五月激情综合网,亚洲精品wwww,小小水蜜桃在线观看

我心飞翔 — Thu, 17 May 2007 02:03:00 GMT

我在遥望�Q?
月薪之上�Q?
有多��的工资可以自由的上涨，
昨天已忘�Q?
风干了钱囊，
和你重逢在发薪的�\上，
你已被牵引，工资涨落�Q?
有钱的日子像在天堂，呕也�Q�呕也，呕也
谁在呼唤�Q�工资快涨，
涨钱的��望象白云在飘荡，
东边借钱�Q�西边还��P��一捆捆的钞��，��送到了银�?
致富的�\在何方？
跟谁商量�Q�让工资涨涨
呕也呕也呕也

我心飞翔 2007-05-17 10:03 发表评论

两种生活

我心飞翔 — Wed, 11 Oct 2006 08:55:00 GMT

喧嚣的城市，一��M��停闲�Q�久了，便觉得心中烦乱�?/p>

�q�好我来自农村，得闲时回去走赎ͼ�看看父母�Q��n受一下大自然。新鲜的�I�气�Q�宁静的生活。时�怸�愿返�?br />

我心飞翔 2006-10-11 16:55 发表评论

我心飞翔 — Sat, 01 Jul 2006 05:38:00 GMT

[整理]Linux,Unix电子书大�?/span>

来源:http://cz8384.blogchina.com/
�W�一部分�Q�Linux基础应用

1、《Linux从入门到�_�N��?
http://www.gouhuo.com/study/linuxbook.zip

2�?Linux �pȝ��安全与优化中文版
�q�本书的英文�?Get Acquainted with Linux Security and Optimization System"�Q�简�U�LinuxSOS�Q�是Linux文档计划�Q�Linux Document Project�Q�中比较新的一本指南。这本书不是Linux的入门书�c�，读这本书需要有Linux或者Unix的背景知识。如果你已经安装�q�Linux而且能够使用一些简单的Unix命��o�Q�那么这本书会对你有很大的帮助�?
http://www.linuxaid.com.cn/download/training/linuxsos-cn.pdf

3、Linux安装与配�|�简明手�?13-Aug-2002 16:14 20M
http://cpss.zz.ha.cn/study/linux ... %f7%ca%d6%b2%e1.zip

4、Linux�~�程白皮�?zip 13-Aug-2002 16:14 16M
http://cpss.zz.ha.cn/study/linux ... %d7%c6%a4%ca%e9.zip

5、Linux�|�站��技术指�?13-Aug-2002 16:14 9.2M
http://cpss.zz.ha.cn/study/linux ... %f5%d6%b8%c4%cf.zip

6、Linux�pȝ��分析与高�U�编�E?13-Aug-2002 16:14 11M
http://cpss.zz.ha.cn/study/linux ... %cc%bc%bc%ca%f5.zip

7、Linux�pȝ��理白皮�?zip 13-Aug-2002 16:14 6.8M
http://cpss.zz.ha.cn/study/linux ... %d7%c6%a4%ca%e9.zip

8、Linux应用�E�序开发指�?13-Aug-2002 16:14 9.1M
http://cpss.zz.ha.cn/study/linux ... +%20Gnome%bf%e2.zip

9、Linux 24学时教程.zip 13-Aug-2002 16:14 34M
http://cpss.zz.ha.cn/study/linux ... %b1%bd%cc%b3%cc.zip

10、Red Hat Linux 6大全.zip 13-Aug-2002 16:15 33M
http://cpss.zz.ha.cn/study/linux ... 206%b4%f3%c8%ab.zip

11、Red Hat Linux 6��理工具 13-Aug-2002 16:15 13M
http://cpss.zz.ha.cn/study/linux ... %ed%b9%a4%be%df.zip

12、http://www.linuxsir.org/pdf/ebook1.rar
http://www.linuxsir.org/pdf/ebook2.rar
具体文章如下�Q?
基础��讨论专版�Q?
Linux��理员手�?
linux入门教程
linux指��o大全

�U�旗版区的：
�U�旗桌面4正式版最��C��用方法和问题解答100�?

Linux shell�q�阶应用与shell�~�程
命��o大集�?
TCSH shell �~�程
Bourne Shell及shell�~�程
Linux Shell��?
脚本�_�֍��ƣ赏
使用 Bash shell 脚本�q�行功能��试

Linux 发行版SuSE专题
SuSE 解决�Ҏ��

13、Debian的中文FAQ 600k pdf
http://linuxdoc.51.net/download/Debian_cn_FAQ.pdf

14、Linux Kernel 核心手册�Q�中文）552k zip
http://linuxdoc.51.net/download/Linux_Kernel_cn.zip

15、Linux + Solaris 48k pdf
http://linuxdoc.51.net/download/LinuxSolaris.pdf

16、Linux SOS 1.1 1.3M pdf
http://linuxdoc.51.net/download/linuxsos-11.pdf

17、SuSE官方汉化手册 1.4M pdf
http://linuxdoc.51.net/download/suse_guanfang_hanhua.pdf

18、Linux Kernel 1.3M pdf
http://linuxdoc.51.net/download/linux_kernel.pdf

19、Linux�E�序员指�?337k zip
http://linuxdoc.51.net/download/linux_program.zip

20、Linux高��技巧集 72k zip
http://linuxdoc.51.net/download/linux_gaoji_jiqiao.zip

21、OReilly Unix��工具�Q�第三版�Q?br />http://bbs.itebook.net/attachment.php?aid=621
http://bbs.itebook.net/attachment.php?aid=622

22、FreeBSD使用大全�Q�Chm格式�Q?br />是王波写的一本专门介�l�Freebsd的书�c�，�?4章，图文�q�茂�Q�是不可多得的FreeBSD斚w��的教材�?br />http://www.linuxdby.com/download ... dde35e9c2&id=15

23、Redhat 9.0 官方中文安装指南
http://www.fcitx.org/flysail/rhl-ig-x86-zh_CN-9.tar.gz

Redhat 9.0 官方中文入门指南
http://www.fcitx.org/flysail/rhl-gsg-zh_CN-9.tar.gz

Redhat 9.0 官方中文定制指南
http://www.fcitx.org/flysail/rhl-cg-zh_CN-9.tar.gz

24、《Linux 新手��理员指南�?br />本书《Linux 新手��理员指南》是英文版LINUX NEWBIE ADMINISTRATOR GUIDE 的完整中文译本，�?37��，PDF格式�?br />原版�Q?a target="_blank">http://linux-newbie.sunsite.dk/
下蝲�Q?a target="_blank">http://www.linuxdby.com/download ... dde35e9c2&id=51

25、Linux高��配置详解(PDG)
讲述在Linux操作�pȝ��下的软、硬仉��|�、网�l�应用配�|�、X Window�pȝ��配置以及内核的配�|�和�~�译�{�知识�?
http://www.mycodes.net/down.asp?id=793&no=1
http://www.mycodes.net/down.asp?id=793&no=2

�W�二部分�Q�Linux�pȝ��理

1、Setting up a Local Area Network (EN)上蝲�Q?/9/2002
http://www.joyfire.net/compress/rh-lan.pdf

2、linux for mainframe (EN)上蝲�Q?/9/2002
http://www.joyfire.net/compress/linux4mainframe.zip

3、Linux Consultants Guide (EN)上蝲�Q?/9/2002
http://www.joyfire.net/compress/Consultants-Guide.html.tar.gz

4、LPI认证复习资料1 2 3 4 5 6 7 8上蝲�Q?3/7/2002
http://www.joyfire.net/compress/l-lpi1.zip
http://www.joyfire.net/compress/l-lpi2.zip
http://www.joyfire.net/compress/l-lpi3.zip
http://www.joyfire.net/compress/l-lpi4.zip
http://www.joyfire.net/compress/l-lpi5.zip
http://www.joyfire.net/compress/l-lpi6.zip
http://www.joyfire.net/compress/l-lpi7.zip
http://www.joyfire.net/compress/l-lpi8.zip

5、Red Hat Network Basic User Reference Guide (EN)上蝲�Q?3/7/2002
http://www.joyfire.net/compress/rhn-basic-urg-en-3.3.tgz

6、Red Hat Network Enterprise User Reference Guide (EN)上蝲�Q?3/7/2002
http://www.joyfire.net/compress/rhn-enterprise-urg-en-1.1.tgz

7、Linux FAQ 在线��览上蝲�Q?1/6/2002
http://www.joyfire.net/compress/Linux-FAQ.html.tar.gz
http://www.joyfire.net/Linux-FAQ/index.html

8、Linux�pȝ��分析与高�U�编�E�技术上载：4/5/2002
http://www.joyfire.net/compress/linux_advanced_technology.zip

9、RedHat Linux�|�络��理工具上蝲�Q?/5/2002
http://www.joyfire.net/compress/ ... gement_Tools_CN.zip

10、Linux��理指南上蝲�Q?/5/2002
http://www.joyfire.net/compress/Linux_Management_CN.zip

11、GNU Linux 高��|�络应用服务指南上蝲�Q?/5/2002
http://www.joyfire.net/compress/ ... d_network_Guide.zip
l
12、inux环境数据库管理员手册上蝲�Q?/5/2002
http://www.joyfire.net/compress/Linuxdb.zip

13、Complete Linux Command Reference (EN)上蝲�Q?/5/2002
http://www.joyfire.net/compress/ ... mmand_Reference.zip

14、Bugzilla-Guide (EN) 上蝲�Q?0/4/2002
http://www.joyfire.net/compress/Bugzilla-Guide.html.tar.gz

15、Llinuxcookbook (EN) 在线��览上蝲�Q?0/4/2002
http://www.joyfire.net/compress/linuxcookbook-1.2.html.tar.gz
http://www.joyfire.net/linuxcookbook/index.html

16、Linux HOWTO (EN)(9.8M) 在线��览中文版和miniHOWTO (EN) 中文版上载：13/3/2002
http://www.joyfire.net/compress/Linux-html-HOWTOs.tar.gz
http://www.joyfire.net/HOWTO/HOWTO-INDEX/howtos.html
http://www.joyfire.net/compress/newhowto_cn.zip
http://www.joyfire.net/compress/ ... TOs-20020420.tar.gz
http://www.joyfire.net/compress/minihow_cn.zip

17、Advanced Bash-Scripting Guide(EN) 在线��览上蝲�Q?1/3/2002
http://www.joyfire.net/compress/abs-guide.html.tar.gz
http://www.joyfire.net/abs-guid/index.html

18、Securing and Optimizing Linux RedHat Edition -A Hands on Guide(EN) 在线��览上蝲�Q?1/3/2002
http://www.joyfire.net/compress/ ... on-v1.3.html.tar.gz
http://www.joyfire.net/solrhe/Se ... ion-v1.3/index.html

19、CVS Best Practices(EN) 在线��览上蝲�Q?1/3/2002
http://www.joyfire.net/compress/CVS-BestPractices.html.tar.gz
http://www.joyfire.net/CVS-BestPractices/index.html

20、The Linux System Administrators' Guide(EN) 在线��览中文版上载：1/1/2002�?
http://www.joyfire.net/compress/sag.html.tar.gz
http://www.joyfire.net/sag/index.html
http://www.joyfire.net/compress/Linuxsys.zip

