在 Linux 上查看文件权限时，有时你会看到的不仅仅是普通的 r、w、x 和 -。如何更清晰地了解这些字符试图告诉你什么以及这些权限如何工作？

在 Linux 上查看文件权限时，有时你会看到的不仅仅是普通的 r、w、x 和 -。除了在所有者、组和其他中看到 rwx 之外，你可能会看到 s 或者 t，如下例所示：

drwxrwsrwt

要进一步明确的方法之一是使用 stat 命令查看权限。stat 的第四行输出以八进制和字符串格式显示文件权限：

$ stat /var/mail
  File: /var/mail
  Size: 4096            Blocks: 8          IO Block: 4096   directory
Device: 801h/2049d      Inode: 1048833     Links: 2
Access: (3777/drwxrwsrwt)  Uid: (    0/    root)   Gid: (    8/    mail)
Access: 2019-05-21 19:23:15.769746004 -0400
Modify: 2019-05-21 19:03:48.226656344 -0400
Change: 2019-05-21 19:03:48.226656344 -0400
 Birth: -

这个输出提示我们，分配给文件权限的位数超过 9 位。事实上，有 12 位。这些额外的三位提供了一种分配超出通常的读、写和执行权限的方法 - 例如，3777（二进制 011111111111）表示使用了两个额外的设置。

该值的第一个 1 （第二位）表示 SGID（设置 GID），为运行文件而赋予临时权限，或以该关联组的权限来使用目录。

011111111111
 ^

SGID 将正在使用该文件的用户作为该组成员之一而分配临时权限。

第二个 1（第三位）是“粘连”位。它确保只有文件的所有者能够删除或重命名该文件或目录。

011111111111
  ^

如果权限是 7777 而不是 3777，我们知道 SUID（设置 UID）字段也已设置。

111111111111
^

SUID 将正在使用该文件的用户作为文件拥有者分配临时权限。

至于我们上面看到的 /var/mail 目录，所有用户都需要访问，因此需要一些特殊值来提供它。

但现在让我们更进一步。

特殊权限位的一个常见用法是使用 passwd 之类的命令。如果查看 /usr/bin/passwd 文件，你会注意到 SUID 位已设置，它允许你更改密码（以及 /etc/shadow 文件的内容），即使你是以普通（非特权）用户身份运行，并且对此文件没有读取或写入权限。当然，passwd 命令很聪明，不允许你更改其他人的密码，除非你是以 root 身份运行或使用 sudo。

$ ls -l /usr/bin/passwd
-rwsr-xr-x 1 root root 63736 Mar 22 14:32 /usr/bin/passwd
$ ls -l /etc/shadow
-rw-r----- 1 root shadow 2195 Apr 22 10:46 /etc/shadow

现在，让我们看一下使用这些特殊权限可以做些什么。

如何分配特殊文件权限

与 Linux 命令行中的许多东西一样，你可以有不同的方法设置。 chmod 命令允许你以数字方式或使用字符表达式更改权限。

要以数字方式更改文件权限，你可以使用这样的命令来设置 SUID 和 SGID 位：

$ chmod 6775 tryme

或者你可以使用这样的命令：

$ chmod ug+s tryme <== 用于 SUID 和 SGID 权限

如果你要添加特殊权限的文件是脚本，你可能会对它不符合你的期望感到惊讶。这是一个非常简单的例子：

$ cat tryme
#!/bin/bash

echo I am $USER

即使设置了 SUID 和 SGID 位，并且 root 是文件所有者，运行脚本也不会产生你可能期望的 “I am root”。为什么？因为 Linux 会忽略脚本的 SUID 和 SGID 位。

$ ls -l tryme
-rwsrwsrwt 1 root root 29 May 26 12:22 tryme
$ ./tryme
I am jdoe

另一方面，如果你对一个编译的程序之类进行类似的尝试，就像下面这个简单的 C 程序一样，你会看到不同的效果。在此示例程序中，我们提示用户输入文件名并创建它，并给文件写入权限。

#include <stdlib.h>

int main()
{
    FILE *fp;   /* file pointer*/
    char fName[20];

    printf("Enter the name of file to be created: ");
    scanf("%s",fName);

