agapple

1. 下載rsync  (http://rsync.samba.org/)

安裝:
./configure
make
make install

2. 開啟rsync服務(wù)，修改/etc/xinetd.d/rsync
disable = no # replace <yes>
重啟xinetd 服務(wù)
service xinetd restart

3. 配置server端，/etc/rsyncd.conf
# touch rsyncd.conf
# vi rsyncd.conf
uid = ljh  #表示以什么用戶運行,注意必須確保該用戶有對模塊的讀寫權(quán)限
gid = ljh
use chroot = false
max connectionts = 6
read only = no
pid file = /home/ljh/server/rsync/rsynnd.pid
lock file = /home/ljh/server/rsync/rsyncd.lock
log file = /home/ljh/server/rsync/rsyncd.log
[test]
comment = test
path = /home/ljh/server/rsync/data/test
ignore error
list = true
#auth users = ljh
#secrets file = /home/ljh/server/rsync/passwd/rsyncd.passwd

配置參數(shù)介紹
comment
給模塊指定一個描述，該描述連同模塊名在客戶連接得到模塊列表時顯示給客戶。默認沒有描述定義。
path
指定該模塊的供備份的目錄樹路徑，該參數(shù)是必須指定的。
use chroot
如 果"use chroot"指定為true，那么rsync在傳輸文件以前首先chroot到path參數(shù)所指定的目錄下。這樣做的原因是實現(xiàn)額外的安全防護，但是缺點是需要以roots權(quán)限，并且不能備份指向外部的符號連接所指向的目錄文件。默認情況下chroot值為true。
uid
該選項指定當該模塊傳輸文件時守護進程應(yīng)該具有的uid，配合gid選項使用可以確定哪些可以訪問怎么樣的文件權(quán)限，默認值是"nobody"。
gid
該選項指定當該模塊傳輸文件時守護進程應(yīng)該具有的gid。默認值為"nobody"。
max connections
指定該模塊的最大并發(fā)連接數(shù)量以保護服務(wù)器，超過限制的連接請求將被告知隨后再試。默認值是0，也就是沒有限制。
list
該選項設(shè)定當客戶請求可以使用的模塊列表時，該模塊是否應(yīng)該被列出。如果設(shè)置該選項為false，可以創(chuàng)建隱藏的模塊。默認值是true。
read only
該選項設(shè)定是否允許客戶上載文件。如果為true那么任何上載請求都會失敗，如果為false并且服務(wù)器目錄讀寫權(quán)限允許那么上載是允許的。默認值為true。
exclude
用 來指定多個由空格隔開的多個文件或目錄(相對路徑)，并將其添加到exclude列表中。這等同于在客戶端命令中使用--exclude來指定模式，一個 模塊只能指定一個exclude選項。但是需要注意的一點是該選項有一定的安全性問題，客戶很有可能繞過exclude列表，如果希望確保特定的文件不能 被訪問，那就最好結(jié)合uid/gid選項一起使用。
exclude from [file]
指定一個包含exclude模式的定義的文件名，服務(wù)器從該文件中讀取exclude列表定義。
include
用來指定不排除符合要求的文件或目錄。這等同于在客戶端命令中使用--include來指定模式，結(jié)合include和exclude可以定義復(fù)雜的exclude/include規(guī)則。
include from [file]
指定一個包含include模式的定義的文件名，服務(wù)器從該文件中讀取include列表定義。
auth users
該選項指定由空格或逗號分隔的用戶名列表，只有這些用戶才允許連接該模塊。這里的用戶和系統(tǒng)用戶沒有任何關(guān)系。如果"auth users"被設(shè)置，那么客戶端發(fā)出對該模塊的連接請求以后會被rsync請求challenged進行驗證身份這里使用的 challenge/response認證協(xié)議。用戶的名和密碼以明文方式存放在"secrets file"選項指定的文件中。默認情況下無需密碼就可以連接模塊(也就是匿名方式)。
secrets file
該選項指定一個包含定義用戶名:密碼對的文件。只有在"auth users"被定義時，該文件才有作用。文件每行包含一個username:passwd對。一般來說密碼最好不要超過8個字符。沒有默認的 secures file名，需要限式指定一個(例如：/etc/rsyncd.passwd)。注意：該文件的權(quán)限一定要是600，否則客戶端將不能連接服務(wù)器
strict modes
該選項指定是否監(jiān)測密碼文件的權(quán)限，如果該選項值為true那么密碼文件只能被rsync服務(wù)器運行身份的用戶訪問，其他任何用戶不可以訪問該文件。默認值為true。
hosts allow
該選項指定哪些IP的客戶允許連接該模塊?？蛻裟Ｊ蕉x可以是以下形式：單個IP地址，例如：192.167.0.1
hosts deny
指定不允許連接rsync服務(wù)器的機器，可以使用hosts allow的定義方式來進行定義。默認是沒有hosts deny定義。
ignore errors
指定rsyncd在判斷是否運行傳輸時的刪除操作時忽略server上的IO錯誤，一般來說rsync在出現(xiàn)IO錯誤時將將跳過--delete操作，以防止因為暫時的資源不足或其它IO錯誤導(dǎo)致的嚴重問題。
lock file
指定支持max connections參數(shù)的鎖文件，默認值是/var/run/rsyncd.lock。
timeout
通過該選項可以覆蓋客戶指定的IP超時時間。通過該選項可以確保rsync服務(wù)器不會永遠等待一個崩潰的客戶端。超時單位為秒鐘，0表示沒有超時定義，這也是默認值。對于匿名rsync服務(wù)器來說，一個理想的數(shù)字是600。
dont compress
用來指定那些不進行壓縮處理再傳輸?shù)奈募?，默認值是*.gz *.tgz *.zip *.z *.rpm *.deb *.iso *.bz2 *.tbz

