UNIX系统安全2Windows系统

UNIX系统安全2Windows系统（9篇）

1.UNIX系统安全2Windows系统 篇一

Unix系统的安全等级标准达到C2级，它具有以下安全特征： 1、访问控制 系统通过访问控制表ACL使得用户可以自行改变文件的安全级别和访问权限， 如:-rwxr-xr--1johntest4月9日17：50cm 上面的例子表示文件cm对于用户john来说可读、可写、可执行，对test这个组

Unix系统的安全等级标准达到C2级，它具有以下安全特征：

1、访问控制

系统通过访问控制表ACL使得用户可以自行改变文件的安全级别和访问权限。

如:-rwxr-xr--1johntest4月9日17：50cm

上面的例子表示文件cm对于用户john来说可读、可写、可执行，对test这个组的其他用户只有读和执行的权限，而对除此以外的所有用户只有读的权限。系统管理员可用umask命令为每个用户设置默认的权限值，用户可用chmod命令来修改自己拥有的文件或目录的权限。

2、对象的可用性

当一个对象不再使用时,在它回到自由对象之前,TCB(TrustedComputingBase)将要清除它，以备下次需要时使用。

3、个人身份标识与认证

其目的是为了确定用户的真实身份,在用户登录时它采用扩展的DES算法对输入的口令进行加密，然后把口令的密文与存放在/etc/password中的数据进行比较,如果二者的值完全相同则允许用户登录到系统中，否则禁止用户的登录。

4、审计记录

Unix系统能够对很多事件进行记录，比如：文件的创建和修改以及系统管理的所有操作和其他有关的安全事件(登录失败,以root身份进行登录的情况)，通过这些记录系统管理员就可以对安全问题进行跟踪。

5、操作的可靠性

操作的可靠性是指Unix系统用于保证系统的完整性的能力。Unix系统通过对用户的分级管理，通过对运行级别的划分，以及前面提到的访问控制加之自带的一些工具，能够很好地保证系统操作的可靠性。

Unix的安全体系结构

Unix的安全体系结构可以按照ISO/OSI网络模型的层次结构将它分成七层，如下表所示：

层次名称含义

7Policy安全策略定义、指导

6Personnel使用设备和数据的人员

5LAN计算机设备和数据

4InternalDemark内部区分

3GatewayOSI中第7、6、5、4层的功能

2Packet-FilterOSI中第3、2、1层的功能

1ExternalDemark外部连接

1、Policy(策略层)

在这一层中，主要定义了一个组织的安全策略，包括安全策略的需求分析、安全方针的制定，也包括了高层次定义的允许的安全风险以及下层的如何配置设备及过程。

2、Personnel(用户层)

本层定义了Unix的安装、操作、维护和使用以及通过其他方法访问网络的人员。从广义上讲,对Unix多用户环境下的应用进程也应算在其中。此层的安全策略应该反映出用户对总体系统安全的期望值。

3、LAN(局域网层)

它定义用户的安全程序要保护的设备和数据，包括计算机互联的设备。如：路由器、单一的Unix主机等。

4、InternalDemark(内部区分层)

这一层定义了用户如何将局域网连接到广域网以及如何将局域网连接到防火墙上。

5、Gateway(嵌入的Unix网关层)

本层定义了整体平台包括第四层的网络接口以及第三层的路由器。它用于为广域网提供防火墙服务。

6、Packet-Filter(包过滤层)

它对应于OSI的第一层到第三层,本层不仅提供第一层的物理连接，更主要的是根据安全策略,通过用户层的进程和包过滤规则对网络层中的IP包进行过滤。一般的包过滤算法是采用查规则表来实现的,它根据“条件/动作”这样的规则序列来判断是前向路由还是扔包。

7、ExternalDemark(外部连接层)

它定义用户系统如何与设备、电话线路或其他用户不能直接控制的媒介进行连接。完整的用户安全策略应包括这一部分，因线路本身可能允许非授权访问。

Unix系统不安全的因素

尽管Unix系统有比较完整的安全体系结构，但它仍然存在很多不安全的因素，主要表现在以下几个方面：

1、特权软件的安全漏洞

程序员在编写特权代码或suid代码时，如果没能确保用户对程序执行环境的完全控制，或者对所有返回的错误状态没能给予适当的处理，导致入侵者控制程序的运行环境，使得用户的程序出现不可预期的结果，从而威胁系统的安全。