    /* create the file with write permission */
    fp=fopen(fName,"w");
    /* check if file was created */
    if(fp==NULL)
    {
        printf("File not created");
        exit(0);
    }

    printf("File created successfully\n");
    return 0;
}

编译程序并运行该命令以使 root 用户成为所有者并设置所需权限后，你将看到它以预期的 root 权限运行 - 留下新创建的 root 为所有者的文件。当然，你必须具有 sudo 权限才能运行一些需要的命令。

$ cc -o mkfile mkfile.c            <== 编译程序
$ sudo chown root:root mkfile       <== 更改所有者和组为 “root”
$ sudo chmod ug+s mkfile        <== 添加 SUID and SGID 权限
$ ./mkfile              <== 运行程序
Enter name of file to be create: empty
File created successfully
$ ls -l empty
-rw-rw-r-- 1 root root 0 May 26 13:15 empty

请注意，文件所有者是 root - 如果程序未以 root 权限运行，则不会发生这种情况。

权限字符串中不常见设置的位置（例如，rwsrwsrwt）可以帮助提醒我们每个位的含义。至少第一个 “s”（SUID） 位于所有者权限区域中，第二个 （SGID） 位于组权限区域中。为什么粘连位是 “t” 而不是 “s” 超出了我的理解。也许创造者想把它称为 “tacky bit”，但由于这个词的不太令人喜欢的第二个定义而改变了他们的想法。无论如何，额外的权限设置为 Linux 和其他 Unix 系统提供了许多额外的功能。

via: https://www.networkworld.com/article/3397790/a-deeper-dive-into-linux-permissions.html

作者：Sandra Henry-Stocker 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

如果你还没注意到，一些极速的固态磁盘技术已经可以用在 Linux 和其他操作系统上了。

NVMe 意即 非易失性内存主机控制器接口规范 non-volatile memory express ，它是一个主机控制器接口和存储协议，用于加速企业和客户端系统以及固态驱动器（SSD）之间的数据传输。它通过电脑的高速 PCIe 总线工作。每当我看到这些名词时，我的感受是“羡慕”。而羡慕的原因很重要。

使用 NVMe，数据传输的速度比旋转磁盘快很多。事实上，NVMe 驱动能够比 SATA SSD 快 7 倍。这比我们今天很多人用的固态硬盘快了 7 倍多。这意味着，如果你用一个 NVMe 驱动盘作为启动盘，你的系统能够启动的非常快。事实上，如今任何人买一个新的系统可能都不会考虑那些没有自带 NVMe 的，不管是服务器或者个人电脑。

NVMe 在 Linux 下能工作吗？

是的！NVMe 自 Linux 内核 3.3 版本就支持了。然而，要升级系统，通常同时需要一个 NVMe 控制器和一个 NVMe 磁盘。一些外置磁盘也行，但是要连接到系统上，需要的可不仅仅是通用的 USB 接口。

先使用下列命令检查内核版本：

$ uname -r
5.0.0-15-generic

如果你的系统已经用了 NVMe，你将看到一个设备（例如，/dev/nvme0），但是只有在你安装了 NVMe 控制器的情况下才显示。如果你没有 NVMe 控制器，你可以用下列命令获取使用 NVMe 的相关信息。

$ modinfo nvme | head -6
filename:       /lib/modules/5.0.0-15-generic/kernel/drivers/nvme/host/nvme.ko
version:        1.0
license:        GPL
author:         Matthew Wilcox <[email protected]>
srcversion:     AA383008D5D5895C2E60523
alias:          pci:v0000106Bd00002003sv*sd*bc*sc*i*

了解更多

如果你想了解极速的 NVMe 存储的更多细节，可在 PCWorld 获取。

规范、白皮书和其他资源可在 NVMexpress.org 获取。

via: https://www.networkworld.com/article/3397006/nvme-on-linux.html

作者：Sandra Henry-Stocker 选题：lujun9972 译者：warmfrog 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Linux 用户环境变量可以帮助你找到你需要的命令，无须了解系统如何配置的细节而完成大量工作。而这些设置来自哪里和如何被修改它们是另一个话题。

在 Linux 系统上的用户账户配置以多种方法简化了系统的使用。你可以运行命令，而不需要知道它们的位置。你可以重新使用先前运行的命令，而不用发愁系统是如何追踪到它们的。你可以查看你的电子邮件，查看手册页，并容易地回到你的家目录，而不用管你在文件系统中身在何方。并且，当需要的时候，你可以调整你的账户设置，以便其更符合你喜欢的方式。