21、The Linux Network Administrator's Guide, 2e (EN) 在线��览上蝲�Q?/1/2002
http://www.joyfire.net/compress/nag-2.0.html.tar.gz
http://www.joyfire.net/nag2/index.html

22、Linux System Administration Made Easy (EN) 在线��览上蝲�Q?/1/2002
http://www.joyfire.net/compress/lame.html.tar.gz
http://www.joyfire.net/lame/index.html

23、AKA讲��(a link)上蝲�Q?/1/2002
http://bj.aka.org.cn/Lectures/index.html

24、ORACLE for linux install handbook (EN)上蝲�Q?/1/2002
http://www.joyfire.net/compress/installguide_linux102.pdf

25、Redhat 7.2 install handbook (EN)上蝲�Q?/1/2002
http://www.joyfire.net/compress/rhl-ig-x86-en-72.tgz

26、Linux安全最大化(PDG)
介绍Linux安全基础�Q�如何防御口令攻��d��数据��d��角度来讨论Linux用户安全�Q�Linux�|�络安全�Q�各�U�Internet服务的安全性、防火墙、入侉|��、日志和审计跟踪以及��N��恢复�{?
http://www.mycodes.net/down.asp?id=827&no=1
http://www.mycodes.net/down.asp?id=827&no=2

27、Linux高��配置详解(PDG)
讲述在Linux操作�pȝ��下的软、硬仉��|�、网�l�应用配�|�、X Window�pȝ��配置以及内核的配�|�和�~�译�{�知识�?
http://www.mycodes.net/down.asp?id=793&no=1
http://www.mycodes.net/down.asp?id=793&no=2

28、Running Linux(EN)上蝲�Q?3/9/2003
http://joyfire.net/compress/running_linux_4e.pdf

29、Learning Red Hat Linux(EN)上蝲�Q?3/9/2003
http://joyfire.net/compress/learning_redhat_linux.pdf

30、Learning the Unix Operating System(EN)上蝲�Q?3/9/2003
http://joyfire.net/compress/Learning_the%20UNIX_OS.pdf

31、Linux Programming Unleashed(EN)上蝲�Q?3/9/2003
http://joyfire.net/compress/linux_programming_unleashed.pdf

�W�三部分�Q�Linux代码�~�写
1、POSIX threads explained(EN)上蝲�Q?/9/2002
http://www.joyfire.net/compress/linuxthreads.zip

2、Emacspeak User's Guide (EN)上蝲�Q?/9/2002
http://www.joyfire.net/compress/espk-ug.html.tar.gz

3、MICO文档 (EN)上蝲�Q?/9/2002
http://www.joyfire.net/compress/mico-doc-html.tar.gz

4、GNU Autotools Guide (EN)上蝲�Q?3/7/2002
http://www.joyfire.net/compress/autobook-1.3.tar.gz

5、Linux Threads FAQ 在线��览上蝲�Q?1/6/2002
http://www.joyfire.net/compress/Threads-FAQ-html.tar.gz
http://www.joyfire.net/Threads-FAQ/index.html

6、Linux�pȝ��分析与高�U�编�E�技术上载：4/5/2002
http://www.joyfire.net/compress/linux_advanced_technology.zip

7、ELF文�g格式 (EN)上蝲�Q?0/5/2002
http://www.joyfire.net/compress/elf.pdf

8、Bugzilla-Guide (EN) 在线��览上蝲�Q?0/4/2002
http://www.joyfire.net/compress/Bugzilla-Guide.html.tar.gz

9、The Linux Programmer's Guide (EN) 在线��览上蝲�Q?1/3/2002
http://www.joyfire.net/compress/lpg.html.tar.gz
http://www.joyfire.net/lpg/index.html

10、CVS Best Practices(EN) 在线��览上蝲�Q?1/3/2002
http://www.joyfire.net/compress/CVS-BestPractices.html.tar.gz
http://www.joyfire.net/CVS-BestPractices/index.html

11、Advanced Bash-Scripting Guide(EN) 在线��览上蝲�Q?1/3/2002
http://www.joyfire.net/compress/abs-guide.html.tar.gz
http://www.joyfire.net/abs-guid/index.html

12、Linux讑֤�驱动�E�序(CH)(Linux Device Drivers): 在线��览上蝲�Q?/3/2002
http://www.joyfire.net/lsdp/index.htm

13、The Linux Kernel Module Programming Guide (EN) 在线��览中文版上载：1/1/2002
http://www.joyfire.net/compress/lkmpg.html.tar.gz
http://www.joyfire.net/lkmpg/index.html
http://www.joyfire.net/compress/lkmpg_cn.rtf.zip

14、AKA讲��(a link)上蝲�Q?/1/2002
http://bj.aka.org.cn/Lectures/index.html

15、i386 Reference Programmer's Manual(EN)上蝲�Q?/10/2003
http://joyfire.net/386ASM/index.htm

�W�四部分�Q�Linux内核分析

1、netxiong linux内核分析�W�记上蝲�Q?8/7/2003
http://www.joyfire.net/compress/netxiong-linux.zip

2、CML2 Language and Tools Description(EN)上蝲�Q?2/ 7/2003
http://www.joyfire.net/compress/cml2.pdf

3、Z8530 Programming Guide(EN)上蝲�Q?1/ 7/2003
http://www.joyfire.net/compress/z8530book.pdf

4、Synchronous PPP and Cisco HDLC Programming Guide(EN)上蝲�Q?1/ 7/2003
http://www.joyfire.net/compress/wanbook.pdf

5、Video4Linux Programming(EN)上蝲�Q?1/ 7/2003
http://www.joyfire.net/compress/videobook.pdf

6、The Linux 2.4 Parallel Port Subsystem(EN)上蝲�Q?1/ 7/2003
http://www.joyfire.net/compress/parportbook.pdf

7、MCA Driver Programming Interface(EN)上蝲�Q?1/ 7/2003
http://www.joyfire.net/compress/mcabook.pdf

8、The Linux Kernel API(EN)上蝲�Q?/ 7/2003
http://www.joyfire.net/compress/kernel-api.pdf

9、Unreliable Guide To Hacking The Linux Kernel(EN)上蝲�Q?/ 7/2003
http://www.joyfire.net/compress/kernel-hacking.pdf

10、Unreliable Guide To Locking(EN)上蝲�Q?/ 7/2003
http://www.joyfire.net/compress/kernel-locking.pdf

11、OSDesign上蝲�Q?8/3/2003
http://www.joyfire.net/compress/OSDesign-0.0.6.1.zip

12、Linux Kernel 2.4 Internals(EN)上蝲�Q?8/3/2003
http://www.joyfire.net/compress/lki.html.tar.gz

13、Compiling the linux kernel(EN)上蝲�Q?/9/2002
http://www.joyfire.net/compress/compile_kernel.pdf

14、OSKit��目源代码、论文和文��上蝲�Q?3/7/2002
http://www.joyfire.net/compress/oskit-20020317.tar.gz
http://www.joyfire.net/compress/oskit-papers.zip
http://www.joyfire.net/compress/oskit.html.tar.gz

15、GNU Autotools Guide (EN)上蝲�Q?3/7/2002
http://www.joyfire.net/compress/autobook-1.3.tar.gz

16、Compile linux kernel (EN)上蝲�Q?2/7/2002
http://www.joyfire.net/compress/compilekernel.zip

17、Intel体系�l�构参考手�?(EN)和Intel体系�l�构手册 (EN)上蝲�Q?6/5/2002
http://www.joyfire.net/compress/Architecture_Reference.pdf
http://www.joyfire.net/compress/Architecture.pdf

18、IA32体系�l�构设计手册卷一 (EN)上蝲�Q?6/5/2002
http://www.joyfire.net/compress/IA32-1.pdf

19、IA32体系�l�构设计手册卷二 (EN)上蝲�Q?6/5/2002
http://www.joyfire.net/compress/IA32-2.pdf

20、IA32体系�l�构设计手册卷三 (EN)上蝲�Q?6/6/2002
http://www.joyfire.net/compress/IA32-3.pdf

21、ELF文�g格式 (EN)上蝲�Q?0/5/2002
http://www.joyfire.net/compress/elf.pdf

22、Linux�pȝ��分析与高�U�编�E�技术上载：4/5/2002
http://www.joyfire.net/compress/linux_advanced_technology.zip

23、The Linux Kernel (EN) 在线��览中文版上载：10/3/2002�?
http://www.joyfire.net/compress/tlk.html.tar.gz
http://www.joyfire.net/tlk/tlk.html
http://www.joyfire.net/compress/Linux_Kernel_CN.zip

24、Linux From Scratch (EN) 在线��览上蝲�Q?0/3/2002�?
http://www.joyfire.net/compress/LFS-3.1.html.tar.gz
http://www.joyfire.net/lfs/index.html

25、Linux讑֤�驱动�E�序(CH)(Linux Device Drivers): 在线��览上蝲�Q?/3/2002

http://www.joyfire.net/lsdp/index.htm

26、华中理工大�?8�U�研�I�生linux�pȝ��分析报告上蝲�Q?0/2/2002�?
http://www.joyfire.net/compress/98_tar.tar.gz

27、华中理工大�?6�U�本�U�生linux�pȝ��分析报告上蝲�Q?0/2/2002�?
http://www.joyfire.net/compress/96_tar.tar.gz

28、The Linux Kernel Module Programming Guide (EN) 在线��览中文版上载：1/1/2002
http://www.joyfire.net/compress/lkmpg.html.tar.gz
http://www.joyfire.net/lkmpg/index.html
http://www.joyfire.net/compress/lkmpg_cn.rtf.zip

29、The Linux Kernel Hackers' Guide (EN) 在线��览上蝲�Q?/1/2002
http://www.joyfire.net/compress/khg.html.tar.gz
http://www.joyfire.net/khg/index.html

30、AKA讲��(a link)上蝲�Q?/1/2002�?
http://bj.aka.org.cn/Lectures/index.html

31、Linux内核情景分析(�?,Linux内核情景分析(�?上蝲�Q?/10/2003
http://joyfire.net/compress/linuxqjfx1.pdf
http://joyfire.net/compress/linuxqjfx2.pdf

�W�五部分�Q�Unix优秀电子书籍

1、莱昂氏UNIX源代码分�?3-Aug-2002 16:13 13M
http://cpss.zz.ha.cn/study/unix/ ... %eb%b7%d6%ce%f6.zip

2、实践大师：UNIX awk和sed�~�程��?3-Aug-2002 16:13 6.7M
http://cpss.zz.ha.cn/study/unix/ ... %e0%b3%cc%c6%aa.rar

3、实践大师：unix shell�~�程��?3-Aug-2002 16:13 7.2M
http://cpss.zz.ha.cn/study/unix/ ... %e0%b3%cc%c6%aa.rar

4、HP-UX System and Network Fundermental 13-Aug-2002 16:13 7.4M
http://cpss.zz.ha.cn/study/unix/ ... %20Fundermental.pdf