4. 客戶端配置
訪問remote rsync列表
rsync rsync://10.0.64.162/test
簡單的執(zhí)行同步命令
sync -auv --delete --password-file=/home/admin2/soft/rsync/passwd/rsyncd.passwd ~/rysnc/* ljh@10.0.64.162::test

比較實際的例子：
echo "hello" > /tmp/password.txt ;chmod 600 /tmp/password.txt
cp /home/ewalletbops/fatrix/crm/* /home/ewalletbops/fatrix/putxml/search
rsync -azv /home/ewalletbops/bops-daemon/bin/adxml/search/ /home/ewalletbops/fatrix/putxml/search
rsync -auv --delete --password-file=/tmp/password.txt /home/ewalletbops/fatrix/putxml/search yangzhen@127.0.0.1::everest/adxml
rm /tmp/password.txt

選項說明
-v, --verbose 詳細模式輸出
-q, --quiet 精簡輸出模式
-c, --checksum 打開校驗開關(guān)，強制對文件傳輸進行校驗
-a, --archive 歸檔模式，表示以遞歸方式傳輸文件，并保持所有文件屬性，等于-rlptgoD
-r, --recursive 對子目錄以遞歸模式處理
-R, --relative 使用相對路徑信息
-b, --backup 創(chuàng)建備份，也就是對于目的已經(jīng)存在有同樣的文件名時，將老的文件重新命名為~filename?？梢允褂?-suffix選項來指定不同的備份文件前綴。
--backup-dir 將備份文件(如~filename)存放在在目錄下。
-suffix=SUFFIX 定義備份文件前綴
-u, --update 僅僅進行更新，也就是跳過所有已經(jīng)存在于DST，并且文件時間晚于要備份的文件。(不覆蓋更新的文件)
-l, --links 保留軟鏈結(jié)
-L, --copy-links 想對待常規(guī)文件一樣處理軟鏈結(jié)
--copy-unsafe-links 僅僅拷貝指向SRC路徑目錄樹以外的鏈結(jié)
--safe-links 忽略指向SRC路徑目錄樹以外的鏈結(jié)
-H, --hard-links 保留硬鏈結(jié)
-p, --perms 保持文件權(quán)限
-o, --owner 保持文件屬主信息
-g, --group 保持文件屬組信息
-D, --devices 保持設(shè)備文件信息
-t, --times 保持文件時間信息
-S, --sparse 對稀疏文件進行特殊處理以節(jié)省DST的空間
-n, --dry-run現(xiàn)實哪些文件將被傳輸
-W, --whole-file 拷貝文件，不進行增量檢測
-x, --one-file-system 不要跨越文件系統(tǒng)邊界
-B, --block-size=SIZE 檢驗算法使用的塊尺寸，默認是700字節(jié)
-e, --rsh=COMMAND 指定替代rsh的shell程序
--rsync-path=PATH 指定遠程服務(wù)器上的rsync命令所在路徑信息
-C, --cvs-exclude 使用和CVS一樣的方法自動忽略文件，用來排除那些不希望傳輸?shù)奈募?br /> --existing 僅僅更新那些已經(jīng)存在于DST的文件，而不備份那些新創(chuàng)建的文件
