用户配置文件操作详解

selinux详解及配置⽂件selinux详解selinux 的全称是Security Enhance Linux，就是安全加强的Linux。

在Selinux之前root账号能够任意的访问所有⽂档和服务；如果某个⽂件设为777，那么任何⽤户都可以访问甚⾄删除。

这种⽅式称为DAC（主动访问机制），很不安全。

DAC⾃主访问控制：⽤户根据⾃⼰的⽂件权限来决定对⽂件的操作，也就是依据⽂件的own，group，other/r,w,x 权限进⾏限制。

Root有最⾼权限⽆法限制。

r，w，x权限划分太粗糙。

⽆法针对不同的进程实现限制。

Selinux则是基于MAC（强制访问机制），简单的说，就是程序和访问对象上都有⼀个安全标签（即selinux上下⽂）进⾏区分，只有对应的标签才能允许访问，否则即使权限是777，也是不能访问的。

在selinux中，访问控制属性叫做安全上下⽂，所有客体（⽂件、进程间通讯通道、套接字、⽹络主机等）和主体（进程）都有与其关联的安全上下⽂，⼀个安全上下⽂由三部分组成：⽤户（u）、⾓⾊（r）、和类型（t）标识符。

但我们最关注的是第三部分当程序访问资源时，主体程序必须要通过selinux策略内的规则放⾏后，就可以与⽬标资源进⾏安全上下⽂的⽐对，若⽐对失败则⽆法存取⽬标，若⽐对成功则可以开始存取⽬标，最终能否存取⽬标还要与⽂件系统的rwx权限的设定有关，所以启⽤了selinux后出现权限不符的情况时，你就得⼀步⼀步分析可能出现的问题了。

1.selinux状态查看与配置：selinux的配置⽂件位置：/etc/selinux/config,它还有个链接在/etc/sysconfig/selinux.使⽤config⽂件来配置selinux（通过配置⽂件修改selinux的状态属于永久修改，要重启系统才⽣效）[root@localhost ~]# ls /etc/sysconfig/selinux -llrwxrwxrwx. 1 root root 17 Jan 10 19:48 /etc/sysconfig/selinux -> ../selinux/config（1）配置⽂件[root@make_blog ~]# cat /etc/sysconfig/selinux# This file controls the state of SELinux on the system.# SELINUX= can take one of these three values:# enforcing - SELinux security policy is enforced.# permissive - SELinux prints warnings instead of enforcing.# disabled - No SELinux policy is loaded.SELINUX=disabled# SELINUXTYPE= can take one of three two values:# targeted - Targeted processes are protected,# minimum - Modification of targeted policy. Only selected processes are protected.# mls - Multi Level Security protection.SELINUXTYPE=targetedselinux=enforcing#此项定义selinux状态#enforcing-是强制模式系统，它受selinux保护。

详解 Desktop.ini 配置设置文件㈠、INI文件是什么Desktop.ini是什么呢？首先，他是一种特殊的.ini文件。

那么.ini文件是什么呢？配置设置文件！所以，Desktop.ini是一种特殊的，用来自定义文件夹相关信息的配置文件。

默认情况下，他由系统创建，存在于该文件夹下，并具有系统、隐藏属性。

.INI文件是一种具有特定格式的纯文本文件。

Windows利用扩展名为.INI的文件保存Windows 及其应用程序的初始化信息。

Windows 及其应用程序每次启动时，都会从相应的.INI文件中读取初始化设置信息，并据此进行配置。

Windows注册表是帮助Windows控制硬件、软件、用户环境和Windows界面的一套数据文件，注册表包含在Windows目录下两个文件system.dat和user.dat里，还有它们的备份system.da0和user.da0。

