samba服務(139 445)
啟動:
sudo /etc/init.d/smbd start or start smbd
設定檔: /etc/samba/smb.conf
設定檔檢查: 可執行testparm來檢視設定檔是否有問題
設定檔設定
[global] 區塊
netbios name = eclass
server string = %h server
security = user
syslog = 3
[global] 區塊說明
netbios name:可手動加上,若未指定, 系統會以 hostname 為預設的 netbios name
map to guest = bad user
若加上 map to guest = bad user 這個參數,可以讓使用者不必登入便可看到共用資料區, 不過這樣會有資安風險,建議註解起來
[homes]
browseable = no
read only = no
valid users = %S
說明:
browseable :是否讓所有的使用者看到這個項目
valid users :
因為 valid users 是允許的登入者,設定為 %S 表示任何可登入的使用者都能夠登入的意思~今天如果 jon 這個使用者登入之後,那個 [homes] 就會自動變成jon
%S 的用意就是在替換掉目前 [ ] 裡面的內容!
#是分享名稱,可以用中文命名。以本範例來說,Windows XP在網芳要
#直接連接此資料夾的做法如下:「 \\eclass\share 」(windows不分大小寫)
[SHARE]
comment = Share files
public = yes
browseable = yes
locking = no
path=/var/samba
writable=yes
#使用者建立檔案時, 自動賦予別人可看不可刪 (644) 權限
#當然必須搭配 /var/samba 之 1777權限
create mask = 0644
#使用者建立資料夾時, 自動賦予 0755 權限
#別人也可以進入資料夾並看到自己寫入的檔案
directory mask = 0755
# 載入 檔案存取記錄及資源回收筒 模組
# vfs object = audit 代表啟動稽核模組,系統會把該資料夾底下檔案存取的時間點與身
#份記錄在 syslog 內,當然必須配合 syslog 的設定值大於等於 3 才可以。
vfs object = audit recycle
# 在將檔案移入 資源回收筒 時,要建立相對應的目錄結構
recycle: keeptree = yes
# 資源回收筒 之相對路徑。後面的 %u 則為使用者帳號。
recycle: repository = Recycle/%u
# 不進行 資源回收 的檔案類型
recycle: exclude = .tmp|.temp|.o|.obj
# 若有相同檔案名稱時,則加以編號識別
recycle: versions = yes
以上說明:
在 SHARE 資料夾內建立 "資源回收筒(Recycle Bin)" 時,若有檔案被使用刪除,
Samba 會在 /var/samba 底下自動建立 Recycle 資料夾,並把檔案丟進去。但這個
自動建立的資料夾,卻可只限第一個登入之 user 所有(資料夾權限),因此造成其
他 user 無法取用 Recycle 功能。因此,建議網管,一開始便事先建立此一資料夾,
並 chmod 為 1777。(sudo mkdir /var/samba/Recycle ;sudo chmod 1777 /var/samba/
Recycle)
2011年12月19日 星期一
網路相關指令~2
arp 取得本機的 ARP 表格內的 IP/MAC 對應資料
arp的命令格式如下:
arp [-vn] [<HW>] [-i <if>] [-a] [<hostname>] <-Display ARP cache
arp [-v] [-i <if>] -d <host> [pub] <-Delete ARP entry
arp [-vnD] [<HW>] [-i <if>] -f [<filename>] <-Add entry from file
arp [-v] [<HW>] [-i <if>] -s <host> <hwaddr> [temp] <-Add entry
arp [-v] [<HW>] [-i <if>] -Ds <host> <if> [netmask <nm>] pub <-''-
-a display (all) hosts in alternative (BSD) style
-s, --set set a new ARP entry(設定某個 IP 或 hostname 的 MAC 到 ARP table 當中)
-d, --delete delete a specified entry
-v, --verbose be verbose
-n, --numeric don't resolve names
-i, --device specify network interface (e.g. eth0)
-D, --use-device read <hwaddr> from given device
-A, -p, --protocol specify protocol family
-f, --file read new entries from file or from /etc/ethers
例如:
arp -a
範例二:將 192.168.1.100 那部主機的網卡卡號直接寫入 ARP 表格中
[root@www ~]# arp -s 192.168.1.100 01:00:2D:23:A1:0E
# 這個指令的目的在建立靜態 ARP
ifconfig 主要是可以手動的啟動、觀察與修改網路介面的相關參數
ifconfig {interface} {up|down} <== 觀察與啟動介面
ifconfig interface {options} <== 設定與修改介面
選項與參數:
interface:網路卡介面代號,包括 eth0, eth1, ppp0 等等
options :可以接的參數,包括如下:
up, down :啟動 (up) 或關閉 (down) 該網路介面(不涉及任何參數)
mtu :可以設定不同的 MTU 數值,例如 mtu 1500 (單位為 byte)
netmask :就是子遮罩網路;
broadcast:就是廣播位址啊!
