linux - SuSE Linux10.0 硬碟安裝方法

[psac]

最近Suse Linux非常火爆， 作為操作系統SUSE Linux可以取代 Windows ，也可以作為第二個操作系統附屬於 Windows 系統。我從網上找了一些相關資料，從截圖來看，這個Linux操作系統還是挺不錯的。


我是從官方網站下載的ISO文件，下載之前還要註冊一下，當然是免費註冊的。否則連Linux都收費，天理何在？
1. 將5個.iso文件解壓縮到(例如F:\iso\cd1..cd2..cd3..cd4..cd5);具體哪個分區可以自己選項。建議最好是fat文件格式的分區。
2、因為我之前安裝了FC4，所以不需要另外的grub啟始程序。直接在FC4的grub按鍵輸入c進入grub編輯界面。輸入：
grub>root(hd0,6)
grub>kernel (hd0,6)/iso/cd1/boot/loader/linux vga=791
grub>initrd (hdd0,6)/iso/cd1/boot/loader/initrd
grub>boot


其中:
vga=791 是將控制台甚至為 1024x768x256 色.
剛開始的時候，我輸入的是(hd0,7)（因為我的iso映射文件確實是在第一個硬碟的第七個分區），但是始終無法找到文件，最後輸入(hd0,6)才發現iso目錄下的cd1文件。對了，無論你的解壓iso文件時檔案名是CD!還是cd1，在grub編輯下都要輸入cd1，否則無法找到CD1資料夾 。


3. 執行指令後就可以進入安裝界面了。

選項硬碟安裝，選suse所在的分區後,按鍵輸入路徑/iso/cd1,可以進入圖形方式。因為以前安裝了FC4，所以再沒有重新增立分區，直接將原來的FC4的分區重新格式化了。

4. 安裝完第一張盤後，系統會重啟,。因為我是從硬碟安裝，所以重新啟動後，會出現Suse下的grub界面，選項Suse Linux10.0，系統就會啟動Suse 系統。因為只是安裝了第一張cd,所以一會就會出現提示，要求你選項cd2 的路徑。填入相應路徑後，就會繼續cd2 的安裝。不過在隨後的cd3,cd4,cd5安裝中，系統再沒有路徑的提示，自動就找到了相應的文件。
基本上和windows的安裝差不多，在最後安裝結束的時候，會要求你填入一些訊息和設定。這些就不多說了。

[psac]

必學的Linux系統安全指令

雖然Linux和Windows NT/2000系統一樣是一個多用戶的系統，但是它們之間有不少重要的差別。對於很多習慣了Windows系統的管理員來講，如何保證Linux操作系統安全、可靠將會面臨許多新的挑戰。本文將重點介紹Linux系統安全的指令。

passwd

1.作用

asswd指令原來修改賬戶的登入密碼，使用權限是所有用戶。

2.格式

asswd [選項] 賬戶名稱

3.主要參數

-l：鎖定已經命名的賬戶名稱，只有具備超級用戶權限的使用者方可使用。

-u：解開賬戶鎖定狀態，只有具備超級用戶權限的使用者方可使用。

-x, --maximum=DAYS：最大密碼使用時間（天），只有具備超級用戶權限的使用者方可使用。

-n, --minimum=DAYS：最小密碼使用時間（天），只有具備超級用戶權限的使用者方可使用。

-d：移除使用者的密碼, 只有具備超級用戶權限的使用者方可使用。

-S：檢查指定使用者的密碼認證種類, 只有具備超級用戶權限的使用者方可使用。

4.套用實例

$ passwd
Changing password for user cao.
Changing password for cao
(current) UNIX password:
New UNIX password:
Retype new UNIX password:
passwd: all authentication tokens updated successfully.



從上面可以看到，使用passwd指令需要輸入舊的密碼，然後再輸入兩次新密碼。

su

1.作用

u的作用是變更為其它使用者的身份，超級用戶除外，需要按鍵輸入該使用者的密碼。

2.格式

u [選項]... [-] [USER [ARG]...]

3.主要參數

-f ， --fast：不必讀啟動檔案（如 csh.cshrc 等），僅用於csh或tcsh兩種Shell。

-l ， --login：加了這個參數之後，就好像是重新登入為該使用者一樣，大部分環境變數（例如HOME、SHELL和USER等）都是以該使用者（USER）為主，並且工作目錄也會改變。如果沒有指定USER，預設情況是root。

-m， -p ，--preserve-environment：執行su時不改變環境變數。

-c command：變更帳號為USER的使用者，並執行指令（command）後再變回原來使用者。

USER：欲變更的使用者帳號，ARG傳入新的Shell參數。

4.套用實例

變更帳號為超級用戶，並在執行df指令後還原使用者。 su -c df root

umask

1.作用

umask設定用戶文件和目錄的文件新增預設遮閉值，若將此指令放入profile文件，就可控制該用戶後續所建文件的存取許可。它告訴系統在新增文件時不給誰存取許可。使用權限是所有用戶。

2.格式

umask [-p] [-S] [mode]

3.參數

－S：確定現用的umask設定。

－p：修改umask 設定。

[mode]：修改數值。

4.說明

傳統Unix的umask值是022，這樣就可以防止同屬於該群組的其它用戶及別的組的用戶修改該用戶的文件。既然每個用戶都擁有並屬於一個自己的私有組，那麼這種「組保護模式」就不在需要了。嚴密的權限設定構成了Linux安全的基礎，在權限上犯錯誤是致命的。需要注意的是，umask指令用來設定工作所新增的文件的讀寫權限，最保險的值是0077，即關閉新增文件的工作以外的所有工作的讀寫權限，表示為-rw-------。在∼/.bash_profile中，加上一行指令umask 0077可以保證每次啟動Shell後, 工作的umask權限都可以被正確設定。

5.套用實例

umask -S
u=rwx,g=rx,o=rx
umask -p 177
umask -S
u=rw,g=,o=


BR>
上述5行指令，首先顯示當前狀態，然後把umask值改為177，結果只有文件所有者具有讀寫文件的權限，其它用戶不能訪問該檔案。這顯然是一種非常安全的設定。
chgrp

1.作用

chgrp表示修改一個或多個文件或目錄所屬的組。使用權限是超級用戶。

2.格式

chgrp [選項]... 組 文件...

或

chgrp [選項]... --reference=參考文件 文件...

