Linux用户基础三篇

2024-09-12

Linux用户基础篇1

VPN (Virtual Private Network, VPN) 是通过公共网络建立的一个临时的安全链接, 是一条通过不安全公共网络而建立起来的安全和专用的网络数据隧道。VPN可以帮助远程用户、公司分支机构以及其他应用客户同公司内部网络建立的可信安全链接, 是企业内部网络的一种有效延伸, 可以保证关键数据的安全传输。

VPN的使用原理是基于TCP/IP协议中的隧道协议, 客户端对VPN服务器上的虚拟端口进行虚拟呼叫, 在典型的VPN应用环境中, 一般由客户端通过Internet发起对远程服务器的虚拟点对点链接, 远程服务器应答呼叫, 通过对客户端的身份验证, 建立VPN客户端与组织内部网络之间的数据链接。常用的隧道协议包括IPSec (IP Security) , PPTP (Point to Point Tunneling Protocol) , L2F (Layer 2 Forwarding, 第二层转发协议) , L2TP (Layer 2 Tunneling Protocol, 第二层隧道协议) , 这四种协议具有信息封装、身份验证以及数据加密属性。

OpenVPN是一个健全且高效的VPN守护进行, 它支持SSL/TLS安全、以太网桥, 并同时支持TCP或UDP代理传输以及动态IP地址和DHCP, 具备移植到大多数操作系统平台上, 因此可以支持大规模数量的用户。一般情形下, 在OpenVPN中的通道模式中主要有两种模式方法:第一种, 是默认情形, 默认情形下OpenVPN运行在点对点 (P2P) 模式下;第二种, server模式, 在server模式下OpenVPN运行在多客户端服务器模式。在点对点模式中, 网络中只有两台主机:一个是OpenVPN服务器, 另一个是OpenVPN客户端;在server模式中, 有一个OpenVPN服务器和多个客户端。通过命令—mode m可以查看相应的通道模式。

2 VPN的用户访问控制模式

在OpenVPN中主要有两种用户访问控制访问方法:使用包过滤机制和使用iptables防火墙机制, 下面分别对两种用户访问控制方法进行介绍。

2.1 基于包过滤的访问机制

OpenVPN的包过滤策略由配置文件或者buffer来指定, 格式如下:

+|-IP地址/掩码位

…

[END]

其中[SUBNETS]标记程序段的开始, 而[END]标记其结束位置。SUBNETS后跟默认的访问控制策略:ACCEPT或DROP, 下面就是正文。正文的开头由+号或者-号标记, 后根标准的IP地址, +号表示允许访问, -号表示不允许。例如以下的Linux配置:

在这个配置文件中, 相应的规则为client2不能和client3连接, 同时client2不能访问192.168.10.7这个IP所在的主机。

可以看出, 基于包过滤的用户访问控制方式不仅可以实现基于IP的访问控制, 还可以实现基于用户的访问控制。

2.2 基于iptables防火墙规则的访问控制

对VPN的用户访问控制除了使用包过滤机制以外, 还可以使用Linux下的防火墙iptables进行访问限制。由于iptables工作在TCP/IP七层协议的第三层 (网络层) , 因此只能通过IP地址来限制用户访问, 这里的IP地址包括用户端的IP地址和被访问资源的IP地址。

在基于iptables的访问控制情形下, 也有两种策略:第一种, 针对单个用户设置iptables策略;第二种, 是针对VPN用户组设置iptables策略。但是不论是哪一种, 都需要对系统的ccd文件进行设置, 因为ccd控制着用户的IP地址。

下面举例说明两种策略的设置方法。

1) 针对单个用户的iptables策略

例1要求用户client1@aa.com具有以下权限:仅允许访问192.168.10.9的80端口;不允许访问192.168.10.19的139端口。则相应的命令编辑格式为:

其中10.2.0.4为client1@aa.com可以获取的IP地址。

2) 针对用户组的iptables策略

在这里所说的用户组是指根据VPN用户在登陆OpenVPN时所获取的IP地址来分类的用户组, 为了实现这种机制的用户组分类就必须满足两个条件:首先, 同一组的用户获取的IP地址需要具备一个共同的特点, 常见的处理方式为让每一组的用户都获取同一个网段的IP地址, 这样就通比较方便地通过iptables设置进行访问管理;其次, 要求每组用户必须具备共同的访问资源, 这个条件决定了有多少个组。

下面同样以一个示例说明相应的设置方法。

例2要求A组用户 (IP地址网段10.2.0.0) 可以访问192.168.10.9的80端口, 则相应设置为:

A=10.2.0.0

Destination=192.168.10.0

iptable-A FORWARD–p tcp–s$A–d$Destination—dport 80–j ACCEPT

iptables–A FORWARD–p tcp–s$A–d$Destination—dport 139–j ACCEPT

3 用户访问日志

为了进一步增加网络用户访问的安全性和可溯性, 可以通过添加相应的命令设置来达到用户访问日志的保存功能。

下面给出一个用户访问日志保存的一般方法和步骤:

Step1:建立OpenVPN的建立链接和断开链接文件;

1) 建立/etc/openvpn/connect脚本文件, 文件内容如下所示

2) 建立/etc/openvpn/disconnect脚本文件, 文件内容如下所示

3) 最后将这两个脚本赋予执行权限

chmod+x/etc/openvpn/connect

chmod+x/etc/openvpn/disconnect

Step2:修改openvpn服务器配置文件, 启用脚本。

这样, 就会在/var/log/openvp目录下保存文件名类似于“2013-04-03”日期格式的文件, 该文件记录了每一天登陆openvpn的用户的信息, 包括用户名和登陆时间。

4 小结

本文以Linux环境下OpenVPN的用户访问控制为研究对象, 细述了基于包过滤和基于iptables的防火墙规则的用户访问控制模式, 并对每种模式下的用户访问控制进行举例编程说明, 最后从网络安全和可溯源的角度出发, 研究了用户访问日志按日期保存的方法, 并给出了具体的设计步骤。

摘要：该文以OpenVPN中的用户访问控制为研究对象, 具体分析了两种用户访问控制方法, 即包过滤方法和iptables的防火墙规则方法, 前者可以实现基于IP和基于用户的两种访问控制, 而后者只能实现基于IP地址的访问控制, 但是后者可以实现针对单个用户和针对用户的访问控制;进一步, 给出保存网络用户访问日志的方法和步骤, 以提高网络使用的安全性和可溯源性。

关键词：OpenVPN,访问控制,用户日志,Linux

参考文献

[1]徐旭东, 初鹏飞.一种改进的OpenVPN访问控制管理机制[J].现代计算机 (专业版) , 2011 (3) .

[2]芮国荣, 邢桂芬.基于角色和规则的访问控制[J].计算机应用, 2005 (4) .

[3]刘淼, 郭荷清.在Java应用中实现对象级访问控制的研究[J].计算机应用与软件, 2005 (4) .

[4]陈劲..访问控制技术的研究[J].福建电脑, 2005 (3) .

Linux用户基础篇2

关键词：Linux；应用基础课；大专院校；人才培养模式

中图分类号：TP391文献标识码：A文章编号：1009-3044(2007)16-31164-02

Preliminary Study on Linux Applied Basic Course Offered in Junior College

ZHANG Jin-rong

(Yangjiang Vocational&Technical College, Yangjiang 529566, China)

Abstract:Give a simple introduction to Linux, and analyze its current application and education situation, this essay discusses the cultivation of Linux talents as well as necessity and foresight of the Linux Applied Basic Course offer in junior college.