2、研究源代码的漏洞

由于一些程序本身存在着安全漏洞(如缓冲区溢出)，入侵者往往通过这些漏洞来对系统进行攻击，

3、特洛伊木马

特洛伊木马与用户一般要执行的程序从表面上(如文件名等)看很相似，实际上却完成其他的操作，如删除文件、窃取密码和格式化磁盘等，到用户发现时，为时已晚。

4、网络监听及数据截取

计算机安全面临的另一个重要威胁是计算机之间传输的数据可以很容易地被截取。由于异种机的互连，敏感数据传输处于系统的控制之外，有许多现成的软件可以监视网络上传输的数据。

5、软件之间相互作用和设置

由于大型系统软件通常由很多人共同协作完成因此无法准确预测系统内每个部分之间的相互作用。例如/bin/login,它可接收其他一些程序的非法参数，从而可使普通用户成为超级用户。另一方面，系统软件配置的复杂性，以至简单的配置错误可能导致不易觉察的安全问题。

安全管理

Unix系统安全包括物理安全和逻辑安全，因此与其相对应有物理安全的管理和逻辑安全的管理，下面只针对Unix逻辑安全的管理，从三个方面对此进行论述。

1、防止未授权存取

防止未授权的人进入系统，这是Unix安全管理最重要的问题。新版Unix提供了专门的鉴别系统，如SUNSolaris使用DES密码机构和公共关键字密码,该系统极大地提高了网络环境的安全性。要使Unix鉴别机制更充分地发挥作用，必需加强用户的安全意识和良好的口令管理，进行用户和网络活动的周期检查。

2、防止泄密

就是防止已授权或未授权用户间相互存取或交换对方的重要信息，如用户文件及各种日志文件(如各种log文件)。为此，必须加强对重要文件的访问控制和管理，对系统文件和其他重要文件(如用户root的文件)的属性一定要作安全设置。

3、防止用户拒绝系统的管理

Unix系统不应被一个有意试图使用过多资源的用户损坏。由于Unix不能很好地限制用户对资源的使用，因此，系统管理员需要用ps、df和du命令周期性地检查系统，以便能够查出过多占用CPU资源的进程和大量占用磁盘空间的文件和用户。

保障Unix安全的具体措施

针对比较突出的安全问题，提出了下面一些具体的措施。

1、防止缓冲区溢出

据统计，约100%的安全问题来自缓冲区溢出。攻击者通过写一个超过缓冲区长度的字符串，然后植入到缓冲区，可能会出现两个结果，一是过长的字符串覆盖了相邻的存储单元，引起程序运行失败，严重的可导致系统崩溃;另有一个结果就是利用这种漏洞可以执行任意指令，甚至可以取得系统root特级权限。一些版本的Unix系统(如Solaris2.6和Solaris7)具备把用户堆栈设成不可执行的功能，以使这种攻击不能得逞。以下是让这个功能生效的步骤：

1)变成root

2)对/etc/system文件做个拷贝cp/etc/system/etc/system.BACKUP

3)用编辑器编辑/etc/system文件

4)到文件的最后，插入以下几行：

setnoexec_user_stack=1

setnoexec_user_stack_log=15

5)保存文件，退出编辑器后，重启机器，以使这些改变生效。可能有些合法使用可执行堆栈的程序在做如上改变后不能正常运行，不过这样的程序并不多。

2、在.netd.conf中关闭不用的服务

Unix系统中有许多用不着的服务自动处于激活状态。它们中可能存在的安全漏洞使攻击者甚至不需要账户就能控制机器。为了系统的安全，应把该关的功能关闭，该限制的文件限制访问权限。可以用如下方法来关闭：

1)变成root

2)备份inetd的配置文件/etc/inetd.conf

cp/etc/inetd.conf/etc/inetd.conf.BACKUP

3)编辑/etc/inetd.conf文件

以“#”符号注释掉不需要的服务，使其处于不激活的状态。在确实需要很高安全的机器上，最好注释掉telnet和ftp，即使要使用此两项服务，也要对使用情况进行限制，如用TCPWrapper对使用telnet或ftp的IP地址进行限制。