將每個<文件>的所屬組設定為<組>。

3.參數

-c, --changes ：像 --verbose，但只在有更改時才顯示結果。

--dereference：會影響符號連接所指示的對象，而非符號連接本身。

-h, --no-dereference：會影響符號連接本身，而非符號連接所指示的目的地(當系統支持更改符號連接的所有者，此選項才有效)。

-f, --silent, --quiet：去除大部分的錯誤訊息。

--reference=參考文件：使用<參考文件>的所屬組，而非指定的<組>。

-R, --recursive：遞回處理所有的文件及子目錄。

-v, --verbose：處理任何文件都會顯示訊息。

4.套用說明

該指令改變指定指定文件所屬的用戶組。其中group可以是用戶組ID，也可以是/etc/group文件中用戶組的組名。檔案名是以空格分開的要改變屬組的文件列表，支持萬用字元。如果用戶不是該檔案的屬主或超級用戶，則不能改變該檔案的組。

5.套用實例

改變/opt/local /book/及其子目錄下的所有文件的屬組為book，指令如下：

$ chgrp - R book /opt/local /book

chmod

1.作用

chmod指令是非常重要的，用於改變檔案或目錄的訪問權限，用戶可以用它控制文件或目錄的訪問權限，使用權限是超級用戶。

2.格式

chmod指令有兩種用法。一種是包含字母和操作符陳述式的字元設定法（相對權限設定）；另一種是包含數位的數位設定法（絕對權限設定）。

（1）字元設定法

chmod [who] [+ | - | =] [mode] 檔案名

◆操作對像who可以是下述字母中的任一個或它們的組合

u：表示用戶，即文件或目錄的所有者。

g：表示同組用戶，即與文件屬主有相同組ID的所有用戶。

o：表示其它用戶。

a：表示所有用戶，它是系統預設值。

◆操作符號

+：增加某個權限。

-：取消某個權限。

=：賦予給定權限，並取消其它所有權限（如果有的話）。

◆設定mode的權限可用下述字母的任意組合

r：可讀。

w：可寫。

x：可執行。

X：只有目標文件對某些用戶是可執行的或該目標文件是目錄時才追加x內容。

：文件執行時把工作的屬主或組ID置為該檔案的文件屬主。方式「u＋s」設定文件的用戶ID位，「g＋s」設定組ID位。

t：儲存程序的文本到交換設備上。

u：與文件屬主擁有一樣的權限。

g：與和文件屬主同組的用戶擁有一樣的權限。

o：與其它用戶擁有一樣的權限。

檔案名：以空格分開的要改變權限的文件列表，支持萬用字元。

一個指令行中可以指出多個權限方式，其間用逗號隔開。

（2） 數位設定法

數位設定法的一般形式為： chmod [mode] 檔案名

數位內容的格式應為3個0到7的八進制數，其順序是(u)(g)(o)檔案名，以空格分開的要改變權限的文件列表，支持萬用字元。

數位表示的權限的含義如下：0001為所有者的執行權限；0002為所有者的寫權限；0004為所有者的讀權限；0010為組的執行權限；0020為組的寫權限；0040為組的讀權限；0100為其他人的執行權限；0200為其他人的寫權限；0400為其他人的讀權限；1000為貼上位置位；2000表示假如這個文件是可執行文件，則為組ID為位置位，否則其中文件鎖定位置位；4000表示假如這個文件是可執行文件，則為用戶ID為位置位。

3.實例

如果一個系統管理員寫了一個表格(tem)讓所有用戶填寫，那麼必須使用權用戶對這個文件有讀寫權限，可以使用指令：＃chmod 666 tem

上面程式碼中，這個666數位是如何計算出來的呢？0002為所有者的寫權限，0004為所有者的讀權限，0020為組的寫權限，0040為組的讀權限，0200為其他人的寫權限，0400為其他人的讀權限，這6個數位相加就是666（注以上數位都是八進制數），結果見圖1所顯示。





圖1 用chmod數位方法設定文件權限
從圖1可以看出，tem文件的權限是-rw-rw-rw-，即用戶對這個文件有讀寫權限。

如果用字元權限設定使用下面指令：

＃chmod a =wx tem

chown

1.作用

更改一個或多個文件或目錄的屬主和屬組。使用權限是超級用戶。

2.格式

chown [選項] 用戶或組 文件

3.主要參數

--dereference：受影響的是符號連接所指示的對象，而非符號連接本身。

-h, --no-dereference：會影響符號連接本身，而非符號連接所指示的目的地(當系統支持更改符號連接的所有者，此選項才有效)。

--from=目前所有者:目前組只當每個文件的所有者和組符合選項所指定的，才會更改所有者和組。其中一個可以省略，這已省略的內容就不需要符合原有的內容。

-f, --silent, --quiet：去除大部分的錯誤訊息。

-R, --recursive：遞回處理所有的文件及子目錄。

-v, --verbose：處理任何文件都會顯示訊息。

4.說明

chown將指定文件的擁有者改為指定的用戶或組，用戶可以是用戶名或用戶ID；組可以是組名或組ID；文件是以空格分開的要改變權限的文件列表，支持萬用字元。系統管理員經常使用chown指令，在將檔案拷貝到另一個用戶的目錄下以後，讓用戶擁有使用該檔案的權限。

5.套用實例

1.把文件shiyan.c的所有者改為wan

$ chown wan shiyan.c

2.把目錄/hi及其下的所有文件和子目錄的屬主改成wan，屬組改成users。

$ chown - R wan.users /hi

chattr

1.作用

修改ext2和ext3文件系統內容(attribute)，使用權限超級用戶。

2.格式

chattr [-RV] [-+=AacDdijsSu] [-v version] 文件或目錄

3.主要參數

－R：遞回處理所有的文件及子目錄。

－V：詳細顯示修改內容，並列印輸出。

－：失效內容。

＋：啟動內容。

= ：指定內容。

A：Atime，告訴系統不要修改對這個文件的最後訪問時間。

S：Sync，一旦應用程式對這個文件執行了寫操作，使系統立刻把修改的結果寫到磁牒。

a：Append Only，系統只允許在這個文件之後追加資料，不允許任何工作覆蓋或截斷這個文件。如果目錄具有這個內容，系統將只允許在這個目錄下建立和修改文件，而不允許移除任何文件。

i：Immutable，系統不允許對這個文件進行任何的修改。如果目錄具有這個內容，那麼任何的工作只能修改目錄之下的文件，不允許建立和移除文件。

D：檢查壓縮檔案中的錯誤。

d：No dump，在進行文件系統制作備份時，dump程序將忽略這個文件。

C：Compress，系統以透明的方式壓縮這個文件。從這個文件讀取時，返回的是解壓之後的資料；而向這個文件中寫入資料時，資料首先被壓縮之後才寫入磁牒。

：Secure Delete，讓系統在移除這個文件時，使用0填充文件所在的區域。

u：Undelete，當一個應用程式請求移除這個文件，系統會保留其資料塊以便以後能夠恢復移除這個文件。

4.說明

chattr指令的作用很大，其中一些功能是由Linux內核版本來支持的，如果Linux內核版本低於2.2，那麼許多功能不能實現。同樣－D檢查壓縮檔案中的錯誤的功能，需要2.5.19以上內核才能支持。另外，通過chattr指令修改內容能夠提高系統的安全性，但是它並不適合所有的目錄。chattr指令不能保護/、/dev、/tmp、/var目錄。

5.套用實例

1.恢復/root目錄,即子目錄的所有文件

# chattr -R +u/root

2.用chattr指令防止系統中某個關鍵文件被修改

在Linux下，有些組態文件(passwd ,fatab)是不允許任何人修改的，為了防止被誤移除或修改，可以設定該檔案的「不可修改位(immutable)」，指令如下：

