如果你在找一个方便的方式在 Linux 机器上挂载你的 Google Drive 文件夹， Jack Wallen 将教你怎么使用 google-drive-ocamlfuse 来挂载 Google Drive。

图片来源: Jack Wallen

Google 还没有发行 Linux 版本的 Google Drive 应用，尽管现在有很多方法从 Linux 中访问你的 Drive 文件。

如果你喜欢界面化的工具，你可以选择 Insync。如果你喜欢用命令行，有很多像 Grive2 这样的工具，以及更容易使用的以 Ocaml 语言编写的基于 FUSE 的文件系统。我将会用后面这种方式演示如何在 Linux 桌面上挂载你的 Google Drive。尽管这是通过命令行完成的，但是它的用法会简单到让你吃惊。它太简单了以至于谁都能做到。

这个系统的特点：

• 对普通文件/文件夹有完全的读写权限
• 对于 Google Docs，sheets，slides 这三个应用只读
• 能够访问 Drive 回收站（.trash）
• 处理重复文件功能
• 支持多个帐号

让我们接下来完成 google-drive-ocamlfuse 在 Ubuntu 16.04 桌面的安装，然后你就能够访问云盘上的文件了。

安装

1. 打开终端。
2. 用 sudo add-apt-repository ppa:alessandro-strada/ppa 命令添加必要的 PPA
3. 出现提示的时候，输入你的 root 密码并按下回车。
4. 用 sudo apt-get update 命令更新应用。
5. 输入 sudo apt-get install google-drive-ocamlfuse 命令安装软件。

授权

接下来就是授权 google-drive-ocamlfuse，让它有权限访问你的 Google 账户。先回到终端窗口敲下命令 google-drive-ocamlfuse，这个命令将会打开一个浏览器窗口，它会提示你登陆你的 Google 帐号或者如果你已经登陆了 Google 帐号，它会询问是否允许 google-drive-ocamlfuse 访问 Google 账户。如果你还没有登录，先登录然后点击“允许”。接下来的窗口（在 Ubuntu 16.04 桌面上会出现，但不会出现在 Elementary OS Freya 桌面上）将会询问你是否授给 gdfuse 和 OAuth2 Endpoint 访问你的 Google 账户的权限，再次点击“允许”。然后出现的窗口就会告诉你等待授权令牌下载完成，这个时候就能最小化浏览器了。当你的终端提示如下图一样的内容，你就能知道令牌下载完了，并且你已经可以挂载 Google Drive 了。

应用已经得到授权，你可以进行后面的工作。

挂载 Google Drive

在挂载 Google Drive 之前，你得先创建一个文件夹，作为挂载点。在终端里，敲下mkdir ~/google-drive命令在你的家目录下创建一个新的文件夹。最后敲下命令google-drive-ocamlfuse ~/google-drive将你的 Google Drive 挂载到 google-drive 文件夹中。

这时你可以查看本地 google-drive 文件夹中包含的 Google Drive 文件/文件夹。你可以把 Google Drive 当作本地文件系统来进行工作。

当你想卸载 google-drive 文件夹，输入命令 fusermount -u ~/google-drive。

没有 GUI，但它特别好用

我发现这个特别的系统非常容易使用，在同步 Google Drive 时它出奇的快，并且这可以作为一种本地备份你的 Google Drive 账户的巧妙方式。（LCTT 译注：然而首先你得能使用……）

试试 google-drive-ocamlfuse，看看你能用它做出什么有趣的事。

via: http://www.techrepublic.com/article/how-to-mount-your-google-drive-on-linux-with-google-drive-ocamlfuse/

作者：Jack Wallen 译者：GitFuture 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

如果你已经厌倦了每次重启 Linux 就得重新挂载 Windows 共享，读读这个让共享永久挂载的简单方法。

图片： Jack Wallen

在 Linux 上和一个 Windows 网络进行交互从来就不是件轻松的事情。想想多少企业正在采用 Linux，需要在这两个平台上彼此协作。幸运的是，有了一些工具的帮助，你可以轻松地将 Windows 网络驱动器映射到一台 Linux 机器上，甚至可以确保在重启 Linux 机器之后共享还在。

