(gè)進(jìn)程？如何中止一個(gè)后臺(tái)進(jìn)程？手工啟動(dòng)進(jìn)程又可以分為前臺(tái)進(jìn)程和后臺(tái)進(jìn)程。1）前臺(tái)啟動(dòng)：這是手工啟動(dòng)一個(gè)進(jìn)程的最常用的方式。一般地，用戶鍵入一個(gè)命令，例如“l(fā)s –l”，就已經(jīng)啟動(dòng)了一個(gè)進(jìn)程，而且是一個(gè)前臺(tái)的進(jìn)程。2）后臺(tái)啟動(dòng)：如果再命令后面加一個(gè)amp。符號(hào)，就從后臺(tái)啟動(dòng)了一個(gè)進(jìn)程對(duì)于一個(gè)后臺(tái)進(jìn)程而言，使用組合鍵Ctrl＋c無(wú)效，必須使用kill命令。首先應(yīng)該使用ps命令來(lái)查看該進(jìn)程對(duì)應(yīng)的pid，假如該進(jìn)程的pid為345，然后使用kill命令來(lái)終止該進(jìn)程。輸入命令：kill 345有時(shí)候可能會(huì)遇到這樣的情況，某個(gè)進(jìn)程已經(jīng)掛起或閑置，但是使用kill命令卻殺不掉。這時(shí)候就必須發(fā)送信號(hào)9，強(qiáng)行關(guān)閉此進(jìn)程：kill –s 9 345。但這種“強(qiáng)制”方法很可能會(huì)導(dǎo)致打開的文件出現(xiàn)錯(cuò)誤或者數(shù)據(jù)丟失之類的錯(cuò)誤，所以不到萬(wàn)不得已不要使用強(qiáng)制結(jié)束的辦法。如果連信號(hào)9都不響應(yīng)，就只能重新啟動(dòng)計(jì)算機(jī)了14. 如何使用at命令調(diào)度進(jìn)程？at命令用于在指定時(shí)刻執(zhí)行指定的命令序列。輸入at執(zhí)行的命令有兩種方法：l 在shell提示符下輸入”at 時(shí)間”，然后按回車鍵。這時(shí)在下一行shell會(huì)等待用戶繼續(xù)輸入要執(zhí)行的命令。每一行輸入一個(gè)命令，所有命令都輸入完畢后按Ctrl+d鍵結(jié)束。l 將各個(gè)命令寫入shell腳本中，然后使用下面格式設(shè)置在指定時(shí)間執(zhí)行shell腳本中的命令：at 時(shí)間 –f腳本文件。15. 如何調(diào)度系統(tǒng)在指定時(shí)間執(zhí)行指定命令。使用at命令讓系統(tǒng)再指定時(shí)間執(zhí)行指定命令使用cron程序調(diào)度系統(tǒng)在指定時(shí)間執(zhí)行指定命令16. 說(shuō)明cron程序的工作原理。cron命令在系統(tǒng)啟動(dòng)時(shí)由一個(gè)shell腳本自動(dòng)啟動(dòng)，進(jìn)入后臺(tái)。cron啟動(dòng)后搜索/var/spool/cron目錄，尋找以/etc/passwd文件中的用戶名命名的crontab文件，被找到的這種文件將載入內(nèi)存。如果沒(méi)有crontab文件，就轉(zhuǎn)入“休眠”狀態(tài)，釋放系統(tǒng)資源。cron每分鐘“醒”過(guò)來(lái)一次，查看當(dāng)前是否有需要運(yùn)行的命令。如果發(fā)現(xiàn)某個(gè)用戶設(shè)置了crontab文件，它將以該用戶的身份去運(yùn)行文件中指定的命令。命令執(zhí)行結(jié)束后，任何輸出都將作為郵件發(fā)送給crontab的所有者，或者/etc/crontab文件中MAILTO環(huán)境變量中指定的用戶。17. 如何查看系統(tǒng)當(dāng)前運(yùn)行的進(jìn)程。