系統安全相關命令：passwd、su、umask、chgrp、chmod、chown、chattr、sudo、ps、who；

雖然Linux和Windows NT/2000系統一樣是一個多使用者的系統，但是它們之間有不少重要的差別。

對於很多習慣了Windows系統的管理員來講，如何保證Linux作業系統安全、可靠將會面臨許多新的挑戰。本文將重點介紹Linux系統安全的命令。

passwd

作用

passwd命令原來修改賬戶的登陸密碼，使用許可權是所有使用者。

格式

passwd [選項] 賬戶名稱主要引數
-l：鎖定已經命名的賬戶名稱，只有具備超級使用者許可權的使用者方可使用。
-u：解開賬戶鎖定狀態，只有具備超級使用者許可權的使用者方可使用。

-x, --maximum=DAYS：最大密碼使用時間（天），只有具備超級使用者許可權的使用者方可使用。
-n, --minimum=DAYS：最小密碼使用時間（天），只有具備超級使用者許可權的使用者方可使用。
-d：刪除使用者的密碼, 只有具備超級使用者許可權的使用者方可使用。
-S：檢查指定使用者的密碼認證種類, 只有具備超級使用者許可權的使用者方可使用。

應用例項

$ passwd
Changing password for user cao.
Changing password for cao
(current) UNIX password:
New UNIX password:
Retype new UNIX password:
passwd: all authentication tokens updated successfully.

從上面可以看到，使用passwd命令需要輸入舊的密碼，然後再輸入兩次新密碼。

su

作用

su的作用是變更為其它使用者的身份，超級使用者除外，需要鍵入該使用者的密碼。

格式

su [選項]... [-] [USER [ARG]...]
主要引數
-f ， --fast：不必讀啟動檔案（如 csh.cshrc 等），僅用於csh或tcsh兩種Shell。
-l ， --login：加了這個引數之後，就好像是重新登陸為該使用者一樣，大部分環境變數（例如HOME、SHELL和USER等）都是以該使用者（USER）為主，並且工作目錄也會改變。如果沒有指定USER，預設情況是root。
-m，

-p ，--preserve-environment：執行su時不改變環境變數。
-c command：變更賬號為USER的使用者，並執行指令（command）後再變回原來使用者。
USER：欲變更的使用者賬號，ARG傳入新的Shell引數。

應用例項

變更賬號為超級使用者，並在執行df命令後還原使用者。 su -c df root

umask

作用

umask設定使用者檔案和目錄的檔案建立預設遮蔽值，若將此命令放入profile檔案，就可控制該使用者後續所建檔案的存取許可。

它告訴系統在建立檔案時不給誰存取許可。使用許可權是所有使用者。

格式

umask [-p] [-S] [mode]
引數－S：確定當前的umask設定。－p：修改umask 設定。
[mode]：修改數值。

說明

傳統Unix的umask值是022，這樣就可以防止同屬於該組的其它使用者及別的組的使用者修改該使用者的檔案。

既然每個使用者都擁有並屬於一個自己的私有組，那麼這種“組保護模式”就不在需要了。

嚴密的許可權設定構成了Linux安全的基礎，在許可權上犯錯誤是致命的。

需要注意的是，umask命令用來設定程序所創建的檔案的讀寫許可權，最保險的值是0077，即關閉建立檔案的程序以外的所有程序的讀寫許可權，表示為-rw-------。

在～/.bash_profile中，加上一行命令umask 0077可以保證每次啟動Shell後, 程序的umask許可權都可以被正確設定。

應用例項

umask -S
u=rwx,g=rx,o=rx
umask -p 177
umask -S
u=rw,g=,o=
上述5行命令，首先顯示當前狀態，然後把umask值改為177，結果只有檔案所有者具有讀寫檔案的許可權，其它使用者不能訪問該檔案。這顯然是一種非常安全的設定。

chgrp

作用

chgrp表示修改一個或多個檔案或目錄所屬的組。使用許可權是超級使用者。

格式

chgrp [選項]... 組檔案...
或
chgrp [選項]... --reference=參考檔案檔案...
將每個的所屬組設定為。引數
-c, --changes ：像 --verbose，但只在有更改時才顯示結果。
--dereference：會影響符號連結所指示的物件，而非符號連結本身。
-h, --no-dereference：會影響符號連結本身，而非符號連結所指示的目的地(當系統支援更改符號連結的所有者，此選項才有效)。
-f, --silent, --quiet：去除大部分的錯誤資訊。
--reference=參考檔案：使用的所屬組，而非指定的。
-R, --recursive：遞迴處理所有的檔案及子目錄。
-v, --verbose：處理任何檔案都會顯示資訊。

