Linux组成

Linux: kernel+rootfs
kernel: 进程管理、内存管理、网络管理、驱动程序、文件系统、安全功能
rootfs:程序和glibc
库：函数集合, function, 调用接口（头文件负责描述）
程序：二进制执行文件
内核设计流派：
单内核(monolithic kernel)：Linux
把所有功能集成于同一个程序，分层实现不同功能，系统庞大复杂
微内核(micro kernel)：Windows, Solaris
每种功能使一个单独子系统实现，将内核功能移到用户空间，性能差

CentOS6启动流程

CentOS6启动流程

1.加载BIOS的硬件信息，获取第一个启动设备
2.读取第一个启动设备MBR的引导加载程序(grub)的启动信息
3.加载核心操作系统的核心信息，核心开始解压缩，并尝试驱动所有的硬件设备
4.核心执行init程序，并获取默认的运行信息
5.init程序执行/etc/rc.d/rc.sysinit文件
6.启动核心的外挂模块
7.init执行运行的各个批处理文件(scripts)
8.init执行/etc/rc.d/rc.local
9.执行/bin/login程序，等待用户登录
10.登录之后开始以Shell控制主机

启动流程

POST：Power-On-Self-Test，加电自检，是BIOS功能的一个主要部分。负责完成对CPU、主板、内存、硬盘子系统、显示子系统、串并行接口、键盘等硬件情况的检测
ROM：BIOS，Basic Input and Output System，保存着有关计算机系统最重要的基本输入输出程序，系统信息设置、开机加电自检程序和系统启动自举程序等
RAM：CMOS互补金属氧化物半导体，保存各项参数的设定
按次序查找引导设备，第一个有引导程序的设备为本次启动设备
bootloader: 引导加载器，引导程序
windows: ntloader，仅是启动OS
Linux：功能丰富，提供菜单，允许用户选择要启动系统或不同的内核版本；把用户选定的内核装载到内存中的特定空间中，解压、展开，并把系统控制权移交给内核
LILO：LInux LOader
GRUB: GRand Unified Bootloader
GRUB 0.X: GRUB Legacy， GRUB2

启动流程

MBR：第一个扇区
前446字节 bootloader
中间64字节 分区表
最后2字节 55AA
GRUB
primary boot loader : 1st stage，1.5 stage
secondary boot loader ：2nd stage，分区文件
kernel
自身初始化：
探测可识别到的所有硬件设备
加载硬件驱动程序（借助于ramdisk加载驱动）
以只读方式挂载根文件系统
运行用户空间的第一个应用程序：/sbin/init

内核

实验：进⼊单⽤户模式破解centos6的root密码

1、启动系统时⼈为中⽌

启动时，出现下图时，快速按方向键上下即可中止启动。

进⼊菜单输⼊a，进⼊启动时指定内核参数界⾯。

此时，在命令⾏中输⼊空格后，再输⼊⼀个数⼦，该数⼦表⽰的就是运⾏级别，即0代表关机、1代表单⽤户模式、2代表
没⽹络的多⽤户模式、3代表完整的多⽤户模式、4⾃定义模式、5表⽰有图形化的完整的多⽤户模式、6代表重启。此处，
输⼊的是1，启动单⽤户模式。

<c KEYTABLE=us rd_NO_DM rhgb quiet 1

直接键⼊回车即可启动单⽤户模式了，这种模式可⽤于当忘记管理员root的密码时，可进⼊单⽤户模式进⾏修改。因为在
此模式下，root可直接使⽤passwd命令设置新密码，⽽⽆需任何限制。

[root@magedu /]# passwd
再可启动图形化运⾏级别，输⼊init 5。
[root@magedu /]# init 5

Linux内核特点：
支持模块化：.ko（内核对象）
如：文件系统，硬件驱动，网络协议等
支持内核模块的动态装载和卸载
内核组成部分：
核心文件：/boot/vmlinuz-VERSION-release
ramdisk：辅助的伪根系统
CentOS 5 /boot/initrd-VERSION-release.img
CentOS 6,7 /boot/initramfs-VERSION-release.img
模块文件：/lib/modules/VERSION-release