查看目前進(jìn)程狀況：ps選項(xiàng)組合aux可以顯示最詳細(xì)的進(jìn)程情況：ps aux18. 有哪些方法可以停止一個(gè)進(jìn)程。如果是個(gè)前臺(tái)進(jìn)程，使用Ctrl+C即可中止進(jìn)程，如果是后臺(tái)進(jìn)程，則必須使用kill命令。19. 如何顯示當(dāng)前內(nèi)存用量？1）使用top命令可以顯示內(nèi)存利用率；2）free命令可以顯示系統(tǒng)的物理內(nèi)存、內(nèi)核緩沖區(qū)、cache和交換區(qū)的總量以及已經(jīng)使用的、空閑的、共享的、在內(nèi)核緩沖區(qū)的和被緩存的內(nèi)存數(shù)量。3）使用圖形化的系統(tǒng)監(jiān)視器20. 使用什么命令可以得到系統(tǒng)磁盤空間用量。df命令可以報(bào)告系統(tǒng)的磁盤空間用量，包括各個(gè)分區(qū)的磁盤總量、已用的空間、未用的空間、已用的百分比、掛載點(diǎn)。如果要以MB和GB為單位，則需要使用“df –h”命令21. 試分析不同日志文件的內(nèi)容和功能。在X Window下，執(zhí)行【應(yīng)用程序/系統(tǒng)工具/系統(tǒng)日志】命令，可以打開日志查看器。選中某個(gè)日志文件，可以再右測(cè)顯示該日志的內(nèi)容和功能?？梢允褂梦谋揪庉嬈鞔蜷_日志文件，查看各個(gè)域的內(nèi)容和格式。在圖形化的日志查看器上，可以查看日志的日志的內(nèi)容。日志內(nèi)容包括：日期時(shí)間，主機(jī)，事件。第10章 Linux系統(tǒng)的安全管理1. 標(biāo)準(zhǔn)Linux系統(tǒng)對(duì)文件權(quán)限是如何劃分的？用戶訪問(wèn)時(shí)都有哪些限制？在Linux中，將文件訪問(wèn)權(quán)限分為3類用戶來(lái)進(jìn)行設(shè)置：文件所有者（u）、同組用戶（g）和其他用戶（o），可分別為這3類用戶設(shè)置不同的操作權(quán)限。Linux系統(tǒng)對(duì)每一個(gè)文件設(shè)定四種訪問(wèn)權(quán)限：可讀?。╮，readable）、可寫入（w，writable）、可執(zhí)行（x，eXecute）和無(wú)權(quán)限（）。系統(tǒng)根據(jù)文件的權(quán)限屬性來(lái)判斷是否允許用戶進(jìn)行相關(guān)的操作。1. 系統(tǒng)怎樣分區(qū)才能更安全？為了防止緩沖區(qū)溢出攻擊，在安裝系統(tǒng)時(shí)就應(yīng)該注意，如果用“/”分區(qū)記錄數(shù)據(jù)，如日志（log）文件和郵件（），就可能因?yàn)榇罅康娜罩净蚶]件而導(dǎo)致系統(tǒng)崩潰。所以建議為“/var”目錄開辟單獨(dú)的分區(qū)，用來(lái)存放日志和郵件，以避免“/”分區(qū)被溢出。最好為特殊的應(yīng)用程序也單獨(dú)開一個(gè)分區(qū)，特別是可以產(chǎn)生大量日志的程序，如web服務(wù)其等。建議為“/home”目錄單獨(dú)分一個(gè)區(qū)，這樣攻擊者就不能通過(guò)溢出某個(gè)用戶的存儲(chǔ)空間而填滿整個(gè)“/”分區(qū)，從而就避免了部分針對(duì)Linux分區(qū)溢出的惡意攻擊。1. 設(shè)置一個(gè)安全的用戶口令有哪些要求？口令是系統(tǒng)中認(rèn)證用戶的主要手段，系統(tǒng)安裝時(shí)默認(rèn)的口令最小長(zhǎng)度通常為5，為保證口令不易被猜測(cè)攻擊，可增加口令的最小長(zhǎng)度，至少等于8。同時(shí)應(yīng)限制口令使用時(shí)間，保證定期更換口令。