在我们开始之前

要实现这个，你需要用到命令行。过程十分简单，但你需要编辑 /etc/fstab 文件，所以小心操作。还有，我假设你已经让 Samba 正常工作了，可以手动从 Windows 网络挂载共享到你的 Linux 机器，还知道这个共享的主机 IP 地址。

准备好了吗？那就开始吧。

创建你的挂载点

我们要做的第一件事是创建一个文件夹，他将作为共享的挂载点。为了简单起见，我们将这个文件夹命名为 share，放在 /media 之下。打开你的终端执行以下命令：

sudo mkdir /media/share

安装一些软件

现在我们得安装允许跨平台文件共享的系统；这个系统是 cifs-utils。在终端窗口输入：

sudo apt-get install cifs-utils

这个命令同时还会安装 cifs-utils 所有的依赖。

安装完成之后，打开文件 /etc/nsswitch.conf 并找到这一行：

hosts: files mdns4_minimal [NOTFOUND=return] dns

编辑这一行，让它看起来像这样：

hosts: files mdns4_minimal [NOTFOUND=return] wins dns

现在你需要安装 windbind 让你的 Linux 机器可以在 DHCP 网络中解析 Windows 机器名。在终端里执行：

sudo apt-get install libnss-windbind windbind

用这个命令重启网络服务：

sudo service networking restart

挂载网络驱动器

现在我们要映射网络驱动器。这里我们必须编辑 /etc/fstab 文件。在你做第一次编辑之前，用这个命令备份以下这个文件：

sudo cp /etc/fstab /etc/fstab.old

如果你需要恢复这个文件，执行以下命令：

sudo mv /etc/fstab.old /etc/fstab

在你的主目录创建一个认证信息文件 .smbcredentials。在这个文件里添加你的用户名和密码，就像这样（USER 和 PASSWORD 替换为实际的用户名和密码）：

username=USER

password=PASSWORD

你需要知道挂载这个驱动器的用户的组 ID（GID）和用户 ID（UID）。执行命令：

id USER

USER 是你的实际用户名，你应该会看到类似这样的信息：

uid=1000(USER) gid=1000(GROUP)

USER 是实际的用户名，GROUP 是组名。在（USER）和（GROUP）之前的数字将会被用在 /etc/fstab 文件之中。

是时候编辑 /etc/fstab 文件了。在你的编辑器中打开那个文件并添加下面这行到文件末尾（替换以下全大写字段以及远程机器的 IP 地址）：

//192.168.1.10/SHARE /media/share cifs credentials=/home/USER/.smbcredentials,iocharset=uft8,gid=GID,udi=UID,file_mode=0777,dir_mode=0777 0 0

注意：上面这些内容应该在同一行上。

保存并关闭那个文件。执行 sudo mount -a 命令，共享就会挂载上。看看一下 /media/share，你应该能看到那个网络共享上的文件和文件夹了。

共享很简单

有了 cifs-utils 和 Samba，映射网络共享在一台 Linux 机器上简单得让人难以置信。现在，你再也不用在每次机器启动的时候手动重新挂载那些共享了。

via: http://www.techrepublic.com/article/how-to-permanently-mount-a-windows-share-on-linux/

作者：Jack Wallen 译者：alim0x 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

安全就是一切。我们生活的当今世界，数据具有令人难以置信的价值，而你也一直处于数据丢失的风险之中。因此，你必须想尽办法保证你桌面系统和服务器中数据的安全。结果，管理员和用户就会创建极其复杂的密码、使用密码管理器甚至其它更复杂的东西。但是，如果我告诉你你可以只需要一步，至多两步就能登录到你的 Linux 服务器或桌面系统中呢？多亏了 Google 身份验证器，现在你可以做到了。并且，配置也极其简单。

我会给你简要介绍为登录和 sudo 设置双因子认证的步骤。我基于 Ubuntu 16.04 桌面系统进行介绍，但这些步骤也适用于其它服务器。为了实现双因子认证，我会使用 Google 身份验证器。