Linux 环境设置来自一系列的文件：一些是系统范围（意味着它们影响所有用户账户），一些是处于你的家目录中的配置文件里。系统范围的设置在你登录时生效，而本地设置在其后生效，所以，你在你账户中作出的更改将覆盖系统范围设置。对于 bash 用户，这些文件包含这些系统文件：

/etc/environment
/etc/bash.bashrc
/etc/profile

以及一些本地文件：

~/.bashrc
~/.profile # 如果有 ~/.bash_profile 或 ~/.bash_login 就不会读此文件
~/.bash_profile
~/.bash_login

你可以修改本地存在的四个文件的任何一个，因为它们处于你的家目录，并且它们是属于你的。

查看你的 Linux 环境设置

为查看你的环境设置，使用 env 命令。你的输出将可能与这相似：

$ env
LS_COLORS=rs=0:di=01;34:ln=01;36:mh=00:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;
01:or=40;31;01:mi=00:su=37;41:sg=30;43:ca=30;41:tw=30;42:ow=34;42:st=37;44:ex=01;32:
*.tar=01;31:*.tgz=01;31:*.arc=01;31:*.arj=01;31:*.taz=01;31:*.lha=01;31:*.lz4=01;31:
*.lzh=01;31:*.lzma=01;31:*.tlz=01;31:*.txz=01;31:*.tzo=01;31:*.t7z=01;31:*.zip=01;31:
*.z=01;31:*.Z=01;31:*.dz=01;31:*.gz=01;31:*.lrz=01;31:*.lz=01;31:*.lzo=01;31:*.xz=01;
31:*.zst=01;31:*.tzst=01;31:*.bz2=01;31:*.bz=01;31:*.tbz=01;31:*.tbz2=01;31:*.tz=01;31:
*.deb=01;31:*.rpm=01;31:*.jar=01;31:*.war=01;31:*.ear=01;31:*.sar=01;31:*.rar=01;31:
*.alz=01;31:*.ace=01;31:*.zoo=01;31:*.cpio=01;31:*.7z=01;31:*.rz=01;31:*.cab=01;31:
*.wim=01;31:*.swm=01;31:*.dwm=01;31:*.esd=01;31:*.jpg=01;35:*.jpeg=01;35:*.mjpg=01;35:
*.mjpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35:*.pgm=01;35:*.ppm=01;35:*.tga=01;35:
*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*.svg=01;35:*.svgz=01;35:
*.mng=01;35:*.pcx=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.m2v=01;35:*.mkv=01;35:
*.webm=01;35:*.ogm=01;35:*.mp4=01;35:*.m4v=01;35:*.mp4v=01;35:*.vob=01;35:*.qt=01;35:
*.nuv=01;35:*.wmv=01;35:*.asf=01;35:*.rm=01;35:*.rmvb=01;35:*.flc=01;35:*.avi=01;35:
*.fli=01;35:*.flv=01;35:*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.yuv=01;35:
*.cgm=01;35:*.emf=01;35:*.ogv=01;35:*.ogx=01;35:*.aac=00;36:*.au=00;36:*.flac=00;36:
*.m4a=00;36:*.mid=00;36:*.midi=00;36:*.mka=00;36:*.mp3=00;36:*.mpc=00;36:*.ogg=00;36:
*.ra=00;36:*.wav=00;36:*.oga=00;36:*.opus=00;36:*.spx=00;36:*.spf=00;36:
SSH_CONNECTION=192.168.0.21 34975 192.168.0.11 22
LESSCLOSE=/usr/bin/lesspipe %s %s
LANG=en_US.UTF-8
OLDPWD=/home/shs
XDG_SESSION_ID=2253
USER=shs
PWD=/home/shs
HOME=/home/shs
SSH_CLIENT=192.168.0.21 34975 22
XDG_DATA_DIRS=/usr/local/share:/usr/share:/var/lib/snapd/desktop
SSH_TTY=/dev/pts/0
MAIL=/var/mail/shs
TERM=xterm
SHELL=/bin/bash
SHLVL=1
LOGNAME=shs
DBUS_SESSION_BUS_ADDRESS=unix:path=/run/user/1000/bus
XDG_RUNTIME_DIR=/run/user/1000
PATH=/home/shs/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/snap/bin
LESSOPEN=| /usr/bin/lesspipe %s
_=/usr/bin/env