此外，在選擇口令時(shí)盡量不要選擇單詞、用戶名、生日等常用詞，最好同時(shí)包含字母、數(shù)字、大小寫、非字母數(shù)字符號(hào)，以防備攻擊者通過(guò)猜測(cè)口令攻破系統(tǒng)。1. 如何防止別人使用ping命令探測(cè)本機(jī)？ping命令通常用于測(cè)試主機(jī)和網(wǎng)絡(luò)，黑客可以利用這一點(diǎn)進(jìn)行網(wǎng)絡(luò)掃描，伺機(jī)攻擊網(wǎng)絡(luò)主機(jī)。為了增強(qiáng)主機(jī)的安全性，建議禁止主機(jī)系統(tǒng)對(duì)該命令作出響應(yīng)?？梢跃庉嬑募?etc/，增加下述命令：echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all其含義是不處理所有接收到的ICMP ECHO數(shù)據(jù)包。這樣，每次系統(tǒng)啟動(dòng)后都執(zhí)行該指令，可以阻止系統(tǒng)響應(yīng)任何從外部或內(nèi)部來(lái)的ping請(qǐng)求。1. 怎樣禁止遠(yuǎn)程Telnet登錄服務(wù)？關(guān)閉本機(jī)的telnet服務(wù)，逐一檢查是否使用某種方法啟動(dòng)了telnet服務(wù)。1. 怎樣減小在網(wǎng)絡(luò)中被攻擊的風(fēng)險(xiǎn)？系統(tǒng)管理：BIOS安全設(shè)置、安全分區(qū)、系統(tǒng)文件實(shí)行最小權(quán)限原則、限制用戶占用的資源、即使升級(jí)系統(tǒng)用戶管理方面：關(guān)閉不用帳號(hào)、注意suid程序的權(quán)限、對(duì)口令進(jìn)行安全管理網(wǎng)絡(luò)服務(wù)管理方面：關(guān)閉不必要的服務(wù)、禁止響應(yīng)ping命令、向其它用戶屏蔽系統(tǒng)信息1. 如何臨時(shí)禁止一個(gè)用戶的使用？編輯/etc/passwd文件，將該用戶對(duì)應(yīng)的行的第2個(gè)域更改為*，則該用戶被停用，當(dāng)要啟用該用戶時(shí)，可以將第2個(gè)域更改為x即可。1. 如何設(shè)置用戶自動(dòng)注銷？Linux可以控制系統(tǒng)在空閑時(shí)自動(dòng)從shell中注銷。編輯/etc/profile文件，設(shè)置變量“tmout”為超時(shí)時(shí)間：tmout=600那么所有用戶將在600秒無(wú)操作后自動(dòng)注銷。注意：修改了該參數(shù)后，必須重新登錄，更改才能生效。1. DAC與MAC有哪些異同？DAC和MAC都是訪問(wèn)控制模型，按用戶身份及其所歸屬的某預(yù)定義組來(lái)限制用戶對(duì)某些信息項(xiàng)的訪問(wèn)，或限制對(duì)某些控制功能的使用。DAC，由用戶有權(quán)對(duì)自身所創(chuàng)建的訪問(wèn)對(duì)象(文件、數(shù)據(jù)表等)進(jìn)行訪問(wèn)，并可將對(duì)這些對(duì)象的訪問(wèn)權(quán)授予其他用戶和從授予權(quán)限的用戶收回其訪問(wèn)權(quán)限。在DAC中，對(duì)某個(gè)客體具有所有權(quán)（或控制權(quán)）的主體能夠?qū)?duì)該客體的一種訪問(wèn)權(quán)或多種訪問(wèn)權(quán)自主地授予其它主體，并可在隨后的任何時(shí)刻將這些權(quán)限回收。DAC是一種方便但不安全的文件系統(tǒng)訪問(wèn)控制方法，由于系統(tǒng)存在特權(quán)用戶、對(duì)文件訪問(wèn)權(quán)限的劃分不夠細(xì)致以及程序?qū)Y源的完全控制等問(wèn)題。