--delete 刪除那些DST中SRC沒有的文件
--delete-excluded 同樣刪除接收端那些被該選項指定排除的文件
--delete-after 傳輸結(jié)束以后再刪除
--ignore-errors 及時出現(xiàn)IO錯誤也進行刪除
--max-delete=NUM 最多刪除NUM個文件
--partial 保留那些因故沒有完全傳輸?shù)奈募?，以是加快隨后的再次傳輸
--force 強制刪除目錄，即使不為空
--numeric-ids 不將數(shù)字的用戶和組ID匹配為用戶名和組名
--timeout=TIME IP超時時間，單位為秒
-I, --ignore-times 不跳過那些有同樣的時間和長度的文件
--size-only 當決定是否要備份文件時，僅僅察看文件大小而不考慮文件時間
--modify-window=NUM 決定文件是否時間相同時使用的時間戳窗口，默認為0
-T --temp-dir=DIR 在DIR中創(chuàng)建臨時文件
--compare-dest=DIR 同樣比較DIR中的文件來決定是否需要備份
-P 等同于 --partial
--progress 顯示備份過程
-z, --compress 對備份的文件在傳輸時進行壓縮處理
--exclude=PATTERN 指定排除不需要傳輸?shù)奈募Ｊ?br /> --include=PATTERN 指定不排除而需要傳輸?shù)奈募Ｊ?br /> --exclude-from=FILE 排除FILE中指定模式的文件
--include-from=FILE 不排除FILE指定模式匹配的文件
--version 打印版本信息
--address 綁定到特定的地址
--config=FILE 指定其他的配置文件，不使用默認的rsyncd.conf文件
--port=PORT 指定其他的rsync服務(wù)端口
--blocking-io 對遠程shell使用阻塞IO
--stats 給出某些文件的傳輸狀態(tài)
--progress 在傳輸時現(xiàn)實傳輸過程
--log-format=formAT 指定日志文件格式
--password-file=FILE 從FILE中得到密碼
--bwlimit=KBPS 限制I/O帶寬，KBytes per second
-h, --help 顯示幫助信息

Tip1

1.在 JAVA_HOME/jre/lib/fonts/ 下建立個目錄 fallback
2.在 fallback 里弄個中文字體最簡單ln一下就好了
比如：

ln -s /usr/share/fonts/truetype/arphic/uming.ttf  $JAVA_HOME/jre/lib/fonts/fallback/

Tip2

問題描述：Java 應(yīng)用程序的中文無法顯示，呈現(xiàn)方塊狀。

　　原因分析：Java 應(yīng)用程序無法找到可供顯示中文的字體。

　　解決方案：首先，確保系統(tǒng)里安裝了 JDK 1.5.0_06，如果安裝的是 JRE 1.5.0_06，那么卸掉 JRE，再安裝 JDK。然后下載 fireflysung 1.3.0， 解壓后將其中的 ttf 文件丟到系統(tǒng)字體目錄/usr/share/fonts，再用 fc-cache -f -v 跑一遍，讓系統(tǒng)知道這個字體。最后，就是轉(zhuǎn)到 JDK 安裝目錄的jre/lib/fonts 中，使用下面的命令來完成。

　　mkdir fallback
　　cd fallback
　　ln -s /usr/share/fonts/fireflysung.ttf
　　mkfontdir
　　mkfontscale