Key words:Linux; Applied Basic Course; Junior College; Mode of Talent Cultivation

1 引言

随着我国加入WTO，国内各行业与国际市场逐步接轨，知识产权保护与版权使用费也提上了国民的议程。面对版权保护问题及高昂的版权使用费，国内用户不能不考虑自己手上所用的软件的版权问题。在众多软件中，计算机用户必不可少的操作系统是首当其冲的。是提心吊胆地使用盗版软件，还是无可奈何地交纳昂贵的版权使用费呢？对于用惯廉价盗版软件的国民而言，这都不是理想的出路，唯一的正确出路就是使用拥有民族自主产权的、价格相对合理的国产软件。于是，开源的、免费的Linux走进了人们的视野，其应用也日益广泛。面对MS（微软）这条大鳄，Linux在人们的期待中顽强地成长，而Linux应用人才需求的剧增也为专门培养应用型人才的大专院校开设Linux应用基础课创造了越来越成熟的时机。

2 Linux是什么

(1)Linux不需要支付昂贵的软件版权使用费。

(2)Linux技术构架的服务器类比MS Windows构架的稳定性更好，安全性更高，负载能力更强。

(3)Linux是开放源码软件，可以由用户自己量身定造，允许用户深入内核，优化性能，进行个性化配置，在线进行版本升级等，这是MS Windows做不到的。

(4)Linux支持几乎所有的操作系统所支持的文件系统和应用软件。

(5)MS Windows的桌面系统和多媒体支持优于Linux，但Linux也在不断地完善。X Window系统是Linux环境下的一个很不错的图形界面平台，且比MS windows更优越。

由于早期的Linux版本基本采用文字输入的交互方式，相对较复杂，而开始菜单、桌面、菜单、图标等又在人们的心中根深蒂固，人们对Linux的应用还有点望而生畏。但随着Linux的不断完善，特别是图形界面平台——X Window的引入，Linux操作的方便性、友好性大大改进，尤其是在免费、稳定性好、安全性高的驱动下，Linux的普及应用将逐渐成为信息产业发展的潮流。

3 Linux教育的现状及开设Linux应用基础课的必要性

3.1 Linux教育的现状

据调查显示，社会用户不愿意选择Linux的主要原因是使用不方便，这固然有Linux本身相对复杂的因素，但更多的是因为缺乏认识和教育培训，这就对Linux教育提出了要求。为适应社会对Linux教育的需求，加快、加强Linux教育培训和教育宣传，信息产业部电子行业职业技能鉴定指导中心授权了相关部门承办Linux技术培训项目，各社会培训机构及高校也都做出了积极响应。

2003年，世界第三大Linux厂商--香港即时科研集团联合北京软件产业促进中心启动了“扬帆、起航”工程，组织Linux“1+1+1”工程，并斥资5000万在全国建立5个Linux软件研究院。2004年中，广东省Linux公共服务技术支持中心在向社会提供技术支持的同时，开始面向社会培训Linux技术人才，并逐步形成较为规范的Linux专业教材和课程体系，还发起了高校Linux推进联盟，联合高校、企业共同培养Linux方面的人才。2004年底，教育部联合信息产业部、科技部出台了一项有关加大Linux人才培养力度，尽快满足国家软件产业的发展对Linux人才的需求的计划，准备斥巨资在全国40所高校试点建立Linux软件实验室，为实现一个开放共享的学习与科研平台创建良好条件，同时，积极推动Linux企业与高校的合作。

在Linux教育培训市场的推动下和国家政策的支持下，各高校也都充分认识到培养Linux人才的紧迫性。但由于师资及设备的相对滞后，高校对Linux的教育仍是不温不火，尤其是高职高专院校，在近两年才试探性地把Linux引进课堂，且仅仅限于在计算机专业开设Linux应用基础课，每周只有2课时。这种尝试性的教学所讲授的知识相对薄弱，无法形成完整的知识体系，与社会的需求极大脱节，与国外的Linux教育有很大的差距。当我们的学生还在把玩开始菜单，埋头培训Word、Excel等的时候，国外的大学实验室都已配备很好的Linux环境；当我们对操作系统仍陶醉于Ghost、一键复原时，国外的学生已经开始深入Linux的引导、内核、文件系统、驱动等方面，并进行了实践。