[-]arp 啟動或停止此介面上的arp協定
metric N 設定介面的長度為N
mtu設定最大的傳輸單位為N
例:ifconfig eth0
ftp
Usage: { ftp | pftp } [-46pinegvtd] [hostname]
-4: use IPv4 addresses only
-6: use IPv6, nothing else
-p: enable passive mode (default for pftp)
-i: turn off prompting during mget(關閉交談選項)
-n: inhibit auto-login(避免自動登入)
-e: disable readline support, if present(關閉歷史指令的紀錄)
-g: disable filename globbing(關閉檔名的自動抓取)
-v: verbose mode(顯示完整資訊)
-t: enable packet tracing [nonfunctional]
-d: enable debugging
◎!執行本機上的命令
◎ascii將傳輸模式設為ascii模式,通常用於傳送文字檔。此傳輸模式是進入ftp程式的初設值。
◎bin(binary)將傳輸模式設為二進位模式,通常用於傳送執行檔、壓縮檔、圖形檔及影像檔等。
◎dir列出remotehost上的檔案。
◎ls簡要列出remotehost上的檔案。
◎cd更換remotehost目前所在目錄。
◎cdup上一層目錄
◎pwd顯示remotehost目前所在路徑名稱。
◎get<檔名>從remotehost抓一個檔案到localhost上(download)
◎mget<檔名,可用萬用字元>同上,可一次抓多檔。
◎put<檔名>從localhost傳送一個檔案到remotehost上(upload)
◎mput<檔名,可用萬用字元>同上,可一次傳多檔。
◎lcd改變localhost目前所在目錄。有的ftp程式無此功能。
◎ldir列出localhost上的目錄內容。有的ftp程式無此功能。
◎mkdir在remotehost上建一個目錄。
◎rmdir在remotehost上刪除一個目錄。
◎delete/mdelete刪除remotehost上的檔案,mdelete可刪多檔。
◎mdelete可刪多檔
◎newer當遠端檔案較新時,才下載該檔案
◎open建立與指定remotehost的連線。進ftp程式時若未指定remotehost,必須用此指令連上一個remotehost才能作檔案傳輸。若用close指令結束與一個remotehost的連線後,可用此指令與另一個remotehost連線。
◎close和目前已連線的remotehost結束連線。
◎bye/quit結束連線並離開ftp程式。
◎prompt[on|off]若prompt為on,在一次傳多檔時(mget/mput),ftp會逐一詢問每個檔是否要做傳輸的工作,使用者必須逐一回答每個詢問。若prompt為off,則不會詢問,每個檔皆做傳輸。系統預設值為prompton。
◎hash若為on,傳輸時每傳8K(隨設定而異),就會印出一個"#"
◎user登錄時,若username或password打錯,可用此命令重新登錄,登錄成功後才能開始傳檔。
◎help線上輔助指令。
ssh :遠端加密的連線
telnet 遠端連線程式
arp的命令格式如下:
arp [-vn] [<HW>] [-i <if>] [-a] [<hostname>] <-Display ARP cache
arp [-v] [-i <if>] -d <host> [pub] <-Delete ARP entry
arp [-vnD] [<HW>] [-i <if>] -f [<filename>] <-Add entry from file
arp [-v] [<HW>] [-i <if>] -s <host> <hwaddr> [temp] <-Add entry
arp [-v] [<HW>] [-i <if>] -Ds <host> <if> [netmask <nm>] pub <-''-
-a display (all) hosts in alternative (BSD) style
-s, --set set a new ARP entry(設定某個 IP 或 hostname 的 MAC 到 ARP table 當中)
-d, --delete delete a specified entry
-v, --verbose be verbose
-n, --numeric don't resolve names
-i, --device specify network interface (e.g. eth0)
-D, --use-device read <hwaddr> from given device
-A, -p, --protocol specify protocol family
-f, --file read new entries from file or from /etc/ethers
例如:
arp -a
範例二:將 192.168.1.100 那部主機的網卡卡號直接寫入 ARP 表格中
[root@www ~]# arp -s 192.168.1.100 01:00:2D:23:A1:0E
# 這個指令的目的在建立靜態 ARP
ifconfig 主要是可以手動的啟動、觀察與修改網路介面的相關參數
ifconfig {interface} {up|down} <== 觀察與啟動介面
ifconfig interface {options} <== 設定與修改介面
選項與參數:
interface:網路卡介面代號,包括 eth0, eth1, ppp0 等等
options :可以接的參數,包括如下:
up, down :啟動 (up) 或關閉 (down) 該網路介面(不涉及任何參數)
mtu :可以設定不同的 MTU 數值,例如 mtu 1500 (單位為 byte)
netmask :就是子遮罩網路;
broadcast:就是廣播位址啊!
