內核本身也可以看成是壹個“程序”。為什麽內核需要配置文件?內核需要了解系統中用戶和組的列表,進而管理文件權限(即根據權限判定特定用戶(UNIX_USERS)是否可以打開某個文件)。註意,這些文件不是明確地由程序讀取的,而是由系統庫所提供的壹個函數讀取,並被內核使用。例如,程序需要某個用戶的(加密過的)密碼時不應該打開 /etc/passwd 文件。相反,程序應該調用系統庫的getpw() 函數。這種函數也被稱為系統調用。打開 /etc/passwd 文件和之後查找那個被請求的用戶的密碼都是由內核(通過系統庫)決定的。
除非另行指定,Red Hat Linux 系統中大多數配置文件都在 /etc 目錄中。配置文件可以大致分為下面幾類:
訪問文件
/etc/host.conf 告訴網絡域名服務器如何查找主機名。(通常是 /etc/hosts,然後就是名稱服務器;可通過 netconf 對其進行更改。)
/etc/hosts 包含(本地網絡中)已知主機的壹個列表。如果系統的 IP 不是動態生成,就可以使用它。對於簡單的主機名解析(點分表示法),在請求 DNS 或 NIS 網絡名稱服務器之前,/etc/hosts.conf 通常會告訴解析程序先查看這裏。
/etc/hosts.allow 請參閱 hosts_access 的聯機幫助頁。至少由 tcpd 讀取。
/etc/hosts.deny 請參閱 hosts_access 的聯機幫助頁。至少由 tcpd 讀取。
引導和登錄/註銷
/etc/issue & /etc/issue.net 這些文件由 mingetty(和類似的程序)讀取,用來向從終端(issue)或通過 telnet 會話(issue.net)連接的用戶顯示壹個“welcome”字符串。 它們包括幾行聲明 Red Hat 版本號、名稱和內核ID 的信息。它們由 rc.local 使用。
/etc/redhat-release 包括壹行聲明 Red Hat 版本號和名稱的信息。由 rc.local 使用。
/etc/rc.d/rc 通常在所有運行級別運行,級別作為參數傳送。 例如,要以圖形(Graphics)模式(X-Server)引導機器,請在命令行運行下面的命令:init 5。運行級別 5 表示以圖形模式引導系統。
/etc/rc.d/rc.local 非正式的。可以從 rc、rc.sysinit 或 /etc/inittab 調用。
/etc/rc.d/rc.sysinit 通常是所有運行級別的第壹個腳本。
/etc/rc.d/rc/rcX.d 從 rc 運行的腳本(X 表示 1 到 5 之間的任意數字)。這些目錄是特定“運行級別”的目錄。 當系統啟動時,它會識別要啟動的運行級別,然後調用該運行級別的特定目錄中存在的所有啟動腳本。例如,系統啟動時通常會在引導消息之後顯示“entering run-level 3”的消息;這意味著 /etc/rc.d/rc3.d/ 目錄中的所有初始化腳本都將被調用。
文件系統
內核提供了壹個接口,用來顯示壹些它的數據結構,這些數據結構對於決定諸如使用的中斷、初始化的設備和內存統計信息之類的系統參數可能很有用。這個接口是作為壹個獨立但虛擬的文件系統提供的,稱為 /proc 文件系統。很多系統實用程序都使用這個文件系統中存在的值來顯示系統統計信息。例如,/proc/modules 文件列舉系統中當前加載的模塊。lsmod 命令讀取此信息,然後將其以人們可以看懂的格式顯示出來。 下面表格中指定的 mtab 文件以同樣的方式讀取包含當前安裝的文件系統的 /proc/mount 文件。
/etc/mtab 這將隨著 /proc/mount 文件的改變而不斷改變。換句話說,文件系統被安裝和卸載時,改變會立即反映到此文件中。
/etc/fstab 列舉計算機當前“可以安裝”的文件系統。 這非常重要,因為計算機引導時將運行 mount -a 命令,該命令負責安裝 fstab 的倒數第二列中帶有“1”標記的每壹個文件系統。
/etc/mtools.conf DOS 類型的文件系統上所有操作(創建目錄、復制、格式化等等)的配置。
系統管理
/etc/group 包含有效的組名稱和指定組中包括的用戶。單壹用戶如果執行多個任務,可以存在於多個組中。例如,如果壹個“用戶”是“project 1”工程組的成員,同時也是管理員,那麽在 group 文件中他的條目看起來就會是這樣的:user: * : group-id : project1
/etc/nologin 如果有 /etc/nologin 文件存在,login(1) 將只允許 root 用戶進行訪問。它將對其它用戶顯示此文件的內容並拒絕其登錄。