# chattr +i /etc/fstab

sudo

1.作用

udo是一種以限制組態文件中的指令為基礎，在有限時間內給用戶使用，並且記錄到日誌中的指令，權限是所有用戶。

2.格式




sudo [-bhHpV] [-s <shell>] [-u <用戶>] [指令]
sudo [-klv]



3.主要參數



－b：在後台執行指令。
-h：顯示說明 。
-H：將HOME環境變數設為新身份的HOME環境變數。
-k：結束密碼的有效期，即下次將需要輸入密碼。
-l：列出當前用戶可以使用的指令。
-p：改變詢問密碼的提示號號。
-s <shell>：執行指定的Shell。
-u <用戶>：以指定的用戶為新身份，不使用時預設為root。
-v：延長密碼有效期5分鍾。




4.說明

udo指令的組態在/etc/sudoers文件中。當用戶使用sudo時，需要輸入密碼以驗證使用者身份。隨後的一段時間內可以使用定義好的指令，當使用組態文件中沒有的指令時，將會有報警的記錄。sudo是系統管理員用來允許某些用戶以root身份執行部分/全部系統指令的程序。一個明顯的用途是增強了站點的安全性，如果需要每天以超級用戶的身份做一些日常工作，經常執行一些固定的幾個只有超級用戶身份才能執行的指令，那麼用sudo是非常適合的。

ps

1.作用

顯示瞬間工作 (process) 的動態，使用權限是所有使用者。

2.格式

[options] [--help]

3.主要參數

的參數非常多, 此出僅列出幾個常用的參數。



-A：列出所有的工作。
-l：顯示長列表。
-m：顯示記憶體訊息。
-w：顯示加寬可以顯示較多的訊息。
-e：顯示所有工作。
a：顯示終端上的所有工作,包括其它用戶的工作。
-au：顯示較詳細的訊息。
-aux：顯示所有包含其它使用者的工作。

4.說明

要對工作進行監測和控制，首先要瞭解當繼續程的情況，也就是需要檢視當繼續程。ps指令就是最基本、也是非常強大的工作檢視指令。使用該指令可以確定有哪些工作正在執行、執行的狀態、工作是否結束、工作有沒有殭屍、哪些工作佔用了過多的資源等。圖2指出了ps-aux指令詳解。大部分訊息都可以通過執行該指令得到。最常用的三個參數是u、a、x。下面就結合這三個參數詳細說明ps指令的作用：ps aux





圖2 ps-aux指令詳解

圖2第2行程式碼中，USER表示工作擁有者；PID表示工作標示符；%CPU表示佔用的CPU使用率；%MEM佔用的實體記憶體使用率；VSZ表示佔用的虛擬記憶體大小；RSS為工作佔用的實體記憶體值；TTY為終端的次要裝置號碼。

STAT表示工作的狀態，其中D為不可中斷的靜止（I/O動作）；R正在執行中；S靜止狀態；T暫停執行；Z不存在，但暫時無法消除；W沒有足夠的記憶體分頁可分配；高優先序的工作；N低優先序的工作；L有記憶體分頁分配並鎖在記憶體體內 (既時系統或 I/O)。START為工作開始時間。TIME為執行的時間。COMMAND是所執行的指令。

4.套用實例

在進行系統維護時，經常會出現記憶體使用量驚人，而又不知道是哪一個工作佔用了大量工作的情況。除了可以使用top指令檢視記憶體使用情況之外，還可以使用下面的指令：

aux | sort +5n

who

1.作用

who顯示系統中有哪些用戶登入系統，顯示的資料包含了使用者ID、使用的登入終端、上線時間、呆滯時間、CPU佔用，以及做了些什麼。 使用權限為所有用戶。

2.格式

who - [husfV] [user]

3.主要參數

-h：不要顯示標題列。
-u：不要顯示使用者的動作/工作。
-s：使用簡短的格式來顯示。
-f：不要顯示使用者的上線位置。
-V：顯示程序版本。



4.說明

該指令主要用於檢視當前在線上的用戶情況。如果用戶想和其它用戶建立即時通信，比如使用talk指令，那麼首先要確定的就是該用戶確實在線上,不然talk工作就無法建立起來。又如，系統管理員希望監視每個登入的用戶此時此刻的所作所為，也要使用who指令。who指令套用起來非常簡單，可以比較準確地掌握用戶的情況,所以使用非常廣泛。

動手練習

1.使用Linux指令檢測系統入侵者

安裝過Mandrake Linux和Red Hat Linux的用戶都會知道，Linux系統會內裝三種不同等級（標準、高、更高）的防火牆，當進行了Linux伺服器的安裝和一些基本的設定後，伺服器應該說是比較安全的，但是也會有黑客通過各種方法利用系統管理員的疏忽侵入系統。如何快速搜尋黑客非常重要。一般來說，可以使用指令查詢黑客是否入侵，見表1。


表1 查詢黑客入侵現象的指令對應表



舉例說明，如果黑客嗅探網路，那麼它必須使網路卡接頭處於混雜模式，使用下面指令進行查詢：

＃ifconfig -a
eth0 Link encap:Ethernet HWaddr 00:00:E8:A0:25:86
inet addr:192.168.1.7 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING PROMISCUOUS MTU:1500 Metric:1
......



從這個指令的輸出中，可以看到上面講到的這些概念。第一行的00:00:E8:A0:25:86是mac位址，第二行的192.168.1.7是IP位址，第四行講的是接收資料狀態，這時正在被黑客嗅探。一般而言，網路卡有幾種接收資料畫格的狀態，如Broadcast、Multicast、Promiscuous等。Broadcast是指接收所有檔案類型為廣播報文的資料畫格；Multicast是指接收特定的組播報文；Promiscuous則是通常說的混雜模式，是指對報文中的目的硬體位址不加任何檢查、全部接收的工作模式。

2.限制su指令的濫用

我們知道，超級用戶在Linux中有最大的權利，幾乎所有黑客都想得到這個目標。Linux可以增加對切換到超級用戶的限制。使用PAM（Pluggable Authentication Modules）可以禁止除在wheel組以外的任何人su成root，修改/etc/pam.d/su文件，除去遮閉標幟#。使用/usr/sbin/usermod G10 bjecadm將bjecadm這個帳號加入gid為10的組，就是wheel組。指令如下：

/etc/pam.d/su # 使用密碼驗證＃
auth sufficient /lib/security/pam_wheel.so debug
# 限制只有wheel組用戶才可以切換到root＃
auth required /lib/security/pam_wheel.so use_uid
chmod -G10 bjecadm



另外，每當用戶試圖使用su指令進入系統用戶時,指令將在/usr/adm/sulog文件中寫一條訊息,若該檔案記錄了大量試圖用su進入root的無效操作訊息,則表明了可能有人企圖破譯root密碼。

Linux指令有著強大的功能。對於Linux系統管理員來說，往往只需要通過各種安全指令技巧，組合構成安全防線。從電腦安全的角度看，世界上沒有絕對安全的電腦系統，Linux系統也不例外。

[psac]

Linux下病毒綜述及防範技巧

對使用Windows的人來說，病毒無處不在，各種各樣的新型病毒層出不窮，近年來，一種類似Unix的操作系統也在發展壯大，開始走進我們的視野，並在各領域內得到套用，它就是Linux系統，對於受病毒困擾的用戶來說，Linux會是一塊沒有病毒的樂土嗎?