[-]arp 啟動或停止此介面上的arp協定
metric N 設定介面的長度為N
mtu設定最大的傳輸單位為N
例:ifconfig eth0
ftp
Usage: { ftp | pftp } [-46pinegvtd] [hostname]
-4: use IPv4 addresses only
-6: use IPv6, nothing else
-p: enable passive mode (default for pftp)
-i: turn off prompting during mget(關閉交談選項)
-n: inhibit auto-login(避免自動登入)
-e: disable readline support, if present(關閉歷史指令的紀錄)
-g: disable filename globbing(關閉檔名的自動抓取)
-v: verbose mode(顯示完整資訊)
-t: enable packet tracing [nonfunctional]
-d: enable debugging
◎!執行本機上的命令
◎ascii將傳輸模式設為ascii模式,通常用於傳送文字檔。此傳輸模式是進入ftp程式的初設值。
◎bin(binary)將傳輸模式設為二進位模式,通常用於傳送執行檔、壓縮檔、圖形檔及影像檔等。
◎dir列出remotehost上的檔案。
◎ls簡要列出remotehost上的檔案。
◎cd更換remotehost目前所在目錄。
◎cdup上一層目錄
◎pwd顯示remotehost目前所在路徑名稱。
◎get<檔名>從remotehost抓一個檔案到localhost上(download)
◎mget<檔名,可用萬用字元>同上,可一次抓多檔。
◎put<檔名>從localhost傳送一個檔案到remotehost上(upload)
◎mput<檔名,可用萬用字元>同上,可一次傳多檔。
◎lcd改變localhost目前所在目錄。有的ftp程式無此功能。
◎ldir列出localhost上的目錄內容。有的ftp程式無此功能。
◎mkdir在remotehost上建一個目錄。
◎rmdir在remotehost上刪除一個目錄。
◎delete/mdelete刪除remotehost上的檔案,mdelete可刪多檔。
◎mdelete可刪多檔
◎newer當遠端檔案較新時,才下載該檔案
◎open建立與指定remotehost的連線。進ftp程式時若未指定remotehost,必須用此指令連上一個remotehost才能作檔案傳輸。若用close指令結束與一個remotehost的連線後,可用此指令與另一個remotehost連線。
◎close和目前已連線的remotehost結束連線。
◎bye/quit結束連線並離開ftp程式。
◎prompt[on|off]若prompt為on,在一次傳多檔時(mget/mput),ftp會逐一詢問每個檔是否要做傳輸的工作,使用者必須逐一回答每個詢問。若prompt為off,則不會詢問,每個檔皆做傳輸。系統預設值為prompton。
◎hash若為on,傳輸時每傳8K(隨設定而異),就會印出一個"#"
◎user登錄時,若username或password打錯,可用此命令重新登錄,登錄成功後才能開始傳檔。
◎help線上輔助指令。
ssh :遠端加密的連線
telnet 遠端連線程式
2011年12月5日 星期一
網路設定檔
DNS client 端設定 /etc/resolv.conf
nslookup 測試
網路介面設定 /etc/network/interfaces
#自動獲取網址----
auto eth0
iface eth0 inet dhcp
#設固定ip--------------
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
auto eth0
iface eth0 inet static
address 192.168.0.111
netmask 255.255.255.0
gateway 192.168.0.1
#第二張
iface eth1 inet static
............................