4)在改变/etc/inetd.conf后，找到inetd进程的id号，用kill向它发送HUP信号来刷新它。一定要确保kill了inetd进程后，它还在运行。

3、给系统打补丁

Unix系统被发现的漏洞，几乎都有了相应的补丁程序。因此，系统管理员需对系统漏洞做及时的修补。软件公司都会定期提供补丁。

4、重要主机单独设立网段

从安全角度考虑，经常做telnet、ftp等需要传送口令的重要机密信息应用的主机应该单独设立一个网段,以避免某一台个人机被攻破，被攻击者装上sniffer,造成整个网段通信全部暴露。

5、定期检查

定期检查系统日志文件，在备份设备上及时备份。定期检查关键配置文件(最长不超过一个月)。

重要用户的口令应该定期修改(不长于三个月)，不同主机使用不同的口令。

[b:82f0f4736e][/b:82f0f4736e]

liugr3988 回复于：-05-16 19:49:18好文章，支持

纳兰婷 回复于：2004-05-16 20:35:06装上sniffer,造成整个网段通信全部暴露。有这么可怕

原文转自：www.ltesting.net

2.UNIX系统安全2Windows系统 篇二

(一) 用户账号

用户账号就是用户在Unix系统上的合法身份标志, 其最简单的形式是用户名/口令。在Unix系统内部, 与用户名/口令有关的信息存储在/etc/passwd文件中, 一旦当非法用户获得passwd文件时, 虽然口令是被加密的密文, 但如果口令的安全强度不高, 非法用户即可采用“字典攻击”的方法枚举到用户口令, 特别是当网络系统有某一入口时, 获取passwd文件就非常容易。

(二) 文件系统权限

Unix文件系统的安全主要是通过设置文件的权限来实现的。每一个Unix文件和目录都有18种不同的权限, 这些权限大体可分为3类, 即此文件的所有者、组和其他人的使用权限, 如只读、可写、可执行、允许SUID和SGID等。需注意的是, 权限为允许SUID, SGID和可执行文件在程序运行中, 会给进程赋予所有者的权限, 若被入侵者利用, 就会留下隐患, 给入侵者的成功入侵提供了方便。

(三) 日志文件

Unix中比较重要的日志文件有以下3种。

1./usr/adm/lastlog文件。

此文件用于记录每个用户最后登录的时间 (包括成功和未成功的) , 这样用户每次登录后, 只要查看一下所有账号的最后登录时间就可以确定本用户是否曾经被盗用。

2./etc/utmp和/etc/wtmp文件。

utmp文件用来记录当前登录到系统的用户, Wtmp文件则同时记录用户的登录和注销。

3./usr/adm/acct文件。此文件用于记录每个用户运行的每条命令, 通常我们称之为系统记账。

二、UNIX系统和安全防范

金融系统应用的Unix网络系统一般均采用客户/服务器方式。系统前台客户机运行并向后台系统发出请求, 后台服务器为前台系统提供服务, 系统功能由前后台协同完成, 典型的应用如:前台运行银行界面输入输出、数据校验等功能, 后台实现数据库查询等操作。由于Unix系统设计基于一种开放式体系结构, 系统中紧密集成了通信服务, 但存在一定程度的安全漏洞, 容易受到非法攻击, 通过多年的实践证明, 加强安全防范, 特别是针对一些可能的网络攻击采取一定的安全防范措施, Unix网络系统的安全性就可以大大提高。

(一) 网络攻击类型

1. 猛烈攻击 (Brute-force Attack) 。

此攻击的目标是为破译口令和加密的信息资源, 当试图入侵者使用一个高速处理器时, 便可试用各种口令组合 (或加密密钥) , 直到最终找到正确的口令进入网络, 此法通常称之为“字典攻击”。

2. 社会工程攻击 (Social-engineering Attack) 。

此攻击也是最难防备的一种攻击方式。网上黑客通常扮成技术支持人员呼叫用户, 并向用户索要口令, 而后以用户的身份进入系统。这是一种最简单同时也是最有效的攻击方式。

3. 被动攻击 (Passive Attack) 。

非法用户通过探测网络布线等方法, 收集敏感数据或认证信息, 以备日后访问其他资源。

4. 拒绝服务 (Denial-of-Service) 。

此攻击的目的通常是指试图入侵网络者采用具有破坏性的方法阻塞目标网络系统的资源, 使网络系统暂时或永久瘫痪。如入侵者使用伪造的源地址发出TCP/IP请求, 阻塞目标网络系统的资源从而使系统瘫痪。