MAC由系統(tǒng)對(duì)用戶所創(chuàng)建的對(duì)象進(jìn)行統(tǒng)一的強(qiáng)制性控制，按照規(guī)定的規(guī)則決定哪些用戶可以對(duì)哪些對(duì)象進(jìn)行什么樣操作系統(tǒng)類型的訪問(wèn)，即使是創(chuàng)建者用戶，在創(chuàng)建一個(gè)對(duì)象后，也可能無(wú)權(quán)訪問(wèn)該對(duì)象。強(qiáng)制訪問(wèn)控制模型MAC的最初目的是實(shí)現(xiàn)比DAC更為嚴(yán)格的訪問(wèn)控制策略。在MAC中，系統(tǒng)根據(jù)主體被信任的程度和客體所包含的信息的機(jī)密性或敏感程度來(lái)決定主體對(duì)客體的訪問(wèn)權(quán)。系統(tǒng)事先給訪問(wèn)主體和受控對(duì)象分配不同的安全級(jí)別，用戶不能改變自身和客體的安全級(jí)別。在實(shí)施訪問(wèn)控制時(shí)，系統(tǒng)先對(duì)訪問(wèn)主體和受控對(duì)象的安全級(jí)別進(jìn)行比較，只有在主體和客體的安全級(jí)別滿足一定規(guī)則時(shí)，才允許訪問(wèn)。1. 僅僅依靠DAC的Linux系統(tǒng)存在哪些不足？1） 存在特權(quán)用戶root：任何人只要得到了root權(quán)限，就可以為所欲為；2） 對(duì)于文件的訪問(wèn)權(quán)的劃分不細(xì)：在linux系統(tǒng)中，對(duì)文件的操作只有所有者、所有組和其他這三類，沒(méi)有辦法進(jìn)行再細(xì)的劃分，所以不能更好的對(duì)訪問(wèn)進(jìn)行控制；3） suit程序的權(quán)限升級(jí)：如果設(shè)置了suid權(quán)限的程序有漏洞的話，很容易被攻擊者利用；4） DAC問(wèn)題：文件目錄的所有者可以對(duì)文件進(jìn)行所有的操作，這給系統(tǒng)整體的管理帶來(lái)了不便。1. 什么是SELinux？它的主要作用是什么？SELinux的全稱是SecurityEnhanced Linux，即安全增強(qiáng)的Linux。它在Linux內(nèi)核中包含必要的訪問(wèn)控制，在傳統(tǒng)的強(qiáng)制訪問(wèn)控制的基礎(chǔ)上加入了靈活性支持，同時(shí)引入了基于角色的訪問(wèn)控制中的角色等概念，來(lái)克服傳統(tǒng)強(qiáng)制訪問(wèn)控制的局限。受SELinux保護(hù)的程序只允許訪問(wèn)它們正確工作所需的文件系統(tǒng)部分，也就是說(shuō)如果程序有意或無(wú)意地訪問(wèn)或修改它的功能所不需要的文件或者不在程序所控制的目錄中的文件，則訪問(wèn)會(huì)被拒絕，動(dòng)作會(huì)被記錄到日志中。1. SELinux都有哪些特性？沒(méi)有SELinux保護(hù)的Linux的安全級(jí)別和Windows一樣，是C2級(jí)，但經(jīng)過(guò)SELinux保護(hù)的Linux安全級(jí)別可以達(dá)到B1級(jí)，下面是SELinux的一些特點(diǎn)：1）強(qiáng)制訪問(wèn)控制MAC；2）類型加強(qiáng)TE（Type Enforcement）——對(duì)進(jìn)程只賦予最小權(quán)限；3）進(jìn)行類型的遷移——防止權(quán)限升級(jí)；4）基于角色的訪問(wèn)控制RBAC——對(duì)用戶只賦予最小權(quán)限；5）SELinux策略——決定保護(hù)類別和方式。