　　一、當心Linux病毒

　　在Linux出現之初，由於其最初的優秀設計，似乎具有先天病毒免疫能力，所以當時有許多人相信不會有針對Linux的病毒出現，但是Linux終於也不能例外。1996年秋，澳大利亞一個叫VLAD的組織用彙編語言編寫了據稱是Linux系統下的第一個病毒的Staog，它專門感染二進制文件，並通過三種方式去嘗試得到root權限。當然，設計Staog病毒只是為了演示和證明Linux有被病毒感染的潛在危險，它並沒有對感染的系統進行任何損壞行動。

　　2001年，一個名為Ramen的Linux蠕蟲病毒出現了。Ramen病毒可以自動傳播，無需人工干預，雖然它沒有對伺服器進行任何破壞，但是它在傳播時的掃瞄行為會消耗大量的網路帶寬。Ramen病毒是利用了Linux某些版本(Redhat6.2和7.0)的rpc.statd和wu-ftp這兩個安全漏洞進行傳播的。

　　同年的另一個針對Linux的蠕蟲病毒Lion則造成了實際的危害，當時Lion通過網際網路迅速蔓延，並給部分用戶的電腦系統造成了嚴重破壞。Lion病毒能通過電子郵件把一些密碼和組態文件傳送到網際網路上的某個郵信箱中，攻擊者在收集到這些文件後就可能通過第一次突破時的缺口再次進入整個系統，進行更進一步的破壞活動，比如獲機密訊息、安裝後門等。當用戶的Linux系統感染了這個病毒，很有可能因為不能判斷入侵者如何改動了系統而選項重新格式化硬碟。而且，一台Linux主機在感染了Lion病毒後就會自動開始在網際網路上搜尋別的受害者。事後的反饋表明Lion病毒給許多Linux用戶造成了的嚴重的損失。

　　其它Linux平台下病毒還有OSF.8759、Slapper、Scalper、Unux.Svat和BoxPoison等，當然，大多數普通的Linux用戶幾乎沒有遇到過它們。這是因為直到目前，Linux上的病毒還非常少，影響的範圍也很小。但隨著Linux用戶的增加，越來越多的Linux系統連線到區域網路和廣域網上，自然增加了受攻擊的可能，可以預見到會有越來越多的Linux病毒出現，因此如何防範Linux病毒就成為每個Linux用戶現在就應該開始注意的事情了。

　　二、抓住弱點，個個擊破

　　Linux的用戶也許聽說甚至遇到過一些Linux病毒，這些Linux病毒的原理和發作症狀各不相同，所以採取的防範方法也各不相同。為了更好地防範Linux病毒，我們先對已知的一些Linux病毒進行分類。

　　從目前出現的Linux病毒來看，可以歸納到以下幾個病毒檔案類型中去:

　　1、感染ELF格式文件的病毒

　　這類病毒以ELF格式的文件為主要感染目標，通過彙編或者C可以寫出能感染ELF文件的病毒。Lindose病毒就是一能感染ELF文件的病毒，當它發現一個ELF文件時，將檢查被感染的機器檔案類型是否為Intel80386。如果是，則尋找該檔案中是否有一部分的大小大於2784字元(或十六進制AEO)，如果有，病毒就會用自身程式碼覆蓋它並增加宿主文件的相應部分的程式碼，同時將宿主文件的入口點指向病毒程式碼部分。

　　防範:由於Linux下有良好的權限控制機制，所以這類病毒要有足夠的權限才能進行傳播。在防範此類病毒時，我們要注意管理好自己Linux系統中的各種文件的權限，特別要注意的是在做日常操作時不要使用root帳號，最好不要以root身份執行來歷不明的可執行文件，以免無意中觸發了含病毒的文件從而傳染到整個系統中。

　　2、指令碼病毒

　　指令碼病毒是指使用shell等指令碼語言編寫的病毒。此類病毒編寫較為簡單，不需要具有很高深的知識，很容易就實現對系統進行破壞，比如移除文件、破壞系統正常執行、甚至下載安裝木馬等。但它傳播性不強，通常是在本地機上造成破壞。

　　防範:防範此類病毒也是要注意不要隨便執行來源不明的指令碼，同時，要嚴格控制對root權限的使用。

　　3、蠕蟲病毒

　　Linux下的蠕蟲病毒與Windows下的蠕蟲病毒類似，可以獨立執行，並將自身傳播到另外的電腦上去。

　　在Linux平台下的蠕蟲病毒通常利用一些Linux系統和服務的漏洞來進行傳播，比如，Ramen病毒就是利用了Linux某些版本(Redhat6.2和7.0)的rpc.statd和wu-ftp這兩個安全漏洞進行傳播的。

　　防範:防範此類病毒要堵住蠕蟲病毒發作的源頭，從已經出現的幾個Linux病毒突發事件來看，它們都是利用了Linux已經公佈了的幾個安全漏洞，如果用戶及時採取了對應的安全措施就不會受到它們的影響。不過遺憾的是，許多Linux的管理員並沒有緊密跟蹤與自己系統和服務相關的最新訊息，所以還是給病毒有可乘之機。

　　用戶要做好本地機的安全工作，特別要關心Linux的安全漏洞訊息，一旦有新的Linux安全漏洞出現，就要及時採取安全措施。此外，還可以配合防火牆規則來限制蠕蟲病毒的傳播。

　　4、後門程序


　　後門程序也可以被看成廣義的病毒，在Linux平台上也非常活躍。Linux後門利用系統服務載入、共享庫文件注射、rootkit工具包、甚至可安裝載入內核模組(LKM)等技術來實現，許多Linux平台下的後門技術與入侵技術相結合，非常隱蔽，難以清除。

　　防範:防範此類病毒可以借助一些軟體來進行，有一些軟體可以說明 用戶找出系統中的各種後門程序，比如chkrootkitR、rootkits可以發現蠕蟲、後門等。

　　5、其它病毒

　　在Linux平台除了面對針對Linux的病毒之外，還要注意到許多Windows病毒會存在於Linux的文件系統中，當然，這類windows病毒是不會在Linux中發作的，但它們有機會傳送到Windows系統中。

　　比如，Linux的Samba伺服器可以作為整個網路中的文件伺服器，當有用戶將含有Windows病毒的文件上傳到Samba伺服器後，Samba伺服器就成為一個病毒攜帶者，雖然它不會感染這種Windows病毒，但是其它訪問過Samba服務的人就有可能從中感染到病毒。

　　防範:為了整體的安全，在Linux系統中也需要能尋找和殺除Windows病毒。這就需要使用一些專門的反病毒軟體。現在，已經有一些開放源碼軟體和商業軟體可供用戶選項了，而且其數量正在逐漸增加。