#擬裝置介面
iface eth0 inet static
address 192.168.0.1
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
iface eth0:0 inet dhcp
broadcast 及 network不確定,不填也無妨
/etc/init.d/networking restart #重新啟動網路介面
/etc/sysconfig/network
啟用停用系統的網路功能,在etc/sysconfig/network中設定:NETWORKING=yes/no
也可設hostname,如:hostname=home.test.net
在有些新版的ubutu找不到這檔案
nslookup 測試
網路介面設定 /etc/network/interfaces
#自動獲取網址----
auto eth0
iface eth0 inet dhcp
#設固定ip--------------
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
auto eth0
iface eth0 inet static
address 192.168.0.111
netmask 255.255.255.0
gateway 192.168.0.1
#第二張
iface eth1 inet static
............................
#擬裝置介面
iface eth0 inet static
address 192.168.0.1
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
iface eth0:0 inet dhcp
broadcast 及 network不確定,不填也無妨
/etc/init.d/networking restart #重新啟動網路介面
/etc/sysconfig/network
啟用停用系統的網路功能,在etc/sysconfig/network中設定:NETWORKING=yes/no
也可設hostname,如:hostname=home.test.net
在有些新版的ubutu找不到這檔案
2011年12月4日 星期日
網路相關指令
ifconfig
手動的啟動、觀察與修改網路介面的相關參數,如下:
ifconfig {interface} {up|down} //觀察與啟動介面
ifconfig interface {options} //設定與修改介面
選項與參數:
interface:網路介面代號,包括 eth0, eth1, ppp0 等等
options :可以接的參數,如下:
up, down :啟動 (up) 或關閉 (down)
mtu :設定 MTU 數值,例如 mtu 1500 (單位為 byte)
netmask :子遮罩網路;
broadcast:廣播位址
顯示代號的意義
RX:網路由啟動到目前為止的封包接收情況, packets 代表封包數、errors 代表封包發生錯誤的數量、 dropped 代表封包有問題而遭丟棄的數量
TX:與 RX 相反,為網路由啟動到目前為止的傳送情況;
collisions:代表封包碰撞的情況,如果發生太多次, 表示網路狀況不太好;
txqueuelen:代表用來傳輸資料的緩衝區的儲存長度;
RX bytes, TX bytes:總接收、傳送的位元組總量
暫時修改網路介面
ifconfig eth0 192.168.100.100
如果不加任何參數,系統會依照該 IP 所在的 class 範圍,自動的計算出netmask 以及 network, broadcast 等 IP 參數,若想改其他參數則:
fconfig eth0 192.168.100.100 netmask 255.255.255.128 mtu 8000
其他
ifconfig eth0 mtu 9000 # 僅修 MTU 數值,其他保持不變
ifconfig eth0:0 192.168.50.50 #eth0:0 是在該實體網卡上,再模擬一個網路介面,
亦即設定多個 IP 的意思啦!
ifconfig eth0:0 down #關掉 eth0:0 這個介面。
ifconfig eth1 up #用預設值啟動 eth1
/etc/init.d/network restart #將手動的處理全部取消,使用原有的設定值重建網路參數
路由修改: route
兩部主機之間一定要有路由才能夠互通 TCP/IP 的協定,否則就無法進行連線
route [-nee]
route add [-net|-host] [網域或主機] netmask [mask] [gw|dev]
route del [-net|-host] [網域或主機] netmask [mask] [gw|dev]
參數:
-n :不要使用通訊協定或主機名稱,直接使用 IP 或 port number;
-ee :使用更詳細的資訊來顯示
增加 (add) 與刪除 (del) 路由的相關參數:
-net :表示後面接的路由為一個網域;
-host :表示後面接的為連接到單部主機的路由;
netmask :與網域有關,可以設定 netmask 決定網域的大小;
gw :gateway 的簡寫,後續接的是 IP 的數值喔,與 dev 不同;
dev :如果只是要指定由那一塊網路卡連線出去,則使用這個設定,後面接 eth0 等
顯示項目說明:
Destination, Genmask:分別是 network 與 netmask ,組合成為一個完整的網域!