3.2 培养Linux人才是社会的迫切需要

据市场调研厂商IDC公司最新发布的报告预测，2006到2010年，中国Linux市场将以年均复合增长率34%的速度增长，到2010年将达到5110万美元。而另据统计，在2006年，我国156亿元的软件平台采购费中，MS windows占了很大的份额，这不仅消耗大量国家的外汇，同时也极大地限制了民族软件产业的发展，并给国家的安全埋了下隐患。而在正版软件政府采购中，由于国产软件的冲击，国外软件被迫降价，至少为国家节约了8亿元开支。由此可见，加快Linux的应用开发，培植拥有自主产权的民族软件，对于支持国家经济的增长和民族产业的成长都是极其重要的。

由于开源软件价廉物美，可以降低解决方案的成本，提高利润和竞争力，吸引了众多的系统集成公司加入开源软件行列，从而大大提高了开源软件的被接受程度。据报道，除了IBM全线产品支持Linux之外，HP、Sun等公司也都把发展Linux作为公司的重要战略之一。此外，国内大量的第三方独立软件供应商、系统集成商、软硬件产商的业务都逐步向Linux转型，各互联网数据中心服务商、网络安全公司及IBM、HP、DELL、联想、浪潮等都有急剧扩招Linux人才的倾向。但据有关方面统计，截至2006年1月，国内熟练的Linux开发人员只有3000人左右，而且大部分人是半路出身，由软件爱好者或Windows开发人员转化过来，并没有经过专业的课程培训。面对这样的人才储备，社会对此类人才需求迫切。预计到2008年前后，我国的Linux人才缺口将达120万，这给Linux教育和人才培养提出了巨大的挑战。

3.3 开展Linux教育是高职高专教育的发展需要

人所共知，在MS Windows普及应用的今天，MS Windows渗透到了我们生活中的方方面面，给我们的生活提供了极大的方便，但我们对之更多的只能限于应用，无法深入其中探个究竟，这是MS Windows作为商业软件的固有局限。而Linux作为一种高性能的开源软件，不同于商业软件，不存在这样的局限。它允许用户接触软件源代码，用户可以纠正软件错误，增强软件的功能，并将结果反馈给开发者，从而促进软件的良性改进。我们学习Linux可以深入其中，从表层应用到技术底层，都可以尽自己的喜欢去了解。这是开放性的学习，也是培养民族软件开发人才的良好基石。

此外，Linux属于开放源代码软件，可以免费获取使用，而且具有更好的稳定性、安全性，网络负载能力强，占用硬件资源少，推广应用对于保障国家信息安全，发展民族软件产业，掌握自主知识产权，降低信息化费用等都具有重大意义。因此，从中央到地方各级政府部门都十分重视Linux的应用与发展，并制定了相关的政策鼓励Linux技术的应用。在当前严峻的就业形势下，面对巨大的Linux人才缺口，大力发展Linux技术教育，培养掌握自主知识产权软件技术的开发人才、应用人才，是专门培养应用型技能人才的高职高专教育的重要出路之一。

面对Linux应用对教育提出的巨大需求，社会培训机构虽然分担了部分的教育压力，但要完全满足这一需求，还是要由专门培养应用型人才的高校来挑起重担，而且国家也制定了相关政策，要求高校必须把Linux作为一门课程以必修课或选修课的形式开设。因此，把Linux课程作为一门应用基础课在高校开设是社会发展的必然，也是高等教育特别是高职高专教育的发展需要。