　　一、UNIX下關(guān)于文件權(quán)限的表示方法和解析

　　SUID 是 Set User ID, SGID 是 Set Group ID的意思。

　　UNIX下可以用ls -l 命令來看到文件的權(quán)限。用ls命令所得到的表示法的格式是類似這樣的：-rwxr-xr-x 。下面解析一下格式所表示的意思。這種表示方法一共有十位：

　　9 8 7 6 5 4 3 2 1 0

　　- r w x r - x r - x

　　第9位表示文件類型,可以為p、d、l、s、c、b和-：

　　p表示命名管道文件

　　d表示目錄文件

　　l表示符號連接文件

　　-表示普通文件

　　s表示socket文件

　　c表示字符設(shè)備文件

　　b表示塊設(shè)備文件

　　第8-6位、5-3位、2-0位分別表示文件所有者的權(quán)限，同組用戶的權(quán)限，其他用戶的權(quán)限，其形式為rwx：

　　r表示可讀，可以讀出文件的內(nèi)容

　　w表示可寫，可以修改文件的內(nèi)容

　　x表示可執(zhí)行，可運行這個程序

　　沒有權(quán)限的位置用-表示

　　例子：

　　ls -l myfile顯示為：

　　rwxr-x-- 1 foo staff 7734 Apr 05 17:07 myfile

　　表示文件myfile是普通文件，文件的所有者是foo用戶，而foo用戶屬于staff組，文件只有1個硬連接，長度是7734個字節(jié)，最后修改時間4月5日17:07。

　　所有者foo對文件有讀寫執(zhí)行權(quán)限，staff組的成員對文件有讀和執(zhí)行權(quán)限，其他的用戶對這個文件沒有權(quán)限。

　　如果一個文件被設(shè)置了SUID或SGID位，會分別表現(xiàn)在所有者或同組用戶的權(quán)限的可執(zhí)行位上。例如：

　　1、-rwsr-xr-x 表示SUID和所有者權(quán)限中可執(zhí)行位被設(shè)置

　　2、rwSrr- 表示SUID被設(shè)置，但所有者權(quán)限中可執(zhí)行位沒有被設(shè)置

　　3、-rwxr-sr-x 表示SGID和同組用戶權(quán)限中可執(zhí)行位被設(shè)置

　　4、rw-r-Sr- 表示SGID被設(shè)置，但同組用戶權(quán)限中可執(zhí)行位沒有被社

　　其實在UNIX的實現(xiàn)中，文件權(quán)限用12個二進制位表示，如果該位置上的值是

　　1，表示有相應(yīng)的權(quán)限：

　　11 10 9 8 7 6 5 4 3 2 1 0

　　S G T r w x r w x r w x

　　第11位為SUID位，第10位為SGID位，第9位為sticky位，第8-0位對應(yīng)于上面的三組rwx位。

　　11 10 9 8 7 6 5 4 3 2 1 0

　　上面的-rwsr-xr-x的值為： 1 0 0 1 1 1 1 0 1 1 0 1

　　rw-r-Sr-的值為： 0 1 0 1 1 0 1 0 0 1 0 0

　　給文件加SUID和SUID的命令如下：

　　chmod u+s filename 設(shè)置SUID位

　　chmod u-s filename 去掉SUID設(shè)置

　　chmod g+s filename 設(shè)置SGID位

　　chmod g-s filename 去掉SGID設(shè)置

　　另外一種方法是chmod命令用八進制表示方法的設(shè)置。如果明白了前面的12位權(quán)限表示法也很簡單。

　　二、SUID和SGID的詳細解析

　　由于SUID和SGID是在執(zhí)行程序（程序的可執(zhí)行位被設(shè)置）時起作用，而可執(zhí)行位只對普通文件和目錄文件有意義，所以設(shè)置其他種類文件的SUID和SGID位是沒有多大意義的。