5、LINUX与UNIX Shell�~�程指南13-Aug-2002 16:12 19M
http://cpss.zz.ha.cn/study/unix/ ... %cc%d6%b8%c4%cf.zip

6、UNIX环境高��~�程.zip 13-Aug-2002 16:12 18M
http://cpss.zz.ha.cn/study/unix/ ... %b6%b1%e0%b3%cc.zip

7、UNIX教程�|�络��?zip 13-Aug-2002 16:13 13M
http://cpss.zz.ha.cn/study/unix/ ... %f8%c2%e7%c6%aa.zip

8、UNIX�pȝ��安全工具.zip 13-Aug-2002 16:13 6.6M
http://cpss.zz.ha.cn/study/unix/ ... %ab%b9%a4%be%df.zip

9、hp-ux�pȝ��和网�l�管�?rar 13-Aug-2002 16:13 4.2M
http://cpss.zz.ha.cn/study/unix/ ... %e7%b9%dc%c0%ed.rar

10、scounix�pȝ��理员宝�?3-Aug-2002 16:12 21M
http://cpss.zz.ha.cn/study/unix/ ... %b1%b1%a6%b5%e4.rar

11、shell�~�程和unix命��o.rar 13-Aug-2002 16:12 17M
http://cpss.zz.ha.cn/study/unix/ ... nix%c3%fc%c1%ee.rar
----------------------------------------------------------------------------------------------------------
linux电子教程免费高速下�?/font>
来自:火狐技术联�?br />
部分教程目录�Q?br />
Apache2中文使用手册
Apache服务器版�_�֍�
book-Apache服务器配�|�全�ȝ��
chinalinuxpub.com初学版精�?
chinalinuxpub邮�g版精华postfix_sendmail_dns及其相关
C语言�~�程实例
DNS+bind9+中文指导
FreeBSD使用大全目录
Freesoft Linux FAQ
Imail v8.0服务器��用指�?
Linux Kernel中文手册
Linux Web服务器配�|?
c语言教程
Linux安全�ȝ��
linux办公室联�|�实用篇
Linux�~�程白皮�?
Linux常见问题解答集中�?
Linux初学者入门优�U�教程
Linux从入门到�_�N�?
linux服务器篇
Linux高��技巧集
Linux高��配置详解
Linux高��|�络应用服务指南
Linux公社技术文�?
linux��理操作指南
Linux环境数据库管理员指南
linux基本命��o
Linux基础教程
linux入门�_�֍�
Linux入门学习E书教�E?
Linux使用技巧集
Linux使用指南中文�?
Linux�|�站��和维�?
Linux�pȝ��分析与高�U�编�E�技�?
计算机故障速查手册
LINUX�pȝ��理白皮�?
Linux�pȝ��理手册
Linux�pȝ��理员指南手�?
Linux学习宝典
LINUX循序渐进�Q�linux初�񔽋?

Linux一句话�_�ֽ�回答
LINUX应用�E�序开发指�?
Linux专家之�\ Linux下的PERL�~�程
MySQL的最详细帮助文�g
MYSQL攻防��（动画教程�Q?
MySQL使用
MySQL数据库教�E�光�?
MySQL�|�络数据库指�?
MYSQL中文手册完全�?
Oracle8i 企业版功能综�q?
Perl常见问题�?
PHP v4.0 时尚�~�程百例
PHP 中文手册5月最新版(chm)
PHP&MySQL无需�~�程��L��创徏数据库网�?
php4完全中外使用手册
PHP5 �?MySQL 圣经(PDF)
PHP高��开发技巧与范例
php技�?
ProFtpd快速��用指�?
Qmail相关问题
Red Flag Server 4.0 ��理工具技术白皮书
red flag server 4安全技术白皮书
redflag4.0 server高�񔽎�理手册
redflag4.0集群技术白皮书
RedHat Linux AS3 使用指南
RedHat Linux9入门指南
RedHat9.0 Xwindows安装指南
RedHat安装手册
SAMBA工具使用指南
sendmail服务器配�|�全�ȝ��
SHELL-13-question
squid使用详解
SSH使用指南
UNIX Programming FAQ 中文�?
UNIX�pȝ��安全工具
vi使用手册
Vmware中安装Red Hat Linux 9
VPN及其配置�C�Z��
vsftpd
Windows�|�络下的Linux解决�Ҏ��

XteamLinux教程
初学版精�?
打造安全的匿名FTP服务�?
高��Linux安全��理技�?
高��LINUX手册 2003(PDF)
�U�帽企业 Linux 3(安全、安装、系�l?指南
接入�|�案例集�?
利用Vmware来搭建单机多�pȝ��的测试环�?
��媒体论坛精华文�?
轻轻松松安装 Linux �pȝ��语言教程
深入了解Linux
如何配置dns�pȝ��虚拟域名的配�|�和讄��Ҏ��
��红帽Linux企业�?官方中文文档-安全指南
��红帽Linux企业�?官方中文文��-安装指南
��红帽Linux企业�?官方中文文档-�pȝ��理指南
逐步�_�N��MySQL数据�?
制作�Ҏ��及流媒体服务器架�?
Linux内核情景分析
LINUX与UNIX SHELL�~�程指南
�|�页数据库整合精华录
Redhat Linux9 安装的全�E�演�C�录�?

ftp://linux:linux1985@219.145.245.180

我心飞翔 2006-07-01 13:38 发表评论

我心飞翔 — Sat, 01 Jul 2006 05:19:00 GMT

此文为我搜集�Q�在此作备䆾:

本文从系�l�管理员的角度讨论安全问�?�pȝ��理员是��理�pȝ��的�h:启动�pȝ��,停止�pȝ��q�行,安装新��Y�?增加新用�?删除老用�?以及完成保持�pȝ��发展和运行的日常事务工作.

1.安全��理
安全��理主要分�ؓ四个斚w��:
　　(1)防止未授权存�?�q�是计算机安全最重要的问�?未被使用�pȝ��的�h�q�入�pȝ��.用户意识,良好的口令管�?��q��l�管理员和用户双斚w��?,��d��z�d��记录和报�?用户和网�l�活动的周期��?�q�些都是防止未授权存取的关键.

　　(2)防止泄密:�q�也是计��机安全的一个重要问�?防止已授权或未授权的用户�怺�存取�怺�的重要信�?文�g�pȝ��查帐,su��d��和报�?用户意识,加密都是防止泄密的关�?

　　(3)防止用户拒绝�pȝ��的管�?�q�一斚w��的安全应由操作系�l�来完成.一个系�l�不应被一个有意试图��用过多资源的用户损害.不幸的是,UNIX不能很好地限制用户对资源的��?一个用戯��够��用文件系�l�的整个��盘�I�间,而UNIX基本不能��L��用户�q�样�?�pȝ��理员最好用PS命��o,记帐�E�序df和du周期地检查系�l?查出�q�多占用CUP的进�E�和大量占用��盘的文�?

　　(4)防止丢失�pȝ��的完整�?�q�一安全斚w��与一个好�pȝ��理员的实际工作(例如:周期地备份文件系�l?�pȝ��崩溃后运行fsck��?修复文�g�pȝ��,当有新用��h��,��该用户是否可能使系�l�崩溃的软�g)和保持一个可靠的操作�pȝ��有关(即用户不能经常性地使系�l�崩�?.
　　本文其余部分主要涉及前两个问�?�W�三个问题在"安全查帐"一节讨�?

2.��用户
　　一些系�l�管理命令只能由��用户�q�行.��用户拥有其他用户所没有的特�?��用户不管文�g存取许可方式如何,都可以读,写�Q何文�?�q�行��M��E�序.�pȝ��理员通常使用命��o: /bin/su 或以 root �q�入�pȝ��从而成��U�用�?在后面文章中�?表示应敲入必��ȝ��用户�q�行的命�?�?表示应敲入由所有其他用戯��行的命��o.

3.文�g�pȝ��安全
(1)UNIX文�g�pȝ��概述
　　UNIX文�g�pȝ��是UNIX�pȝ��的心脏部�?提供了层�ơ结构的目录和文�?文�g�pȝ��磁盘空间划分�ؓ�?024个字节一�l?�U�Cؓ(block)(也有�?12字节��Z��块的,�?SCO XENIX).�~�号�?到整个磁盘的最大块�?全部块可划分为四个部�?�?�U�Cؓ引导�?文�g�pȝ��不用该块;�?�U�Cؓ专用�?专用块含有许多信�?其中有磁盘大��和全部块的其它两部分的大小.从块2开始是i节点�?i节点表中含有i节点,表的块数是可变的,后面��做讨论.i节点表之后是�I�闲存储�?数据存储�?,可用于存放文件内�?文�g的逻辑�l�构和物理结构是十分不同�?逻辑�l�构是用��h��入cat命��o后所看到的文�?用户可得到表�C�文件内容的字符��?物理�l�构是文件实际上如何存放在磁盘上的存储格�?用户认�ؓ自己的文件是边疆的字�W�流,但实际上文�g可能�q�不是以边疆的方式存攑֜��盘上的,长于一块的文�g通常��分散地存放在盘�?然而当用户存取文�g�?UNIX文�g�pȝ��以正确的顺序取各块,�l�用��h��供文件的逻辑�l�构. 当然,在UNIX�pȝ��的某处一定会有一个表,告诉文�g�pȝ��如何��物理结构�{换�ؓ逻辑�l�构.�q�就涉及到i节点�?i节点是一�?4字节长的�?含有有关一个文件的信息,其中有文件大��?文�g所有�?文�g存取许可方式,以及文�g为普通文�?目录文�g�q�是特别文�g�{?在i节点中最重要的一��Ҏ��盘地址�?该表中有13个块�?�?0个块��h��文�g�?0块的存放地址.�q?0个块可��l�出一个至�?0块长的文件的逻辑�l�构,文�g��以块号在磁盘地址表中出现的顺序依�ơ取相应的块.当文仉��?0块时又怎样�?��盘地址表中的第十一��给��Z��个块�?�q�个块号指出的块中含�?56个块�?��x��,�q�种�Ҏ��满��了至多长�?66块的文�g(272,384字节).如果文�g大于266�?��盘地址表的�W�十二项�l�出一个块�?�q�个块号指出的块中含�?56个块�?�q?56个块��L��每一个块号又指出一�?块中�?56个块�?�q�些块号才用于取文�g的内�?��盘地址中和�W�十三项索引��d��方式与第十二��类�?只是多一�U�间接烦�?�q�样,在UNIX�pȝ��?文�g的最大长度是16,842,762�?�?7,246,988,288字节,有幸是是UNIX�pȝ��Ҏ��件的最大长�?一般�ؓ1�?M字节)加了更实际的限制,使用户不会无意中建立一个用完整个磁盘窨所有块的文�? 文�g�pȝ��文件名转换为i节点的方法实际上相当��?一个目录实际上是一个含有目录表的文�?对于目录中的每个文�g,在目录表中有一个入口项,入口��中含有文�g名和与文件相应的i节点�?当用��h��入cat xxx�?文�g�pȝ��在当前目录表中查找名�ؓxxx的入口项,得到与文件xxx相应的i节点�?然后开始取含有文�gxxx的内容的�?
　　
　　(2)讑֤�文�g
　　UNIX�pȝ��与边在本�pȝ��上的各种讑֤�之间的通讯,通过特别文�g来实�? ��q��序而言,��盘是文�?MODEM是文�?甚至内存也是文�g.所有连接到�pȝ��上的讑֤�都在/dev目录中有一个文件与其对�?当在�q�些文�g上执行I/O操作�?由UNIX�pȝ��I/O操作转换成实际设备的动作.例如,文�g/dev/mem是系�l�的内存,如果cat�q�个文�g,实际上是在终端显�C�系�l�的内存.��Z��安全赯��,�q�个文�g�Ҏ��通用��h��不可�ȝ��.因�ؓ在�Q一�l�定旉��,内存区可能含有用��L��录口令或�q�行�E�序的口�?某部分文件的�~�辑�~�冲�?�~�冲区可能含有用ed -x命��o解密后的文本,以及用户不愿让其他�h存取的种�U�信�? �?dev中的文�g通常�U�Cؓ讑֤�文�g,用ls /dev命��o可以看看�pȝ��中的一些设�?
　　acuo 呼叫自动拨号�?
　　console �pȝ��控制�?
　　dsknn 块方式操作磁盘分�?
　　kmem 核心内存
　　mem 内存
　　lp 打印�?
　　mto 块方式操作磁�?
　　rdsknn ��方式操作的��盘分区
　　rmto ��方式操作的��带
　　swap 交换�?
　　syscon �pȝ��l�端
　　ttynn �l�端�?
　　x25 �|�络端口
　　�{�等