應用說明

該命令改變指定指定檔案所屬的使用者組。

其中group可以是使用者組ID，也可以是/etc/group檔案中使用者組的組名。

檔名是以空格分開的要改變屬組的檔案列表，支援萬用字元。

如果使用者不是該檔案的屬主或超級使用者，則不能改變該檔案的組。

應用例項

改變/opt/local /book/及其子目錄下的所有檔案的屬組為book，命令如下：
$ chgrp - R book /opt/local /book

chmod

作用

chmod命令是非常重要的，用於改變檔案或目錄的訪問許可權，使用者可以用它控制檔案或目錄的訪問許可權，使用許可權是超級使用者。

格式

chmod命令有兩種用法。一種是包含字母和操作符表示式的字元設定法（相對許可權設定）；另一種是包含數字的數字設定法（絕對許可權設定）。（1）字元設定法
chmod [who] [+ | - | =] [mode] 檔名◆操作物件who可以是下述字母中的任一個或它們的組合
u：表示使用者，即檔案或目錄的所有者。
g：表示同組使用者，即與檔案屬主有相同組ID的所有使用者。
o：表示其它使用者。
a：表示所有使用者，它是系統預設值。◆操作符號
+：新增某個許可權。
-：取消某個許可權。
=：賦予給定許可權，並取消其它所有許可權（如果有的話）。◆設定mode的許可權可用下述字母的任意組合
r：可讀。
w：可寫。
x：可執行。
X：只有目標檔案對某些使用者是可執行的或該目標檔案是目錄時才追加x屬性。
s：檔案執行時把程序的屬主或組ID置為該檔案的檔案屬主。方式“u＋s”設定檔案的使用者ID位，“g＋s”設定組ID位。
t：儲存程式的文字到交換裝置上。
u：與檔案屬主擁有一樣的許可權。
g：與和檔案屬主同組的使用者擁有一樣的許可權。
o：與其它使用者擁有一樣的許可權。檔名：以空格分開的要改變許可權的檔案列表，支援萬用字元。一個命令列中可以給出多個許可權方式，其間用逗號隔開。（2）數字設定法數字設定法的一般形式為： chmod [mode] 檔名數字屬性的格式應為3個0到7的八進位制數，其順序是(u)(g)(o)檔名，以空格分開的要改變許可權的檔案列表，支援萬用字元。數字表示的許可權的含義如下：

0001為所有者的執行許可權；

0002為所有者的寫許可權；

0004為所有者的讀許可權；

0010為組的執行許可權；

0020為組的寫許可權；

0040為組的讀許可權；

0100為其他人的執行許可權；

0200為其他人的寫許可權；

0400為其他人的讀許可權；

1000為貼上位置位；

2000表示假

如這個檔案是可執行檔案，則為組ID為位置位，否則其中檔案鎖定位置位；

4000表示假如這個檔案是可執行檔案，則為使用者ID為位置位。

例項

如果一個系統管理員寫了一個表格(tem)讓所有使用者填寫，那麼必須授權使用者對這個檔案有讀寫許可權，可以使用命令：＃chmod 666 tem

上面程式碼中，這個666數字是如何計算出來的呢？

0002為所有者的寫許可權，0004為所有者的讀許可權，0020為組的寫許可權，0040為組的讀許可權，0200為其他人的寫許可權，0400為其他人的讀許可權，這6個數字相加就是666（注以上數字都是八進位制數），可以看出，tem檔案的許可權是-rw-rw-rw-，即使用者對這個檔案有讀寫許可權。如果用字元許可權設定使用下面命令：＃chmod a =wx tem