1. 如何啟動(dòng)和禁止SELinux，都有哪些辦法可以知道SELinux當(dāng)前的運(yùn)行狀態(tài)？在Fedora系統(tǒng)中，我們可以使用sestatus命令來(lái)查看當(dāng)前的SELinux模式，可以使用getenforce命令來(lái)顯示當(dāng)前的SELinux運(yùn)行狀態(tài)?？梢允褂胹etenforce命令來(lái)修改當(dāng)前運(yùn)行的SELinux模式，設(shè)置為enforcing：?jiǎn)⒂貌?qiáng)制執(zhí)行系統(tǒng)上的SELinux安全機(jī)制，記錄它拒絕的任何動(dòng)作；設(shè)置為permissive：?jiǎn)⒂肧ELinux，但是不強(qiáng)制執(zhí)行安全策略。在該模式下，SELinux不阻止任何操作，即使該操作違反了安全策略，但它會(huì)把違反的內(nèi)容記錄下來(lái)；設(shè)置為disabled：關(guān)閉SELinux。1. 什么是類型、什么是角色、什么是安全上下文？類型（type）：有時(shí)也稱域 （domain），類型把主體或者客體分成相關(guān)的組，以類型符號(hào)來(lái)標(biāo)識(shí)，類型是基本的安全屬性，SELinux根據(jù)類型做授權(quán)決策，控制進(jìn)程訪問(wèn)并阻止越權(quán)企圖。所以，可以認(rèn)為類型就是一組允許執(zhí)行的操作的列表；角色（role）：SELinux中每個(gè)用戶被授予進(jìn)入一種或者多種角色，在任何時(shí)刻一個(gè)用戶只能處于一種角色。每個(gè)角色與不同的域關(guān)聯(lián)，角色決定了用戶可以訪問(wèn)哪些域，即通過(guò)角色管理用戶的權(quán)限；安全上下文（context）：SELinux的三個(gè)安全屬性：用戶身份、角色、類型，結(jié)合在一起構(gòu)成了安全上下文。系統(tǒng)中的任何主體和對(duì)象都有自己的安全上下文，SELinux根據(jù)安全上下文做安全決策。1. 安全增強(qiáng)的內(nèi)涵都有哪些？第一、受保護(hù)的程序只允許訪問(wèn)它們正確地工作所需的文件系統(tǒng)能夠部分，意味著程序的執(zhí)行被嚴(yán)格監(jiān)控，不能再訪問(wèn)或者修改它不需要的文件；第二、進(jìn)行嚴(yán)格的訪問(wèn)控制審查，利用SELinux策略定義來(lái)實(shí)施具體的保護(hù)；第三、更為嚴(yán)格的權(quán)限升級(jí)核定，避免不恰當(dāng)?shù)念愋瓦w移；第四、引入角色概念，賦予用戶不同的角色，系統(tǒng)根據(jù)角色設(shè)置訪問(wèn)權(quán)限。1. SELinux與Linux系統(tǒng)原有的訪問(wèn)控制之間有什么關(guān)系？安裝并啟用SELinux之后，Linux系統(tǒng)的原有安全機(jī)制，即基于“所有者——組——其他”的訪問(wèn)控制機(jī)制仍然有效，二者可以共存。當(dāng)在系統(tǒng)中執(zhí)行某一操作時(shí)，原有的訪問(wèn)控制機(jī)制首先起作用。如果原有的訪問(wèn)控制規(guī)則允許了該操作，那么SELinux將會(huì)檢查并且根據(jù)自己的安全策略允許或拒絕訪問(wèn)；但是如果原有的訪問(wèn)控制機(jī)制拒絕了該操作，那么Linux系統(tǒng)直接拒絕該操作，而與SELinux檢查無(wú)關(guān)。1. 如何查看安全上下文？執(zhí)行命令“ps –Z”則列出了當(dāng)前運(yùn)行進(jìn)程的安