(3)/etc/mknod命��o
　　用于建立讑֤�文�g.只有root能��用这个命令徏立设备文�?其参数是文�g�?字母c或b分别代表字符特别文�g或块特别文�g,主设备号,�ơ设备号.块特别文件是像磁�?��盘�q�样一些以块�ؓ单位存取数据的设�?字符特别文�g是如像终�?打印�?MODEM,或者其它�Q何与�pȝ��通讯�?一�ơ传输一个字�W�的讑֤�,包括模仿对磁盘进行字�W�方式存取的��盘驱动�?主设备号指定了系�l�子�E�序(讑֤�驱动�E�序),当在讑֤�上执行I/O�?�pȝ��调用这个驱动程�?调用讑֤�驱动�E�序�?�ơ设备号��传递给该驱动程�?�ơ设备规定具体的��盘�?动器,带驱动器,信号�U�编�?或磁盘分�?.每种�c�d��的设备一般都有自��q��讑֤�驱动�E�序.文�g�pȝ��主讑֤�号和�ơ设备号存放在i节点中的��盘地址表内,所以没有磁盘空间分配给讑֤�文�g(除i节点本��n占用的磁盘区�?.当程序试囑֜�讑֤�文�g上执行I/O操作�?�pȝ��识别��文�g是一个特别文�?�q�调用由主设备号指定的设备驱动程�?�ơ设备号作�ؓ调用讑֤�驱动�E�序的参�?

(4)安全考虑
　　��设备处理成文�g,使得UNIX�E�序独立于设�?即程序不必一定要了解正��用的讑֤�的�Q何特�?存取讑֤�也不需要记录长�?块大��?传输速度,�|�络协议�{�这样一些信�?所有烦人的�l�节��p��备驱动程序去兛_��考虑,要存取设�?�E�序只须打开讑֤�文�g,然后作�ؓ普通的UNIX文�g来��?从安全的观点来看�q�样处理很好,因�ؓ��M��讑֤�上进行的I/O操作只经�q�了��量的渠�?卌��备文�?.用户不能直接地存取设�?所以如果正��地讄��了磁盘分区的存取许可,用户��只能通过UNIX文�g�pȝ��存取��盘.文�g�pȝ��有内部安全机�?文�g许可).不幸的是,如果��盘分区讑֤�得不正确,��M��用户都能够写一个程序读��盘分区中的每个文�g,作法很简�?��M��i节点,然后以磁盘地址表中块号出现的顺�?依次读这些块��h��出的存有文�g内容的块.故除了root以外,决不要��盘分区对��M��人可�?因�ؓ所有�?文�g存取许可方式�q�样一些信息存放于i节点�?��M��人只要具有已安装分区的写许可,��p��讄��M��文�g的SUID许可,而不��文件的所有者是�?也不必用chmod()命��o,�q�可避过�pȝ��建立的安全检�?以上所�q�对内存文�gmem,kmem和对换文件swap也是一��L��.�q�些文�g含有用户信息,一�?耐心"的程序可以将用户信息提取出来.要避免磁盘分�?以及其它讑֤�)可读可写,应当在徏立设备文件前先用umask命��o讄��文�g建立屏蔽�?一般情况下,UNIX�pȝ��上的�l�端口对��M��人都是可写的,从而��用户可以用write命��o发送信�?虽然write命��o易引起安全方面的问题,但大多数用户觉得用write得到其他用户的信息很方便,所以系�l�将�l�端讑֤�的存取许可设�|�成�Ҏ��有用户可�?/dev目录应当�?55存取许可方式,且属root所�?不允讔R��root外的��M��用户��L��写盘分区的原则有一例外,即一些程�?通常是数据库�pȝ��)要求对磁盘分区直接存�?解决�q�个问题的经验的盘分区应当由�q�种�E�序专用(不安装文件系�l?,而且应当告知使用�q�种�E�序的用�?文�g安全保护��由�E�序自己而不是UNIX文�g�pȝ��完成.

(5)find命��o
　　find命��o用于搜烦目录�?�q�对目录树上的所有文件执行某�U�操�?参数是目录名�?指出从哪些�v点开始搜�?,�q�可�l�出一个或多个选项,规定�Ҏ��个文件执行什么操�?
　　find . -print ��列出当前工作目录下的目录树的每一个文�?
　　find / -user bob -print ��列出在�pȝ��中可扑ֈ�的属于bob用户的所有文�?
　　find /usr/bob -perm 666 -print ��列�?usr/bob目录树下所有存取许可�ؓ666的文�?若将666改�ؓ-666则将列出所有具有包含了666在内的存取许可方式的文�g(�?77).
　　find /usr/bob -type b -print ��列�?usr/bob目录树下所有块特别文�g(c为字�W�特别文�?.
　　find / -user root -perm -4000 -exec ls -l {} \; 是一个较复杂一点的命��o,-exec COMMAND \;允许�Ҏ��扑ֈ�的每个文件运行指定的命��oCOMMAND.若COMMAND中含有{},则{}��由find所扑ֈ�的文件名替换.COMMAND必须以\;�l�束.
　　以上举例介绍find的用�?各选项可组合��用以辑ֈ�更强的功�?

(6)secure�E�序
　　�pȝ��理员应当做一个程序以定期��查系�l�中的各个系�l�文�?包括��查设备文件和SUID,SGID�E�序,��其要注意检查SUID,SGID�E�序,��?etc/passwd�?etc/group文�g,��L��久未��d��的户头和校验各重要文件是否被修改. (源程序清单将在今后发�?

(7)ncheck命��o
　　用于��查文件系�l?只用一个磁盘分区名作�ؓ参数,��列出i节点号及相应的文件名.i节点相同的文件�ؓ建链文�g. 注意:所列出的清单文件名与mount命��o的第一个域相同的文件名前部分将不会列出�?因�ؓ是做文�g�pȝ��内部的检�?ncheck�q�不知道文�g�pȝ��安装点以上部分的目录. 也可用此命��o来搜索文件系�l�中所有的SUID和SGID�E�序和设备文�?使用-s选项来完成此��功�?

安装和拆卸文件系�l?
　　UNIX文�g�pȝ��是可安装�?�q�意味着每个文�g�pȝ��可以�q�接到整个目录树的�Q意节点上(根目录��L��被安装上�?.安装文�g�pȝ��的目录称为安装点./etc/mount命��o用于安装文�g�pȝ��,用这条命令可��文件系�l�安装在现有目录�l�构的�Q意处.安装文�g�pȝ��?安装点的文�g和目录都是不可存取的,因此未安装文件系�l�时,不要��文件存入安装点目录.文�g�pȝ��安装�?安装点的存取许可方式和所有者将改变为所安装的文件根目录的许可方式和所有�?安装文�g�pȝ��时要��心:安装点的属性会改变!�q�要注意新徏的文�?除非新文件系�l�是由标准文件徏立的,�pȝ��标准文�g会设�|�适当的存取许可方�?否则新文件系�l�的存取许可��是777!可用-r选项��文件系�l�安装成只读文�g�pȝ��.需要写保护的带驱动器和��盘应当以这�U�方式来安装.不带��M��参数�?etc/mount可获得系�l�中所安装的文件系�l�的有关信息. 包括:文�g�pȝ��被安装的安装点目�?对应/dev中的哪个讑֤�,只读或可��d��,安装旉��和日期等.从安全的观点来讲,可安装系�l�的危险来自用户可能��h��pȝ��理员�ؓ其安装用戯��q��文�g�pȝ��.如果安装了用��L��文�g�pȝ��,则应在允许用户存取文件系�l�前,先扫描用��L��文�g�pȝ��,搜烦SUID/SGID�E�序和设备文�?在除了root外�Q何�h不能执行的目录中安装文�g�pȝ��,用find命��o或secure列出可疑文�g,删除不属用户所有的文�g的SUID/SGID许可.用户的文件系�l�用完后,可用umount命��o�怸�文�g�pȝ��.�q�将安装点目录的所有者改回root,存取许可改�ؓ755.

(9)�pȝ��目录和文�?
　　UNIX�pȝ��中有许多文�g不允许用户写,�?/bin,/usr/bin,/usr/lbin, /etc/passwd,/usr/lib/crontab,/unix,/etc/rc,/etc/inittab�q�样一些文件和目录(大多数的�pȝ��目录),可写的目录允许移动文�?会引起安全问�?�pȝ��理员应�l�常��查系�l�文件和目录的许可权限和所有�?可做一个程序根据系�l�提供的规则文�g(�?etc/permlist文�g�?所描述的文件所有者和许可权规则检查各文�g.(源程序清单将在今后发�?
　　注意:如果�pȝ��的安全管理不�?或系�l�是新安装的,其安全程序不够高,可以用make方式在安全强的系�l�上�q�行上述�E�序,��许可规则文件拷贝到新系�l�来,再以讄��方式在新�pȝ��上运行上�q�程�?��可提高本系�l�的安全�E�序.但要��C��,两个�pȝ��必须�q�行相同的UNIX�pȝ��版本.

4.作�ؓroot�q�行的程�?

　　在UNIX�pȝ��?有些�E�序��q��l�作为root�q�程�q�行.�q�些�E�序�q�不��L��h��SUID许可,因�ؓ其不��程序仅由root�q�行,�pȝ��理员需要清楚这些程序做什�?以及�q�些�E�序�q�将�q�行其它什么程�?

(1)启动�pȝ��
　　当某些UNIX�pȝ��(如SCO UNIX/XENIX)启动�?是以被称为单用户的方式运�?在这�U�方式中普通用户不能登�?唯有的进�E�是init, swapper,以及一些由�pȝ��理员从控制台运行的�q�程.UNIX�pȝ��的单用户方式启动,使系�l�管理员能在允许普通用��L��录以�?先检查系�l�操�?��保�pȝ��一切正�?当系�l�处于单用户方式�?控制��C��U�用�?命��o揭示�?#",有些UNIX�pȝ��不要��认��用户口��o��p��可控制台是root,�l�出#提示�W?�q�就可能成�ؓ一个安全问�?