chown

作用

更改一個或多個檔案或目錄的屬主和屬組。使用許可權是超級使用者。

格式

chown [選項] 使用者或組檔案主要引數
--dereference：受影響的是符號連結所指示的物件，而非符號連結本身。
-h, --no-dereference：會影響符號連結本身，而非符號連結所指示的目的地(當系統支援更改符號連結的所有者，此選項才有效)。
--from=目前所有者:目前組只當每個檔案的所有者和組符合選項所指定的，才會更改所有者和組。其中一個可以省略，這已省略的屬性就不需要符合原有的屬性。
-f, --silent, --quiet：去除大部分的錯誤資訊。
-R, --recursive：遞迴處理所有的檔案及子目錄。
-v, --verbose：處理任何檔案都會顯示資訊。

說明

chown 將指定檔案的擁有者改為指定的使用者或組，使用者可以是使用者名稱或使用者ID；組可以是組名或組ID；檔案是以空格分開的要改變許可權的檔案列表，支援萬用字元。

系統管理員經常使用chown命令，在將檔案拷貝到另一個使用者的目錄下以後，讓使用者擁有使用該檔案的許可權。

應用例項

1.把檔案shiyan.c的所有者改為wan
$ chown wan shiyan.c
2.把目錄/hi及其下的所有檔案和子目錄的屬主改成wan，屬組改成users。
$ chown - R wan.users /hi

chattr

作用

修改ext2和ext3檔案系統屬性(attribute)，使用許可權超級使用者。

格式

chattr [-RV] [-+=AacDdijsSu] [-v version] 檔案或目錄主要引數－R：遞迴處理所有的檔案及子目錄。－V：詳細顯示修改內容，並列印輸出。－：失效屬性。＋：啟用屬性。
= ：指定屬性。
A：Atime，告訴系統不要修改對這個檔案的最後訪問時間。
S：Sync，一旦應用程式對這個檔案執行了寫操作，使系統立刻把修改的結果寫到磁碟。
a：Append Only，系統只允許在這個檔案之後追加資料，不允許任何程序覆蓋或截斷這個檔案。如果目錄具有這個屬性，系統將只允許在這個目錄下建立和修改檔案，而不允許刪除任何檔案。
i：Immutable，系統不允許對這個檔案進行任何的修改。如果目錄具有這個屬性，那麼任何的程序只能修改目錄之下的檔案，不允許建立和刪除檔案。
D：檢查壓縮檔案中的錯誤。
d：No dump，在進行檔案系統備份時，dump程式將忽略這個檔案。
C：Compress，系統以透明的方式壓縮這個檔案。從這個檔案讀取時，返回的是解壓之後的資料；而向這個檔案中寫入資料時，資料首先被壓縮之後才寫入磁碟。
s：Secure Delete，讓系統在刪除這個檔案時，使用0填充檔案所在的區域。
u：Undelete，當一個應用程式請求刪除這個檔案，系統會保留其資料塊以便以後能夠恢復刪除這個檔案。

說明

chattr命令的作用很大，其中一些功能是由Linux核心版本來支援的，如果Linux核心版本低於2.2，那麼許多功能不能實現。

同樣－D檢查壓縮檔案中的錯誤的功能，需要2.5.19以上核心才能支援。

另外，通過chattr命令修改屬效能夠提高系統的安全性，但是它並不適合所有的目錄。

chattr命令不能保護/、/dev、/tmp、/var目錄。

應用例項

1.恢復/root目錄,即子目錄的所有檔案
# chattr -R +u/root
2.用chattr命令防止系統中某個關鍵檔案被修改在Linux下，有些配置檔案(passwd ,fatab)是不允許任何人修改的，為了防止被誤刪除或修改，可以設定該檔案的“不可修改位(immutable)”，命令如下：
# chattr +i /etc/fstab

sudo

作用

sudo是一種以限制配置檔案中的命令為基礎，在有限時間內給使用者使用，並且記錄到日誌中的命令，許可權是所有使用者。

格式

sudo [-bhHpV] [-s ] [-u ] [指令]
sudo [-klv]
主要引數－b：在後臺執行命令。
-h：顯示幫助。
-H：將HOME環境變數設為新身份的HOME環境變數。
-k：結束密碼的有效期，即下次將需要輸入密碼。
-l：列出當前使用者可以使用的命令。
-p：改變詢問密碼的提示符號。
-s ：執行指定的Shell。
-u ：以指定的使用者為新身份，不使用時預設為root。
-v：延長密碼有效期5分鐘。