虽然你可能会看到大量的输出，上面显示的第一大部分用于在命令行上使用颜色标识各种文件类型。当你看到类似 *.tar=01;31: 这样的东西，这告诉你 tar 文件将以红色显示在文件列表中，然而 *.jpg=01;35: 告诉你 jpg 文件将以紫色显现出来。这些颜色旨在使它易于从一个文件列表中分辨出某些文件。你可以在《在 Linux 命令行中自定义你的颜色》处学习更多关于这些颜色的定义，和如何自定义它们。

当你更喜欢一种不加装饰的显示时，一种关闭颜色显示的简单方法是使用如下命令：

$ ls -l --color=never

这个命令可以简单地转换到一个别名：

$ alias ll2='ls -l --color=never'

你也可以使用 echo 命令来单独地显现某个设置。在这个命令中，我们显示在历史缓存区中将被记忆命令的数量：

$ echo $HISTSIZE
1000

如果你已经移动到某个位置，你在文件系统中的最后位置会被记在这里：

PWD=/home/shs
OLDPWD=/tmp

作出更改

你可以使用一个像这样的命令更改环境设置，但是，如果你希望保持这个设置，在你的 ~/.bashrc 文件中添加一行代码，例如 HISTSIZE=1234。

$ export HISTSIZE=1234

“export” 一个变量的本意是什么

导出一个环境变量可使设置用于你的 shell 和可能的子 shell。默认情况下，用户定义的变量是本地的，并不被导出到新的进程，例如，子 shell 和脚本。export 命令使得环境变量可用在子进程中发挥功用。

添加和移除变量

你可以很容易地在命令行和子 shell 上创建新的变量，并使它们可用。然而，当你登出并再次回来时这些变量将消失，除非你也将它们添加到 ~/.bashrc 或一个类似的文件中。

$ export MSG="Hello, World!"

如果你需要，你可以使用 unset 命令来消除一个变量：

$ unset MSG

如果变量是局部定义的，你可以通过加载你的启动文件来简单地将其设置回来。例如：

$ echo $MSG
Hello, World!
$ unset $MSG
$ echo $MSG

$ . ~/.bashrc
$ echo $MSG
Hello, World!

小结

用户账户是用一组恰当的启动文件设立的，创建了一个有用的用户环境，而个人用户和系统管理员都可以通过编辑他们的个人设置文件（对于用户）或很多来自设置起源的文件（对于系统管理员）来更改默认设置。

via: https://www.networkworld.com/article/3385516/how-to-manage-your-linux-environment.html

作者：Sandra Henry-Stocker 选题：lujun9972 译者：robsean 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

unikernel 是一种用于在云基础架构上部署应用程序的更小、更快、更安全的方式。使用 NanoVMs OPS，任何人都可以将 Linux 应用程序作为 unikernel 运行而无需额外编码。

随着 unikernel 的出现，构建和部署轻量级应用变得更容易、更可靠。虽然功能有限，但 unikernal 在速度和安全性方面有许多优势。

什么是 unikernel?

unikernel 是一种非常特殊的 单一地址空间 single-address-space 的机器镜像，类似于已经主导大批互联网的云应用，但它们相当小并且是单一用途的。它们很轻，只提供所需的资源。它们加载速度非常快，而且安全性更高 —— 攻击面非常有限。单个可执行文件中包含所需的所有驱动、I/O 例程和支持库。其最终生成的虚拟镜像可以无需其它部分就可以引导和运行。它们通常比容器快 10 到 20 倍。

潜在的攻击者无法进入 shell 并获得控制权，因为它没有 shell。他们无法获取系统的 /etc/passwd或 /etc/shadow 文件，因为这些文件不存在。创建一个 unikernel 就像应用将自己变成操作系统。使用 unikernel，应用和操作系统将成为一个单一的实体。你忽略了不需要的东西，从而消除了漏洞并大幅提高性能。

简而言之，unikernel：

• 提供更高的安全性（例如，shell 破解代码无用武之地）
• 比标准云应用占用更小空间
• 经过高度优化
• 启动非常快

unikernel 有什么缺点吗？

unikernel 的唯一严重缺点是你必须构建它们。对于许多开发人员来说，这是一个巨大的进步。由于应用的底层特性，将应用简化为所需的内容然后生成紧凑、平稳运行的应用可能很复杂。在过去，你几乎必须是系统开发人员或底层程序员才能生成它们。