　　首先講普通文件的SUID和SGID的作用。例子：

　　如果普通文件myfile是屬于foo用戶的，是可執(zhí)行的，現(xiàn)在沒設(shè)SUID位，ls命令顯示如下：

　　-rwxr-xr-x 1 foo staff 7734 Apr 05 17:07 myfile任何用戶都可以執(zhí)行這個程序。UNIX的內(nèi)核是根據(jù)什么來確定一個進程對資源的訪問權(quán)限的呢？是這個進程的運行用戶的（有效）ID，包括 user id和group id。用戶可以用id命令來查到自己的或其他用戶的user id和group id。

　　除了一般的user id 和group id外，還有兩個稱之為effective 的id，就是有效id，上面的四個id表示為：uid，gid，euid，egid。內(nèi)核主要是根據(jù)euid和egid來確定進程對資源的訪問權(quán)限。

　　一個進程如果沒有SUID或SGID位，則euid=uid egid=gid，分別是運行這個程序的用戶的uid和gid。例如kevin用戶的uid和gid分別為204和202，foo用戶的uid和gid為 200，201，kevin運行myfile程序形成的進程的euid=uid=204，egid=gid=202，內(nèi)核根據(jù)這些值來判斷進程對資源訪問 的限制，其實就是kevin用戶對資源訪問的權(quán)限，和foo沒關(guān)系。

　　如果一個程序設(shè)置了SUID，則euid和egid變成被運行的程序的所有者的uid和gid，例如kevin用戶運行myfile，euid=200，egid=201，uid=204，gid=202，則這個進程具有它的屬主foo的資源訪問權(quán)限。

　　SUID的作用就是這樣：讓本來沒有相應(yīng)權(quán)限的用戶運行這個程序時，可以訪問他沒有權(quán)限訪問的資源。passwd就是一個很鮮明的例子。

　　SUID的優(yōu)先級比SGID高，當一個可執(zhí)行程序設(shè)置了SUID，則SGID會自動變成相應(yīng)的egid。

　　下面討論一個例子：

　　UNIX系統(tǒng)有一個/dev/kmem的設(shè)備文件，是一個字符設(shè)備文件，里面存儲了核心程序要訪問的數(shù)據(jù)，包括用戶的口令。所以這個文件不能給一般的用戶讀寫，權(quán)限設(shè)為：cr-r---- 1 root system 2, 1 May 25 1998 kmem

　　但ps等程序要讀這個文件，而ps的權(quán)限設(shè)置如下：

　　-r-xr-sr-x 1 bin system 59346 Apr 05 1998 ps

　　這是一個設(shè)置了SGID的程序，而ps的用戶是bin，不是root，所以不能設(shè)置SUID來訪問kmem，但大家注意了，bin和root 都屬于system組，而且ps設(shè)置了SGID，一般用戶執(zhí)行ps，就會獲得system組用戶的權(quán)限，而文件kmem的同組用戶的權(quán)限是可讀，所以一般 用戶執(zhí)行ps就沒問題了。但有些人說，為什么不把ps程序設(shè)置為root用戶的程序，然后設(shè)置SUID位，不也行嗎？這的確可以解決問題，但實際中為什么 不這樣做呢？因為SGID的風(fēng)險比SUID小得多，所以出于系統(tǒng)安全的考慮，應(yīng)該盡量用SGID代替SUID的程序，如果可能的話。下面來說明一下 SGID對目錄的影響。SUID對目錄沒有影響。如果一個目錄設(shè)置了SGID位，那么如果任何一個用戶對這個目錄有寫權(quán)限的話，他在這個目錄所建立的文件 的組都會自動轉(zhuǎn)為這個目錄的屬主所在的組，而文件所有者不變，還是屬于建立這個文件的用戶。