說明

sudo命令的配置在/etc/sudoers檔案中。

當用戶使用sudo時，需要輸入口令以驗證使用者身份。

隨後的一段時間內可以使用定義好的命令，當使用配置檔案中沒有的命令時，將會有報警的記錄。

sudo是系統管理員用來允許某些使用者以root身份執行部分/全部系統命令的程式。

一個明顯的用途是增強了站點的安全性，如果需要每天以超級使用者的身份做一些日常工作，經常執行一些固定的幾個只有超級使用者身份才能執行的命令，那麼用sudo是非常適合的。

ps

作用

ps顯示瞬間程序 (process) 的動態，使用許可權是所有使用者。

格式

ps [options] [--help]
主要引數
ps的引數非常多, 此出僅列出幾個常用的引數。
-A：列出所有的程序。
-l：顯示長列表。
-m：顯示記憶體資訊。
-w：顯示加寬可以顯示較多的資訊。
-e：顯示所有程序。
a：顯示終端上的所有程序,包括其它使用者的程序。
-au：顯示較詳細的資訊。
-aux：顯示所有包含其它使用者的程序。

說明

要對程序進行監測和控制，首先要了解當前程序的情況，也就是需要檢視當前程序。

ps命令就是最基本、也是非常強大的程序檢視命令。

使用該命令可以確定有哪些程序正在執行、執行的狀態、程序是否結束、程序有沒有殭屍、哪些程序佔用了過多的資源等。

大部分資訊都可以通過執行該命令得到。

最常用的三個引數是u、a、x。

下面就結合這三個引數詳細說明ps命令的作用：ps aux

 ps-aux命令詳解第2行程式碼中，USER表示程序擁有者；PID表示程序標示符；%CPU表示佔用的CPU使用率；%MEM佔用的實體記憶體使用率；VSZ表示佔用的虛擬記憶體大小；RSS為程序佔用的實體記憶體值；TTY為終端的次要裝置號碼。

STAT表示程序的狀態，其中D為不可中斷的靜止（I/O動作）；R正在執行中；S靜止狀態；T暫停執行；Z不存在，但暫時無法消除；W沒有足夠的記憶體分頁可分配；高優先序的程序；N低優先序的程序；L有記憶體分頁分配並鎖在記憶體體內 (實時系統或I/O)。

START為程序開始時間。TIME為執行的時間。COMMAND是所執行的指令。

應用例項

在進行系統維護時，經常會出現記憶體使用量驚人，而又不知道是哪一個程序佔用了大量程序的情況。

除了可以使用top命令檢視記憶體使用情況之外，還可以使用下面的命令：
ps aux | sort +5n

who

作用

who顯示系統中有哪些使用者登陸系統，顯示的資料包含了使用者ID、使用的登陸終端、上線時間、呆滯時間、CPU佔用，以及做了些什麼。使用許可權為所有使用者。

格式

who - [husfV] [user]
主要引數
-h：不要顯示標題列。
-u：不要顯示使用者的動作/工作。
-s：使用簡短的格式來顯示。
-f：不要顯示使用者的上線位置。
-V：顯示程式版本。

說明

該命令主要用於檢視當前在線上的使用者情況。

如果使用者想和其它使用者建立即時通訊，比如使用talk命令，那麼首先要確定的就是該使用者確實在線上,不然talk程序就無法建立起來。

又如，系統管理員希望監視每個登入的使用者此時此刻的所作所為，也要使用who命令。who命令應用起來非常簡單，可以比較準確地掌握使用者的情況,所以使用非常廣泛。