这里有个非常重要的警告：一旦你设置了认证，没有一个从认证器中获得的由 6 个数字组成的验证码你就不可能登录账户（或者执行 sudo 命令）。这也给你增加了一步额外的操作，因此如果你不想每次登录到 Linux 服务器（或者使用 sudo）的时候都要拿出你的智能手机，这个方案就不适合你。但你也要记住，这额外的一个步骤也给你带来一层其它方法无法给予的保护。

话不多说，开始吧。

安装必要的组件

安装 Google 身份验证器 （ Google Authenticator ） ，首先要解决两个问题。一是安装智能机应用。下面是如何从 Google 应用商店安装的方法：

1. 在你的安卓设备中打开 Google 应用商店
2. 搜索 google 身份验证器 （ Google Authenticator ）
3. 找到并点击有 Google Inc. 标识的应用
4. 点击安装
5. 点击“接受”
6. 等待安装完成

接下来，我们继续在你的 Linux 机器上安装这个认证器。步骤如下：

1. 打开一个终端窗口
2. 输入命令 sudo apt-get install google-authenticator
3. 输入你的 sudo 密码并敲击回车
4. 如果有弹窗提示，输入 y 并敲击回车
5. 等待安装完成

接下来配置使用 google-authenticator 进行登录。

配置

要为登录和 sudo 添加双因子认证只需要编辑一个文件，即 /etc/pam.d/common-auth。打开并找到如下一行：

auth    [success=1 default=ignore]      pam_unix.so nullok_secure

在这行上面添加：

auth required pam_google_authenticator.so

保存并关闭文件。

下一步就是为系统中的每个用户设置 google-authenticator（否则他们就不能登录了）。为了简单起见，我们假设你的系统中有两个用户：jack 和 olivia。首先为 jack 设置（我们假设这是我们一直使用的账户）。

打开一个终端窗口并输入命令 google-authenticator。之后会问你一系列的问题（每个问题你都应该用 y 回答）。问题包括：

• 是否允许更新你的 "/home/jlwallen/.google\_authenticator" 文件 (y/n) y
• 是否禁止多个用户使用同一个认证令牌？这会限制你每 30 秒内只能登录一次，但能增加你注意到甚至防止中间人攻击的可能 (y/n)
• 默认情况下令牌时长为 30 秒即可，为了补偿客户端和服务器之间可能出现的时间偏差，我们允许使用当前时间之前或之后的其它令牌。如果你无法进行时间同步，你可以把这个时间窗口由默认的 1:30 分钟增加到 4 分钟。是否希望如此 (y/n)
• 如果你尝试登录的计算机没有针对暴力破解进行加固，你可以为验证模块启用速率限制。默认情况下，限制攻击者每 30 秒不能尝试登陆超过 3 次。是否启用速率限制 (y/n)

一旦完成了问题回答，你就会看到你的密钥、验证码以及 5 个 紧急刮码 （ emergency scratch code ） 。把这些刮码打印出来并保存。你可以在无法使用手机的时候使用它们（每个刮码仅限使用一次）。密钥用于你在 Google 身份验证器上设置账户，验证码是你能当下就能够立即使用（如果需要）的一次性验证码。

设置应用

现在你已经配置好了用户 jack。在设置用户 olivia 之前，你需要在 Google 身份验证器应用上为 jack 添加账户（LCTT 译注：实际操作情形中，是为 jack 的手机上安装的该应用创建一个账户）。在打开应用，点击“菜单”按钮（右上角三个竖排点）。点击“添加账户”然后点击“输入提供的密钥”。在下一个窗口（图1），你需要输入你运行 google-authenticator 应用时提供的 16 个数字的密钥。给账户取个名字（以便你记住这用于哪个账户），然后点击“添加”。