(二) 网络安全防范策略

网络系统的攻击者可能是非法用户, 也可能是合法用户, 因此, 加强内部管理、防范与外部同样重要。可实施以下策略进行防范。

1. 加强用户权限管理。

为了保护Unix系统资源安全, 即使是对合法用户也必须采用最小权限法, 即给每个用户只授予完成特定任务所必需的系统访问权限。通常可以采用给每一个用户建立请求文件和资源访问许可权的程序, 给定每个用户要处理的任务权限及任务的持续时间等。

2. 加强用户口令管理和更新。

口令通常是较容易出现问题的地方, 即使口令被加密, 也容易在非法入侵者的“猛烈攻击”下被攻破。金融系统通常是一个群体工作环境, 工作中经常存在各种授权, 银行的柜台活动也处在电视监控之下, 口令泄露机会较多。因此, 一方面要强制使用安全口令 (使用非字母字符、大小写字母混用、规定口令最小长度不得少于6位数、最好8位数、使用强加密算法等) ;另一方面系统管理员要主动定期使用口令检查程序 (如:Crack) 对口令文件进行检查, 若口令不合乎安全规范, 则需及时更换口令。还可以采用一定的技术手段, 增加“字典攻击”的难度, 如改变口令加密算法中的加密参数, 然后加密口令, 这样除非攻击者同样改变了此参数, 否则就得不到正确的口令。加强监控室及监控录象带的管理, 对各类授权活动最好采用刷卡方式进行。

3. 设置防火墙。

将网络系统内部分为多个子网, 分级进行管理, 这样可以有效地阻止或延缓入侵者的侵入。通常防火墙设置在内部网络与外部网络的接口处, 防火墙从功能和实现机制上分为数据包过滤、代理服务器两大类, 两者在安全防护上各有特点, 因此, 一个比较完善的防护隔离体系就是将两种防火墙结合起来, 形成屏蔽子网体系结构, 此举可大大提高内部网络的安全系数。但是, 防火墙只能防护外部网络对内部网络的攻击, 无法防护由内部网络发起的攻击或者拥有合法访问权限的内部人员从外部发起的攻击, 并且防火墙无法防护内外网络之间有其它不通过防火墙的通路。总之, 防火墙需要与其他机制配合才能适应新的威协。

4. 建立实时监视系统。

使用ISS的Real Secure实时监控系统对网络系统的运行过程进行实时监视和审计, 对内部或外部黑客的侵入及一些异常的网络活动能够实时地进行识别、审计、告警、拦截。Real Secure还能和防火墙产品配合, 及时切断“黑客”与信息系统的连接, 形成一个动态的安全防护体系。ISS软件信息可访问http://www.iss.net。

5. 定期对网络进行安全漏洞检测。

网络安全是千变万化的, 所以保护措施也应该是动态的, 没有固定的模式可循, 作为Unix系统的管理人员, 也要尝试定期对网络服务器进行攻击测试, 这样既可以分析和探索试图入侵者的攻击思路, 同时又可以及时发现系统安全保护机制中的潜在问题, 及时进行有效防范。

6. 制定相应的灾难恢复计划。

没有一种安全策略是十全十美的, 因此根据可能发生的情况制定相应的灾难恢复计划是非常有必要的。一是定时对网络系统上各个计算机的系统文件、数据库文件进行备份。二是对网络系统和通信系统备份, 在系统万一遇到恶意攻击、软件故障、硬件故障、用户错误、系统管理员错误等灾难后, 可以及时采取相应的对策, 恢复系统的正常运行, 尽可能将损失减少到最小程度。

(三) 加强网络系统服务的安全手段和工具

1. 直接配置检查。

使用COPS (Computer Oracle Password and Seurity System) 从系统内部检查常见的UNIX安全配置错误与漏洞, 如关键文件权限设置、ftp权限与路径设置、root路径设置、口令等等, 指出存在的失误, 减少系统可能被本地和远程入侵者利用的漏洞。COPS软件信息可访问http://www.jordanpan@163.net。