　　三、多方入手，剿殺Linux病毒

　　與Windows的病毒相比，從數量上看，Linux的病毒幾乎可以忽略不計，但是Linux病毒的製造者們並不會停止，他們多是一些精通編寫程式碼的黑客，Linux自身不可避免地存在的脆弱點很有可能會被他們利用從而編寫出各式各樣的新Linux病毒來。雖然，Linux病毒還沒有開始氾濫，但如果用戶毫無防範概念的話，一旦某個Linux病毒暴發，就很可能造成嚴重的後果。所以Linux用戶應該及早重視起Linux病毒這個問題。

　　最後，筆者對Linux平台下病毒的防範總結出以下幾條建議，僅供參考:

　　(1)做好系統加固工作。

　　(2)留心安全公告，及時修正漏洞。

　　(3)日常操作不要使用root權限進行。

　　(4)不要隨便安裝來歷不明的各種設備驅動程式。

　　(5)不要在重要的伺服器上執行一些來歷不明的可執行程序或指令碼。

　　(6)盡量安裝防毒軟體，並定期昇級病毒程式碼庫。

　　(7)對於連線到Internet的Linux伺服器，要定期檢測Linux病毒。蠕蟲和木馬是否存在。

　　(8)對於提供文件服務的Linux伺服器，最好佈署一款可以同時查殺Windows和Linux病毒的軟體。

　　(9)對於提供郵件服務的Linux伺服器，最好配合使用一個E-mail病毒掃瞄器。

　　總而言之，對於Linux平台下病毒的防範要採取多種手段，決不可因為現在Linux病毒很少就掉以輕心。

[psac]

Linux一般緊急情況處理方法
1.使用急救盤組進行維護

急救盤組(也稱為boot/root盤組)，是系統管理員必不可少的工具。用它可以獨立地啟動和執行一個完整的Linux系統。實際上，急救盤組中的第2張碟上就有一個完整的Linux系統，包括root文件系統；而第1張盤則存放了可啟動的內核。使用急救盤組維護系統很簡單。只需用這兩張盤啟動系統後，進入急救模式，這時使用的是root賬戶。為了能訪問硬碟上的文件，需要手動式安裝硬碟文件系統。例如，用下面的指令可在/mnt目錄中安裝 /dev/hda2碟上的ext2fs檔案類型的Linux文件系統： # monut -t ext2/dev/hda2/mnt

註：現在根目錄是急救碟上的根目錄。為了訪問硬碟文件系統中的文件，必須先把它安裝到某個目錄 下。這樣，如果將硬碟上文件系統安裝在/mmt目錄下，則硬碟上原來的/etc/passwd文件的路徑就是 /mnt/etc/passwd。

2、文件系統被破壞時的處理方法

當文件系統被破壞時，如果使用的是ext2fs檔案類型的文件系統，就可從軟碟運e2fsck指令來修正文件系 統中被損壞的資料。對於其他檔案類型的文件系統，可以使用相應的fsck指令。 當從軟碟上檢查文件系統時，最好不要mount安裝。

註：文件系統被破壞的一般原因是超級塊被損壞，超級塊是文件系統的「頭部」。它包含文件系統的狀態、尺寸和空閒磁牒塊等訊息。如果損壞了一個文件系統的超級塊(例如不小心直接將資料寫到了文件系統的超級塊分區中)，那麼系統可能會完全不識別該檔案系統，這樣也就不能安裝它了，即使 採用e2fsck指令也不能處理這個問題。不過，ext2fs檔案類型的文件系統將超級塊的內容進行了制作備份，並存放於驅動程式的塊組(block group)邊界。可以用如下的指令通知e2fsck使用超級塊的制作備份： # e2fsck -b 8193

它是指文件系統所在的分區，-b 8193選項用於顯示使用存放在文件系統中的8193塊的超級塊的制作備份資料。

3、恢復丟失掉的文件

如果不小心移除了重要的文件，那麼沒有辦法直接恢復。但是還可以將相應的文件從急救盤複製到硬碟上。例如，如果移除了文件/bin/login，此時系統無法正常進到登入界面，可以用急救盤組啟動系統，將硬碟文件系統安裝到/mnt目錄下，然後使用下述指令： #cp -a /bin/login /mnt/bin

「-a」選項用於告訴cp在拷貝時保持文件的訪問權限。 當然如果被移除的基本文件不在「急救盤組」中， 也就不能用這種方法了。如果以前做過系統制作備份的話，那麼也可以用以前的制作備份來恢復。

4.函數庫破壞時的處理方法

如果不小心將系統函數庫文件破壞了，或者破壞了/lib目錄下符號連接，那麼將導致依賴這些庫的指令無法執行。最簡單的解決辦法是用急救盤組啟動系統,在/mnt目錄中安裝硬碟文件系統，然後修復/mnt/lib目錄下的庫。

5、無法用root帳號登入系統

由於系統管理員的疏忽，或者由於系統受到黑客的入侵,系統管理員可能無法用root帳號登入系統。對於第1種情況，可能是系統管理員忘記了root密碼，用急救盤組就可以解決問題。對於第2種情況，由於很可能是密碼被黑客修改了，因此系統管理員無法進入系統，也就是說，Linux系統完全失去了控制，因此應儘快重新獲得系統的控制權。在取得 root權限後，還應檢查系統被破壞的情況，以防被黑客再次入侵。需要做的最主要的工作就是重新設定root的密碼，獲得Linux操作系統的控制權。首先用急救盤組啟動系統，然後將硬碟的文件系統安裝到/mnt目錄下，編輯/mnt/etc/passwd文件，將其對應於root賬戶的一行加密口 令域置空，如下所顯示： root::0:0:root:/root:bin/bash

註：如果系統使用 shadow工具，就需要對文件/etc/shadow進行上述的操作，使root登入系統不需要密碼。這樣，root賬戶就沒有密碼了。當重新從硬碟啟動Linux系統時，就可以用root帳戶登錄(系統不會要求輸入密碼)。進入系統後，再用指令 passwd設定新的密碼。

6、Linux系統不能啟動

一般來說，如果系統管理員不能正常進入系統，就需要考慮使用急救盤組進入急救模式排除系統的故障。但在沒有製作急救盤組的情況下，Linux系統不能啟動，該怎麼辦？

在個人電腦使用 Linux系統時，通常都是Linux和MS Windows 9x或MS Windows NT並存的。

由於重新安裝其他的操作系統，經常會導致原有的Linux不能啟動。這主要是因為，這些操作系統預設為電腦中沒有其他的操作系統，因而改寫了硬碟的硬碟分區表(MBR)，沖掉了Linux的LILO系統啟始程序。

如果有急救盤組，那麼很簡單，用第一張啟動碟啟動硬碟的Linux系統，重新執行LILO指令，就可以將LILO系統啟始程序寫回硬碟的硬碟分區表。再次開機即可。

如果沒有系統啟動碟，怎樣恢復硬碟上的Linux呢？在這種情況下，如果知道Linux在硬碟上的確切安裝分區，且有loadlin程序，就可以重新返回 Linux。loadlin程序是DOS下的程序，執行它可以從DOS下直接啟動Linux，快速進入Linux環境。在 Red Hat Linux 6.0光碟的 dosutil/目錄下就有這個程序。除此之外，還需要一個Linux啟動內核的映像文件。在 Red Hat linux 6.0光碟的 images/目錄下有這個文件——vmlinuz。