图1: 在 Google Authenticator 应用上新建账户

（LCTT 译注：Google 身份验证器也可以扫描你在服务器上设置时显示的二维码，而不用手工输入密钥）

添加完账户之后，你就会看到一个 6 个数字的密码，你每次登录或者使用 sudo 的时候都会需要这个密码。

最后，在系统上设置其它账户。正如之前提到的，我们会设置一个叫 olivia 的账户。步骤如下：

1. 打开一个终端窗口
2. 输入命令 sudo su olivia
3. 在智能机上打开 Google 身份验证器
4. 在终端窗口（图2）中输入（应用提供的） 6 位数字验证码并敲击回车
5. 输入你的 sudo 密码并敲击回车
6. 以新用户输入命令 google-authenticator，回答问题并记录生成的密钥和验证码。

成功为 olivia 用户设置好之后，用 google-authenticator 命令，在 Google 身份验证器应用上根据用户信息（和之前为第一个用户添加账户相同）添加一个新的账户。现在你在 Google 身份验证器应用上就会有 jack 和 olivia 两个账户了。（LCTT 译注：在实际操作情形中，通常是为 jack 和 olivia 两个人的手机分别设置。）

图2: 为 sudo 输入 6位数字验证码

好了，就是这些。每次你尝试登录系统（或者使用 sudo） 的时候，在你输入用户密码之前，都会要求你输入提供的 6 位数字验证码。现在你的 Linux 机器就比添加双因子认证之前安全多了。虽然有些人会认为这非常麻烦，我仍然推荐使用，尤其是那些保存了敏感数据的机器。

via: https://www.linux.com/learn/how-set-2-factor-authentication-login-and-sudo

作者：JACK WALLEN 译者：ictlyh 校对：wxy

回到2000年那时，微软发布 小型商务服务器 （ Small Business Server ） （SBS）。这个产品改变了很多人们对科技在商务领域的看法。你可以部署一个单独的服务器，它能处理邮件，日历，文件共享，目录服务，VPN，以及更多，而不是很多机器处理不同的任务。对很多小型公司来说，这是实实在在的好处，但是对于一些公司来说 Windows SMB 是昂贵的。对于另外一些人，根本不会考虑使用这种微软设计的单一服务器的想法。

对于后者也有替代方案。事实上，在 Linux 和开源领域里，你可以选择许多稳定的平台，它可以作为一站式服务商店服务于你的小型企业。如果你的小型企业有10到50员工，一体化服务器也许是你所需的理想方案。

这里，我将要展示两个 Linux 一体化服务器，你可以看看它们哪个能完美适用于你的公司。

记住，这些服务器不适用于（不管是哪种方式）大型商务或企业。大公司无法依靠一体化服务器，那是因为一台服务器不能负担得起企业所需的期望。也就是说，Linux 一体化服务器适合于小型企业。

ClearOS

ClearOS 最初发布于 2009 年，那时名为 ClarkConnect，是一个路由和网关的发行版。从那以后，ClearOS 增加了所有一体化服务器必要的特性。CearOS 提供的不仅仅是一个软件，你可以购买一个 ClearBox 100 或 ClearBox 300。这些服务器搭载了完整的 ClearOS，作为一个 IT 设备被销售。在这里查看特性比对/价格矩阵。

如果你已经有响应的硬件，你可以下载这些之一：

• ClearOS 社区版 — 社区（免费）版的 ClearOS
• ClearOS 家庭版 — 理想的家庭办公室（详细的功能和订阅费用，见这里）
• ClearOS商务 — 理想的小型企业（详细的功能和订阅费用，见这里）

使用 ClearOS 能给你你带来什么？你得到了一个商业级的服务器，带有单一的精美 Web 界面。是什么让 ClearOS 从标准的服务器所提供的一大堆功能中脱颖而出？除了那些基础的部分，你可以从 Clear 市场 中增加功能。在这个市场里，你可以安装免费或付费的应用来扩展 ClearOS 服务器的特性。这里你可以找到支持 Windows 服务器活动目录，OpenLDAP，Flexshares，Antimalware，云，Web 访问控制，内容过滤等等很多的补充插件。你甚至可以找到一些第三方组件，比如谷歌应用同步，Zarafa 合作平台，卡巴斯基杀毒。