　　三、關(guān)于SUID和SGID的編程

　　和SUID和SGID編程比較密切相關(guān)的有以下的頭文件和函數(shù)：

　　#include

　　#include

　　uid_t getuid(void);

　　uid_t geteuid(void);

　　gid_t getgid (void);

　　gid_t getegid (void);

　　int setuid (uid_t UID);

　　int setruid (uid_t RUID);

　　int seteuid (uid_t EUID);

　　int setreuid (uid_t RUID,uid_t EUID);

　　int setgid (gid_t GID);

　　int setrgid (gid_t RGID);

　　int setegid (git_t EGID);

　　int setregid (gid_t RGID, gid_t EGID);

　　具體這些函數(shù)的說明在這里就不詳細列出來了,要用到的可以用man查。

　　SUID/SGID :

　　假如你有文件a.txt

　　#ls -l a.txt

　　-rwxrwxrwx

　　#chmod 4777 a.txt

　　-rwsrwxrwx ======>注意s位置

　　#chmod 2777 a.txt

　　-rwxrwsrwx ======>注意s位置

　　#chmod 7777 a.txt

　　-rwsrwxswt ======>出現(xiàn)了t,t的作用在內(nèi)存中盡量保存a.txt,節(jié)省系統(tǒng)再加載的時間.

　　現(xiàn)在再看前面設(shè)置 SUID/SGID作用:

　　#cd /sbin

　　#./lsusb

　　...

　　#su aaa(普通用戶)

　　$./lsusb

　　...

　　是不是現(xiàn)在顯示出錯？

　　$su

　　#chmod 4755 lsusb

　　#su aaa

　　$./lsusb

　　... 現(xiàn)在明白了嗎？本來是只有root用戶才能執(zhí)行的命令，加了SUID后,普通用戶就可以像root一樣的用，權(quán)限提升了。上面是對于文件來說的，對于目錄也差不多！

　　目錄的S屬性使得在該目錄下創(chuàng)建的任何文件及子目錄屬于該目錄所擁有的組，目錄的T屬性使得該目錄的所有者及root才能刪除該目錄。還有對 于s與S，設(shè)置SUID/SGID需要有運行權(quán)限，否則用ls -l后就會看到S,證明你所設(shè)置的SUID/SGID沒有起作用。

　　Why we need suid,how do we use suid?

　　r -- 讀訪問

　　w -- 寫訪問

　　x -- 執(zhí)行許可

　　s -- SUID/SGID

　　t -- sticky位

　　那么 suid/sgid是做什么的？ 為什么會有suid位呢？

　　要想明白這個，先讓我們看個問題：如果讓每個用戶更改自己的密碼？

　　用戶修改密碼，是通過運行命令passwd來實現(xiàn)的。最終必須要修改/etc/passwd文件，而passwd的文件的屬性是：

　　#ls -l /etc/passwd

　　rw-rr- 1 root root 2520 Jul 12 18:25 passwd

　　我們可以看到passwd文件只有對于root用戶是可寫的，而對于所有的他用戶來說都是沒有寫權(quán)限的。 那么一個普通的用戶如何能夠通過運行passwd命令修改這個passwd文件呢？

　　為了解決這個問題，SUID/SGID便應(yīng)運而生。而且AT&T對它申請了專利。 呵呵。

　　SUID和SGID是如何解決這個問題呢？

　　首先，我們要知道一點：進程在運行的時候，有一些屬性，其中包括 實際用戶ID,實際組ID,有效用戶ID,有效組ID等。 實際用戶ID和實際組ID標識我們是誰，誰在運行這個程序,一般這2個字段在登陸時決定，在一個登陸會話期間， 這些值基本上不改變。

　　而有效用戶ID和有效組ID則決定了進程在運行時的權(quán)限。內(nèi)核在決定進程是否有文件存取權(quán)限時，是采用了進程的有效用戶ID來進行判斷的。

　　知道了這點，我們來看看SUID的解決途徑：

　　當一個程序設(shè)置了為SUID位時，內(nèi)核就知道了運行這個程序的時候，應(yīng)該認為是文件的所有者在運行這個程序。即該程序運行的時候，有效用戶ID是該程序的所有者。舉個例子：