Gateway:該網域是通過哪個 gateway 連接出去的?如果顯示 0.0.0.0 表示該路由是直接由本機傳送,亦即可以透過區域網路的 MAC 直接傳訊;如果有顯示 IP 的話,表示該路由需要經過路由器 (通訊閘) 的幫忙才能夠傳送出去。
Flags:旗標,代表的意義如下:
U (route is up):該路由是啟動的;
H (target is a host):目標是一部主機 (IP) 而非網域;
G (use gateway):需要透過外部的主機 (gateway) 來轉遞封包;
R (reinstate route for dynamic routing):使用動態路由時,恢復路由資訊的旗標;
D (dynamically installed by daemon or redirect):已經由服務或轉 port 功能設定為動態路由
M (modified from routing daemon or redirect):路由已經被修改了;
! (reject route):這個路由將不會被接受(用來抵擋不安全的網域!)
Iface:這個路由傳遞封包的介面。
預設路由 (0.0.0.0/0.0.0.0)
路由排列順序喔,依序是由小網域 (192.168.1.0/24 是 Class C),逐漸到大網域 (169.254.0.0/16 Class B) 最後則是預設路由 (0.0.0.0/0.0.0.0)。 然後當我們要判斷某個網路封包應該如何傳送的時候,該封包會經由這個路由的過程來判斷喔!
路由的增加與刪除
route del -net 169.254.0.0 netmask 255.255.0.0 dev eth0 #刪除 169.254.0.0/16 這個網域!
#刪除,需要將路由表上面出現的資訊都寫入,包括 netmask , dev 等等參數
route add -net 192.168.100.0 netmask 255.255.255.0 dev eth0 #增加
route add default gw 192.168.1.250 #增加預設路由,注意,只要有一個預設路由
# 如果設錯,可用下面的指令重新設定你的網路
# /etc/init.d/network restart
route del default gw 192.168.1.250
手動的啟動、觀察與修改網路介面的相關參數,如下:
ifconfig {interface} {up|down} //觀察與啟動介面
ifconfig interface {options} //設定與修改介面
選項與參數:
interface:網路介面代號,包括 eth0, eth1, ppp0 等等
options :可以接的參數,如下:
up, down :啟動 (up) 或關閉 (down)
mtu :設定 MTU 數值,例如 mtu 1500 (單位為 byte)
netmask :子遮罩網路;
broadcast:廣播位址
顯示代號的意義
RX:網路由啟動到目前為止的封包接收情況, packets 代表封包數、errors 代表封包發生錯誤的數量、 dropped 代表封包有問題而遭丟棄的數量
TX:與 RX 相反,為網路由啟動到目前為止的傳送情況;
collisions:代表封包碰撞的情況,如果發生太多次, 表示網路狀況不太好;
txqueuelen:代表用來傳輸資料的緩衝區的儲存長度;
RX bytes, TX bytes:總接收、傳送的位元組總量
暫時修改網路介面
ifconfig eth0 192.168.100.100
如果不加任何參數,系統會依照該 IP 所在的 class 範圍,自動的計算出netmask 以及 network, broadcast 等 IP 參數,若想改其他參數則:
fconfig eth0 192.168.100.100 netmask 255.255.255.128 mtu 8000
其他
ifconfig eth0 mtu 9000 # 僅修 MTU 數值,其他保持不變
ifconfig eth0:0 192.168.50.50 #eth0:0 是在該實體網卡上,再模擬一個網路介面,
亦即設定多個 IP 的意思啦!
ifconfig eth0:0 down #關掉 eth0:0 這個介面。
ifconfig eth1 up #用預設值啟動 eth1
/etc/init.d/network restart #將手動的處理全部取消,使用原有的設定值重建網路參數
路由修改: route
兩部主機之間一定要有路由才能夠互通 TCP/IP 的協定,否則就無法進行連線
route [-nee]
route add [-net|-host] [網域或主機] netmask [mask] [gw|dev]
route del [-net|-host] [網域或主機] netmask [mask] [gw|dev]
參數:
-n :不要使用通訊協定或主機名稱,直接使用 IP 或 port number;
-ee :使用更詳細的資訊來顯示
增加 (add) 與刪除 (del) 路由的相關參數:
-net :表示後面接的路由為一個網域;
-host :表示後面接的為連接到單部主機的路由;
netmask :與網域有關,可以設定 netmask 決定網域的大小;
gw :gateway 的簡寫,後續接的是 IP 的數值喔,與 dev 不同;
dev :如果只是要指定由那一塊網路卡連線出去,則使用這個設定,後面接 eth0 等
顯示項目說明:
Destination, Genmask:分別是 network 與 netmask ,組合成為一個完整的網域!