实验、删除grub.conf⽂件

启动流程

ramdisk：
内核中的特性之一：使用缓冲和缓存来加速对磁盘上的文件访问，并加载相应的硬件驱动
ramdisk --> ramfs 提高速度
CentOS 5 initrd.img
工具程序：mkinitrd
CentOS 6，7 initramfs.img
工具程序：mkinitrd, dracut

ramdisk管理

ramdisk文件的制作：
(1) mkinitrd命令
为当前正在使用的内核重新制作ramdisk文件
mkinitrd /boot/initramfs-$(uname -r).img $(uname -r)
(2) dracut命令
为当前正在使用的内核重新制作ramdisk文件
dracut /boot/initramfs-$(uname -r).img $(uname -r)

系统启动流程系统初始化：

POST --> BootSequence (BIOS) --> Bootloader(MBR) --> kernel(ramdisk) --> rootfs(只读) --> init（systemd）
init程序的类型：
SysV: init, CentOS 5之前
配置文件：/etc/inittab
Upstart: init,CentOS 6
配置文件：/etc/inittab, /etc/init/*.conf
Systemd：systemd, CentOS 7
配置文件：/usr/lib/systemd/system
/etc/systemd/system

启动流程

/sbin/init CentOS6之前
运行级别：为系统运行或维护等目的而设定；0-6：7个级别
0：关机
1：单用户模式(root自动登录), single, 维护模式
2: 多用户模式，启动网络功能，但不会启动NFS；维护模式
3：多用户模式，正常模式；文本界面
4：预留级别；可同3级别
5：多用户模式，正常模式；图形界面
6：重启
默认级别：3, 5
切换级别：init #
查看级别：runlevel ; who -r

init初始化

init读取其初始化文件：/etc/inittab
初始运行级别(RUN LEVEL)
系统初始化脚本
对应运行级别的脚本目录
捕获某个关键字顺序
定义UPS电源终端/恢复脚本
在虚拟控制台生成getty
在运行级别5初始化X

CentOS 5 的inittab文件

配置文件：/etc/inittab

每一行格式：
id:runlevel:action:process
id：是惟一标识该项的字符序列
runlevels： 定义了操作所使用的运行级别
action： 指定了要执行的特定操作
wait: 切换至此级别运行一次
respawn：此process终止，就重新启动之
initdefault：设定默认运行级别；process省略
sysinit：设定系统初始化方式
process：定义了要执行的进程

示例：CentOS 5 的inittab文件

id:5:initdefault:
si::sysinit:/etc/rc.d/rc.sysinit
l0:0:wait:/etc/rc.d/rc 0
l1:1:wait:/etc/rc.d/rc 1
l2:2:wait:/etc/rc.d/rc 2
l3:3:wait:/etc/rc.d/rc 3
l4:4:wait:/etc/rc.d/rc 4
l5:5:wait:/etc/rc.d/rc 5
l6:6:wait:/etc/rc.d/rc 6
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
pf::powerfail:/sbin/shutdown -f -h +2 "Power Failure; System Shutting Down”
pr:12345:powerokwait:/sbin/shutdown -c "Power Restored; Shutdown Cancelled”
1:2345:respawn:/sbin/mingetty tty1
2:2345:respawn:/sbin/mingetty tty2
3:2345:respawn:/sbin/mingetty tty3
4:2345:respawn:/sbin/mingetty tty4
5:2345:respawn:/sbin/mingetty tty5
6:2345:respawn:/sbin/mingetty tty6
x:5:respawn:/etc/X11/prefdm -nodaemon

CentOS 6 /etc/inittab和相关文件

/etc/inittab
设置系统默认的运行级别
id:3:initdefault:
 示例：
破解CentOS 6 的root口令
/etc/init/control-alt-delete.conf
/etc/init/tty.conf
/etc/init/start-ttys.conf
/etc/init/rc.conf
/etc/init/prefdm.conf

启动流程

/etc/rc.d/rc.sysinit: 系统初始化脚本
(1) 设置主机名
(2) 设置欢迎信息
(3) 激活udev和selinux
(4) 挂载/etc/fstab文件中定义的文件系统
(5) 检测根文件系统，并以读写方式重新挂载根文件系统
(6) 设置系统时钟
(7) 激活swap设备
(8) 根据/etc/sysctl.conf文件设置内核参数
(9) 激活lvm及software raid设备
(10) 加载额外设备的驱动程序
(11) 清理操作