(2)init�q�程
　　UNIX�pȝ��L��以某�U�方式或�U�Cؓ某种�U�运�?�pȝ��有若�q�种�q�行�U?�q�些�q�行�U�由init�q�程控制.UNIX�pȝ��启动时以单用��h��式运�?也叫1�U�或S�U?对于其他用户��d��q�入�pȝ��,UNIX有一�U�多用户�q�行方式,也叫2�U?init�q�程控制�pȝ��q�行�U?它读入文�?etc/ inittab,该文件详�l�地规定了哪些进�E�在哪一�U�运�?当root敲入init n(数字),�pȝ��p��入n�U?init读该文�g以确定终止哪些进�E?启动哪些�q�程.有效的运行��的数值是�?�?与s.
　　注意:由init建立的进�E�以UID�?�q�行(root)�?etc/inittab�q�行的程�?也作为root�q�行,所以系�l�管理员要确保自��q��?etc/inittab中的�E�序做什么工�?��保�q�些�E�序以及�q�些�E�序所在的目录直到/�?etc/inittab除root外无人可�?

(3)�q�入多用�?
　　当UNIX�pȝ��q�入多用��h��式时,��寝化一�p�d��事�g,接着开始执行gettys,允许其他用户��d��q�入�pȝ��.如果再看�?etc/inittab文�g,会看到gettys定义在运行��2,臛_��三个shell�E�序/etc/brc,/etc/bcheckrc,/etc/rc*也定义在�q�行�U?.�q�些�E�序都在gettys启动前运�?�q�些shell�E�序作�ؓroot�q�行,也不能仅对root可写�q�应当检查shell�E�序�q�行的命�?因�ؓ�q�些命��o也将作�ؓroot�q�行.

(4)shutdown命��o
　　用shutdown命��o关系�l?shutdown shell�E�序发送警告通知所有用��L��开�pȝ��,�?�l�定的期限时�?��C��?��q��止进�E?拆卸文�g�pȝ��,�q�入单用��h��式或��x��状�?一旦进入单用户方式,所有的gettys停止�q�行,用户再不能登�?�q�入��x��状态后可将�pȝ��关电. shutdown仅能�׃��为root��d��的用户从�pȝ��控制��C��q�行.所以�Q何的shutdown�q�行的命令仅能对root可写.

(5)�pȝ��V的cron�E�序
　　cron在UNIX�pȝ��是多用户方式时运�?�Ҏ��规定的时间安排执行指定的命��o,每隔一分钟��查一�ơ文�?usr/lib/crontab,��L��是否有应当运行的�E�序? 如果扑ֈ�要运行的�E�序,��p��行该�E�序,否则睡眠�{�待一分钟. 实际�?usr/lib/crontab用于�Ҏ��全天的规则时间表�q�行�E�序,也可在夜晚运行白天不愿运行怕降低其他用户速度的程�?通常由cron�q�行的程序是如记�?存文件这��L��E�序.cron一般在�pȝ��q�入多用户后�?etc/rc启动,当shutdown�q�行killall命��o时便�l�止�q�行.由cron�q�行的程序作为root,所以应当注意放什么程序在crontab�?�q�要��保/usr/lib/crontab和该表中列出的�Q何程序对��M��Z��可写.如果用户需要由cron执行一个程�?�pȝ��理员可用su命��o在crontab表中建立一个入�?使用��L��E�序不能获得root的权�?

(6)�pȝ��V版本2之后的cron�E�序
　　在系�l�V版本2�?cron被修�Ҏ��允许用户建立自己的crontab入口,/usr/lib/crontab文�g不再存在,��q��?usr/spool/cron/crontabs中的文�g代替.�q�些文�g的格式与crontab相同,但每个文件与�pȝ��中的一个用户对�?�q�以某用��L��名义由cron�q�行.如果想限制能建立crontab的用�?可在文�g/usr/lib/cron/cron.allow文�g中列出允许运行crontab命��o的用�?��M��未列于该文�g的用户不能运行crontab.反之,若更愿意列出不允许运行crontab命��o的用�?则可��他们列�?usr/lib/cron/ cron.deny文�g�?未列于该文�g的其他用户将被允许徏�?crontab.
　　注意:若两个文仉��存在,�pȝ��用cron.allow,忽略cron.deny.如果两个文�g都不存在,则只有root可运行crontab.所�?若要允许�pȝ��中的所有用户都可运行crontab命��o,应当建立一个空的cron.deny文�g,如果cron.allow也存�?则删除该文�g.�q�个版本的cron命��o的安全程度比前一个高,因�ؓ用户只能看自��q�� crontab,�pȝ��理员也不必担心其他用户的程序是否会作�ؓroot�q�行,�׃��允许每个�pȝ��d��用户有自��q��crontab,也简化了对程序必��ȝ��cron�q�行,但不必作为root�q�行的系�l�程序的处理.必须��保root的crontab文�g仅对root可写,�q�且该文件所在的目录及所有的父目录也仅对root可写.

(7)/etc/profile
　每当用户(包括root在内)��d��?由shell执行/etc/profile文�g,应确保这个文件以及从�q�个文�g�q�行的程序和命��o都仅对root可写.

5./etc/passwd文�g
　　/etc/passwd文�g是UNIX安全的关键文件之一.该文件用于用��L��录时校验用户的口�?当然应当仅对root可写.文�g中每行的一般格式�ؓ:LOGNAME:PASSWORD:UID:GID:USERINFO:HOME:SHELL每行的头两项是登录名和加密后的口�?后面的两个数是UID和GID,接着的一��Ҏ��pȝ��理员想写入的有兌��用户的�Q何信�?最后两��Ҏ��两个路径�?一个是分配�l�用��L��HOME目录,�W�二个是用户��d��后将执行的shell(若�ؓ�I�格则缺省�ؓ/bin/sh).

(1)口��o时效
　　 /etc/passwd文�g的格式�ɾpȝ��理员能要求用户定期地改变他们的口��o.在口令文件中可以看到,有些加密后的口��o有逗号,逗号后有几个字符和一个冒�?�?
　　 steve:xyDfccTrt180x,M.y8:0:0:admin:/:/bin/sh
　　 restrict:pomJk109Jky41,.1:0:0:admin:/:/bin/sh
　　 pat:xmotTVoyumjls:0:0:admin:/:/bin/sh
　　可以看到,steve的口令逗号后有4个字�W?restrict�?�?pat没有逗号.逗号后第一个字�W�是口��o有效期的最大周�?�W�二个字�W�决定了用户再次修改口信之前,原口令应使用的最��周�?�q�就防止了用��h��了新口��o后立�?
　　又改回成老口�?.其余字符表明口��o最��C��Ҏ��?要能��L��口��o中逗号后的信息,必须首先知道如何用passwd_esc计数,计数的方法是: .=0 /=1 0-9=2-11 A-Z=12-37 a-z=38-63�pȝ��理员必��d��前两个字�W�放�q?etc/passwd文�g,以要求用户定期的修改口��o,另外两个字符当用户修改口令时,由passwd命��o填入.注意:若想让用户修改口�?可在最后一�ơ口令被修改�?放两�?.",则下一�ơ用��L��录时��被要求修改自己的口�?有两�U�特�D�情�?
　　 . 最大周�?�W�一个字�W?��于最��周�?�W�二个字�W?,则不允许用户修改口��o,仅超�U�用户可以修改用��L��口��o.
　　 . �W�一个字�W�和�W�二个字�W�都�?.",�q�时用户下次��d��时被要求修改口��o,修改口��o�?passwd命��o��?."删除,此后再不会要求用户修改口�?

(2)UID和GID
　　/etc/passwd中UID信息很重�?�pȝ��使用UID而不是登录名区别用户.一般来�?用户的UID应当是独一无二�?其他用户不应当有相同的UID数�?�Ҏ��惯例,�?�?9的UID保留用作�pȝ��用户的UID(root,bin,uucp�{?.如果�?etc/passwd文�g中有两个不同的入口项有相同的UID,则这两个用户对相互的文�g��h��相同的存取权�?

6./etc/group文�g

　　/etc/group文�g含有关于��组的信�?/etc/passwd中的每个GID在本文�g中应当有相应的入口项,入口��中列出了小�l�名和小�l�中的用�?�q�样可方便地了解每个��组的用�?否则必须�Ҏ��GID�?etc/passwd文�g中从头至��֜��L��同组用户./etc/group文�g对小�l�的许可权限的控制�ƈ不是必要�?因�ؓ�pȝ��用UID,GID(取自/etc/passwd)军_��文�g存取权限,即��/etc/group文�g不存在于�pȝ��?��h��相同的GID用户也可以小�l�的存取许可权限�׃�n文�g.��组��像��d��用户一样可以有口��o.如果/etc/group文�g入口��的�W�二个域为非�I?则将被认为是加密口��o,newgrp命��o��要求用��L��出口�?然后��口令加�?再与该域的加密口令比�?�l�小�l�徏立口令一般不是个好作�?�W�一,如果��组内共享文�?若有某�h猜着��组口��o,则该�l�的所有用��L��文�g��可能泄�?其次,��理��组口��o很费�?因�ؓ对于��组没有�c�M��的passwd命��o.可用/usr/lib/makekey生成一个口令写�?etc/group.以下情况必须建立新组:
　　(1)可能要增加新用户,该用户不属于��M��一个现有的��组.
　　(2)有的用户可能时常需要独自�ؓ一个小�l?
　　(3)有的用户可能有一个SGID�E�序,需要独自�ؓ一个小�l?
　　(4)有时可能要安装运行SGID的��Y件系�l?该��Y件系�l�需要徏立一个新�l?
　　要增加一个新�l?必须�~�辑该文�?为新�l�加一个入口项. �׃��用户��d��?�pȝ��?etc/passwd文�g中取GID,而不是从/etc/group中取GID,所以group文�g和口令文件应当具有一致�?对于一个用��L��组,UID和GID应当是相同的.多用户小�l�的GID应当不同于�Q何用��L��UID,一般�ؓ5位数,�q�样在查�?etc/passwd文�g�?��可�Ҏ��5位数据的GID识别多用户小�l?�q�将减少增加新组,新用��h��可能产生的�؜�?

7.增加,删除,�U�走用户
(1)增加用户
增加用户有三个过�E?
. �?etc/passwd文�g中写入新用户的入口项.
. 为新��d��用户建立一个HOME目录.
. �?etc/group中�ؓ新用户增加一个入口项.
　　�?etc/passwd文�g中写入新的入口项�?口��o部分可先讄��为NOLOGIN,以免有�h做�ؓ此新用户��d��.在修�Ҏ��件前,应mkdir /etc/ptmp,以免他�h同时修改此文�?新用户一般独立�ؓ一个新�l?GID号与UID��L��?除非他要加入目前已存在的一个新�l?,UID号必��d��其他��Z��?HOME目录一般设�|�在/usr�?home目录下徏立一个以用户��d��名�ؓ名称的目录做为其�ȝ��?

