十五、配置文件
1、配置文件介绍:
每个 Linux 程序都是一个可执行文件,它含有操作码列表,CPU 将执行这些操作码来完成特定的操作。
例如,ls 命令是由 /bin/ls 文件提供的,该文件含有机器指令的列表,在屏幕上显示当前目录中文件
的列表时需要使用这些机器指令。几乎每个程序的行为都可以通过修改其配置文件来按照您的偏好或需
要去定制。
Linux 中有没有一个标准的配置文件格式?
一句话,没有。不熟悉 Linux 的用户(一定)会感到沮丧,因为每个配置文件看起来都象是一个要迎
接的新挑战。在 Linux 中,每个程序员都可以自由选择他或她喜欢的配置文件格式。可以选择的格式
很多,从 /etc/shells 文件(它包含被一个换行符分开的 shell 的列表),到 Apache 的复杂的
/etc/httpd.conf 文件。
什么是系统配置文件?
内核本身也可以看成是一个“程序”。为什么内核需要配置文件?内核需要了解系统中用户和组的列表,
进而管理文件权限(即根据权限判定特定用户(UNIX_USERS)是否可以打开某个文件)。注意,这些文
件不是明确地由程序读取的,而是由系统库所提供的一个函数读取,并被内核使用。例如,程序需要某
个用户的(加密过的)密码时不应该打开 /etc/passwd 文件。相反,程序应该调用系统库的 getpw() 函
数。这种函数也被称为系统调用。打开 /etc/passwd 文件和之后查找那个被请求的用户的密码都是由
内核(通过系统库)决定的。
除非另行指定,Red Hat Linux 系统中大多数配置文件都在 /etc 目录中。配置文件可以大致分为下面
几类:
2、配置文件分类:
访问文件
/etc/host.conf
告诉网络域名服务器如何查找主机名。(通常是 /etc/hosts,
然后就是名称服务器;可通过 netconf 对其进行更改)
/etc/hosts
包含(本地网络中)已知主机的一个列表。如果系统的 IP 不
是动态生成,就可以使用它。对于简单的主机名解析(点分表
示法),在请求 DNS 或 NIS 网络名称服务器之前,
/etc/hosts.conf 通常会告诉解析程序先查看这里。
/etc/hosts.allow
请参阅 hosts_access 的联机帮助页。至少由 tcpd 读取。
/etc/hosts.deny
请参阅 hosts_access 的联机帮助页。至少由 tcpd 读取。
引导和登录/注销
/etc/issue &
/etc/issue.net
这些文件由 mingetty(和类似的程序)读取,用来向从终端(issue)或
通过 telnet 会话(issue.net)连接的用户显示一个“welcome”字符串。
它们包括几行声明 Red Hat 版本号、名称和内核 ID 的信息。它们由rc.local 使用。
/etc/redhat-release
包括一行声明 Red Hat 版本号和名称的信息。由 rc.local 使用。
/etc/rc.d/rc
通常在所有运行级别运行,级别作为参数传送。例如,要以图形(Graphics)
模式(X-Server)引导机器,请在命令行运行下面的命令: init 5 。运
行级别 5 表示以图形模式引导系统。
/etc/rc.d/rc.local
非正式的。可以从 rc、rc.sysinit 或 /etc/inittab 调用。
/etc/rc.d/rc.sysinit
通常是所有运行级别的第一个脚本。
/etc/rc.d/rc/rcX.d
从 rc 运行的脚本( X 表示 1 到 5 之间的任意数字)。这些目录是特
定“运行级别”的目录。当系统启动时,它会识别要启动的运行级别,然
后调用该运行级别的特定目录中存在的所有启动脚本。例如,系统启动时
通常会在引导消息之后显示“entering run-level 3”的消息;这意味着
/etc/rc.d/rc3.d/ 目录中的所有初始化脚本都将被调用。
文件系统
内核提供了一个接口,用来显示一些它的数据结构,这些数据结构对于决定诸如使用的中断、初始化
的设备和内存统计信息之类的系统参数可能很有用。这个接口是作为一个独立但虚拟的文件系统提供
的,称为 /proc 文件系统。很多系统实用程序都使用这个文件系统中存在的值来显示系统统计信息。
例如,/proc/modules 文件列举系统中当前加载的模块。lsmod 命令读取此信息,然后将其以人们可
以看懂的格式显示出来。下面表格中指定的 mtab 文件以同样的方式读取包含当前安装的文件系统的
/proc/mount 文件。
/etc/mtab
这将随着 /proc/mount 文件的改变而不断改变。换句话说,文件系统被安装和
卸载时,改变会立即反映到此文件中。
1.文件格式
/etc/mtab 的格式和/etc/fstab 是一样的.但这个文件不能算是用户配置文件,
他是由系统维护的.和/etc/fstab 的区别在于, fstab 是系统启动时需挂载的文
件系统列表,而 mtab 是系统当前已挂载的文件系统列表,它由系统维护,在用户
执行了 mount 或者 umount 命令后自动更新.用户不应该对此文件作任何修改.