通过Windows目录下的regedit.exe程序可以存取注册表数据库。

在以前，在windows的更早版本（在Win95以前），这些功能是靠win.ini，system.ini和其他和应用程序有关联的.ini文件来实现的.在windows操作系统家族中，system.ini和win.ini这两个文件包含了操作系统所有的控制功能和应用程序的信息，system.ini管理计算机硬件而win.ini管理桌面和应用程序。

所有驱动、字体、设置和参数会保存在.ini文件中，任何新程序都会被记录在.ini文件中。

这些记录会在程序代码中被引用。

因为受win.ini和system.ini文件大小的限制，程序员添加辅助的.INI文件以用来控制更多的应用程序。

举例来说，微软的Excel有一个office excel.ini文件，它包含着选项、设置、缺省参数和其他关系到Excel运行正常的信息。

在system.ini和win.ini中只需要指出excel.ini的路径和文件名即可。

vsftpd配置⽂件参数详解名称vsftpd.conf - vsftpd的配置⽂件描述vsftpd.conf可⽤于控制vsftpd⾏为的各个⽅⾯。

默认情况下，vsftpd在/etc/vsftpd.conf位置查找此⽂件。

但是，您可以通过为vsftpd指定命令⾏参数来覆盖它。

命令⾏参数是vsftpd的配置⽂件的路径名。

此⾏为很有⽤，因为您可能希望使⽤⾼级inetd（格式vsftpd.conf的格式⾮常简单。

每⼀⾏都是注释或指令。

注释⾏以＃开头并被忽略。

指令⾏的格式为：选项=值重要的是要注意在选项，=和值之间放置任何空格是错误的。

每个设置都有⼀个默认编译，可以在配置⽂件中修改。

布尔选项：下⾯是布尔选项列表。

布尔选项的值可以设置为 YES 或 NO。

allow_anon_ssl仅在ssl_enable 处于活动状态时适⽤。

如果设置为YES，则允许匿名⽤户使⽤安全SSL连接。

默认值：NOanon_mkdir_write_enable如果设置为YES，则允许匿名⽤户在特定条件下创建新⽬录。

为此，必须激活选项 write_enable，并且匿名ftp⽤户必须具有⽗⽬录的写权限。

默认值：NOanon_other_write_enable如果设置为YES，则允许匿名⽤户执⾏除上载和创建⽬录之外的写⼊操作，例如删除和重命名。

通常不建议这样做，但包括完整性。

默认值：NOanon_upload_enable如果设置为YES，则允许匿名⽤户在特定条件下上载⽂件。

为此，必须激活选项 write_enable，并且匿名ftp⽤户必须具有所需上载位置的写⼊权限。

虚拟⽤户上传也需要此设置; 默认情况下，虚拟⽤户使⽤匿名（即最⼤限制）权限处理。

默认值：NOanon_world_readable_only启⽤后，将只允许匿名⽤户下载世界可读的⽂件。

这是认识到ftp⽤户可能拥有⽂件，尤其是在上传的情况下。

默认值：YESanonymous_enable控制是否允许匿名登录。

⼿⼯配置rsyslog配置⽂件详解⼿⼯配置如果您⽆法通过脚本⽣成配置⽂件，这份指导将帮助您通过简单的复制、粘贴⼿动完成配置。

假定您已拥有root或sudo权限，是在通⽤的Linux平台使⽤5.8.0或更⾼版本的rsyslog，rsyslog能接收本地系统⽇志，并通过5140端⼝与外界连接。

1 配置系统环境粘贴以下脚本并运⾏，并且保证 /var/spool/rsyslog ⽬录已存在，如果是Ubuntu系统，还需要对⽬录进⾏权限设置。

sudo mkdir -v /var/spool/rsyslogif [ "$(grep Ubuntu /etc/issue)" != "" ]; thensudo chown -R syslog:adm /var/spool/rsyslogfi2 更新rsyslog配置⽂件。