(2)删除用户
　　删除用户与加用户的工作正好相�?首先�?etc/passwd�?etc/group文�g中删除用��L��入口��?然后删除用户的HOME目录和所有文�?rm -r /usr/loginname 删除整个目录�?如果用户�?usr/spool/cron/crontabs中有crontab文�g,也应当删�?

(3)��用��L��到另一个系�l?
　　�q�是一个复杂的问题,不只是拷贝用��L��文�g和用户在/etc/passwd文�g中的入口��?首先一个问题是用户的UID和GID可能已经用于另一个系�l?若是出现�q�种情况,必须�l�要�Uȝ��用户分配另外的UID和GID,如果改变了用��L��UID和GID,则必��L��索该用户的全部文�?��文件的原UID和GID�Ҏ��新的UID和GID.用find命��o可以完成�q�一修改:
　　find . -user olduid -exec chown newuid {} \;
　　find . -group oldgid -exec chgrp newgid {} \;
　　也许�q�要为用��L��走其它一些文�?/usr/mail/user�?usr/spool/cron/crontabs/user.如果用户从一个不是本�pȝ��理员的�pȝ��U�L��,则应对该用户的目录结构运行程序来��?一个不安全�pȝ��的用�?可能有与该用户其它文件存在一��L��SUID/SGID�E�序,而这个SUID/SGID�E�序属于另一个用�?在这�U�情况下,如果用cpio或tar命��o��用��L��目录�l�构拯��到本�pȝ��,SUID/SGID�E�序也将会拷贝到本系�l�而没有�Q何警告信�?应当在允许用户��用新�pȝ��以前先删除这�U�文件的SUID/SGID许可.��M��,始终坚持��查所�Uȝ��L��文�g��L��更安全些.也可以用su命��o�q�入用户的户�?再拷贝用��h��?�q�样文�g的所有者就是该用户,而不是root.

8.安全��?

　　像find和secure�q�样的程序称为检查程�?它们搜烦文�g�pȝ��,��L��出SUID/SGID文�g,讑֤�文�g,��M��人可写的�pȝ��文�g,设有口��o的登录用�?��h��相同UID/GID的用��L��{?

(1)记帐
　　UNIX记帐软�g包可用作安全��查工�?除最后登录时间的记录�?记帐�pȝ��q�能保存全天�q�行的所有进�E�的完整记录,对于一个进�E�所存贮的信息包括UID,命��o�?�q�程开始执行与�l�束的时�?CPU旉��和实际消耗的旉��,该进�E�是否是root�q�程,�q�将有助于系�l�管理员了解�pȝ��中的用户在干什�?acctcom命��o可以列出一天的帐目�?有明,�pȝ��中有多个记帐数据文�g,记帐信息保存在文�?usr/adm/pacct*�?/usr/adm/pacct是当前记录文�?/usr/adm/pacctn是以前的记帐文�g(n为整型数).若有若干个记帐文件要查看,可在acctcom命��o中指定文件名: acctcom /usr/adm/pacct? /usr/adm/pacct要检查的问题的其中之一�?在acctcom的输��Z��查找一个用戯��多的��d��q�程,若有,则说明可能有��Z��遍遍地尝试登�?猜测口��o,企图非法�q�入�pȝ��.此外,�q�应查看root�q�程,除了�pȝ��理员用su命��o从终端进入root,�pȝ��启动,�pȝ��停止旉��,以及由init(通常init只启动getty,login,��d��shell),cron启动的进�E�和��h��root SUID许可的命令外,不应当有��M��root�q�程.��p��帐系�l�也可获得有��x��个用��L��CPU利用�?�q�行的进�E�数�{�统计数�?

(2)其它��查命�?
　　 *du:报告在层�ơ目录结�?当前工作目录或指定目录�v)中各目录占用的磁盘块�?可用于检查用户对文�g�pȝ��的��用情�?
　　 *df:报告整个文�g�pȝ��当前的空间��用情�?可用于合理调整磁盘空间的使用和管�?
　　 *ps:��查当前系�l�中正在�q�行的所有进�E?对于用了大量CPU旉��的进�E? 同时�q�行了许多进�E�的用户,�q�行了很长时间但用了很少CPU旉��的用戯��E�应当深入检�?�q�可以查��行了一个无限制循环的后台进�E�的用户,未注销户头��关�l�端的用�?一般发生在直接�q�线的终�?.
　　 *who:可以告诉�pȝ��理员系�l�中工作的进展情�늭��{�许多信�?��查用��L��d��旉��,��d��l�端.
　　 *su:每当用户试图使用su命��o�q�入�pȝ��用户�?命��o��在/usr/adm/sulog文�g中写一条信�?若该文�g记录了大量试囄��su�q�入root的无效操作信�?则表明了可能有�h企图破译root口��o.
　　 *login:在一些系�l�中,login�E�序记录了无效的��d��企图(若本�pȝ��的login�E�序不做�q�项工作而系�l�中有login源程�?则应修改login).每天��L��量的无效登�?若无效登录的�ơ数�H�然增加了两�?则表明可能有��Z��N��过猜测��d��名和口��o,非法�q�入�pȝ��.

(3)安全��查程序的问题
　　关于以上的检查方法的一个警�?若有诱骗,则这些方法中没有几个能防诱骗.如find命��o,如果��到路径名长�?56个字�W�的文�g或含有多�?00个文件的目录,��放弃处理该文�g或目�?用户��有可能利用建立多层目录�l�构或大目录隐藏SUID�E�序,使其逃避��?但find命��o会给��Z��个错误信�?�pȝ��理员应手工��查这些目录和文�g).也可用ncheck命��o搜烦文�g�pȝ��,但它没有find命��o指定搜烦哪种文�g的功�?如果定期存取.profile文�g,则检查久未登录用��L��Ҏ��׃��奏效�?�?用户用su命��o�?除非用参�?,否则su不读用户�?profile.
　　有三�U�方法可��L��久未��d��的帐�?
　　 . UNIX记帐�pȝ��在文�?usr/adm/acct/sum/login中�ؓ每个用户保留了最后一�ơ登录日�?用这个文件的好处�?该文件由�pȝ��l�护,所以可完全肯定��d��日期是准��的.�~�点是必��d��pȝ��上运行记帐程序以更新loginlog文�g,如果在清�?午夜�?�q�行记帐�E�序,一天的��d��日期可能��p��清除�?
　　 . /etc/passwd文�g中的口��o时效域将能告诉系�l�管理员,用户的口令是否过期了,若过�?则意味着自过期以�?户头再未被用�q?�q�一�Ҏ��的好处在于系�l�记录了久未用的户头,��查过�E�简�?且不需要记帐系�l�所需要的��盘资源,�~�点是也许系�l�管理员不想在系�l�上讄��口��o时效,而且�q�一�Ҏ��仅在口��o的最大有效期(只有几周)才是准确�?
　　 . �pȝ��理员可以写一个程�?每天(和重新引导系�l�时)扫描/etc/wtmp,自己保留下用��h��后登录时间记�?�q�一�Ҏ��的好处是不需要记帐程�?�q�且旉��准确,�~�点是要自己写程�?以上��M��Ҏ��都可�?usr/adm/sulog文�g�l�合��h��,查出由login或su��d��户头的最后登录时�?如果有�h存心破坏�pȝ��安全,�W�一件要做的事就是寻找检查程�?破坏者将修改��查程�?使其不能报告��M��异常事�g,也可能停止系�l�记�?删除记帐文�g,使系�l�管理员不能发现破坏者干了些什�?�q�里最重要的一�Ҏ��:�pȝ��理没越熟悉自己的用户和用户的工作习�?��p��能快速发现系�l�中��M��不寻常的事�g,而不��d��的事件意味着�pȝ��已被人窃�?
　　
　　 (4)�pȝ��泄密后怎么�?
　　发现有�h已经破坏了系�l�安全的时�?�q�时�pȝ��理员首先应做的是面对肇事用�?如果该用��h��做的事不是蓄意的,而且公司没有关于"破坏安全"的规�?也未造成损坏,则系�l�管理员只需清理�pȝ��,�q�留心该用户一�D�|��?如果该用户造成了某些损�?则应当报告有关�h�?�q�且应尽可能地将�pȝ��恢复到原来的状�?如果肇事者是非授权用�?那就得做最坏的假设�?肇事者已设法成�ؓroot且本�pȝ��的文件和�E�序已经泄密�?�pȝ��理员应当想法查��是肇事�?他造成了什么损�?�q�应当对整个文�g做一�ơ全面的��?�q�不只是��查SUID和SGID,讑֤�文�g.如果�pȝ��安全被一个敌对的用户破坏�?应当采用下面的步�?
　　 . 关系�l?然后重新引导,不要�q�入多用��h��?�q�入单用��h��?
　　 . 安装含有本系�l�原始UNIX版本的带和��Y�?
　　 . ��?bin,/usr/bin,/etc,/usr/lib中的文�g拯��C��个暂存目录中.
　　 . ��暂存目录中所有文件的校验�?用原始版本的suM�E�序拯��做校验和,
　　不要�?bin中的suM�E�序�?与系�l�中所有对��q��文�g的校验和�q�行比较,如果有�Q何差�?要查清差别��生的原因.如果两个校验和不�?是由于安装了新版本的�E�序,��认一相是否的��是安装了新版本�E�序.如果不能扑և�校验和不同的原因,用暂存目录中的命令替换系�l�中的原有命�?
　　 . 在确认系�l�中的命令还未被�H�改之前,不要用系�l�中原命�?用暂存目录中的shell,�q�将PATH讄��Z��在暂存目录中搜烦命��o.
　　 . �Ҏ��暂存目录中所有系�l�命令的存取许可,��查系�l�中所有命令的存取许可.
　　 . ��查所有系�l�目录的存取许可,如果用了perms,��查permlist文�g是否被窜改过.
　　 . 如果�pȝ��UNIX(/unix)的校验和不同于原版的校验�?�q�且�pȝ��理员从未修改过核心,则应当认�?一个非法�?很能�q?,从暂存缓冲区重新装入�pȝ��.�pȝ��理员可以从逐步增加的文件系�l�备份中恢复用户的文�?但是在检查备份中�?有趣"文�g之前,不能做文件恢�?
　　 . 改变�pȝ��中的所有口�?通知用户他们的口令已改变,应找�pȝ��理员得到新口��o.
　　 . 当用��h��要新口��o�?告诉用户发生了一�ơ安全事�?他们应查看自��q��文�g和目录是否潜伏着危害(如SUID文�g,�Ҏ��依木�?��M��人可写的目录),�q�报告系�l�管理员��M��异乎��d��的情�?
　　 . 设法查清安全破坏是如何发生的?如果没有肇事者说�?�q�也许是不可能弄清的.如果能发现肇事者如何进入系�l?设法堵住�q�个安全漏洞.�W�一�ơ安装UNIX�pȝ��?可以��shell,sum命��o,所有文件的校验和存攑֜�安全的介质上(�?软盘,��盘和�Q何可以卸下�ƈ锁焉��h��的介�?.于是不必再从原版�pȝ��带上重新装入文�g,可以安装备䆾介质,装入shell和sum,��存在带上的校验和与�pȝ��中文件的校验和进行比�?�pȝ��理员也许想自己写一个计 ��校验和的程�?破坏者将不能知道该程序的��法,如果��该�E�序及校验和保存在带�?�q�一�Ҏ��的保密问题就减小��C��个物理的安全问题,卛_��需��带锁�v�?.....