Gateway:該網域是通過哪個 gateway 連接出去的?如果顯示 0.0.0.0 表示該路由是直接由本機傳送,亦即可以透過區域網路的 MAC 直接傳訊;如果有顯示 IP 的話,表示該路由需要經過路由器 (通訊閘) 的幫忙才能夠傳送出去。
Flags:旗標,代表的意義如下:
U (route is up):該路由是啟動的;
H (target is a host):目標是一部主機 (IP) 而非網域;
G (use gateway):需要透過外部的主機 (gateway) 來轉遞封包;
R (reinstate route for dynamic routing):使用動態路由時,恢復路由資訊的旗標;
D (dynamically installed by daemon or redirect):已經由服務或轉 port 功能設定為動態路由
M (modified from routing daemon or redirect):路由已經被修改了;
! (reject route):這個路由將不會被接受(用來抵擋不安全的網域!)
Iface:這個路由傳遞封包的介面。
預設路由 (0.0.0.0/0.0.0.0)
路由排列順序喔,依序是由小網域 (192.168.1.0/24 是 Class C),逐漸到大網域 (169.254.0.0/16 Class B) 最後則是預設路由 (0.0.0.0/0.0.0.0)。 然後當我們要判斷某個網路封包應該如何傳送的時候,該封包會經由這個路由的過程來判斷喔!
路由的增加與刪除
route del -net 169.254.0.0 netmask 255.255.0.0 dev eth0 #刪除 169.254.0.0/16 這個網域!
#刪除,需要將路由表上面出現的資訊都寫入,包括 netmask , dev 等等參數
route add -net 192.168.100.0 netmask 255.255.255.0 dev eth0 #增加
route add default gw 192.168.1.250 #增加預設路由,注意,只要有一個預設路由
# 如果設錯,可用下面的指令重新設定你的網路
# /etc/init.d/network restart
route del default gw 192.168.1.250
2011年12月1日 星期四
資源控管
資源控管
/etc/sysctl.conf
核心設定,系統開機會讀此檔案,並影響到對應的/proc/sys,檔案中會以"."取代/proc/sys/
修改後,要立即執行:sysctl -p
/etc/security/access.conf
登入權限控制表
每一行由下面三個字段構成,中間使用冒號:
權限 : 用戶 : 來源
+(即允許訪問), -(禁止訪問);
用戶可以是用戶名、組名以及諸如user@host格式的用戶名,ALL表示任何人,具有多個值時,可以用空格分開。
來源可以是tty名稱(本地登錄時)、主機名、域名(以.開始),主機ip地址,網絡號(以"."結束)。ALL表示任何主機,LOCAL表示本地登錄。
可以使用EXCEPT操作符來表示除了…之外。
例如:
-:ALL EXCEPT peter root:LOCAL //除 peter root外,不允許任何人在本機登人
-:wheel :ALL EXCEPT LOCAL .text.com //除了本機及 .text.com結尾的位址外,不允許wheel群組登入
-:guest1 guest2:ALL //不允許某些使用者登入
/etc/security/limits.conf
限制使用者的某些系統資源
domain type item value
domain(限制的對象)
單獨使用者 user
群組 @group
type(限制的類型)
soft 允許使用者修改超過(設定初始值),達到此值,降低優先使用權
hard 資源使用上限
item(限制的資源)
core - 可使用最大的核心檔案(KB)
data 可使用最大的資料區段(KB)
fsize 可建立最大的檔案大小(KB)
memlock 可鎖定的最大記憶體(KB)
nofile 最多可同時開啟的檔案
stack 最多可做stack的大小(KB)
cpu 限制 CPU 的總使用時間(minutes)
rss 限制常駐的記憶體大小(kb)
nproc 限制可執行程序的上限
maxsyslogins 限制使用者最大的同時登入次數
as 同時間可開啟的 file descriptors
maxlogins 限制使用者最大的同時登入次數
priority 執行程序的優先權
locks 可鎖定的檔案數
value(限制的大小)
範例:限制 pro1 這個群組,每次僅能有一個使用者登入系統 (maxlogins)