2. 使用记录工具记录所有对Unix系统的访问。

大多数现成的Unix应用系统可以通过Syslog来记录事件, 这是Unix系统提供的集中记录工具。通过每天扫描记录文件/var/adm/messaged, 并可通过配置Syslog, 把高优先级的事件及时传送给系统安全员处理。另一个有用工具是TCP Wrappers, 应用此软件可以解决Unix网络系统安全监视和过滤问题, 本软件将所有TCP连接试图 (无论成功与否) 都记录到一个文本文件里, 文本文件具体内容包括请求的源地址、目的地址、TCP端口和请求时间等。通过监视TCP Wrappers记录, 查看所有未遂连接试图, 并可以通过配置, 由TCP Wrappers来根据某些因素, 如源或目的TCP端口、IP地址等接受或者拒绝TCP连接。TCP Wrappers软件下载地址为ftp://ftp.win.tue.nl/pub/security。

3. 远程网络登录服务。

此服务是我们使用最频繁的, Unix系统提供了telnet和ftp远程登录, 当使用telnet或ftp登录时, 用户名和口令是明文传输的, 这就可能被网上其他用户截获。入侵者也经常使用telnet或ftp对网络系统发动“猛烈攻击”。入侵者可较容易地编写一个脚本, 通过破译不同的口令来试图和远程服务器建立连接, 而telnet精灵进程在多次连接试图失败之后会产生一定的延迟, 延迟时间和未遂的注册次数成正比, 从而防止入侵。还有一种加强telnet或ftp服务口令安全的方法, 就是每次使用不同的密码, 这可通过S/KEY工具实现。S/KEY系统建立在一次性用户口令的基础上, 生成一系列口令, 用户可以使用这些口令与Unix服务器进行远程访问, 且不需要特殊的客户机软件。S/KEY的认证算法使得入侵者无法预测用户下一个口令的内容。由于ftp功能与telnet类似, 为此可以修改/etc/ftpusers文件, 指定不允许通过ftp进行远程登录的用户。使用匿名ftp服务, 任何人都可以随意注册下载或上载文件, 如果不需要匿名ftp服务, 可以把username ftp从/etc/passwd文件里删除掉;如果必须提供匿名ftp服务, 可以把它安装在本网络之外被称为停火区 (DMZ) 的服务器中。同时, 我们建议使用安全的远程访问工具SSH, 其安全性强于telent和ftp。SSH具有强力远程主机认证机制, 可以有效降低入侵者通过DNS或者IP地址欺骗手段模仿客户机的可能性, 同时SSH还支持多种端到端的加密协议, 如DES, Triple-DES, IDEA和Blowfish等, 从而更有利于保证整个通信系统的安全。使用SSH时应禁止使用telnet, ftp和rlogin服务。S/KEY信息可访问http://yak.net/skey。

4. NFS (Network File System) 服务。

此服务允许工作站通过网络系统共享一个或多个服务器输出的文件系统。早期的NFS协议使用RPC (Remote Procedure Call) 进行客户机与服务器数据交换, 由于用户不经登录就可以阅读或更改存储在NFS服务器上的文件, 使得NFS服务器很容易受到攻击。为了确保基于Unix系统的所有NFS服务器均支持Secure RPC, Secure RPC使用DES加密算法和指数密钥交换技术验证每个NFS RPC请求的身份。当用户登录到某台工作站时, login程序从NIS (Network Information System) 数据库中获得一个包含用户名、用户公钥以及用于用户口令加密的用户私钥3项内容的记录 (在Secure RPC4.1以上版本中, 私钥被保存在内存中的Keyserver进程中) , 而工作站和服务器用自已的私钥和对方的公钥产生一个Session Key。随后工作站产生一个56位随机Conversation Key, 用Session Key加密后传给服务器, 登录时均使用Conversation Key进行加密。在数据传输过程中, 服务器通过以下推理确认用户身份是否合法。首先用户传送的包是用Conversation Key加密的;其次只有知道用户的私钥才能产生Conversation Key;最后必须知道口令才能解开加密的私钥。使用NFS还应注意以下几点:尽可能以只读方式输出文件系统;只将必须输出的文件系统输出给需要访问的客户, 不要输出本机的可执行文件, 或仅以只读方式输出;不要输出所有人都可以写的目录;不要输出用户的home目录;将所有需要保护的文件的owner设为root, 权限均设为755 (或644) , 这样即使工作站上的root帐号被攻破, NFS服务器上的文件仍能受到保护;可使用fsirand程序, 增加制造文件句柄的难度。