打开rsyslog配置⽂件，它通常在 /etc/ ⽬录下sudo vim /etc/rsyslog.d/rizhiyi.conf将下列内容粘贴在这个配置⽂件中#real tran log$ModLoad imfile #装载imfile模块$InputFilePollInterval 3 #检查⽇志⽂件间隔（秒）$WorkDirectory /var/spool/rsyslog #定义⼯作⽬录。

例如队列⽂件存储存储⽂件夹。

$InputFileName FILEPATH #读取⽇志⽂件$InputFileTag APPNAME #⽇志写⼊⽇志附加标签字符串不要添加特殊符号$InputFileStateFile stat_APPNAME #定义记录偏移量数据⽂件名不要添加特殊符号$InputFileSeverity info #⽇志等级$InputFilePersistStateInterval 20000 #回写偏移量数据到⽂件间隔时间（秒）$RepeatedMsgReduction off #关闭重复消息控制$InputRunFileMonitor #This activates the current monitor. It has no parameters. If you forget this directive, no file monitoring will take place.#https:///docs/fastuse/tag/ 设置标签(rsyslog)$template RizhiyiFormat_APPNAME,"<%pri%>%protocol-version% %timestamp:::date-rfc3339% %HOSTNAME% %app-name% %procid% %msgid% [06f69fae723038bbc5d75d29564051ea@32473 tag=\"TAG\"] %msg%\n #<85> 0 2014-09-14T16:52:59.814155+08:00macbook my_app - - [91595477-c8e4-42b8-b1f9-696465b422ff@32473 tag="file_upload"tag="my_tag"]if $programname == 'APPNAME' then @@:5140;RizhiyiFormat_APPNAMEif $programname == 'APPNAME' then ~---------------------------------------------------------------对应的单台测试机的配置如下---------------------------------------------------------------------------------------并替换FILEPATH: 需要上传的⽇志⽂件的绝对路径，必须包含⽇志⽂件名。

vsftpd配置⽂件详解1.默认配置：1>允许匿名⽤户和本地⽤户登陆。

anonymous_enable=YESlocal_enable=YES2>匿名⽤户使⽤的登陆名为ftp或anonymous，⼝令为空；匿名⽤户不能离开匿名⽤户家⽬录/var/ftp,且只能下载不能上传。

3>本地⽤户的登录名为本地⽤户名，⼝令为此本地⽤户的⼝令；本地⽤户可以在⾃⼰家⽬录中进⾏读写操作；本地⽤户可以离开⾃家⽬录切换⾄有权限访问的其他⽬录，并在权限允许的情况下进⾏上传/下载。

write_enable=YES4>写在⽂件/etc/vsftpd.ftpusers中的本地⽤户禁⽌登陆。

2.配置⽂件格式：vsftpd.conf 的内容⾮常单纯，每⼀⾏即为⼀项设定。

若是空⽩⾏或是开头为#的⼀⾏，将会被忽略。

内容的格式只有⼀种，如下所⽰option=value要注意的是，等号两边不能加空⽩。

3.匿名⽤户（anonymous）设置anonymous_enable=YES/NO（YES）控制是否允许匿名⽤户登⼊，YES 为允许匿名登⼊，NO 为不允许。

默认值为YES。

write_enable=YES/NO（YES）是否允许登陆⽤户有写权限。

属于全局设置，默认值为YES。

no_anon_password=YES/NO（NO）若是启动这项功能，则使⽤匿名登⼊时，不会询问密码。

默认值为NO。

ftp_username=ftp定义匿名登⼊的使⽤者名称。

默认值为ftp。

anon_root=/var/ftp使⽤匿名登⼊时，所登⼊的⽬录。

默认值为/var/ftp。

注意ftp⽬录不能是777的权限属性，即匿名⽤户的家⽬录不能有777的权限。

anon_upload_enable=YES/NO（NO）如果设为YES，则允许匿名登⼊者有上传⽂件（⾮⽬录）的权限，只有在write_enable=YES时，此项才有效。