ClearOS 的安装就像其他的 Linux 发行版一样（基于红帽的 Anaconda 安装程序）。安装完成后，系统将提示您设置网络接口，这个地址用来供你的浏览器（需要与 ClearOS 服务器在同一个网络里）访问。地址格式如下：

https://IP_OF_CLEAROS_SERVER:81

IPOFCLEAROS\_SERVER 就是服务器的真实 IP 地址。注：当你第一次在浏览器访问这个服务器时，你将收到一个“Connection is not private”的警告。继续访问，以便你可以继续设置。

当浏览器最终连接上之后，就会提示你 root 用户认证（在初始化安装中你设置的 root 用户密码）。一通过认证，你将看到 ClearOS 的安装向导（图1）

图1: ClearOS安装向导。

点击下一步按钮，开始设置你的 ClearOS 服务器。这个向导无需加以说明，在最后还会问你想用那个版本的 ClearOS。点击“社区”，“家庭”，或者“商业”。选择之后，你就被要求注册一个账户。创建了一个账户并注册了你的服务器后，你可以开始更新服务器，配置服务器，从市场添加模块（图2）。

图2: 从市场安装模块。

此时，一切准备就绪，可以开始深入挖掘配置你的 ClearOS 小型商务服务器了。

Zentyal

Zentyal 是一个基于 Ubuntu 的小型商务服务器，有段时期的名字是 eBox。Zentyal 提供了大量的服务器/服务来适应你的小型商务需求：

• 电子邮件 — 网页邮件；支持原生的微软 Exchange 协议和活动目录；日历和通讯录；手机设备电子邮件同步；反病毒/反垃圾；IMAP，POP，SMTP，CalDAV，和 CardDAV 支持。
• 域和目录 — 中央域目录管理；多个组织部门；单点登录身份验证；文件共享；ACL，高级域管理，打印机管理。
• 网络和防火墙 — 支持静态和 DHCP 接口；对象和服务；包过滤；端口转发。
• 基础设施 — DNS；DHCP；NTP；认证中心；VPN。
• 防火墙

安装 Zentyal 很像Ubuntu服务器的安装，基于文本界面而且很简单：从安装镜像启动，做一些简单的选择，然后等待安装完成。当这个最初的基于文本的安装完成之后，就会显示桌面 GUI，提供选择软件包的向导程序。你可以选择所有你想安装的包，让安装程序继续完成这些工作。

最终，你可以通过网页界面来访问 Zentyal 服务器（浏览器访问 https://IP\_OF\_SERVER:8443 - 这里 IP\_OF\_SERVER是你的 Zentyal 服务器的局域网地址）或使用独立的桌面 GUI 程序来管理服务器（Zentyal 包括一个可以快速访问管理员和用户控制台的 Zentyal 管理控制台）。当真系统已经保存并启动，你将看到 Zentyal 面板（图3）。

图3: Zentyal活动面板。

这个面板允许你控制服务器所有方面，比如更新，管理服务器/服务，获取服务器的敏捷状态更新。您也可以进入组件区域，然后安装在部署过程中没有选择的组件或更新当前的软件包列表。点击“软件管理” > “系统更新”并选择你想更新的（图4），然后在屏幕最底端点击“更新”按钮。

图4: 更新你的Zentyal服务器很简单。

那个服务器适合你？

回答这个问题要看你有什么需求。Zentyal 是一个不可思议的服务器，它可以很好的胜任你的小型商务网络。如果你需要更多，如群件，我觉得你可以试试 ClearOS。如果你不需要群件，其它的服务器也不错。

我强烈建议你安装一下这两个一体化的服务器，看看哪个更适合你的小公司。

via: http://www.linux.com/learn/tutorials/882146-two-outstanding-all-in-one-linux-servers

作者：Jack Wallen 译者：wyangsun 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

在 Linux 中最基本的任务之一就是设置文件权限。理解它们是如何实现的是你进入 Linux 世界的第一步。如您所料，这一基本操作在类 UNIX 操作系统中大同小异。实际上，Linux 文件权限系统就直接取自于 UNIX 文件权限（甚至使用许多相同的工具）。