etc/passwd 請參閱“man passwd”。它包含壹些用戶帳號信息,包括密碼(如果未被 shadow程序加密過)。
/etc/rpmrc rpm 命令配置。所有的 rpm 命令行選項都可以在這個文件中壹起設置,這樣,當任何 rpm 命令在該系統中運行時,所有的選項都會全局適用。
/etc/securetty 包含設備名稱,由 tty 行組成(每行壹個名稱,不包括前面的 /dev/),root 用戶在這裏被允許登錄。
/etc/usertty
/etc/shadow 包含加密後的用戶帳號密碼信息,還可以包括密碼時效信息。
/etc/shells 包含系統可用的可能的“shell”的列表。
/etc/motd 每日消息;在管理員希望向 Linux 服務器的所有用戶傳達某個消息時使用。
初學者在使用電腦過程中,肯定會碰到各種各樣的問題:如怎麽管理電腦的自啟動程序、如何查看加載的系統服務、怎樣從安裝光盤提取丟失的系統文件等。為了解決類似問題,微軟在系統中提供了壹個實用工具——系統配置實用程序(Msconfig)。
以系統管理員身份登錄系統後,單擊“開始→運行”輸入“Msconfig”回車後即可啟動系統配置實用程序
下面就結合幾個應用實例來詳細介紹Msconfig的使用(以WinXP為例)。
“壹般”選項不壹般
默認情況下,Windows采用的是正常啟動模式(即加載所有驅動和系統服務),但是有時候由於設備驅動程序遭到破壞或服務故障,常常會導致啟動出現壹些問題,這時可以利用Msconfig的其它啟動模式來解決問題。單擊 “壹般”選項,在“啟動模式”選擇“診斷啟動”,這種啟動模式有助於我們快速找到啟動故障原因。此外,還可以選擇“有選擇的啟動模式”,按提示勾選需要啟動的項目即可。
小提示:診斷啟動是指系統啟動時僅加載基本設備驅動程序如顯卡驅動,而不加載Modem、網卡等設備,服務也僅是系統必須的壹些服務。這時系統是最幹凈的,如果啟動沒有問題,可以依次加載設備和服務來判斷問題出在哪裏。
雖然WinXP具備強大的文件保護功能,不過有時候由於安裝/卸載軟件或誤操作,還是經常會造成系統文件的丟失。壹般重要的系統文件,在系統安裝光盤CAB文件中都可以找到。單擊上圖的“展開文件”,然後在彈出窗口中依次輸入要還原的文件(填入丟失文件名)、還原自(單擊“瀏覽自”,選擇安裝光盤的CAB壓縮文件)、保存文件到(選擇保存文件路徑,WinXP/2000壹般為c:windowssystem32,Win98則為c:windowssystem),最後單擊“展開”,系統會自動解壓CAB文件,將系統文件從安裝光盤提取到電腦。
可以先用系統的SFC命令來掃描系統文件的改動,找出變化的系統文件,命令格式:SFC [/SCANNOW] [/SCANONCE] [/SCANBOOT] [/REVERT] [/PURGECACHE] [/CACHESIZE=x]
/SCANNOW:立即掃描所有受保護的系統文件。
/SCANONCE:下次啟動時掃描所有受保護的系統文件。
/SCANBOOT:每次啟動時掃描所有受保護的系統文件。
/REVERT:將掃描返回到默認設置。
/PURGECACHE:清除文件緩存。
/CACHESIZE=x:設置文件緩存大小。
在電腦應用中經常會看到“權限”這個詞,特別是Windows 2000/XP被越來越多的朋友裝進電腦後,常常會有讀者問,什麽是權限呢?它到底有什麽用?下面我們將用幾個典型實例為大家講解windows中的權限應用,讓妳不僅可以在不安裝任何軟件的情況下,限制別人訪問妳的文件夾、指定用戶不能使用的程序,而且還有來自微軟內部的加強系統安全的絕招。
初識Windows的權限
首先,要完全使用windows權限的所有功能,請確保在應用權限的分區為NTFS文件系統。本文將以windowsXP簡體中文專業版+SP2作為範例講解。
在以NT內核為基礎的Windows 2000/XP中,權限主要分為七大類完全控制、修改,讀取和運行、列出文件夾目錄、讀取、寫入、特別的權限。
其中完全控制包含了其他六大權限.只要擁有它,就等同於擁有了另外六大權限,其余復選框會被自動選中.屬於“最高等級”的權限。
而其他權限的等級高低分別是:特別的權限>讀取和運行>修改>寫入>讀取。
默認情況下,Windows XP將啟用簡單文件***享,這意味著安全性選項卡和針對權限的高級選項都不可用.也就不能進行本文所述的那些權限應用操作了。請右擊任意文件或文件夾.選擇“屬性”,如果沒有看到“安全”選項卡,妳可以通過如下方法打開它。
打開“我的電腦”,點擊“工具→文件夾選項→查看”,接著在然後單擊取消“使用簡單文件***享(推薦)”復選框即可。
實戰權限“正面”應用