5. NIS (Network Information System) 服务。

这是一个分布式数据系统, 计算机用它能够通过网络共享passwd文件、group文件、主机表和一些类似的资源。通过NIS和NFS, 整个网络系统中所有工作站的操作就好象在使用单个计算机系统, 而且其中的过程对用户是透明的。但在NIS系统中, 用户可以编写程序模仿ypserv来响应ypbind的请求, 从而获取用户的口令。因此, NIS客户最好使用ypbind的secure选项, 不接受非特权端口 (即端口号小于1 024) 的ypserv响应。

6. finger服务。

通常使用finger命令是为了查看本地或远程网络系统中当前登录用户的详细信息, 但同时也为入侵者提供了成功入侵系统的机会。所以, 最好禁止使用finger。

三、结束语

只有针对Unix网络系统存在的漏洞采取相应的安全保护措施, 才能遏制金融计算机犯罪率。但在客观上要完全消除Unix网络系统的安全隐患非常困难, 一是因为Unix系统本身是一种非常复杂的系统, 二是因为Unix系统数年来在各领域的广泛使用, 使得它成为被研究得最透彻的系统之一。

3.UNIX系统安全2Windows系统 篇三

安全及日志管理

作为一个系统管理员，必须要能对系统事故找到故障原因，这就涉及到必须对系统的各项日志进行察看分析。在NT中是使用AdministrativeTools菜单中EventViewer查看系统的SYSTEM、SECURITY、APPLICATION日志文件。对Netware而言，错误日志是SYS$LOG.ERR文件，通过syscon菜单中supervisoroptions下viewfileservererrorlog观察记录，另外文卷错误日志文件是各文卷中的VOL$LOG.LOG以及事务跟踪处理系统错误日志文件SYS:文卷中的TTS$LOG.ERR文件;UNIX中各项日志包括/usr/adm目录下的系统错误登记文件message、使用su命令的记录文件sulog、每个用户记录上次注册时间的登记文件lastlog、系统中注册用户的有关信息文件wtmp、每个用户所执行命令的内容项文件aclearcase/” target=“_blank” >cct以及/etc目录下当前注册用户的有关信息文件utmp和其他应用程序产生的日志文件。对于其中的一些日志文件，可以采用who或w命令查看当前系统的登录使用者(XENIX系统中还可以用whodo命令确定当前用户的行为);last命令查看以前的登录情况，这些命令都可以合并使用grep进行条件控制选择过滤;用find查看文件及其属主，特别监控具有根访问权的进程及文件以及检查开机文件/etc/.netd.conf、/etc/rc.local、/etc/passwd和corn或at运行的文件，并用corntab-l与corntab-r命令对用户的corntab文件进行列出与删除管理;使用ls-lR生成主检查表，并定期生成新表，使用diff命令进行比较，并使检查通过的新表成为新的主检查表，直到下一次检查为止，

个人强烈建议在inetd.conf中注释掉所有的r打头的命令文件，以及去掉/etc/hosts.equiv中的所有项并不允许用户设立个人的.rhosts文件，使可信主机不予设立或为空以加强系统的安全。

系统进程管理

在UNIX中，系统报告命令包括df用来报告自由磁盘块数;du用来总结磁盘使用状况;nice用来改变某个命令所设优先权;Pstat用来报告系统信息，如节点表或进程表;sar用来报告系统的活动状态如CPU的使用和缓冲区的活动状况;time用来打印过去的时间、系统时间以及命令的执行时间;uptime用来报告系统的活动状况，如系统启动时间及已运行时间;vmsfat用来报告页数及系统统计数字，如分支点的情况。BSDUNIX中的ps-aux或systemV中的ps-ef以及LINUX中的psaux用来查看进程状态及其宿主，并使用kill命令及时停止不正常的进程。在NT中则使用TaskManager查看cpu和内存的使用情况，进行进程管理，另外也使用performancemonitor进行状态监控，以及时做出调节。值得注意的是，随着网络应用的扩大，病毒成为对网络安全的一大威协。为此，在网络上安装病毒检测和清除工具已经成为网络管理必须要做的。

4.UNIX系统安全2Windows系统 篇四

cobrawgl.blogchina.com/blog/article_54082.198431.html

www.cnfug.org/journal/archives/000056.html

本文简要介绍了我 make world 的过程。

在 /usr/share/examples/cvsup/ 下

standard-supfile 是用来升级到 current 版本的. 不建议用来做工作平台.

stable-supfile 是用来升级到 stable 版本的. 建议选用.