当然，匿名⽤户必须要有对上层⽬录的写⼊权。

服务名:smb配置目录:/etc/sabma/主配置文件:/etc/sabma/smb.conf#============================== Global Settings =============================17行workgr oup语法workgtoup = <工作组群>;预设workgroup = M YGROUP说明设定Samba Server 的工作组例workgroup = workgroup 和WIN2000S设为一个组，可在网上邻居可中看到共享21行server string语法server string = <说明>;预设sarver string = Samba Server说明设定Samba Server 的注释其他支持变量t%-访问时间I%-客户端IP m%-客户端主机名M%-客户端域名S%-客户端用户名例server string = this is a Samba Server 设定出现在Windows网上邻居的Samba Server 注释为this is a Samba Server28行hosts allow语法hosts aoolw = <IP地址>; ...预设; host allow = 192.168.1. 192.168.2. 127.说明限制允许连接到Samba Server 的机器，多个参数以空格隔开。

表示方法可以为完整的IP地址，如192.168.0.1网段，如192.168.0.例hosts allow = 192.168.1. 192.168.0.1 表示允许192.168.1 网段的机器网址为192.168.0.1 的机器连接到自己的samba server32行printcap name语法printcap name= <打印机配置文件>;预设printcap name= /etc/printcap说明设定samba srever 打印机的配置文件例printcap name= /etc/printcap设定samba srever 参考/etc/printcap 档的打印机设定语法load printers = <yes/no>;预设load printers = ye s说明是否在开启samba server 时即共享打印机38行printing语法printing = <打印机类型>;预设printing = lprng说明设定samba server 打印机所使用的类型,37行为目前所支持的类型42行guest account语法guert account = <帐户名称>;预设guert account = pcguest说明设定访问samba server 的来宾帐户(即访问时不用输入用户名和密码的帐户),若设为pcguest的话则为默认为"nobody"用户例guert account = andy 设定设定访问samba server 的来宾帐户以andy用户登陆,则此登陆帐户享有andy用户的所有权限46行log file语法log file= <日志文件>;预设log file= /var/log/samba/%m.log说明设定samba server 日志文件的储存位置和文件名(%m代表客户端主机名)49行max log size语法max log size = <??KB>;预设max log size = 0说明设定日子文件的最大容量,单位KB 这里的预设值0代表不做限制53行security语法se curity= <等级>;预设se curity= user说明设定访问samba server 的安全级别共有四种share---不需要提供用户名和密码user----需要提供用户名和密码,而且身份验证由samba server 负责******==>如果预设user ，则添加配置：username map =server--需要提供用户名和密码,可指定其他机器(winNT/2000/XP)或另一台samba server作身份验证domain--需要提供用户名和密码,指定wi nNT/2000/XP域服务器作身份验证60行password server语法password server = <IP地址/主机名>;预设password server = <NT-Server-Name>;说明指定某台服务器(包括windows 和linux)的密码,作为用户登入时验证的密码其他此项需配合security= server时,才可设定本参数64行password level65行username level语法password level = <位数>;username level = <位数>;预设password level = 8username level = 8说明设定用户名和密码的位数,预设为8位字符70行encrypt passwords语法encrypt passwords = <yes/no>;预设encrypt passwords = yse说明设定是否对samba的密码加密71行smb passwd file语法smb passwd file= <密码文件>;预设smb passwd file= /etc/samba/smbpasswd说明设定samba的密码文件130行local master语法local ma ster = <yes/no>;预设local ma ster = no说明设定samba server 是否要担当LMB角色(LMB负责收集本地网络的Browse List资源),通常无特殊原因设为no134行os level = 33语法os level = <数字>;说明设定samba server的os level.os level从0 到255 .winNT的os level为33, win95/98的os level 是 1 .