说明：rc N --> 意味着读取/etc/rc.d/rcN.d/
K*: K##*：##运行次序；数字越小，越先运行；数字越小的服务，通常为依赖到别的服务
S*: S##*：##运行次序；数字越小，越先运行；数字越小的服务，通常为被依赖到的服务
for srv in /etc/rc.d/rcN.d/K*; do
$srv stop
done
for srv in /etc/rc.d/rcN.d/S*; do
$srv start

chkconfig命令

ntsysv命令
chkconfig命令
查看服务在所有级别的启动或关闭设定情形：
chkconfig [--list] [name]
添加：
SysV的服务脚本放置于/etc/rc.d/init.d (/etc/init.d)
chkconfig --add name
#!/bin/bash
#LLLL 表示初始在哪个级别下启动，-表示都不启动
# chkconfig: LLLL nn nn
删除：
chkconfig --del name
修改指定的链接类型
chkconfig [--level levels] name <on|off|reset>
--level LLLL: 指定要设置的级别；省略时表示2345

实验删除/boot/grub⽬录下的各的stage⽂件启动不受影响

在/boot/grub/⽬录下，除保留grub.conf引导菜单⽂件以外，其它⽂件都删除，不影响系统启动。

2、破坏grub的stage1第⼀阶段并恢复系统启动

前提系统安装光盘已经放在光驱⾥。

选择救援模式即第3⾏，回车确定：

切换损坏引导的系统上的真正的根：

安装grub：

查看/boot/grub⽬录下，⽣成了此前删除的各⽂件：

xinetd管理的服务

service 命令：手动管理服务
service 服务 start|stop|restart
service --status-all
瞬态（Transient）服务被xinetd进程所管理
进入的请求首先被xinetd代理
配置文件：/etc/xinetd.conf、/etc/xinetd.d/<service>
与libwrap.so文件链接
用chkconfig控制的服务：
示例：chkconfig tftp on

启动流程

1:2345:respawn:/usr/sbin/mingetty tty1
2:2345:respawn:/usr/sbin/mingetty tty2
...
6:2345:respawn:/usr/sbin/mingetty tty6
mingetty会自动调用login程序
x:5:respawn:/etc/X11/prefdm -nodaemon

总结：/sbin/init --> (/etc/inittab) --> 设置默认运行级别 --> 运行系统初始脚本、完成系统初始化 --> (关闭对应下需要关闭的服务)启动需要启动服务 --> 设置登录终端
CentOS 6 init程序为: upstart, 其配置文件：
/etc/inittab, /etc/init/*.conf，配置文件的语法 遵循 upstart配置文件语法格式，和CentOS5不同

grub legacy

CentOS 6启动流程：
POST --> Boot Sequence(BIOS) --> Boot Loader --> Kernel(ramdisk) --> rootfs --> switchroot --> /sbin/init -->(/etc/inittab, /etc/init/*.conf) --> 设定默认运行级别 --> 系统初始化脚本rc.sysinit --> 关闭或启动对应级别的服务 --> 启动终端
参看：http://s4.51cto.com/wyfs02/M02/87/20/wKiom1fVBELjXsvaAAUkuL83t2Q304.jpg
grub: GRand Unified Bootloader
grub 0.97: grub legacy
grub 2.x: grub2
grub legacy:
stage1: mbr
stage1_5: mbr之后的扇区，让stage1中的bootloader能识别stage2所在的分区上的文件系统
stage2：磁盘分区(/boot/grub/)

grub安装

安装grub：
(1) grub-install
安装grub stage1和stage1_5到/dev/DISK磁盘上，并复制GRUB相关文件到 DIR/boot目录下
grub-install --root-directory=DIR /dev/DISK
(2) grub
grub> root (hd#,#)
grub> setup (hd#)