2.安全性
/etc/mtab 的默认权限仍然是 644
3.相关命令
mount
umount
smbmount
/etc/fstab
1.文件格式
/etc/fstab 记载了系统启动时自动挂载的文件系统。一行为一条记录。每条记
录有 6 个字段,字段间用空格或者 tab 键分开。这六个字段分别是:设备名称,
挂载点(除交换分区为 swap 外,都必须是一个存在的目录名),文件系统类型,
mount 选项,是否需要 dump(1 表示需要,0 表示不需要),在 reboot 期间 fsck
检查的顺序(激活文件系统设定为 1,其余文件系统设定为 2,若设定为 0 表示
该文件系统不需要被检查)。
在 linux 和 windows 共存时,也许想开机自动挂载 windows 分区,那么就可以
在这个文件里加上相应的记录。某些时候对硬盘分区作了调整以后,这里也需要做一些相应的修改。否则会出
现一些问题。
可用的 mount 选项:
async
对该文件系统的所有 I/O 操作都异步执行
ro
该文件系统是只读的
rw
该文件系统是可读可写的
atime
更新每次存取 inode 的存取时间
auto
可以使用 -a 选项 mount
defaults
使用预设的选项:rw,suid,dev,exec,auto,nouser,async
dev
解释在文件系统上的字符或区块设备
exec
允许执行二进制文件
noatime
不要在这个文件系统上更新存取时间
noauto
这个文件系统不能使用 -a 选项来 mount
nodev
不要解释在文件系统上的字符或区块设备
noexec
不允许在 mounted 文件系统上执行任何的二进制文件。这个选项对于具有包含
非它自己的二进制结构的文件系统服务器而言非常有用
nosuid
不允许 setuid 和 setgid 位发生作用。(这似乎很安全,但是在安装 suidperl
后,同样不安全)。
nouser
限制一般非 root 用户 mount 文件系统
remount
尝试重新 mount 已经 mounted 的文件系统。这通常是用来改变文件系统的 mount
标志,特别是让只读的文件系统变成可擦写的
suid
允许 setuid 和 setgid 位发生作用
sync
文件系统的所有 I/O 同步执行
user
允许一般非 root 用户 mount 文件系统。这个选项会应用 noexec,nosuid,nodev
这三个选项(除非在命令行上有指定覆盖这些设定的选项)。
3.安全性/etc/fstab 的默认权限是 644,所有者和所有组均为 root
2.相关命令
mount
df
列举计算机当前“可以安装”的文件系统。这非常重要,因为计算机引导时将
运行 mount -a 命令,该命令负责安装 fstab 的倒数第二列中带有“1”标记
的每一个文件系统。
/etc/mtools.conf
DOS 类型的文件系统上所有操作(创建目录、复制、格式化等等)的配置。
系统管理
/etc/group
1.文件格式
/etc/group 存储了系统中所有用户的基本信息.它的格式和/etc/passwd 的格
式基本类似,这里就说简单一点,
/etc/group 也是由一条条的记录组成.每条记录分 4 个字段.分别是组名,组口
令,组 ID 和该组包含用户列表.其中组口令不再使用(现在只是保留为 x).最
后一个域是一个用逗号分隔的用户名列表,这个组的成员就是在这里列出的所
有用户.