4 大专院校开设Linux应用基础课程的前瞻及要注意的问题

高校Linux教育刚刚起步，尚未形成规模，但在社会应用需求的巨大驱动下，其必将发展壮大，并可能成为一种教育产业。随着Linux应用的日益普及，IT业界公司对Linux人才的需求也趋向多层次，包括系统级的数据库、信息管理、Web 应用方面，桌面办公、各种嵌入式开发方面等等，这也给专门培养应用型人才的高职高专院校提供了多层次的选择，可以根据自身师资力量的配备灵活把握相应的人才培养方向。Linux课程作为一门应用基础课开设，既适应了社会应用Linux技术的发展趋势，又推广了开源文化，并可以培养Linux多面人才，填补社会上此类人才的缺口，促进民族软件产业的发展和社会的繁荣，意义重大。开设Linux应用基础课，普及Linux应用，培养Linux人才，是大专院校的一种使命，也是缓解当前毕业生就业形势严峻的一个有效途径。

Linux课程作为一门应用基础课开设应该注意以下的一些问题：

(1)要提高重视，加大教学力度。尽可能创造条件把Linux课程作为各专业学生必修的一门应用基础课开设，加大课时量，积极培养、加强师资队伍并完善教学、实验环境。

(2)要注意工学结合，不断改进教学模式。尽可能地让学生从社会应用中带着问题来，掌握实践技术到社会应用中去。加强与社会企业的合作，在为社会提供技术服务的同时不断提高教学质量和培养学生实际处理问题的能力。社会上提倡的定单式培养模式是一个值得高校借鉴的教育模式。

(3)要加强相关教材的开发。选用的教材内容应强调其应用性与适应性，能从实际应用出发，着实培养各专业学生相应的岗位技能。此外，各高校在选用国内外优秀教材进行教学的同时，要根据社会的应用需求，结合本身教学经验自主开发更具选择性与实用性的校本教材。

(4)Linux应用基础课主要内容应该包括：Linux系统的安装、常用命令的使用、X-Window系统、常用工具、系统管理与配置、常用应用程序、shell编程基础等等。

总而言之，Linux课程作为一门应用基础课开设，要注意其教学体系的严密性，教学内容的实用性，知识体系的扩展性。在教学过程中，教师要注意因材施教，灵活把握知识讲授的深度与广度，并有针对性地对不同专业的学生进行内容的缩减或扩充。

5 小结

教育是服务于社会的，它必须按照不同领域的社会需求来完成自己的教育过程，即教育资源必须按照社会划分的各个专业（行业）领域（岗位群）的需要实施配置，这是社会对教育学以致用的要求。随着Linux的广泛应用，我们将可预见在不久的将来，Linux的普及也像MS Windows一样，逐步为大家所熟悉并成为日常工作的好伙伴；又由于Linux独特的开源性质，以及其更好的稳定性、安全性，必将引爆社会应用Linux的热潮，从而衍生更多与Linux 相关的岗位群。于时，社会需求对教育提出了要求，Linux作为一门应用基础课的时机也瓜熟蒂落。随着社会对Linux应用的逐步认可，并被普及应用，人才培养与人才需求必将产生供需两旺的局面，这正是高校开设Linux课程的最终目的所在。当人人都熟悉使用OpenOffice的时候，MS Office 再也不能漫天要价，这对于促进市场良性竞争，提高服务质量，推进社会的进步都百利而无一弊。

在这里对大专院校开设Linux应用基础课的必要性和前瞻作了简单的阐述，旨在抛砖引玉，希望能引起各教育同行的共鸣，共同推进Linux在高校教育中的发展，为社会培养更多综合性的应用人才。

参考文献：

[1]周国添，袁泉. Linux系统高级管理员职业技能鉴定教程[M]. 广州：广东科技出版社，2006，1-7.

[2]黄志洪，钟耿扬，等. Linux操作系统[M]. 北京：冶金工业出版社，2006，5-7.

[3]陈明. Linux基础与应用[M]. 大连：大连理工大学出版社，2006，2-3.