grub legacy

配置文件：/boot/grub/grub.conf <-- /etc/grub.conf
stage2及内核等通常放置于一个基本磁盘分区
功用：
(1) 提供启动菜单、并提供交互式接口
a：内核参数
e: 编辑模式，用于编辑菜单
c: 命令模式，交互式接口
(2) 加载用户选择的内核或操作系统
允许传递参数给内核
可隐藏启动菜单
(3) 为菜单提供了保护机制
为编辑启动菜单进行认证
为启用内核或操作系统进行认证grub的命令行接口

help: 获取帮助列表
help KEYWORD: 详细帮助信息
find (hd#,#)/PATH/TO/SOMEFILE：
root (hd#,#)
kernel /PATH/TO/KERNEL_FILE: 设定本次启动时用到的内核文件；额外还可添加许多内核支持使用的cmdline参数
例如：max_loop=100 selinux=0 init=/path/to/init
initrd /PATH/TO/INITRAMFS_FILE: 设定为选定的内核提供额外文件的ramdisk
boot: 引导启动选定的内核
cat /proc/cmdline 内核参数
内核参数文档:/usr/share/doc/kernel-doc-2.6.32/Documentation/kernel-parameters.txt

识别硬盘设备
(hd#,#)
hd#: 磁盘编号，用数字表示；从0开始编号
#: 分区编号，用数字表示; 从0开始编号
(hd0,0) 第一块硬盘，第一个分区
手动在grub命令行接口启动系统
grub> root (hd#,#)
grub> kernel /vmlinuz-VERSION-RELEASE ro root=/dev/DEVICE
grub> initrd /initramfs-VERSION-RELEASE.img
grub> boot

grub legacy配置文件

配置文件：/boot/grub/grub.conf
default=#: 设定默认启动的菜单项；落单项(title)编号从0开始
timeout=#：指定菜单项等待选项选择的时长
splashimage=(hd#,#)/PATH/XPM_FILE：菜单背景图片文件路径
password [--md5] STRING: 启动菜单编辑认证
hiddenmenu：隐藏菜单
title TITLE：定义菜单项“标题”, 可出现多次
root (hd#,#)：查找stage2及kernel文件所在设备分区；为grub的根
kernel /PATH/TO/VMLINUZ_FILE [PARAMETERS]：启动的内核
initrd /PATH/TO/INITRAMFS_FILE: 内核匹配的ramfs文件
password [--md5|--encrypted ] STRING: 启动选定的内核或操作系统时进行认证

grub加密

生成grub口令
grub-md5-crypt
grub-crypt
破解root口令：
启动系统时，设置其运行级别1
进入单用户模式：
(1) 编辑grub菜单(选定要编辑的title，而后使用a 或 e 命令)
(2) 在选定的kernel后附加
1, s, S，single 都可以
(3) 在kernel所在行，键入“b”命令

自制linux系统

分区并创建文件系统
fdisk /dev/sdb
分两个必要的分区
/dev/sdb1对应/boot /dev/sdb2对应根 /
mkfs.ext4 /dev/sdb1
mkfs.ext4 /dev/sdb2
挂载boot
mkdir /mnt/boot 子目录必须为boot
mount /dev/sdb1 /mnt/boot
安装grub
grub-install --root-directory=/mnt /dev/sdb

恢复内核和initramfs文件
cp /boot/vmlinuz-2.6.32-642.el6.x86_64 /mnt/boot/
cp /boot/initramfs-2.6.32-642.el6.x86_64.img /mnt/boot
建立grub.conf
vim /mnt/boot/grub/grub.conf
title wanglinux
root (hd0,0)
kernel /vmlinuz-2.6.32-642.el6.x86_64 root=/dev/sda2 selinux=0 init=/bin/bash
initrd /initramfs-2.6.32-642.el6.x86_64.img
chroot /mnt/sysroot

创建一级目录
mkdir /mnt/sysroot
mount /dev/sdb2 /mnt/sysroot
mkdir –pv /mnt/sysroot/{etc,lib,lib64,bin,sbin,tmp,var,usr,sys,proc,opt,home,root,boot,dev,mnt,media}
复制bash和相关库文件
复制相关命令及相关库文件
如：ifconfig,insmod,ping,mount,ls,cat,df,lsblk,blkid等