这是怎么改变的？

最近（2019 年 3 月 24 日）NanoVMs 宣布了一个将任何 Linux 应用加载为 unikernel 的工具。使用 NanoVMs OPS，任何人都可以将 Linux 应用作为 unikernel 运行而无需额外编码。该应用还可以更快、更安全地运行，并且成本和开销更低。

什么是 NanoVMs OPS？

NanoVMs 是给开发人员的 unikernel 工具。它能让你运行各种企业级软件，但仍然可以非常严格地控制它的运行。

使用 OPS 的其他好处包括：

• 无需经验或知识，开发人员就可以构建 unikernel。
• 该工具可在笔记本电脑上本地构建和运行 unikernel。
• 无需创建帐户，只需下载并一个命令即可执行 OPS。

NanoVMs 的介绍可以在 Youtube 上的 NanoVMs 视频 上找到。你还可以查看该公司的 LinkedIn 页面并在此处阅读有关 NanoVMs 安全性的信息。

还有有关如何入门的一些信息。

via: https://www.networkworld.com/article/3387299/how-to-quickly-deploy-run-linux-applications-as-unikernels.html

作者：Sandra Henry-Stocker 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Linux 系统上的一些文件可能出现在多个位置。按照本文指示查找并识别这些“同卵双胞胎”，还可以了解为什么硬链接会如此有利。

识别使用同一个磁盘空间的文件依赖于利用文件使用相同的 inode 这一事实。这种数据结构存储除了文件名和内容之外的所有信息。如果两个或多个文件具有不同的名称和文件系统位置，但共享一个 inode，则它们还共享内容、所有权、权限等。

这些文件通常被称为“硬链接”，不像符号链接（即软链接）那样仅仅通过包含它们的名称指向其他文件，符号链接很容易在文件列表中通过第一个位置的 l 和引用文件的 -> 符号识别出来。

$ ls -l my*
-rw-r--r-- 4 shs shs   228 Apr 12 19:37 myfile
lrwxrwxrwx 1 shs shs     6 Apr 15 11:18 myref -> myfile
-rw-r--r-- 4 shs shs   228 Apr 12 19:37 mytwin

在单个目录中的硬链接并不是很明显，但它仍然非常容易找到。如果使用 ls -i 命令列出文件并按 inode 编号排序，则可以非常容易地挑选出硬链接。在这种类型的 ls 输出中，第一列显示 inode 编号。

$ ls -i | sort -n | more
 ...
 788000 myfile  <==
 788000 mytwin  <==
 801865 Name_Labels.pdf
 786692 never leave home angry
 920242 NFCU_Docs
 800247 nmap-notes

扫描输出，查找相同的 inode 编号，任何匹配都会告诉你想知道的内容。

另一方面，如果你只是想知道某个特定文件是否是另一个文件的硬链接，那么有一种方法比浏览数百个文件的列表更简单，即 find 命令的 -samefile 选项将帮助你完成工作。

$ find . -samefile myfile
./myfile
./save/mycopy
./mytwin

注意，提供给 find 命令的起始位置决定文件系统会扫描多少来进行匹配。在上面的示例中，我们正在查看当前目录和子目录。

使用 find 的 -ls 选项添加输出的详细信息可能更有说服力：

$ find . -samefile myfile -ls
 788000    4 -rw-r--r--   4 shs    shs      228 Apr 12 19:37 ./myfile
 788000    4 -rw-r--r--   4 shs    shs      228 Apr 12 19:37 ./save/mycopy
 788000    4 -rw-r--r--   4 shs    shs      228 Apr 12 19:37 ./mytwin

第一列显示 inode 编号，然后我们会看到文件权限、链接、所有者、文件大小、日期信息以及引用相同磁盘内容的文件的名称。注意，在这种情况下，链接字段是 “4” 而不是我们可能期望的 “3”。这告诉我们还有另一个指向同一个 inode 的链接（但不在我们的搜索范围内）。

如果你想在一个目录中查找所有硬链接的实例，可以尝试以下的脚本来创建列表并为你查找副本：

#!/bin/bash

# seaches for files sharing inodes

prev=""

# list files by inode
ls -i | sort -n > /tmp/$0

# search through file for duplicate inode #s
while read line
do
    inode=`echo $line | awk '{print $1}'`
    if [ "$inode" == "$prev" ]; then
        grep $inode /tmp/$0
    fi
    prev=$inode
done < /tmp/$0