以下應用的前提,是被限制的用戶不在Administrators組,否則將可能發生越權訪問,後面反面應用會講到。執行權限設置的用戶至少需要為Power Users組的成員,才有足夠權限進行設置。
實例1:我的文檔妳別看-保護妳的文件或文件夾
假設A電腦中有三個用戶,用戶名分別為User1、User2、User3。Userl不想讓User2和User3查看和操作自己的“test”文件夾。
第壹步:右擊test文件夾並選擇屬性,進入安全選項卡,妳將會看到組或用戶名稱欄裏有Administrators(A\Administrators)、CREATOR OWNER、SYSTEM Users(A\Users)、User1(A\ User1)。他們分別表示名為A電腦的管理員組,創建、所有者組,系統組,用戶組以及用戶User1對此文件夾的權限設置。當然,不同的電腦設置和軟件安裝情況,此欄裏的用戶或用戶組信息不壹定就是和我描述的壹樣.但正常情況下最少將包含3項之壹:Administrators、SYSTEM、Users或Everyone。
第二步:依次選中並刪除Administrators、CREATOR OWNER、SYSTEM、Users,僅保留自己使用的Userl賬戶。在操作中可能會遇到的提示框。
其實只要單擊高級按鈕,在權限選項卡中,取消從父項繼承那些可以應用到子對象的權限項目,包括那些在此明確定義的項目的復選框,在彈出對話框中單擊刪除即可。該操作使此文件夾清除了從上壹級目錄繼承來的權限設置,儀保留了妳使用的User1賬戶。
就這麽輕松,妳就實現了其他用戶,甚至系統權限都無法訪問test文件夾的目的。
★需要註意的是,如果這個文件夾中需要安裝軟件,那麽就不要刪除SYSTEM,不然可能引起系統訪問出錯
★Administrator並不是最高指揮官:妳可能會問,為什麽這裏會有壹個SYSTEM賬戶呢?同時許多朋友認為windows2000/XP中的Administrator是擁有權限最高的用戶,其實不然,這個SYSTEM才具有系統最高權限,因為它是作為操作系統的壹部分工作,任何用戶通過某種方法獲取了此權限,就能淩駕壹切。
實例2:上班時間別聊天-禁止用戶使用某程序
第壹步:找到聊天程序的主程序,如QQ,其主程序就是安裝目錄下的QQ.exe,打開它的屬性對話框,進入安全選項卡,選中或添加妳要限制的用戶,如User3。
第二步:接著選擇完全控制為拒絕,讀取和運行也為拒絕。
第三步:單擊高級按鈕進入高級權限沒置,選中User3,點編輯按鈕,進入權限項目。在這裏的拒絕欄中選中更改權限和取得所有權的復選框。
也可以使用組策略編輯器來實現此功能,但安全性沒有上面方法高。點擊開始→運行,輸入gpedit.msc,回車後打開組策略編輯器,進入計算機設置→windows設置→安全設置→軟件限制策略→其他規則,右擊,選擇所有任務→新路徑規則,接著根據提示設置想要限制的軟件的主程序路徑,然後設定想要的安全級別,是不允許的還是受限制的。
實例3:來者是客--微軟內部增強系統安全的秘技
本實戰內容將需要管理員權限。所謂入侵,無非就是利用某種方法獲取到管理員級別的權限或系統級的權限,以便進行下壹步操作,如添加自己的用戶。如果想要使入侵者進來之後不能進行任何操作呢?永遠只能是客人權限或比這個權限更低,就算本地登錄,連關機都不可以。那麽,他將不能實施任何破壞活動。
註意:此法有較高的危險性.建議完全不知道以下程序用途的讀者不要嘗試.以免誤操作引起系統不能進入或出現很多錯誤。
第壹步:確定要設置的程序
搜索系統目錄下的危險程序,它們可以用來創建用戶奪取及提升低權限用戶的權限,格式化硬盤,引起電腦崩潰等惡意操作:cmd.exe、regedit.exe、regsvr32.exe、regedt32.exe、gpedit.msc、format.com、compmgmt.msc、mmc.exe、telnet.exe、tftp.exe、ftp.exe、XCOPY.EXE、at.exe、cacls.exe、edlin.exe、rsh.exe、finger.exe、runas.exe、net.exe、tracert.exe、netsh.exe、tskill.exe、poledit.exe、regini.exe、cscript.exe、netstat.exe、issync.exe、runonce.exe、debug.exe、rexec.exe、wscript.exe、command.com、comsdupd.exe
第二步:按系統調用的可能性分組設置
按照下面分組.設置這些程序權限。完成壹組後,建議重啟電腦確認系統運行是否壹切正常,查看事件查看器,是否有錯誤信息(控制面板→管理工具→事件查看器)。