　　[root@sgrid5 bin]# ls -l passwd

　　-r-s-s-x 1 root root 16336 Feb 14 2003 passwd

　　雖然你以test登陸系統(tǒng)，但是當你輸入passwd命令來更改密碼的時候，由于passwd設(shè)置了SUID位，因此雖然進程的實際用戶ID 是test對應(yīng)的ID，但是進程的有效用戶ID則是passwd文件的所有者root的ID,因此可以修改/etc/passwd文件。

　　讓我們看另外一個例子。

　　ping命令應(yīng)用廣泛，可以測試網(wǎng)絡(luò)是否連接正常。ping在運行中是采用了ICMP協(xié)議，需要發(fā)送ICMP報文。但是只有root用戶才能建立ICMP報文，如何解決這個問題呢？同樣，也是通過SUID位來解決。

　　[root@sgrid5 bin]# ls -l /bin/ping

　　-rwsr-sr-x 1 root root 28628 Jan 25 2003 /bin/ping

　　我們可以測試一下，如果去掉ping的SUID位，再用普通用戶去運行命令，看會怎么樣。

　　[root@sgrid5 bin]#chmod u-s /bin/ping

　　[root@sgrid5 bin]# ls -l ping

　　-rwxr-xr-x 1 root root 28628 Jan 25 2003 ping

　　[root@sgrid5 bin]#su test

　　[test@sgrid5 bin]$ ping byhh.net

　　ping: icmp open socket: Operation not permitted

　　SUID雖然很好了解決了一些問題，但是同時也會帶來一些安全隱患。

　　因為設(shè)置了 SUID 位的程序如果被攻擊(通過緩沖區(qū)溢出等方面),那么hacker就可以拿到root權(quán)限。

　　因此在安全方面特別要注意那些設(shè)置了SUID的程序。

　　通過以下的命令可以找到系統(tǒng)上所有的設(shè)置了suid的文件：

　　[root@sgrid5 /]# find / -perm -04000 -type f -ls

　　對于這里為什么是4000，大家可以看一下前面的st_mode的各bit的意義就明白了。

　　在這些設(shè)置了suid的程序里，如果用不上的，就最好取消該程序的suid位。

SUID和SGID，主要作用是用于當非某個文件的所有者(或組)執(zhí)行(或操作目錄)文件時，可以暫時獲得該文件所有者的權(quán)限。
SBIT的作用在于訪問控制，當它對某個目錄設(shè)置此屬性后，該目錄下的所有文件，即使其它人有w屬性，都不得對其更名、移動、刪除。

設(shè)置方法：
如果你已經(jīng)掌握了用(八進制)數(shù)字來表示權(quán)限的規(guī)則，再結(jié)合chmod命令進行設(shè)置就很簡單了。以下是SUID/SGID/Sticky Bit約定對應(yīng)的八進制數(shù)值：
SUID ＝ 4
SGID ＝ 2
SBIT ＝ 1
設(shè)置時我們把表示特殊權(quán)限的數(shù)字放在其他三位數(shù)字權(quán)限的前面。

介紹：

在META-INF/services目錄下保存的是service provider的配置文件。 服務(wù)在應(yīng)用中會是一個接口(更多的是抽象類)。
一個類服務(wù)器提供者實現(xiàn)了一個服務(wù)類。這類的服務(wù)提供類可以以擴展的形式發(fā)布到平臺上。所以，jar文件引入了擴展目錄，同樣你也可以將服務(wù)提供者加入classpath提供訪問。

服務(wù)都是表現(xiàn)為一個積累，而一個服務(wù)提供者通常是集成或?qū)崿F(xiàn)了服務(wù)定義類。服務(wù)提供類通常不會像代理類一樣為了正常提供服務(wù)而包含了請求者的許多信息。服務(wù)提供類一般傾向于高集成。
對這類服務(wù)提供類的唯一強制性要求就是必須有一個無參的構(gòu)造函數(shù)。

provider 配置文件
META-INF/services目錄作為provider配置文件的存放路徑。provider配置文件中必須是全類名(包含package)。配置文件可以存在space tab 換行等字符,#作為注釋。
注意：provider配置文件必須是以UTF-8編碼。