例如，在Windows 98系統下面，進入DOS的單用戶模式，然後執行下述的loadlin指令，即可重新進入Linux系統：

loadlin vmlinuz root=/dev/hda8

/dev/hda8是Linux的root文件系統所在的硬碟分區位置。指令執行後，就啟始Linux系統。用root登入後，執行LILO指令，則重新將LILO裝入MBR，回到以前多操作系統並存使用的狀態。

[psac]

Linux與Windows的安全性比較
Linux與Windows的安全性比較

安全問題對於IT管理員來說是需要長期關注的。主管們需要一套框架來對操作系統的安全性進行合理的評估，包括：基本安全、網路安全和傳輸協定，套用傳輸協定、發怖與操作、確信度、可信計算、開放標準。在本文中，我們將按照這七個類別比較微軟Windows和Linux的安全性。最終的定性結論是：目前為止，Linux提供了相對於Windows更好的安全效能，只有一個方面例外（確信度）。

　　無論按照什麼標準對Windows和Linux進行評估，都存在一定的問題：每個操作系統都不止一個版本。微軟的操作系統有Windows98、Windows NT、 Windows 2000、 Windows 2003 Server和Windows CE，而Linux的發行版由於內核（關於2.2、2.4、2.6）的不同和軟體包的不同也有較大的差異。我們本文所使用的操作系統，都是目前的技術而不是那些"古老"的解決方案。

　　用戶需要記住：Linux和Windows在設計上就存在哲學性的區別。Windows操作系統傾向於將更多的功能整合到操作系統內部，並將程序與內核相結合；而Linux不同於Windows，它的內核空間與用戶空間有明顯的界限。根據設計架構的不同，兩者都可以使操作系統更加安全。

　　Linux和Windows安全性的基本改變

　　對於用戶來說，Linux和Windows的不斷更新引發了兩者之間的競爭。用戶可以有自己喜歡的系統，同時也在關注競爭的發展。微軟的主動性似乎更高一些－－這是由於業界"冷嘲熱諷"的"激勵"與Linux的不斷發展。微軟對Windows安全進行改觀，發怖Windows　XP的Service　Pack2。這一服務包增強了Windows的安全性，關閉了原先預設開放的許多服務，也提供了新的修正檔系統管理工具，例如：為了避免受到過多無用的訊息，警告服務和信使服務都被關閉。大多數情況下，關閉這些特性對於增強系統安全性是有好處的，不過很難在安全性與軟體的功能性、靈活性之間作出折衷。

　　最顯著的表現是：微軟更加關注改進可用性的同時增強系統的安全性。比如：2003年許多針對微軟的漏洞攻擊程序都使用可執行文件作為電子郵件的附件（例如MyDoom）。Service Pack2包括一個附件執行服務，為Outlook/Exchange、 Windows Messenger和Internet　Explorer提供了統一的環境。這樣就能降低用戶執行可執行文件時感染病毒或者蠕蟲的威脅性。另外，禁止資料頁的可執行性也會限制潛在的緩衝區溢位的威脅。不過，微軟在Service　Pack2中並沒有修改Windows有問題的架構以及安全傳輸的部分，而是將這部分重擔交給了用戶。

　　微軟的重點顯然是支持應用程式的安全性。Service Pack2中增強的許多方面都是以Outlook/Exchange和Internet Explorer作為對象的。例如：Internet　Explorer中有一個智能的MIME檔案類型檢查，會對目標的內容檔案類型進行檢查，用戶可以獲悉該內容中是否存在潛在的有害程序。不過這一軟體是不是能將病毒與同事的電子資料表區分開來呢？

　　Service　Pack2的另一個新特性是能夠卸載瀏覽器的多餘插件，這需要終端用戶檢查並判斷需要卸載哪些插件。Outlook/Exchange可以預覽電子郵件消息，因此用戶可以在開啟之前就將電子郵件移除。另一個套用安全的增強，防火牆在網路傳輸協定棧之前啟動。對於軟體開發者來說，遠方程序使用中權限的改變，使得安全性差的程式碼難以工作正常。

　　Service　Pack2也為Windows用戶提供了許多華麗的新特性，但是問題仍然存在：這些特性會不會對管理員甚至是終端用戶造成負擔？是不是在增加了Windows操作系統程式碼安全性的同時讓系統變得更加複雜？

　　開放來源碼、共享來源碼

　　Linux和Windows對於程式碼透明度這一哲學問題上是完全不同的。Linux符合GNU通用公用許可證，用戶可以拷貝、複製並分發來源碼。Windows使用的是封閉來源碼，因此微軟的安全方法被稱為"通過隱藏來保證安全"。2001年，微軟為了回應客戶與共享來源碼計劃的要求，提供了對Windows來源碼的訪問權。現在，共享來源碼計劃有一百萬的參與者，可以訪問的來源碼包括Windows2000、WindowsXP、Windows Server2003、Windows CE 3.0、Windows CE 、C#/CLI實現和ASP.NET與Visual Studio.NET。共享來源碼計劃許可證的對象包括公司用戶、政府、合作者、學術機構與個人。

　　微軟的共享來源碼計劃政策屬於"可看但不可修改"，例外的情況是Windows　CE共享來源碼許可證計劃。對於公司來說，可以將關於Windows　CE的設備和解決方案推向市場。這是微軟共享來源碼計劃下，源設備製造商（OEM）、半導體提供商、系統整合商可以完全訪問Windows　CE來源碼的唯一項目。所有許可證持有者都有對來源碼的完全訪問權，當然可以修改程式碼，但只有OEM才能發怖對關於WinCE設備的修改。所有其他的共享來源碼許可證持有者，如果要訪問該項目不允許的來源碼，需要向Redmond.Wash的微軟總部請示。

　　某些用戶認為共享來源碼計劃對於偵錯程序會有說明 ，微軟要求編譯的時候必須在微軟總部，這不得不說是一個很大的限制。儘管微軟想盡力增加透明，如果無法編譯，就很難確定來源碼在真實的IT環境中是否能正常工作。限制用戶修改並編譯Windows的來源碼，降低了人們訪問Windows共享來源碼並尋找安全漏洞的熱情。

　　資料中心和桌面下Linux的安全收益

　　在未來的12個月裡，Linux將加強在資料中心的份額，並試圖衝擊微軟在桌面上的壟斷。這很大程度上是受益於Linux2.6版內核的新特性與新功能。有了Linux　v2.6，安全框架現在已經模組化了。在這種模型下，Linux內核的所有方面都提供了細粒度的用戶訪問控制，而以前的版本的內核允許超級用戶完全控制。現在的實現仍然支持root完全訪問系統，但完全可以新增一個不遵循該模型的Liinux系統。