但不要以为理解文件权限需要长时间的学习。事实上会很简单，让我们一起来看看你需要了解哪些内容以及如何使用它们。

基础概念

你要明白的第一件事是文件权限可以用来干什么。当你设置一个分组的权限时发生了什么？让我们将其展开来说，这个概念就真的简单多了。那到底什么是权限？什么是分组呢？

你可以设置的3种权限：

• 读 — 允许该分组读文件（用r表示）
• 写 — 允许该分组写文件（用w表示）
• 执行 — 允许该分组执行（运行）文件（用x表示）

为了更好地解释这如何应用于一个分组，例如，你允许一个分组可以读写一个文件，但不能执行。或者，你可以允许一个分组读和执行一个文件，但不能写。甚至你可以允许一个分组有读、写、执行全部的权限，也可以删除全部权限来去除该组的权限。

现在，什么是分组呢，有以下4个：

• user — 文件实际的拥有者
• group — 用户所在的用户组
• others — 用户组外的其他用户
• all — 所有用户

大多数情况，你只会对前3组进行操作，all 这一组只是作为快捷方式（稍后我会解释）。

到目前为止很简单，对吧？接下来我们将深入一层。

如果你打开一个终端并运行命令 ls -l，你将会看到逐行列出当前工作目录下所有的文件和文件夹的列表（如图）

你会留意到最左边那列是像是 -rw-rw-r-- 这样的。

实际上这列表应该这样看：

rw- rw- r--

正如你所见，列表将其分为如下3部分：

• rw-
• rw-
• r--

权限和组的顺序都很重要，顺序总是：

• 所属者 所属组 其他人 — 分组
• 读 写 执行 — 权限

在我们上面示例的权限列表中，所属者拥有读/写权限，所属组拥有读/写权限，其他人用户仅拥有读权限。这些分组中赋予执行权限的话，就用一个 x 表示。

等效数值

接下来我们让它更复杂一些,每个权限都可以用一个数字表示。这些数字是:

• 读 — 4
• 写 — 2
• 执行— 1

数值代替不是一个一个的替换，你不能像这样：

-42-42-4--

你该把每个分组的数值相加，给用户读和写权限，你该用 4 + 2 得到 6。给用户组相同的权限，也是使用相同的数值。假如你只想给其他用户读的权限，那就设置它为4。现在用数值表示为：

664

如果你想给一个文件664权限，你可以使用 chmod 命令，如：

chmod 664 FILENAME

FILENAME 处为文件名。

更改权限

既然你已经理解了文件权限，那是时候学习如何更改这些权限了。就是使用 chmod 命令来实现。第一步你要知道你能否更改文件权限，你必须是文件的所有者或者有权限编辑文件（或者通过 su 或 sudo 得到权限）。正因为这样，你不能随意切换目录和更改文件权限。

继续用我们的例子 (-rw-rw-r--)。假设这个文件（命名为 script.sh）实际是个shell脚本，需要被执行，但是你只想让自己有权限执行这个脚本。这个时候，你可能会想：“我需要是文件的权限如 -rwx-rw-r--”。为了设置 x 权限位，你可以这样使用 chmod 命令：

chmod u+x script.sh

这时候，列表中显示的应该是 -rwx-rw-r-- 。

如果你想同时让用户及其所属组同时拥有执行权限，命令应该这样：

chmod ug+x script.sh

明白这是怎么工作的了吗？下面我们让它更有趣些。不管什么原因，你不小心给了所有分组对文件的执行权限（列表中是这样的 -rwx-rwx-r-x）。

如果你想去除其他用户的执行权限，只需运行命令：

chmod o-x script.sh

如果你想完全删除文件的可执行权限，你可以用两种方法：

chmod ugo-x script.sh

或者

chmod a-x script.sh

以上就是所有内容，能使操作更有效率。我希望能避免哪些可能会导致一些问题的操作（例如你不小心对 script.sh 使用 a-rwx 这样的 chmod 命令）。

目录权限

你也可以对一个目录执行 chmod 命令。当你作为用户创建一个新的目录，通常新建目录具有这样的权限：

drwxrwxr-x

注：开头的 d 表示这是一个目录。

正如你所见，用户及其所在组都对文件夹具有操作权限，但这并不意味着在这文件夹中出创建的文件也具有与其相同的权限（创建的文件使用默认系统的权限 -rw-rw-r--）。但如果你想在新文件夹中创建文件，并且移除用户组的写权限，你不用切换到该目录下并对所有文件使用 chmod 命令。你可以用加上参数 R（意味着递归）的 chmod 命令，同时更改该文件夹及其目录下所有的文件的权限。