若要拿samba server 当LMB或DMB则它的os level至少要大于NT的33以上139行domain master语法domain ma ster = <yes/no>;预设domain ma ster = yes说明设定samba server 是否要担当DMB角色(DMB会负责收集其他子网的Browse List资源),通常无特殊原因设为no143行preferred master语法preferred master = <ye s/no>;预设preferred master = yes说明设定samba server 是否要担当PDC角色(PDC会负责追踪网络帐户进行的一切变更),通常无特殊原因设为no.(同一网段内不可有两个PDC,他们会每5分钟抢主控权一次)163行wins support语法wins support = <yes/no>;预设wins support = yes说明设定samba server 是否想网络提供WINS服务,通常无特殊原因设为no.除非所处网络上没有主机提供WINS服务且需要此台samba server提供WINS服务是才设yes其他wins support 和wins server 只能选择一个167行wins server语法wins server = <IP地址>;预设wins server = w.x.y.z说明设定samba server 是否要使用别台主机提供的WINS服务.通常无特殊原因设为no.除非所处网络上有一台主机提供WINS服务才要设yes 其他wins support 和wins server例wins server = 192.168.0.1 表示samba server要使用192.168.0.1提供的WINS服务#============================== Share Definitions =============================[homes]comment = Home Directoriesbrowseable = nowritable = yesvalid users = %S使用者本身的"家"目录，当使用者以samba使用者身份登入samba server 后，samba server 底下会看到自己的家目录，目录名称是使用者自己的帐号[分享的资源名称]<指令1>; = (参数)<指令2>; = (参数)..........................要提供分享资源时，须先把欲分享的资源以[]符号括住，底下通常会带指令和参数来表示此资源的设定和存取权限等,详情如下comment---------注释说明path------------分享资源的完整路径名称，除了路径要正确外，目录的权限也要设对browseable------是yes/否no在浏览资源中显示共享目录，若为否则必须指定共享路径才能存取printable-------是yes/否no允许打印hide dot ftles--是yes/否no隐藏隐藏文件public----------是yes/否no公开共享，若为否则进行身份验证(只有当security = share 时此项才起作用)guest ok--------是yes/否no公开共享，若为否则进行身份验证(只有当security= share 时此项才起作用)read only-------是yes/否no以只读方式共享当与writable发生冲突时也writable为准writable--------是yes/否no不以只读方式共享当与read only发生冲突时，无视read onlyvaild users-----设定只有此名单内的用户才能访问共享资源(拒绝优先)(用户名/@组名)invalid users---设定只有此名单内的用户不能访问共享资源(拒绝优先)(用户名/@组名)read list-------设定此名单内的成员为只读(用户名/@组名)write list------若设定为只读时，则只有此设定的名单内的成员才可作写入动作(用户名/@组名)create ma sk-----建立文件时所给的权限directory ma sk--建立目录时所给的权限force group-----指定存取资源时须以此设定的群组使用者进入才能存取(用户名/@组名)force user------指定存取资源时须以此设定的使用者进入才能存取(用户名/@组名)allow hosts-----设定只有此网段/IP的用户才能访问共享资源allwo hosts = 网段ex cept IPdeny hosts------设定只有此网段/IP的用户不能访问共享资源allow hosts=本网段指定IP指定IPdeny hosts=指定IP本网段指定IP1. 改smb.conf文件;在[global]部分加入:null passwords = yes设置securit y= share取消guest account = pcgu est 的注释建立[pcguest]段:[pcguest]comment = pcgu est's sharepath = /home/pcguestpublic = yesguest ok= y eswritable = yes2.建立pcguest用户,并修改/home/pcguest目录权限#useradd p cguest#passwd pcguest#chmod a+r,a+w /home/pcguest3.将pcguest加入smbp asswd文件中#smbpasswd -a pcgu est#smbpasswd -n p cguest4.重启samb a.================================================================================work group = MYGROUP//此项表示在Windows操作系统中的“网上邻居”将会出现的SAMBA服务器所属群组，默认MYGROUP，不区分大小写。