(1)cmd.exe、net.exe gpedit.msc telnet.exe command.com
(僅保留妳自己的用戶,SYSTEM也刪除)
(2)mmc.exe、tftp.exe、ftp.exe、XCOPY.EXE、comsdupd.exe
(僅保留妳自己的用戶,SYSTEM也刪除)
(3)regedit.exe、regedt32.exe、format.com、compmgmt.msc、at.exe、cacls.exe、edlin.exe、rsh.exe、finger.exe、runas.exe、debug.exe、wscript.exe、cscript.exe、rexec.exe
(保留妳自己的用戶和SYSTEM)
(4)tracert.exe、netsh.exe、tskill.exe、poledit.exe、regini.exe、netstat.exe、issync.exe、runonce.exe、regsvr32.exe
(保留妳自己的用戶和SYSTEM)
第三步:用戶名欺騙
這個方法騙不了經驗豐富的入侵者,但卻可以讓不夠高明的偽黑客們弄個壹頭霧水。
打開控制面板壹管理工具壹計算機管理,找到用戶,將默認的Administrator和Guest的名稱互換,包括描述信息也換掉。完成後,雙擊假的Administrator用戶,也就是以前的Guest用戶.在其屬性窗口中把隸屬於列表裏的Guests組刪除.這樣.這個假的管理員賬號就成了無黨派人士,不屬於任何組,也就不會繼承其權限。此用戶的權限幾乎等於0,連關機都不可以,對電腦的操作幾乎都會被拒絕。如果有誰處心積慮地獲取了這個用戶的權限,那麽他肯定吐血。
第四步:集權控制,提高安全性
打開了組策略編輯器,找到計算機設置→windows設置→安全設置→本地策略→用戶權利指派,接著根據下面的提示進行設置。
(1)減少可訪問此計算機的用戶數,減少被攻擊機會
找到並雙擊從網絡訪問此計算機,刪除賬戶列表中用戶組,只剩下Administrators;
找到並雙擊拒絕本地登錄,刪除列表中的Guest用戶,添加用戶組Guests。
(2)確定不想要從網絡訪問的用戶,加入到此黑名單內
找到並雙擊拒絕從剛絡訪問這臺計算機,刪除賬戶列表中的Guest用戶,添加用戶組Guests;
找到並雙擊取得文件或其他對象的所有權,添加妳常用的賬戶和以上修改過名稱為Guest的管理員賬戶,再刪除列表中Administrators。
(3)防止跨文件夾操作
找到並雙擊跳過遍歷檢查,添加妳所使用的賬戶和以上修改過名稱為Guest的管理員賬戶,再刪除賬戶列表中的Administrators、Everyone和Users用戶組。
(4)防止通過終端服務進行的密碼猜解嘗試
找到並雙擊通過終端服務拒絕登錄,添加假的管理員賬戶Administrator;找到通過終端服務允許登錄,雙擊,添加妳常用的賬戶和以上修改過名稱為Guest的管理員賬戶,再刪除賬戶列表中的Administrators,Remote Desktop User和HelpAssistant(如果妳不用遠程協助功能的話才可刪除此用戶)。
(5)避免拒絕服務攻擊
找到並雙擊調整進程的內存配額,添加妳常用的賬戶,再刪除賬戶列表中的Administrators
實例4:妳的文檔別獨享——突破文件夾私有的限制
windows XP安裝完成並進入系統時,會詢問是否將我的文檔設為私有(專用),如果選擇了是,那將使該用戶下的我的文檔文件夾不能被其他用戶訪問,刪除,修改。其實這就是利用權限設置將此文件夾的訪問控制列表中的用戶和用戶組刪除到了只剩下系統和妳的用戶,所有者也設置成了那個用戶所有,Administrators組的用戶也不能直接訪問。如果妳把這個文件夾曾經設置為專用,但又在該盤重裝了系統,此文件夾不能被刪除或修改。可按照下面步驟解決這些問題,讓妳對這個文件夾的訪問,暢通無阻。
第壹步:登錄管理員權限的賬戶,如系統默認的Administrator,找到被設為專用的我的文檔,進入其屬性的安全選項卡,妳將會看到妳的用戶不在裏面,但也無法添加和刪除。
第二步:單擊高級按鈕,進入高級權限設置,選擇所有者選項卡,在將所有者更改為下面的列表中選中妳現在使用的用戶,如Userl(A\Userl),然後再選中替換子容器及對象的所有者的復選框,然後單擊應用,等待操作完成。
第三步:再進入這個文件夾看看,是不是不會有任何權限的提示了?可以自由訪問了?查看裏面的文件,復制、刪除試試看.是不是壹切都和自己的壹樣了?嘿嘿。如果妳想要刪除整個文件夾,也不會有什麽阻止妳了。
SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 改3389 的