现在，假设有一文件夹 TEST，里面有一些脚本，所有这些（包括 TEST 文件夹）拥有权限 -rwxrwxr-x。如果你想移除用户组的写权限，你可以运行命令：

chmod -R g-w TEST

运行命令 ls -l，你讲看到列出的 TEST 文件夹的权限信息是 drwxr-xr-x。用户组被去除了写权限（其目录下的所有文件也如此）。

总结

现在，你应该对基本的 Linux 文件权限有了深入的理解。对于更高级的东西学起来会很轻松，像 setgid、setuid 和 ACL 这些。没有良好的基础，你很快就会混淆不清概念的。

Linux 文件权限从早期到现在没有太大变化，而且很可能以后也不会变化。

via: http://www.linux.com/learn/tutorials/885268-getting-to-know-linux-file-permissions

作者：Jack Wallen 译者：ynmlml 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

回到 Kernel 2.6 时代，那时候引入了一个新的安全系统，用以提供访问控制安全策略的机制。这个系统就是 Security Enhanced Linux (SELinux)，它是由美国国家安全局（NSA）贡献的，它为 Linux 内核子系统引入了一个健壮的 强制控制访问 （ Mandatory Access Control ） 架构。

如果你在之前的 Linux 生涯中都禁用或忽略了 SELinux，这篇文章就是专门为你写的：这是一篇对存在于你的 Linux 桌面或服务器之下的 SELinux 系统的介绍，它能够限制权限，甚至消除程序或守护进程的脆弱性而造成破坏的可能性。

在我开始之前，你应该已经了解的是 SELinux 主要是红帽 Red Hat Linux 以及它的衍生发行版上的一个工具。类似地， Ubuntu 和 SUSE（以及它们的衍生发行版）使用的是 AppArmor。SELinux 和 AppArmor 有显著的不同。你可以在 SUSE，openSUSE，Ubuntu 等等发行版上安装 SELinux，但这是项难以置信的挑战，除非你十分精通 Linux。

说了这么多，让我来向你介绍 SELinux。

DAC vs. MAC

Linux 上传统的访问控制标准是 自主访问控制 （ Discretionary Access Control ） （DAC）。在这种形式下，一个软件或守护进程以 User ID（UID）或 Set owner User ID（SUID）的身份运行，并且拥有该用户的目标（文件、套接字、以及其它进程）权限。这使得恶意代码很容易运行在特定权限之下，从而取得访问关键的子系统的权限。

另一方面， 强制访问控制 （ Mandatory Access Control ） （MAC）基于保密性和完整性强制信息的隔离以限制破坏。该限制单元独立于传统的 Linux 安全机制运作，并且没有超级用户的概念。

SELinux 如何工作

考虑一下 SELinux 的相关概念:

• 主体 （ Subjects ）
• 目标 （ Objects ）
• 策略 （ Policy ）
• 模式 （ Mode ）

当一个 主体 （ Subject ） （如一个程序）尝试访问一个 目标 （ Object ） （如一个文件）， SELinux 安全服务器 （ SELinux Security Server ） （在内核中）从 策略数据库 （ Policy Database ） 中运行一个检查。基于当前的 模式 （ mode ） ，如果 SELinux 安全服务器授予权限，该主体就能够访问该目标。如果 SELinux 安全服务器拒绝了权限，就会在 /var/log/messages 中记录一条拒绝信息。