9.加限制的环境
(1)加限制的shell(rsh)
　　该shell几乎与普通的shell相同,但是该shell的设计能限制一个用��L��能力,不允许用��h��某些标准shell所允许的行�?
　　. 不能改变工作目录(cd).
　　. 不能改变PATH或SHELL shell变量.
　　. 不能使用含有"/"的命令名.
　　. 不能重定向输�?>�?gt;>).
　　. 不能用exec执行�E�序.
　　用户在登录时,招待.profile文�g后系�l�就强加上了�q�些限制,如果用户�?profile文�g正被解释时按了BREAK键或DELETE�?该用户将被注销. �q�些��单的限制,使用写受限制用户�?profile文�g的系�l�管理员可以对用戯��使用什么命�?�q�行完全的控�?应当注意:�pȝ��V加限制的shell实际上不是很安全,在敌对的用户时不要用.�pȝ��V版本2以后的版本中加限制的shell更安全些.但若允许受限制的用户使用某些命��o(如env,cp,ln),用户��能逃避加限制的shell,�q�入非限制的shell.

(2)用chroot()限制用户
　　如果的确想限制一个用�?可用chroot()子程序�ؓ用户建立一个完全隔��ȝ��环境,改变了进�E�对根目录的概念,因此可用于将一个用户封在整个文件系�l�的某一层目录结构中,使用��h��法用cd命��o转出该层目录�l�构,不能存取文�g�pȝ��中其余部分的��M��文�g.�q�种限制方式比加限制的shell好得�?用户使用的命令应��q��l�管理员在新的root目录中徏立一个bin目录,�q�徏立用户可用命令的铑ֈ��pȝ��?bin目录中相应命令文件上(若在不同的文件系�l�则应拷贝命令文�?.�q�应建立新的passwd文�g,保留�pȝ��d��户头(��Z��使ls -l正确地报告与受限制的子文件系�l�中的文件相关的正确��d��?和用户帐�?但系�l�帐��L��口��o改�ؓNOLOGIN以��受限制的用户不能取得�pȝ��d��的真实口�?�?破密"�E�序的�Q何企图成为��?utmp文�g是who所需要的,该文件含有系�l�中已登录用��L��列表.新的/etc/ profile文�g也不是徏链文�?以便受限制的用户可以执行不同的启动命�?/dev目录中的�l�端讑֤�文�g被链接到新的/dev目录�?因�ؓ命��owho产生输出时要查看�q�些文�g.在系�l�V及以后的UNIX版本�?login命��o有chroot()的功�?如果口��o文�g中用户入口项的登录shell�?最后一个域)�?,login��调用chroot()把用��L��根目录设�|�成为口令文件中用户入口��登录目录域指改变了�q�程�Ҏ��目录的概�?因此可用于将一个用户封在整个文件系�l�的某一层目录结构中,使用��h��法用cd命��o转出该层目录�l�构,不能存取文�g�pȝ��中其余部分的��M��文�g.�q�种限制方式比加限制的shell好得�?用户使用的命令应��q��l�管理员在新的root目录中徏立一个bin目录,�q�徏立用户可用命令的铑ֈ��pȝ��?bin目录中相应命令文件上(若在不同的文件系�l�则应拷贝命令文�?.�q�应建立新的passwd文�g,保留�pȝ��d��户头(��Z��使ls -l正确地报告与受限制的子文件系�l�中的文件相关的正确��d��?和用户帐�?但系�l�帐��L��口��o改�ؓNOLOGIN以��受限制的用户不能取得�pȝ��d��的真实口�?�?破密"�E�序的�Q何企图成为��?utmp文�g是who所需要的,该文件含有系�l�中已登录用��L��列表.新的/etc/ profile文�g也不是徏链文�?以便受限制的用户可以执行不同的启动命�?/dev目录中的�l�端讑֤�文�g被链接到新的/dev目录�?因�ؓ命��owho产生输出时要查看�q�些文�g.在系�l�V及以后的UNIX版本�?login命��o有chroot()的功�?如果口��o文�g中用户入口项的登录shell�?最后一个域)�?,login��调用chroot()把用��L��根目录设�|�成为口令文件中用户入口��登录目录域指定的目�?然后再调用exec()执行login,新的login��在新子�pȝ��文�g中执行该用户的登�?chroot()�q�不是把root��锁在一个子文�g�pȝ��?所以给受限制用��L��的命令时应加以考虑,��h��root的SUID许可的程序可能会�l�予用户root的能�?应当��这�U�可能减低到最��程�?交给用户使用的命令应当取自清除了SUID陷井的系�l�命�?链接文�g可减��磁盘占用区,但要��C��,当与敌对用户打交道时,链接到chroot目录�l�构(��其是命�?的系�l�文件是很危险的.如果建立一个像�q�样的限制环�?应确保对安装到新�?bin的每条命令都做过��试,有些�E�序可能有系�l�管理员未曾惛_��的出乎意料的执行�l�果.��Z��使这些命令能�q�行,�q�得在加限制的子文�g�pȝ��中加服务目录或文件如:/tmp, /etc/termcap, /usr/lib/terminfo,
/dev/mem,/dev/kmem,/dev/swap,用户所��d��?dev中的tty文�g以及/unix.有些�E�序在子文�g�pȝ��中运行时不会很好,如果��假脱机�E�序和网�l�命令拷贝到加限制的子文件系�l�中,�q�放在�ؓ两条命��o专徏的目录层�l�构�?它们可能也运行不�?

10.��系�l�安�?
　　��M��_��?�q�行于办公室的UNIX�pȝ��是��系�l?�q�类��系�l�也包括所有台式UNIX机器.�Ҏ��安全观点,使小�pȝ��很特别而值得特别的有以下几点:
　　. ��系�l�的用户比大�pȝ��的用户少,通常是很��一�l�用�?使系�l�管理员能熟悉每个�h,安全问题可以直接地面寚w��处理.
　　. �׃��UNIX�pȝ��理更简�?可能只需要一个系�l�管理员,因而维护系�l�安全的责�Q只有一个�h担负.
　　. 如果既是用户又是�pȝ��理�?��不能花大量旉��考虑�pȝ��安全.
　　. 如果自己拥有�pȝ��q�且是系�l�管理员,��可能有权直接将�q�反规的用户从系�l�中删除,而没有几个大�pȝ��的管理员能有�q�种权利.
　　. 如果自己是系�l�的唯一用户,则将既是用户又是��理�?�l�护�pȝ��安全的�Q务就很简单了,只须��保�pȝ��中所有登录户头的口��o是好�?
　　. 如果不能��系�l�锁��h��,��把敏感的数据存攑֜�软盘�?把��Y盘锁��h��.
　　. 即�ɾpȝ��中有若干个用�?但如果系�l�的�l�端之��是有�U�连�?�q�且用户们保持门上锁,则系�l�也��是安全�?臛_��在本�l�用户内是安全的.
　　. ��系�l�通常有可�U�d��的介�?软盘),可用mount命��o��其安装到系�l�上,提供一�U�安全的�Ҏ��让用戯��己在�pȝ��上安装��Y�?否则�pȝ��理员要一天到晚地�q�这些琐��的安装盘事�?允许用户安装软盘的通常做法是给用户一个SUID�E�序,该程序基本完成与�pȝ��理员安装用戯��Y盘同��L��操作,首先��查��Y盘上有无SUID/SGID/讑֤�文�g,若发��C�Q何奇怪的文�g,则拒�l�安装该软盘.
　　. 当小�pȝ��开甉|��?�pȝ��一般在从硬盘引��g��?先试图从软盘引导.�q�就意味着计算机将首先试图从��Y盘装入程�?若��Y盘不在驱动器�?�pȝ��从��盘装入UNIX内核.软盘几乎可以含有��M��E�序,包括在控制台启动root shell的UNIX�pȝ��版本.如果破坏者有一把螺丝�v子和有关�pȝ��内部的一些知�?则即便系�l�有被认为防止安全事故发生的�Ҏ��"微码"口��o,也可能被诱骗��M��软盘引导.
　　. 即�ɞ��系�l�晚上不�?凡从不将个�h的或�U�密的信息存攑֜�大系�l�上的�h他们不可能认识所有系�l�上的用�?,也不会想把这��L��信息存放在小�pȝ��?
　　. ��系�l�的�pȝ��理员在使用UNIX�pȝ��斚w��怸�如大�pȝ��理员有�l�验,而安全地��理�pȝ��需要一定的使用�pȝ��的知�?

11.物理安全
　　对于�q�行��M��操作�pȝ��的小型或大型计算�?物理安全都是一个要考虑的重要问�?物理安全包括:锁上攄��计算机的屋子,报警�pȝ��,警卫,所有安�|�在不能上锁的地方的通讯设施,包括有线通讯�U?电话�U?局域网,�q�程�|?应答MODEM,钥匙或信用卡识别讑֤�,�l�用��L��口��o和钥匙分�?��M��前置通讯设施的加密装�|?文�g保护,备䆾或恢复方�?�U�Cؓ安全保险�Ҏ��,用作应付偶然的或蓄意的数据或计算讑֤�被破坏的情况),上锁的输��Z��,上锁的废物箱和碎�U�机.物理安全中所饮食的总考虑应是:在安全方案上所付出的代价不应当多于值得保护�?��g或��Y件的)价�?下面着重讨��Z��护用��L��各种通讯�U?对于��M��可在不上锁的地方存取的系�l?通讯是特别严重的安全薄弱环节.当允许用户通过挂到地方电话公司的拨号MODEM存取�pȝ��?�pȝ��的安全程度就��大大地削弱,有电话和MODEM的�Q何�h��可能非法进入该�pȝ��.应当避免�q�一情况,要确保MODEM的电话号码不被列于电话薄�?�q�且最好将电话��L��攑֜�不同于本公司普通电话号码所在的交换��Z��.��M��,不要假设没�h知道自己的拨入号�?大多数家庭计��机都能�~�程用一个MODEM整天��C��ơ调用拨��L��,记录下连接上其它MODEM的号�?如果可能,安装一个局域PBX,使得对外界的拨号产生一�U�钟的拨可��?�q�且必须输入一个与MODEM相关联的扩展��L��.