首先, 编辑了 /usr/share/examples/cvsup/stable-supfile

修改 *default host=CHANGE_THIS.FreeBSD.org

为 *default host=cvsup.FreeBSD.org

当然, 也可以选择别的 mirrors. 可是,主站的 src 是最新的啊, 呵呵.

然后, 修改 tag 选项.

# change “RELENG_4” to “RELENG_3” or “RELENG_2_2” respectively.

*default release=cvs tag=RELENG_4

这里, 因为我用的是 5.2.1, 所以改成

*default release=cvs tag=RELENG_5_2

cvsup ...

# cd /usr/src/

# cvsup -g -L 2 /usr/share/examples/cvsup/stable-supfile

build world

# pwd

/usr/src

# make buildworld

build kernel

# pwd

/usr/src

# make buildkernel KERNCONF=GENERIC

当然, 你也可以自己编辑一个内核配置文件来替换 GENERIC.

现在 make installkernel, make installworld

# pwd

/usr/src

# make installkernel KERNCONF=GENERIC

# mergemaster -cv

# make installworld

# shutdown -r now

mergemaster 的时候, 你根据提示做就可以了

“d” 是删除. “i”是安装. “m”是合并. 一般, 选 “i” 就可以了.

顺带着又 cvsup 了 ports, 使用的是 ports-supfile

方法和前面一样:

修改 *default host=CHANGE_THIS.FreeBSD.org

为 *default host=cvsup.FreeBSD.org

# cd /usr/ports/

# cvsup -g -L 2 /usr/share/examples/cvsup/ports-supfile

cvsup 完了后, 要记得

# portsdb -uU

++++++++++++++++++++++++++++++++++++++

关于 proxy user 的补充

Login: proxy

Password: *

Uid [#]: 62

Gid [# or name]: 62

Change [month day year]:

Expire [month day year]:

Class:

Home directory: /nonexistent

Shell: /usr/sbin/nologin

Full Name: Packet Filter pseudo-user

#makebuildworld

#makebuildkernel

#makeinstallkernel

# reboot

您应该启动到单用户模式下(例如从启动提示符处使用 boot -s)，

然后执行：

# mergemaster -p

#makeinstallworld

# mergemaster

# reboot

5.[复习] ln用法Unix系统 篇五

第一部分：

建立简单的硬连接:ln ./wwy.gif ./wwy_ln(第二个参数为新建的连接文件，建立前不存在)，则任意一个文件变化，另一个也变化;大小为一个文件的大小;硬连接只能建在同一个分区中(目录任意)

-s 参数建立符号链接: ln -s /home/wwy/wwy.gif /home/wwy/wwy_ln(第二个参数为新建的连接文件，建立前不存在)，建立时一般用绝对路径，避免文件位置变化，造成链接失效;可以给目录建立符号链接，也可以将文件的符号链接指到已存在的目录，那样会在目录中生成一个同名的符号链接文件，但是路径的相对路径

第一部分：

建立简单的硬连接:ln ./wwy.gif ./wwy_ln(第二个参数为新建的连接文件，建立前不存在)，则任意一个文件变化，另一个也变化;大小为一个文件的大小;硬连接只能建在同一个分区中(目录任意)，不能给目录建立硬连接，如果给文件建立硬链接时指向了一个已存在的目录，则在该目录中生成一个链接文件

试验：假设文件的大小为29mb

ls -il 命令察看节点号，wwy_ln 与 wwy.gif 相同;

du -sh 命令察看这两个文件的空间占用，是一个文件的大小，即29mb;

mv 命令将二者中的一个，移到同一个分区的另一个目录，如../2 目录，用du -sh察看../2的大小为29mb，但硬盘占用没有变大

mv 命令将二者之一移到其他分区， 则连接效应消失，节点号变化，相当于“cp”出一个新的文件

2.-s 参数建立符号链接: ln -s /home/wwy/wwy.gif /home/wwy/wwy_ln(第二个参数为新建的连接文件，建立前不存在)，建立时一般用绝对路径，避免文件位置变化，造成链接失效;可以给目录建立符号链接，也可以将文件的符号链接指到已存在的目录，那样会在目录中生成一个同名的符号链接文件，但是路径的相对路径

试验：略

6.UNIX系统安全2Windows系统 篇六

bbs.chinaunix.net/forum/viewtopic.php?t=218853&show_type=new(+三问)