/proc目录

/proc目录：
内核把自己内部状态信息及统计信息，以及可配置参数通过proc伪文件系统加以输出
帮助：man proc
参数：只读：输出信息
可写：可接受用户指定“新值”来实现对内核某功能或特性的配置
/proc/sys
(1) sysctl命令用于查看或设定此目录中诸多参数
sysctl -w path.to.parameter=VALUE
sysctl -w kernel.hostname=mail.magedu.com
(2) echo命令通过重定向方式也可以修改大多数参数的值
echo "VALUE" > /proc/sys/path/to/parameter
echo “websrv” > /proc/sys/kernel/hostname

sysctl命令

sysctl命令：
默认配置文件：/etc/sysctl.conf
(1) 设置某参数
sysctl -w parameter=VALUE
(2) 通过读取配置文件设置参数
sysctl -p [/path/to/conf_file]
(3) 查看所有生效参数
sysctl -a
常用的几个参数：
net.ipv4.ip_forward
net.ipv4.icmp_echo_ignore_all
vm.drop_caches

/sys目录

/sys目录：
sysfs：为用户使用的伪文件系统，输出内核识别出的各硬件设备的相关属性信息，也有内核对硬件特性的设定信息；有些参数是可以修改的，用于调整硬件工作特性
udev通过此路径下输出的信息动态为各设备创建所需要设备文件，udev是运行用户空间程序
专用工具：udevadmin, hotplug
udev为设备创建设备文件时，会读取其事先定义好的规则文件，一般在/etc/udev/rules.d及/usr/lib/udev/rules.d目录下

内核编译

单内核体系设计、但充分借鉴了微内核设计体系的优点，为内核引入模块化机制
内核组成部分：
kernel：内核核心，一般为bzImage，通常在/boot目录下
名称为 vmlinuz-VERSION-RELEASE
kernel object：内核对象，一般放置于
/lib/modules/VERSION-RELEASE/
[ ]: N
[M]: M
[*]: Y
辅助文件：ramdisk
initrd
initramfs

内核版本

运行中的内核：
uname命令：
uname - print system information
uname [OPTION]...
-n: 显示节点名称
-r: 显示VERSION-RELEASE
-a:显示所有信息

内核模块命令

lsmod命令：
显示由核心已经装载的内核模块
显示的内容来自于: /proc/modules文件
modinfo命令：
显示模块的详细描述信息
modinfo [ -k kernel ] [ modulename|filename... ]
-n：只显示模块文件路径
-p：显示模块参数
-a：作者
-d：描述
示例：lsmod |grep xfs
modinfo xfs

内核模块管理

modprobe命令：
装载或卸载内核模块
modprobe [ -C config-file ] [ modulename ] [ module parame-ters... ]
modprobe [ -r ] modulename…
配置文件：/etc/modprobe.conf, /etc/modprobe.d/*.conf

depmod命令：
内核模块依赖关系文件及系统信息映射文件的生成工具
装载或卸载内核模块：
insmod命令：指定模块文件，不自动解决依赖模块
insmod [ filename ] [ module options... ]
insmod `modinfo –n exportfs`
lnsmod `modinfo –n xfs`
rmmod命令：卸载模块
rmmod [ modulename ]
rmmod xfs
rmmod exportfs

编译内核

前提：
(1) 准备好开发环境
(2) 获取目标主机上硬件设备的相关信息
(3) 获取目标主机系统功能的相关信息
例如:需要启用相应的文件系统
(4) 获取内核源代码包
www.kernel.org

安全机制

信息安全防护的目标
保密性 Confidentiality
完整性 Integrity
可用性 Usability
可控制性 Controlability
不可否认性 Non-repudiation
安全防护环节
物理安全：各种设备/主机、机房环境
系统安全：主机或设备的操作系统
应用安全：各种网络服务、应用程序
网络安全：对网络访问的控制、防火墙规则
数据安全：信息的备份与恢复、加密解密
管理安全：各种保障性的规范、流程、方法

安全攻击： STRIDE
Spoofing 假冒
Tampering 篡改
Repudiation 否认
Information Disclosure 信息泄漏
Denial of Service 拒绝服务
Elevation of Privilege 提升权限