12.用户意识
　　UNIX�pȝ��理员的职责之一是保证用户安�?�q�其中一部分工作是由用户的管理部门来完成,但是作�ؓ�pȝ��理�?有责��d��现和报告�pȝ��的安全问�?因�ؓ�pȝ��理员负责系�l�的�q�行.避免�pȝ��安全事故的方法是预防性的,当用��L��录时,其shell在给出提�C�前先执�?etc/profile文�g,要确保该文�g中的PATH指定最后搜索当前工作目�?�q�样��减��用戯��q�行�Ҏ��依木马的��Z��.��文件徏立屏蔽值的讄��攑֜�该文件中也是很合适的,可将其��D��|�成臛_��防止用��h��意中建立��M��人都能写的文�?022/026).要小心选择此�?如果限制太严,则用户会在自��q��.profile中重新调用umask以抵制系�l�管理员的意�?如果用户大量使用��组权限�׃�n文�g,�pȝ��理员就一要设�|�限制小�l�存取权限的屏蔽�?�pȝ��理员必��d��立系�l�安全和用户�?痛苦�?间的�q��(痛苦量是安全限制引�v的愤怒的函数).定期地用grep命��o查看用户.profile文�g中的umask,可了解系�l�安全限制是否超�q�了用户痛苦极限.�pȝ��理员可每星期随机抽选一个用�?��该用户的安全检查结�?用户的登录情�늮��?SUID/SGID文�g列表�{?发送给他的��理部门和他本�h.主要有四个目�?
　　. 大多数用户会收到臛_��有一个文件检查情�늚�邮�g,�q�将引�v用户考虑安全问题(虽然�q�不意味着用户们会采取加强安全的行�?.
　　. 有大量可写文件的用户,��一星期得到一�ơ邮�?直到他们取消可写文�g的写许可为止.冗长的烦人的邮�g信息也许��以促�ɘq�些用户采取措施,删除文�g的写许可.
　　. 邮�g��列出用��L��SUID�E�序,引�v用户注意自己有SUID�E�序,使用��L��道是否有不是自己建立的SUID�E�序.
　　. 送安全检查表可供用户��理自己的文�?�q��用户知道�Ҏ��件的��理关系到数据安�?如果�pȝ��理员打��这样做,应事先让用户知道,以便他们了解安全��查邮件的目的. 发送邮件是让用户具有安全意�?不要抱怨发送邮�? ��理意识是提高安全性的另一个重要因�?如果用户的管理部门对安全要求不强�?�pȝ��理员可能也忘记强化安全规则.最好让��理部门建立一套每个�h都必��遵守的安全标准,如果�pȝ��理员在此基��上再建立自己的安全规�?��强化了安全.��理有助于加强用��h��?让用��h��?信息是有价值的资��.�pȝ��理员应当��安全保护�Ҏ��对用户尽可能地简�?提供一些提高安全的工具,�?公布锁终端的lock�E�序,让用戯��p��行secure�E�序,��pwexp(��查用户口令信息的�E�序)攑օ�/etc/profile�?使用��L��道自��q��口��o旉��.多教�l�用户一些关于系�l�安全的知识,��保用户知道自己的许可权限和umask命��o的设�|��?如果注意到用户在做蠢�?��q��他们一些应当怎样做才对的提示.用户知道的关于安全的知识��多,�pȝ��理员在保护用户利益斚w��做的事就��少.
　　
　　13.�pȝ��理员意�?
　　
　　(1)保持�pȝ��理员个人的��d��安全
　　若系�l�管理员的登录口令泄密了,则窃密者离�H�取root只有一步之遥了,因�ؓ�pȝ��理员经�怽�为root�q�行,�H�密者非法进入到�pȝ��理员的户头�?��用�Ҏ��依木马替换系�l�管理员的某些程�?�pȝ��理员将作�ؓroot�q�行�q�些已被替换的程�?正是因�ؓ�q�个原因,在UNIX�pȝ��?��理员的户头最常受到攻�?即��su命��o通常要在��M��都不可读的文件中记录所有想成�ؓroot的企�?�q�可用记帐数据或ps命��o识别�q�行su命��o的用�?也是如此,�pȝ��理员作为root�q�行�E�序时应当特别小�?因�ؓ最微小的疏忽也可能"沉船".下列一些指��D��则可使系�l�管理员��N��一�?坚固的船":
　　. 不要作�ؓroot或以自己的登录户头运行其他用��L��E�序,首先用su命��o�q�入用户的户�?
　　. 决不要把当前工作目录排在PATH路径表的前边,那样实际是招引特�z�依木马.当系�l�管理员用su命��o�q�入root�?他的PATH��会改变,��p��PATH保持�q�样,以避免特�z�依木马的��R�?
　　. 敲入/bin/su执行su命��o.若有su源码,��其�Ҏ��必须用全路径名运�?即su要确认argv[0]的头一个字�W�是"/"才运�?.随着旉��的推�U?用户和管理员��养成敲/bin/su的习�?
　　. 不要未注销户头��q��开�l�端,特别是作为root用户时更不能�q�样.当系�l�管理员作�ؓroot用户�?命��o提示�W�是"#",�q�个提示�W�对某些人来说可能是个红灯标�?
　　. 不允许root在除控制台外的�Q何终端登�?�q�是login的编译时的选项),如果没有login源码,��将��d��名root�Ҏ��别的�?使破坏者不能在root��d��名下猜测各种可能的口�?从而非法进入root的户�?录名下猜��各�U�可能的口��o,从而非法进入root的户�?
　　. �l�常改变root的口�?
　　. ��认su命��o��C��的想�q�行su企图的记�?usr/adm/sulog,该记录文件的许可方式�?00,�q�属root所�?�q�是非法者喜�Ƣ选择来替换成�Ҏ��依木马的文�g.
　　. 不要让某��Z��为root�q�行,即��是几分钟,即��是系�l�管理员在一旁注视着也不�?

(2)保持�pȝ��安全
　　. 考虑�pȝ��中一些关键的薄弱环节:
　　a. �pȝ��是否有MODEM?电话��L��是否公布?
　　b. �pȝ��是否�q�接�?�q�有什么系�l�也�q�接到该�|�络?
　　c. �pȝ��理员是否��用未知来处或来处不可靠的�E�序?
　　d. �pȝ��理员是否将重要信息攑֜��pȝ��?
　　e. �pȝ��的用��h��熟悉�pȝ��的��用还是新�?
　　f. 用户是否很重视关心安�?
　　g. 用户的管理部门是否重视安�?
　　. 保持�pȝ��文�g安全的完整�?��查所有系�l�文件的存取许可,��M��h��SUID许可的程序都是非法者想��h��的选择对象.
　　. 要特别注意设备文件的存取许可.
　　. 要审查用��L��录中��h��pȝ��ID/�pȝ��组的SUID/SGID许可的文�?
　　. 在未��查用��L��文�g�pȝ��的SUID/SGID�E�序和设备文件之�?不要安装用户的文件系�l?
　　. ��磁盘的备䆾存放在安全的地方.
　　. 讄��口��o时效,如果能存取UNIX的源�?��加密口令和信息�U�d��仅对root可读的文件中,�q�修改系�l�的口��o处理子程�?�q�样可增加口令的安全.修改passwd,使passwd能删��d��令打头和末尾的数�?然后�Ҏ��spell词典�?/etc/passwd中用��L��个�h信息,��查用��L��新口�?也检查用��h��口��o中子串等于登录名的情�?如果新口令是spell词典中的单词,�?etc/passwd中的入口��的某项�?或是��d��名的子串,passwd��不允许用户改变口��o.
　　. 记录本系�l�的用户及其授权使用的系�l?
　　. 查出久未使用的登录户�?�q�取消该户头.
　　. ��保没有无口令的��d��户头.
　　. 启动记帐�pȝ��.
　　. 查出不寻常的�pȝ��使用情况,如大量的占用��盘,大量的��用CPU旉��,大量的进�E?大量的��用su的企�?大量无效的登�?大量的到某一�pȝ��的网�l�传�?奇怪的uucp��h��.
　　. 修改shell,使其�{�待了一定时间而无��d��时终止运�?
　　. 修改login,使其打印出用��L��录的最后时�?三次无效��d��?��通讯�U�挂�?以便�pȝ��理员能��查出是否有�h试图非法�q�入�pȝ��.��保login不让root在除控制台外的�Q何地方登�?
　　. 修改su,使得只有root能以�q�期口��o通过su�q�入某一户头.
　　. 当安装来源不可靠的��Y件时,要检查源码和makefile文�g,查看�Ҏ��的子�E�序调用或命�?
　　. 即��是安装来源可靠的软�g,也要��查是否有SUID(SGID)�E�序,��认�q�些许可的确是必要的.如果可能,不要让这些程序具有系�l�ID(或组)的SUID(SGID)许可,而应该徏立一个新用户(或给)供该软�g�q�行.
　　. 如果�pȝ��在办公室�?门应上锁,��重要数据保存在软盘上或带上,�q��h��.
　　. ��secure,perms和�Q何其它做安全��查的shell�E�序存取许可�|��ؓ仅执�?更好的是��这些shell�E�序存于可拆卸的介质�?
　　. ��C��,只要�pȝ��有�Q何�h都可调用的拨��L��,�pȝ��׃��可能真正的安�?�pȝ��理员可以很好地防止�pȝ��受到偶然的破�?但是那些有耐心,有计�? 知道自己在干什么的破坏�?对系�l�直接的有预谋的��d��却常常能成功.
　　. 如果�pȝ��理员认为系�l�已�l�泄�?则应当设法查��事�?若肇事者是本系�l�的用户,与用��L��理部门联系,�q�检查该用户的文�?查找��M��可疑的文�?然后对该用户的登录小心地监督几个星期.如果肇事者不是本�pȝ��的用�?可让本公叔R��取合法的措施,�q�要求所有的用户改变口��o,让用��L��道出了安全事�?用户们应当检查自��q��文�g是否有被�H�改的迹�?如果�pȝ��理员认为系�l��Y件已被更改了,��应当从原版�pȝ��?�?软盘)上重装入所有系�l��Y�?保持�pȝ��安全比道歉更�?

我心飞翔 2006-07-01 13:19 发表评论

向左走向双��

我心飞翔 — Fri, 23 Jun 2006 06:57:00 GMT

哈哈�Q�不错，我们的团队博客开通了�?br />

我心飞翔 2006-06-23 14:57 发表评论

��Z��房�h涨而工资不涨？

我心飞翔 — Tue, 13 Jun 2006 09:05:00 GMT

房子真的很缺吗？自从我来到这个城市，工资水��^我就没有看到涨过。可房�h��M��一倍，我一个月的工资买不到半��^方米房子�Q�可惛_��?00岁时候的情景了。我们国家大多政�{�是好的�Q�能够考虑到百姓利益，那�ؓ什么到基层会变样子�Q�如今出��C��国六条，但愿会给癑֧�带来好处�? 我们国家各公司用人制度只看到眼前没有看到��来�Q�不注重培养。导致公司发展缓慢，行业不景气。这应该思考一下�?img src ="http://www.aygfsteel.com/parable-myth/aggbug/52507.html" width = "1" height = "1" />

我心飞翔 2006-06-13 17:05 发表评论

JAVA世界

我心飞翔 — Sun, 11 Jun 2006 10:09:00 GMT

今天我刚刚申误��个博客，希望各位朋友能够支持我。互相学习，互相�q�步�?/font>

我心飞翔 2006-06-11 18:09 发表评论

五月激情综合网,亚洲精品wwww,小小水蜜桃在线观看

两种生活

向左走向双���

��Z��房�h涨而工资不涨？

JAVA世界

向左走向双��