假如我需要在 command line 中⑦@些保留字元的功能P]的，就需要 quoting 理了，

在 bash 中，常用的 quoting 有如下三N方法：

* hard quote： (我)，凡在 hard quote 中的所有 meta. 均被P]。

* soft quote： ” “ (p引)，在 soft quoe 中大部份 meta. 都被P]，但某些t保留(如 $ )。(]二)

* escape ： (反斜)，只有o接在 escape (跳字符)之後的我 meta. 才被P]。

( ]二：在 soft quote 中被豁免的具w meta. 清危我不完全知道，

有待大家a充，或透^作戆lF及理解。 )

7.UNIX系统安全2Windows系统 篇七

—全面备份

—部分备份

—递增性备份

•一般建议

—使用shell命令文件，自己编写备份的命令文件

—在恢复文件之前，一定要练习一番

—记录你的备份和恢复的过程，以免今后的回忆和猜测

•磁带机的安装

—modify/kernel/drv/st.conf

—touch/reconfigure

—sync

—reboot

•/dev/rmt/0

•磁带机的控制

—mtrewind

—mtfsf2

—mtstatus

•Tar进行系统备份

—#tarcvf/dev/rmt/0*.doc (ortarcv*.doc)

—#tarrvf/dev/rmt/0junk

—#tartvf/dev/rmt/0

—#tarxvf/dev/rmt/0filename

—#tarcv-Iin-tape

—多个逻辑文件共存(mtfsf;tar)

—GNUtar和Solaristar

•使用dump(Linux)、ufsdump(Solaris)来备份

•dump出来的东西用restore来恢复

•ufsdump出来的东西用ufsrestore来恢复

unix系统命令

•文件和目录管理命令

—cd,rmdir,rm,ls,find,mkdir,mv,cp,more,cat

•文本处理命令

—grep,egrep,fgrep,diff

•系统状态命令

—date,du,df,kill,ps,pwd,who

Vi文本编辑器

•两种模式

—命令模式和输入模式

—最后行命令方式

•从命令模式转到输入模式

—a,i,A,I

•从输入模式转到命令模式

—ESC

•最后行命令方式

—先输入“:”

8.常用文件重定向命令Unix系统 篇八

常用文件重定向命令

command >filename 把把标准输出重定向到一个新文件中

command >>filename 把把标准输出重定向到一个文件中(追加)

command 1 >fielname 把把标准输出重定向到一个文件中

command >filename 2>&1 把把标准输出和标准错误一起重定向到一个文件中

command 2 >filename 把把标准错误重定向到一个文件中

command 2 >>filename 把把标准输出重定向到一个文件中(追加)

command >>filename 2>&1 把把标准输出和标准错误一起重定向到一个文件中(追加)

command < filename >filename2 把command命令以filename文件作为标准输入，以filename2文件作为标准输出

command < filename 把command命令以filename文件作为标准输入

command << delimiter 把从标准输入中读入，直至遇到delimiter分界符

command <&m 把把文件描述符m作为标准输入

command >&m 把把标准输出重定向到文件描述符m中

command <&- 把关闭标准输入

9.ports工具Unix系统 篇九

使用BSD的ports，常见的问题是，想在安装之前知道当前软件及其依赖软件都有什么选项，pkg-message文件中有什么安装说明，而一个一个查看又太费劲;另一个问题是，想快速的删除那些build-depend和删除软件遗留的无用被依赖软件。

因此写了三个工具ports-tools.tar.bz2。其中grep-defines.rb用于列出当前软件及其依赖软件的可定义项，grep-messages.rb用于列出当前软件及其依赖软件的安装说明，pkg-delete.rb用于辅助pkg_info进行包的快速删除。

使用方法或示范：

grep-defines.rb：grep-defines.rb x11-wm/xfce4

grep-messages.rb：grep-messages.rb x11-wm/xfce4

pkg-delete.rb：首先用pkg_info > pkglist的方式得到pkg列表，编辑之，将需要保留地pkg行删掉(ee中ctrl+k即可)，然后pkg-delete.rb pkglist即可，

因为没有使用分析makefile的方式，而只是简单的字符串分析，所以针对某些ports项，grep-*.rb可能会出错，欢迎将错误信息反馈给我。

另：如您的ports数据不在/usr/ports，请修改源文件中Port_base至符合您的情况;而且必须在当前目录运行，因为pt-common.rb文件不在ruby的lib目录中……