听起来相对比较简单是不是？实际上过程要更加复杂，但为了简化介绍，只列出了重要的步骤。

模式

SELinux 有三个模式（可以由用户设置）。这些模式将规定 SELinux 在主体请求时如何应对。这些模式是：

• Enforcing （ 强制 ） — SELinux 策略强制执行，基于 SELinux 策略规则授予或拒绝主体对目标的访问
• Permissive （ 宽容 ） — SELinux 策略不强制执行，不实际拒绝访问，但会有拒绝信息写入日志
• Disabled （ 禁用 ） — 完全禁用 SELinux

图 1：getenforce 命令显示 SELinux 的状态是 Enforcing 启用状态。

默认情况下，大部分系统的 SELinux 设置为 Enforcing。你要如何知道你的系统当前是什么模式？你可以使用一条简单的命令来查看，这条命令就是 getenforce。这个命令用起来难以置信的简单（因为它仅仅用来报告 SELinux 的模式）。要使用这个工具，打开一个终端窗口并执行 getenforce 命令。命令会返回 Enforcing、Permissive，或者 Disabled（见上方图 1）。

设置 SELinux 的模式实际上很简单——取决于你想设置什么模式。记住：永远不推荐关闭 SELinux。为什么？当你这么做了，就会出现这种可能性：你磁盘上的文件可能会被打上错误的权限标签，需要你重新标记权限才能修复。而且你无法修改一个以 Disabled 模式启动的系统的模式。你的最佳模式是 Enforcing 或者 Permissive。

你可以从命令行或 /etc/selinux/config 文件更改 SELinux 的模式。要从命令行设置模式，你可以使用 setenforce 工具。要设置 Enforcing 模式，按下面这么做：

1. 打开一个终端窗口
2. 执行 su 然后输入你的管理员密码
3. 执行 setenforce 1
4. 执行 getenforce 确定模式已经正确设置（图 2）

图 2：设置 SELinux 模式为 Enforcing。

要设置模式为 Permissive，这么做：

1. 打开一个终端窗口
2. 执行 su 然后输入你的管理员密码
3. 执行 setenforce 0
4. 执行 getenforce 确定模式已经正确设置（图 3）

图 3：设置 SELinux 模式为 Permissive。

注：通过命令行设置模式会覆盖 SELinux 配置文件中的设置。

如果你更愿意在 SELinux 命令文件中设置模式，用你喜欢的编辑器打开那个文件找到这一行：

SELINUX=permissive

你可以按你的偏好设置模式，然后保存文件。

还有第三种方法修改 SELinux 的模式（通过 bootloader），但我不推荐新用户这么做。

策略类型

SELinux 策略有两种：

• Targeted （ 目标 ） — 只有目标网络进程（dhcpd，httpd，named，nscd，ntpd，portmap，snmpd，squid，以及 syslogd）受保护
• Strict （ 严格 ） — 对所有进程完全的 SELinux 保护

你可以在 /etc/selinux/config 文件中修改策略类型。用你喜欢的编辑器打开这个文件找到这一行：

SELINUXTYPE=targeted

修改这个选项为 targeted 或 strict 以满足你的需求。

检查完整的 SELinux 状态

有个方便的 SELinux 工具，你可能想要用它来获取你启用了 SELinux 的系统的详细状态报告。这个命令在终端像这样运行：

sestatus -v

你可以看到像图 4 那样的输出。

图 4：sestatus -v 命令的输出。

仅是皮毛

和你预想的一样，我只介绍了 SELinux 的一点皮毛。SELinux 的确是个复杂的系统，想要更扎实地理解它是如何工作的，以及了解如何让它更好地为你的桌面或服务器工作需要更加地深入学习。我的内容还没有覆盖到疑难解答和创建自定义 SELinux 策略。

SELinux 是所有 Linux 管理员都应该知道的强大工具。现在已经向你介绍了 SELinux，我强烈推荐你回到 Linux.com（当有更多关于此话题的文章发表的时候）或看看 NSA SELinux 文档 获得更加深入的指南。

LCTT - 相关阅读：鸟哥的 Linux 私房菜——程序管理与 SELinux 初探

via: https://www.linux.com/learn/docs/ldp/883671-an-introduction-to-selinux

作者：Jack Wallen 译者：alim0x 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出