# clean up
rm /tmp/$0

$ ./findHardLinks
 788000 myfile
 788000 mytwin

你还可以使用 find 命令按 inode 编号查找文件，如命令中所示。但是，此搜索可能涉及多个文件系统，因此可能会得到错误的结果。因为相同的 inode 编号可能会在另一个文件系统中使用，代表另一个文件。如果是这种情况，文件的其他详细信息将不相同。

$ find / -inum 788000 -ls 2> /dev/null
 788000   4 -rw-r--r--   4 shs   shs    228 Apr 12 19:37 /tmp/mycopy
 788000   4 -rw-r--r--   4 shs   shs    228 Apr 12 19:37 /home/shs/myfile
 788000   4 -rw-r--r--   4 shs   shs    228 Apr 12 19:37 /home/shs/save/mycopy
 788000   4 -rw-r--r--   4 shs   shs    228 Apr 12 19:37 /home/shs/mytwin

注意，错误输出被重定向到 /dev/null，这样我们就不必查看所有 “Permission denied” 错误，否则这些错误将显示在我们不允许查看的其他目录中。

此外，扫描包含相同内容但不共享 inode 的文件（即，简单的文本拷贝）将花费更多的时间和精力。

via: https://www.networkworld.com/article/3387961/how-to-identify-duplicate-files-on-linux.html

作者：Sandra Henry-Stocker 选题：lujun9972 译者：MjSeven 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Cmd 可以帮助机构监控、验证和阻止那些超出系统预期使用范围的活动。

有一个新的 Linux 安全工具你值得了解一下：Cmd（读作 “see em dee”），它极大地改变了可以对 Linux 用户进行控制的类型。它远远超出了传统的用户权限配置，并在监视和控制用户能够在 Linux 系统上运行的命令方面发挥了积极作用。

Cmd 由同名公司开发，专注于云应用。鉴于越来越多的应用迁移到依赖于 Linux 的云环境中，而可用工具的缺口使得难以充分实施所需的安全性。除此以外，Cmd 还可用于管理和保护本地系统。

Cmd 与传统 Linux 安全控件的区别

Cmd 公司的领导 Milun Tesovic 和 Jake King 表示，除非了解了用户日常如何工作以及什么被视是“正常”，机构无法自信地预测或控制用户行为。他们寻求提供一种能够精细控制、监控和验证用户活动的工具。

Cmd 通过形成用户活动配置文件（描绘这些用户通常进行的活动）来监视用户活动，注意其在线行为的异常（登录时间、使用的命令、用户位置等），以及预防和报告某些意味着系统攻击的活动（例如，下载或修改文件和运行特权命令）。产品的行为是可配置的，可以快速进行更改。

如今大多数人用来检测威胁、识别漏洞和控制用户权限的工具，我们已经使用了很久了，但我们仍在努力抗争保持系统和数据的安全。Cmd 让我们更能够确定恶意用户的意图，无论这些用户是设法侵入帐户还是代表内部威胁。

查看实时 Linux 会话

Cmd 如何工作？

在监视和管理用户活动时，Cmd 可以：

• 收集描述用户活动的信息
• 使用基线来确定什么是正常的
• 使用特定指标检测并主动防止威胁
• 向负责人发送警报

在 Cmd 中构建自定义策略

Cmd 扩展了系统管理员通过传统方法可以控制的内容，例如配置 sudo 权限，提供更精细和特定情境的控制。

管理员可以选择可以与 Linux 系统管理员所管理的用户权限控制分开管理的升级策略。

Cmd 客户端提供实时可视化（而不是事后日志分析），并且可以阻止操作、要求额外的身份验证或根据需要进行协商授权。

此外，如果有用户位置信息，Cmd 支持基于地理定位的自定义规则。并且可以在几分钟内将新策略推送到部署在主机上的客户端。

在 Cmd 中构建触发器查询

Cmd 的融资新闻

Cmd 最近完成了由 GV （前身为 Google Ventures）领投，Expa、Amplify Partners 和其他战略投资者跟投的 1500 万美元的融资。这使该公司的融资金额达到了 2160 万美元，这将帮助其继续为该产品增加新的防御能力并发展其工程师团队。

此外，该公司还任命 GV 的普通合伙人 Karim Faris 为董事会成员。

via: https://www.networkworld.com/article/3342454/linux-security-cmd-provides-visibility-control-over-user-activity.html

作者：Sandra Henry-Stocker 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出