　　Linux　v2.6內核的一個主要變化，就是新增的Linux安全模組（LSM），用戶不需要打內核修正檔就能為Linux增加更多的安全機制。新版內核，在LSM上建立了多個訪問控制機制，其中包括美國國安局（NSA）的Securiy　Enhanced　Linux（SELinux）。由於國安局對操作系統安全與強制訪問控制的興趣，產生了SELinux。國安局的研究人員正在開發Linux的安全模組，可以支持2.6內核的檔案類型加強、關於腳色的訪問控制、多層次安全。SELinux使用了命為"域檔案類型強制"的安全模型，可以將應用程式互相隔離，同時也與基本的操作系統隔離，從而限制入侵後程序或者網路服務造成的影響。

　　Linux的2.6內核中已經加入了對SELinux的細粒度布爾值標籤的支持，其他的廠商也開始利用國安局的SELinux。例如，Immunix提供了一些列產品，包括StackGuard和子域StackGuard模組，可以組態工作只使用某些系統使用。RedHat聲稱SELinux將在RedHat企業伺服器4.0的安全架構上起重要的作用。

　　今天，Linux的內核中已經有一個功能強大、靈活的強制訪問控制子系統。這個系統強制隔離有機密和完整性要求的資料，因此任何潛在的破壞，即時是由超級用戶工作所造成的，都被Linux系統限制起來了。

　　Linux　v2.6還提供了對加密安全的支持，包括了IPSec使用的加密API。這樣，在網路和儲存於加密時就可以使用多種算法（例如：SHA-1、DES、三重DES、MD4、HMAC、EDE、和Blowfish）。Linux對IPSec　IPv4和IPv6傳輸協定的支持是一個很大的進步。由於安全抽像到了傳輸協定層，用戶程序對潛在攻擊程序的脆弱性有所降低。密碼加密模組目前還不是Linux內核的一部分，如果Linux真的實現了這樣的特性，就可以阻止未簽名的模組被內核訪問。

[psac]

Linux最佳化及安全組態的個人體會
前言：

　　很久沒有寫過文章了，最近收到不少朋友來信，提及了有關最佳化組態和一些新的安全問題，在此我想和大家淺顯討論一下這些問題，有什麼不準確和有更好的方式，請給我來信共同討論提高。

　　在網上看到不少有關linux最佳化方面的好文章，在此我也不贅述這些文章了，我只想從我自己的體會來談談這方面的問題。

　　作為一個系統管理員，我下面說的都是關於伺服器套用的linux來談的，由於個人電腦上使用linux也許不是像伺服器上一樣，優先追求安全和穩定，因此個人電腦使用的朋友只做個參考吧。

　　本文提及的系統，如沒有特別聲明，均採用redhat公司的redhat linux系統。

　　關於最佳化

　　說起最佳化，其實最好的最佳化就是提升硬體的組態，例如提高cpu的運算能力，提高記憶體的容量，個人認為如果你考慮昇級硬體的話，建議優先提高記憶體的容量，因為一般伺服器套用，對記憶體的消耗使用要求是最高的。當然這都是題外話了。

　　這裡我們首要討論的，是在同等硬體組態下（同一台伺服器，不提升硬體的情況下）對你的系統進行最佳化。

　　作為系統管理員，我認為，首先我們要明確一個觀點：在伺服器上作任何操作，昇級和修改任何組態文件或軟體，都必須首要考慮安全性，不是越新的東西就越好，這也是為什麼linux管理感覺上和windows有所不同的地方，windows首先推薦大家去使用它的最新版本軟體和操作系統，其實我個人認為這是一種商業行為，作為從系統管理上來講，這是很不好的，使用新的軟體和系統可能帶來新的問題，有些甚至是致命的。

　　因此，作為管理，我們還是應該考慮穩定的長期使用的軟體版本來作為我們的版本，具體的好處我就不多說了。相信作為管理員的你應該知道的。

　　其實個人使用的linux最直接的一個最佳化就是昇級內核，自己編譯的內核是根據自己的系統編譯而來，將得到最大的效能和最小的內核。

　　但是，伺服器就不太一樣了，當然我們也希望每一台伺服器都是自己手動式編譯的內核，高效而精巧。但是實際和願望是有差距的，試想一下，如果你管理100 來台linux主機，而每一台也許組態都不一樣，那編譯內核的一個程序將是一個浩大工程，而且從實際考慮，工作量大得難以想像。我想你也不會願意做這種事情吧。因此，個人建議，採用官方發怖的內核昇級包是很好的選項。

　　首先，我們對新安裝的系統，將做一系列昇級，包括軟體和內核，這是很重要的步驟。

　　在昇級好所有軟體後，基本的防火牆和組態都做好以後，我們開始最佳化一些細節組態，如果你是老系統，那麼在作本問題及的一些操作和最佳化你系統之前，務必被制作備份所有資料到其他介質。

　　1、虛擬記憶體最佳化

　　首先檢視虛擬記憶體的使用情況，使用指令

　　# free

　　檢視當前系統的記憶體使用情況。

　　一般來說，linux的實體記憶體幾乎是完全used。這個和windows非常大的區別，它的記憶體管理機制將系統記憶體充分利用，並非windows無論多大的記憶體都要去使用一些虛擬記憶體一樣。這點需要注意。

　　Linux下面虛擬記憶體的預設組態通過指令

　　# cat /proc/sys/vm/freepages

　　可以檢視，顯示的三個數位是當前系統的：最小記憶體空白頁、最低記憶體空白頁和最高記憶體空白。

　　注意，這裡系統使用虛擬記憶體的原則是：如果空白頁數目低於最高空白頁設定，則使用磁牒交換空間。當達到最低空白頁設定時，使用記憶體交換（註：這個是我檢視一些資料得來的，具體套用時還需要自己觀察一下，不過這個不影響我們組態新的虛擬記憶體參數）。

　　記憶體一般以每頁4k字元分配。最小記憶體空白頁設定是系統中記憶體數量的2倍；最低記憶體空白頁設定是記憶體數量的4倍；最高記憶體空白頁設定是系統記憶體的6倍。這些值在系統啟動時決定。

