不断攀登的梦想 2012-07-24
RHCE认证学习笔记-第九天
1、主机名解析
某些名称服务提供将主机名转换成计算机能够用来沟通的低级地址的机制
2、SOA 查询:SOA 记录将一个服务器标记为主服务器
3、BIND 语法检查工具:named-checkconf
4、ldd显示程序所依赖的库
5、DAC(Discretionary access control,自主访问控制):DAC机制就是指对象(比如程序、文件或进程等)的的拥有者可以任意的修改或授予此对象相应的权限。例如传统Linux,Windows等。简单理解DAC就是rwx!因此,当某个程序想要对文件进行存取时, 系统就会根据该程序的拥有者/群组,并比对文件的权限,若通过权限检查,就可以存取该文件了。
DAC的缺点:
· root 具有最高的权限:如果不小心某个程序被它人取得,且该程序属于 root 的权限,那么这支程序就可以在系统上进行任何资源的存取使用者可以取得程序来变更文件资源的存取权限:如果你不小心将某个目录的权限设定为 777 ,由于对任何人的权限会变成rwx ,因此该目录就会被任何人所任意存取!
6、MAC(Mandatory Access Control,强制访问控制):MAC机制是指系统不再允许对象(比如程序、文件或文件夹等)的拥有者随意修改或授予此对象相应的权限,而是透过强制的方式为每个对象统一授予权限,例如SELinux。委任式存取控制 (MAC):可以针对特定的程序与特定的文件资源来进行权限的控管! 也就是说,即使你是 root ,那么在使用不同的程序时,你所能取得的权限并不一定是 root , 而得要看当时该程序的设定而定。如此一来,我们针对控制的『主体』变成了『程序』而不是使用者喔! 此外,这个主体程序也不能任意使用系统文件资源,因为每个文件资源也有针对该主体程序设定可取用的权限! 如此一来,控制项目就细的多了!但整个系统程序那么多、文件那么多,一项一项控制可就没完没了! 所以 SELinux 也提供一些预设的政策 (Policy) ,并在该政策内提供多个规则 (rule) ,让你可以选择是否启用该控制规则!
7、SELinux 是透过 MAC 的方式来控管程序,他控制的主体是程序, 而目标是文件(该程序欲访问的文件)!
Selinux的状态有三种分别为:enforcing、permissive、disabled
用户可执行文件:/bin、/usr/bin、/usr/local/bin. 系统可执行文件:/sbin、/usr/sbin、/usr/local/sbin. 内核数据与Bootloader:/boot