常见Unix安全设置方案
1 Solaris 系列
1.1 PROM OpenBoot 和物理安全
1.1.1 OpenBoot安全级别
none ：不需要任何口令。所有OpenBoot设置都可以修改，任何人只要物理接触到主控台，就
可以完全控制。command：除了boot和go之外所有命令都需要口令。full：除了go命令之外所
有命令都需要口令。
1.1.2 改变OpenBoot安全级别
首先使用eeprom security-password 命令设置OpenBoot口令，然后在root登入状态使用eep
rom security-mode=command命令改变安全级别为command或在OK状态：ok setenv security
-mode=command的密码保护来实现。
1.2 文件系统的安全
1.2.1 基础知识
文件系统是unix系统安全的核心。在unix中，所有的事物都是文件。Unix中的基本文件类型
有正规文件、目录、特殊文件、链接、Sockets等等。这些不同类型的文件以一个分层的树结
构进行组织，以一个叫"root"的目录为起始位置("/")。整个就是一个文件系统。每个文件对
应一个"i节点"，"i节点"包括UID(文件拥有者)、GID(文件所在组)、模式(文件的权限)、文
件大小、文件类型、ctime("i节点"上次修改时间)、mtime(文件上次修改时间)、atime(文件
上次访问时间)、nlink(链接数)。它表示了文件的基本属性。
大家注意到，"/"下有很多的目录，那么这些目录是干什么的呢？下面简要介绍一下目录结构
。如下：
/bin 用户命令的可执行文件
/dev 特殊设备文件
/etc 系统执行文件、配置文件、管理文件，主要是配置文件
/home 用户起始目录
/lib 引导系统以及在root文件系统中运行命令所需的共享库文件
/lost+found 与特定文件系统断开连结的丢失文件
/mnt 临时安装的文件系统(如光驱、软驱)
/proc 一个伪文件系统，用来作为到内核数据结构或正在运行的进程的接口(用于调试)
/sbin 只有root使用的可执行文件和只需要引导或安装/usr的文件
/tmp 临时文件
/usr 为用户和系统命令使用的可执行文件、头文件、共享库、帮助文件、本地程序(在/usr
/local中)
/var 用于电子邮件、打印、cron等的文件，统计文件，日志文件
文件系统有多种类型，unix内核支持如下文件系统：
1) ext2 固定和可移动磁盘都支持的一种高性能文件系统，用于linux
2) msdos 由MS-DOS和Windows使用
3) umsdos Linux使用的一种扩充的DOS文件系统，支持长文件名、权限设置
4) iso9660 遵从ISO9660标准的CD-ROM文件系统
5) hpfs High Performance Filesystem，高性能文件系统，OS/2使用
6) minix 在Minux OS中使用，最早的Linux文件系统
7) nfs 用来访问远程计算机中磁盘的网络文件系统
8) swap 用作交换的磁盘分区
1.2.2 文件权限
文件权限是unix文件系统安全的关键。Unix中的每个用户有一个唯一的用户名和UID(用户ID
号)，每个用户属于一个或多个组。基本分组成员在/etc/passwd中定义，附加的分组成���在
/etc/group中定义。例如，用户tiger的UID为225，分组为11(students)，此外，他还是分组
185(postgraduates)的成员。每个文件和目录有三组权限，一组是文件的拥有者、一组是文
件所属组的成员、一组是其他所有用户。"r"表示可读，"w"表示可写，"x"表示可执行。一共
9位(每组3位)，合起来称为模式位(mode bits)。
模式位通常由一列10个字符来表示，每个字符表示一个模式设置，第一个指明文件类型，如
(d表示目录，-表示普通文件，l表示链接文件等等)。例如，用ls -l 命令显示如下：

例如最后一行以"-"开始，表示test使一个普通文件，文件拥有者可以读写执行、本组其他成
员可以读执行、其他用户可以读执行。我们可以用chmod和umask命令来改变权限，这很简单
，察看相应的帮助就知道怎么修改权限。
1.2.3 SUID/SGID
为什么要单独把他们从文件权限中分出来讲呢？因为，这是网络入侵者非常爱用的入侵入口
。SUID表示"设置用户ID"，SGID表示"设置组ID"。当用户执行一个SUID文件时，用户ID在程
序运行过程中被置为文件拥有者的