[4]南方网. Linux技术人才需求信息汇总[EB/OL]. http://www.southcn.com/job/features/2006graduates/position/200601120695.htm.

[5]硅谷动力. Linux人才需求看涨广东成立推进联盟[EB/OL]. http://www.enet.com.cn/article/2005/1117/A20051117473146.shtml.

[6]51CTO. 赵晓亮谈中国Linux产业现状[EB/OL]. http://os.51cto.com/art/200608/30367.htm.

[7]硅谷动力. 开放源代码软件联盟5000万培养LINUX人才[EB/OL]. http://www.enet.com.cn/article/2004/0803/A2004080333026

0.shtml.

[8]中华人民共和国教育部. 教育部、科技部关于组建国家Linux技术培训与推广中心的通知. [EB/OL].http://www.moe.edu.cn/edoas/website18/info13664.htm.

[9]赛迪网. 强强联合推动中国Linux市场[EB/OL]. http://linux.ccidnet.com/art/308/20070119/1005509_1.html.

Linux用户基础篇3

一般我们日常碰到要修改用户权限的，往往是要么修改一下用户的gorupid，通过上面命令可以改；要么是把普通用户改成具有超级权限的用户，这个一般自己不能直接改，只能是root或有root权限的用户才能帮你改，在/etc/passwd文件里面，找到对应userid那一行，将userid那一列你的id改成0，然后强制保存退出，这时候你的这个用户就有超级用户权限了。改用户的groupid也可以这样改。

如果是改某个文件的属性，就比较简单了，直接用chmod命令就可以了，我一般直接后面接数字，如果要给rwx的权限，就给7，rw-，就是6，r--就是4（二进制的，对应x -1,w-2,r -4），比如要给某个文件用户自己rwx权限，用户group内 r-x的权限，其它人r--只读，那么用chmod命令就可以：

# chomd 754

修改权限：

1）管理用户（user）的工具或命令；

useradd 注：添加用户

adduser 注：添加用户

passwd 注：为用户设置密码

usermod 注：修改用户命令，可以通过usermod 来修改登录名、用户的家目录等等；

pwcov 注：同步用户从/etc/passwd 到/etc/shadow

pwck 注：pwck是校验用户配置文件/etc/passwd 和/etc/shadow 文件内容是否合法或完整；

pwunconv 注：是pwcov 的立逆向操作，是从/etc/shadow和 /etc/passwd 创建/etc/passwd ，然后会删除 /etc/shadow 文件；

finger 注：查看用户信息工具

id 注：查看用户的UID、GID及所归属的用户组

chfn 注：更改用户信息工具

su 注：用户切换工具

sudo 注：sudo 是通过另一个用户来执行命令（execute a command as another user），su 是用来切换用户，然后通过切换到的用户来完成相应的任务，但sudo 能后面直接执行命令，比如sudo 不需要root 密码就可以执行root 赋与的执行只有root才能执行相应的命令；但得通过visudo 来编辑/etc/sudoers来实现；

visudo 注：visodo 是编辑 /etc/sudoers 的命令；也可以不用这个命令，直接用vi 来编辑 /etc/sudoers 的效果是一样的；

sudoedit 注：和sudo 功能差不多，

般如果你修改用户本身的权限，也没有太多好改的，一般用户创建用户（useradd）之后，用户就会有一个默认或指定的 userid和groupid. 一般对UNIX系统下的文件，都分为“user自己、usergroup、其它user”可以“读、写、执行”三类，用ls -la可以看到，如：

# ls -l

-rwxr-xr-x 1 root bin 62528 Jan 23 zip

其中r表示可以 read/读，w表示可以 write/写，x表示可以 execute/执行。

userid一般都是唯一的，但你可以修改自己user的group信息，以加入需要的用户组里面访问特定的文件。

groupadd ：添加用户组；

groupdel ：删除用户组；

groupmod ：修改用户组信息

2）管理用户组（group）的工具或命令；

groupadd 注：添加用户组；