@pro1 hard maxlogins 1
//--建議的範例:參考 Ubuntu 10.04 系統與伺服器應用 7-14 頁 酆士昌
/etc/sysctl.conf
核心設定,系統開機會讀此檔案,並影響到對應的/proc/sys,檔案中會以"."取代/proc/sys/
修改後,要立即執行:sysctl -p
/etc/security/access.conf
登入權限控制表
每一行由下面三個字段構成,中間使用冒號:
權限 : 用戶 : 來源
+(即允許訪問), -(禁止訪問);
用戶可以是用戶名、組名以及諸如user@host格式的用戶名,ALL表示任何人,具有多個值時,可以用空格分開。
來源可以是tty名稱(本地登錄時)、主機名、域名(以.開始),主機ip地址,網絡號(以"."結束)。ALL表示任何主機,LOCAL表示本地登錄。
可以使用EXCEPT操作符來表示除了…之外。
例如:
-:ALL EXCEPT peter root:LOCAL //除 peter root外,不允許任何人在本機登人
-:wheel :ALL EXCEPT LOCAL .text.com //除了本機及 .text.com結尾的位址外,不允許wheel群組登入
-:guest1 guest2:ALL //不允許某些使用者登入
/etc/security/limits.conf
限制使用者的某些系統資源
domain type item value
domain(限制的對象)
單獨使用者 user
群組 @group
type(限制的類型)
soft 允許使用者修改超過(設定初始值),達到此值,降低優先使用權
hard 資源使用上限
item(限制的資源)
core - 可使用最大的核心檔案(KB)
data 可使用最大的資料區段(KB)
fsize 可建立最大的檔案大小(KB)
memlock 可鎖定的最大記憶體(KB)
nofile 最多可同時開啟的檔案
stack 最多可做stack的大小(KB)
cpu 限制 CPU 的總使用時間(minutes)
rss 限制常駐的記憶體大小(kb)
nproc 限制可執行程序的上限
maxsyslogins 限制使用者最大的同時登入次數
as 同時間可開啟的 file descriptors
maxlogins 限制使用者最大的同時登入次數
priority 執行程序的優先權
locks 可鎖定的檔案數
value(限制的大小)
範例:限制 pro1 這個群組,每次僅能有一個使用者登入系統 (maxlogins)
@pro1 hard maxlogins 1
//--建議的範例:參考 Ubuntu 10.04 系統與伺服器應用 7-14 頁 酆士昌
anacron-喚醒停機期間的工作任務
anacron 喚醒停機期間的工作任務
anacron 會以一天、七天、一個月為期去偵測系統未進行的 crontab 任務
anacron 讀取時間記錄檔 (timestamps) 去分析現在的時間與時間記錄檔所記載的上次執行 anacron 的時間,兩者比較後若發現有差異, 那就是在某些時刻沒有進行 crontab, 此時 anacron 就會開始執行未進行的 crontab 任務了! anacron 是透過 crontab 來運作!
anacron [-sfn] [job]..
anacron -u [job]..
選項與參數:
-s :開始執行各項工作 (job),會依據時間記錄檔的資料判斷是否進行;
-f :強制進行,而不去判斷時間記錄檔的時間戳記;
-n :立刻進行未進行的任務,而不延遲 (delay) 等待時間;
-u :僅更新時間記錄檔的時間戳記,不進行任何工作。
job :由 /etc/anacrontab 定義的各項工作名稱。
anacron 會以一天、七天、一個月為期去偵測系統未進行的 crontab 任務
anacron 讀取時間記錄檔 (timestamps) 去分析現在的時間與時間記錄檔所記載的上次執行 anacron 的時間,兩者比較後若發現有差異, 那就是在某些時刻沒有進行 crontab, 此時 anacron 就會開始執行未進行的 crontab 任務了! anacron 是透過 crontab 來運作!
anacron [-sfn] [job]..
anacron -u [job]..
選項與參數:
-s :開始執行各項工作 (job),會依據時間記錄檔的資料判斷是否進行;
-f :強制進行,而不去判斷時間記錄檔的時間戳記;
-n :立刻進行未進行的任務,而不延遲 (delay) 等待時間;
-u :僅更新時間記錄檔的時間戳記,不進行任何工作。
job :由 /etc/anacrontab 定義的各項工作名稱。
訂閱:
文章 (Atom)