安全设计基本原则使用成熟的安全系统以小人之心度输入数据

外部系统是不安全的
最小授权
减少外部接口
缺省使用安全模式
安全不是似是而非
从STRIDE思考
在入口处检查
从管理上保护好你的系统

安全算法

常用安全技术
认证
授权
审计
安全通信
加密算法和协议
对称加密
公钥加密
单向加密
认证协议

对称加密算法

对称加密：加密和解密使用同一个密钥
DES：Data Encryption Standard，56bits
3DES：
AES：Advanced (128, 192, 256bits)
Blowfish，Twofish
IDEA，RC6，CAST5
特性：
1、加密、解密使用同一个密钥，效率高
2、将原始数据分割成固定大小的块，逐个进行加密
缺陷：
1、密钥过多
2、密钥分发
3、数据来源无法确认

非对称加密算法

公钥加密：密钥是成对出现
公钥：公开给所有人；public key
私钥：自己留存，必须保证其私密性；secret key
特点：用公钥加密数据，只能使用与之配对的私钥解密；反之亦然
功能：
数字签名：主要在于让接收方确认发送方身份
对称密钥交换：发送方用对方的公钥加密一个对称密钥后发送给对方
数据加密：适合加密较小数据
缺点：密钥长，加密解密效率低下
算法：
RSA（加密，数字签名）
DSA（数字签名）
ELGamal

非对称加密

基于一对公钥/密钥对
•用密钥对中的一个加密，另一个解密
实现加密：
•接收者
生成公钥/密钥对：P和S
公开公钥P，保密密钥S
•发送者
使用接收者的公钥来加密消息M
将P(M)发送给接收者
•接收者
使用密钥S来解密：M=S(P(M))

实现数字签名：
•发送者
生成公钥/密钥对：P和S
公开公钥P，保密密钥S
使用密钥S来加密消息M
发送给接收者S(M)
•接收者
使用发送者的公钥来解密M=P(S(M))
结合签名和加密
分离签名

RSA和DSA

RSA：公钥加密算法是1977年由Ron Rivest、Adi Shamirh和LenAdleman在（美国麻省理工学院）开发的，RSA取名来自开发他们三者的名字，后成立RSA数据安全有限公司。RSA是目前最有影响力的公钥加密算法，它能够抵抗到目前为止已知的所有密码攻击，已被ISO推荐为公钥数据加密标准。RSA算法基于一个十分简单的数论事实：将两个大素数相乘十分容易，但那时想要对其乘积进行因式分解却极其困难，因此可以将乘积公开作为加密密钥
DSA (Digital Signature Algorithm)：1991年7月26日提交，并归属于David W. Kravitz前NSA员工，DSA是Schnorr和ElGamal签名算法的变种，被美国NIST作为SS(DigitalSignature Standard)， DSA是基于整数有限域离散对数难题的，其安全性与RSA相比差不多。DSA只是一种算法，和RSA不同之处在于它不能用作加密和解密，也不能进行密钥交换，只用于签名,它比RSA要快很多

单向散列

将任意数据缩小成固定大小的“指纹”
•任意长度输入
•固定长度输出
•若修改数据，指纹也会改变（“不会产生冲突”）
•无法从指纹中重新生成数据（“单向”）
功能：数据完整性
常见算法
md5: 128bits、sha1: 160bits、sha224 、sha256、sha384、sha512
常用工具
•md5sum | sha1sum [ --check ] file
•openssl、gpg
•rpm -V

数字签名

实验：建立一个私有CA，为用户颁发证书

实验：基于KEY的ssh验证

AIDE

当一个入侵者进入了你的系统并且种植了木马，通常会想办法来隐蔽这个木马（除了木马自身的一些隐蔽特性外，他会尽量给你检查系统的过程设置障碍），通常入侵者会修改一些文件，比如管理员通常用ps -aux来查看系统进程，那么入侵者很可能用自己经过修改的ps程序来替换掉你系统上的ps程序，以使用ps命令查不到正在运行的木马程序。如果入侵者发现管理员正在运行crontab作业，也有可能替换掉crontab程序等等。所以由此可以看出对于系统文件或是关键文件的检查是很必要的。目前就系统完整性检查的工具用的比较多的有两款：Tripwire和AIDE，前者是一款商业软件，后者是一款免费的但功能也很强大的工具。