　　一般來講在組態系統分配的虛擬記憶體組態上，我個人認為增大最高記憶體空白頁是一種比較好的組態方式，以1G的記憶體組態為例：

　　可將原來的組態比例修改為：

　　2048 4096 6444

　　通過指令

　　# echo "2048 4096 6444" > /proc/sys/vm/freepages

　　因為增加了最高空白頁組態，那麼可以使記憶體更有效的利用。

　　2、硬碟最佳化

　　如果你是scsi硬碟或者是ide陣列，可以跳過這一節，這節介紹的參數調整只針對使用ide硬碟的伺服器。

　　我們通過hdparm程序來設定IDE硬碟，

　　使用DMA和32位傳輸可以大幅提升系統效能。使用指令如下：

　　# /sbin/hdparm -c 1 /dev/hda

　　此指令將第一個IDE硬碟的PCI總線指定為32位，使用 -c 0參數來禁用32位傳輸。

　　在硬碟上使用DMA，使用指令：

　　# /sbin/hdparm -d 1 /dev/hda

　　關閉DMA可以使用 -d 0的參數。

　　更改完成後，可以使用hdparm來檢查修改後的結果，使用指令：

　　# /sbin/hdparm -t /dev/had

　　為了確保設定的結果不變，使用指令：# /sbin/hdparm -k 1 /dev/hda

　　Hdparm指令的一些常用的其他參數功能

　　-g 顯示硬碟的磁軌，磁頭，磁區等參數。

　　-i 顯示硬碟的硬體規格訊息，這些訊息是在開機時由硬碟本身所提供。

　　-I 直接讀取硬碟所提供的硬體規格訊息。

　　-p 設定硬碟的PIO模式。

　　-Tt 評估硬碟的讀取效率和硬碟快取的讀取效率。

　　-u <0或1> 在硬碟存取時，允許其他中斷要求同時執行。

　　-v 顯示硬碟的相關設定。

　　3、其他最佳化

　　關閉不需要的服務，關於系統自動啟動的服務，網上有很多資料，在此我就不贅述了；

　　關於安全

　　1、安全檢查

　　作為一個系統管理員來說，定期對系統作一次全面的安全檢查很重要的，最近遇到一些朋友來信說出現了一些莫名其妙的問題，例如最大的一個問題就是明顯感覺網路服務緩慢，這極有可能是被攻擊的現象。

　　實踐證明，無論是那種系統，預設安裝都是不安全的，實際不管你用windows也好，linux,bsd或其他什麼系統，預設安裝的都有很多漏洞，那怎麼才能成為安全的系統呢，這正是我們系統管理人員需要做的事情。組態組態再組態。

　　任何系統，只要細心的組態，堵住已知的漏洞，可以說這個系統是安全的，其實並非很多朋友說的那樣，安裝了系統，組態了防火牆，安裝了殺毒軟體，那麼就安全了，其實如果對系統不作任何安全性設定，那就等於向黑客敞開一扇紙做的大門，數十分鍾就能完全控制!

　　這並非駭人聽聞。

　　作為linux系統，同樣存在很多漏洞，黑可能利用這些漏洞控制你的整個系統，要防止這些問題，我們需要做以下步驟：

　　1、 昇級系統中所有軟體包的最新版本；

　　2、 設定較為強壯的防火牆；

　　3、 定期檢查關鍵記錄文件，組態殺毒軟體

　　4、 多關心一下發怖安全訊息警告的網站，掌握一些最新的病毒和黑客程序的特點，這些都利於系統的正常運作。

　　這篇文章主要以最佳化為主，為了配合這一主題，安全部分我們只討論一下日常的一些維護工作。

　　除了上面列出的4條是管理員必修之課外，對一些linux系統細節的維護也很重要。

　　包括：

　　1、 組態日誌輪訓工具，定期下載制作備份日誌，是個非常好的習慣，這樣不但能減少日誌的消耗的磁牒空間，提高系統效率，更能及時發現問題，linux下有些很好的系統日誌分析器，能直接抽取日誌中的特殊項目，省去了閱讀日誌的煩惱；

　　2、 使用指令lsof –i ,netstat –a ,ps –e等指令，定期檢查系統服務連接阜監聽等情況，也可製作一個定期執行的指令碼，將這些指令定期執行後發到郵信箱中；

　　3、 定期檢查root用戶的history列表，last列表，vipw用戶列表是否正常；

　　4、 定期備份檔案，用tar指令就能很好的制作備份了，當然需要下載這些制作備份並轉移介質；

　　如一點發現有任何特別的沒見過的情況或連接阜，那麼要引起足夠的重視，切勿因小失大。

　　以上是我對linux系統安全和最佳化的一些淺顯認識，希望大家都能安全高效的使用linux為你的工作生活帶來方便。

[psac]

Linux下Ext2與Ext3文件系統的區別

Ext2: 是 GNU/Linux 系統中標準的文件系統，其特點為存取文件的性能極好，對於中小型的文件更顯示出優勢，這主要得利於其簇快取層的優良設計。其單一文件大小與文件系統本身的容量上限與文件系統本身的簇大小有關，在一般常見的 x86 電腦系統中，簇最大為 4KB, 則單一文件大小上限為 2048GB, 而文件系統的容量上限為 16384GB。但由於目前核心 2.4 所能使用的單一分割區最大只有 2048GB，實際上能使用的文件系統容量最多也只有 2048GB。

　　Ext3:

　　1.Ext3 是一種日誌文件系統，是對ext2系統的擴展。它相容ext2，並且從ext2轉換成ext3並不複雜。

　　用來支持ext3的包都被包含在LFS基本系統裡面了，所以你不用再安裝其他的程式。

　　當編譯內核的時候，確認你編譯了ext3的支持。如果你想在根分區使用ext3系統，你就需要把 ext3支持編譯到內核的內嵌支持。如果不是在根分區使用，編譯成模塊就可以了。

　　編輯/etc/fstab。把每一個你想轉換成ext3的分區的條目改成類似的內容:

　　/dev/hdXX /mnt_point ext3 defaults 1 0

　　在上面的一行中，將 /dev/hdXX 替換成分區，例如 /dev/hda2，把 /mnt_point 替換成你想掛載的位置，例如:/home。最後的 0 保證在啟動的時候這個分區不會被chechfs腳本進行一致性檢查。若想這個分區肯定可以被掛載然後又不太肯定內核支持ext3的話，可以把ext3換成auto。

　　啟動每一個你在 /etc/fstab中改為ext3的分區的日誌，執行:

　　tune2fs -j /dev/hdXX 重新掛載分區或者重起系統(如果你重新編譯了內核)。

　　2.也是在保有目前 ext2 的格式之下再加上日誌功能。目前它離實用階段還有一段距離，

　　ext3是一種日誌式文件系統。日誌式文件系統的優越性在於:由於文件系統都有快取層參與運作，如不使用時必須將文件系統卸下，以便將快取層的資料寫回磁碟中。因此每當系統要關機時，必須將其所有的文件系統全部shutdown後才能進行關機。

　　如果在文件系統尚未shutdown前就關機 (如停電) 時，下次重開機後會造成文件系統的資料不一致，故這時必須做文件系統的重整工作，將不一致與錯誤的地方修復。然而，此一重整的工作是相當耗時的，特別是容量大的文件系統，而且也不能百分之百保證所有的資料都不會流失。

　　為了克服此問題，使用所謂『日誌式文件系統 (Journal File System) 』。此類文件系統最大的特色是，它會將整個磁碟的寫入動作完整記錄在磁碟的某個區域上，以便有需要時可以回朔追蹤。由於資料的寫入動作包含許多的細節，像是改變文件標頭資料、搜尋磁碟可寫入空間、一個個寫入資料區段等等，每一個細節進行到一半若被中斷，就會造成文件系統的不一致，因而需要重整。然而，在日誌式文件系統中，由於詳細紀錄了每個細節，故當在某個過程中被中斷時，系統可以根據這些記錄直接回朔並重整被中斷的部分，而不必花時間去檢查其他的部分，故重整的工作速度相當快，幾乎不需要花時間。

　　另外Linux中還有一種專門用於交換分區的swap文件系統，Linux使用整個分區來作為交換空間，而不像Windows使用交換文件。一般這個SWAP格式的交換分區是主記憶體的2倍。