AIDE(Advanced Intrusion Detection Environment高级入侵检测环境)是一个入侵检测工具，主要用途是检查文件的完整性，审计计算机上的那些文件被更改过了
AIDE能够构造一个指定文件的数据库，它使用aide.conf作为其配置文件。AIDE数据库能够保存文件的各种属性，包括：权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文件大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小以及连接数。AIDE还能够使用下列算法：sha1、md5、rmd160、tiger，以密文形式建立每个文件的校验码或散列号
这个数据库不应该保存那些经常变动的文件信息，例如：日志文件、邮件、/proc文件系统、用户起始目录以及临时目录

安装
yum install aide
修改配置文件
vim /etc/aide.conf (指定对哪些文件进行检测)
/test/chameleon R /bin/ps R+a /usr/bin/crontab R+a
/etc PERMS
!/etc/mtab #“!”表示忽略这个文件的检查
R=p+i+n+u+g+s+m+c+md5 权限+索引节点+链接数+用户+组+大小+最后一次修改时间+创建时间+md5校验值
NORMAL = R+rmd60+sha256

初始化默认的AIDE的库：
/usr/local/bin/aide --init
生成检查数据库（建议初始数据库存放到安全的地方）
cd /var/lib/aide
mv aide.db.new.gz aide.db.gz
检测： /usr/local/bin/aide --check
更新数据库
aide --update

sudoers

授权规则格式：

用户 登入主机=(代表用户) 命令
user host=(runas) command
示例：
root ALL=(ALL) ALL
格式说明：
user: 运行命令者的身份
host: 通过哪些主机
(runas)：以哪个用户的身份
command: 运行哪些命令

别名

User和runas:
username
#uid
%group_name
%#gid
user_alias|runas_alias
host:
ip或hostname
network(/netmask)
host_alias
command:
command name
directory
sudoedit
Cmnd_Alias

sudo别名和示例

别名有四种类型：User_Alias, Runas_Alias, Host_Alias ，Cmnd_Alias
别名格式：[A-Z]([A-Z][0-9]_)*
别名定义：
Alias_Type NAME1 = item1, item2, item3 : NAME2 = item4, item5
示例1：
Student ALL=(ALL) ALL
%wheel ALL=(ALL) ALL
示例2：
student ALL=(root) /sbin/pidof,/sbin/ifconfig
%wheel ALL=(ALL) NOPASSWD: ALL

sudo示例

示例3
User_Alias NETADMIN= netuser1,netuser2
Cmnd_Alias NETCMD = /usr/sbin/ip
NETADMIN ALL=（root） NETCMD
示例4
User_Alias SYSADER=wang,mage,%admins
User_Alias DISKADER=tom
Host_Alias SERS=www.magedu.com,172.16.0.0/24
Runas_Alias OP=root
Cmnd_Alias SYDCMD=/bin/chown,/bin/chmod
Cmnd_Alias DSKCMD=/sbin/parted,/sbin/fdisk
SYSADER SERS= SYDCMD,DSKCMD
DISKADER ALL=(OP) DSKCMD

示例4
User_Alias ADMINUSER = adminuser1,adminuser2
Cmnd_Alias ADMINCMD = /usr/sbin/useradd，/usr/sbin/usermod, /usr/bin/passwd [a-zA-Z]*, !/usr/bin/passwd root
ADMINUSER ALL=(root) NOPASSWD:ADMINCMD，PASSWD:/usr/sbin/userdel
示例5
Defaults:wang runas_default=tom
wang ALL=(tom,jerry) ALL
示例6
wang 192.168.1.6,192.168.1.8=(root) /usr/sbin/,!/usr/sbin/useradd
示例7
wang ALL=(ALL) /bin/cat /var/log/messages*

ls -l /usr/bin/sudo
sudo –i –u wang 切换身份
sudo [-u user] COMMAND
-V 显示版本信息等配置信息
-u user 默认为root
-l,ll 列出用户在主机上可用的和被禁止的命令
-v 再延长密码有效期限5分钟,更新时间戳
-k 清除时间戳（1970-01-01），下次需要重新输密码
-K 与-k类似，还要删除时间戳文件
-b 在后台执行指令
-p 改变询问密码的提示符号
示例：-p ”password on %h for user %p:”