2.安全性
/etc/group 的默认权限是 644,所有者和所有组均为 root.注意经常检察.
3.相关命令
groupadd
groupdel
groupmod
groups
包含有效的组名称和指定组中包括的用户。单一用户如果执行多个任务,可以
存在于多个组中。例如,如果一个“用户”是“project 1”工程组的成员,同
时也是管理员,那么在 group 文件中他的条目看起来就会是这样的:user: * :
group-id : project1
/etc/nologin
这是一个普通的文本文件.你可以在里面写上你喜欢的任何东西./etc/nologin
的作用在于,如果它存在,那么系统将拒绝任何非 root 用户的登录请求,并对其
它登录用户显示此文件的内容
此文件常由系统在停机前自动生成.有时系统管理员也会手工生成它,用以禁止
其它用户登录,方便进行一些管理工作.
etc/passwd
1.文件格式
/etc/passwd 存储了系统中所有用户的基本信息.可以说这是系统中最重要的一
个配置文件.对它作任何修改一定要小心谨慎.同时要经常检察这个文件,包括
它的内容和权限设置.
使用 vi 编辑程序打开此文件,可以看到这个文件由许多行记录组成.每一行记
录对应着一个用户.我们以第一行为例.第一行一般是 root 用户的记录,尽管这
不是必需的.实际上用户记录出现的顺序并没有任何的意义.
在我的系统中,/etc/passwd 的第一行看起来是这样的:
root:x:0:0:root:/root:/bin/bash
每一条记录都由 7 个字段组成,每个字段之间用冒号隔开.第一个字段是用户
名,示例中是 root.第二个字段是用户口令,示例中是一个字符 x,但这并不表示root 的口令是单个字符 x,而是说用户口令被加密了,并且加密口令也没有放在
本文件中,而是放到了/etc/shadow(参考 /etc/shadow).假如删除这个 x,那么
root 的口令就清空了.第三个字段是用户的用户 ID,即 uid.第四个字段是用户
的组 ID,即 gid. 这里要注意,系统分辨两个用户是看他们的 uid 是否相同而不
是看他们的用户名是否相同.用户名不同但 uid 相同的两个用户实际上是同一
个用户.对组来说也有类似的规则.所以这两个字段大家一定要注意.第五个字
段是用户全称,没有什么实际用途,相当于注释,这里是 root.第六个字段是用户
的主目录 (home),即登录系统后默认所处目录,这里是/root.最后一个字段是
用户的登录 shell,可以是系统拥有的任何一个 shell 的完整路径,这里是
/bin/bash.注意,这个字段可以有一个特殊的值,即/sbin/nologin.如果把一个
用户的登录 shell 设置为 /sbin/nologin 的话,系统将禁止此用户的本地登录.
请参阅“man passwd”。它包含一些用户帐号信息,包括密码(如果未被 shadow
程序加密过)。
2.安全性
/etc/passwd 的默认权限为 644,所有者和所有组均为 root.切记,在任何情况下
都不要更改它.
3.相关命令
passwd
useradd
userdel
adduser
usermod
users
/etc/rpmrc
rpm 命令配置。所有的 rpm 命令行选项都可以在这个文件中一起设置,这样,
当任何 rpm 命令在该系统中运行时,所有的选项都会全局适用。
/etc/securetty
包含设备名称,由 tty 行组成(每行一个名称,不包括前面的 /dev/),root
用户在这里被允许登录。
1.文件格式
这是一个设备文件的列表.文件名取相对于/dev 的相对路径.如,/dev/tty1 记
为 tty1
root 只有从这个列表中列出的设备上才可以登录系统.
例如:
代码:
$cat /etc/securretty
tty1
tty2
tty3
这里 root 被限定只能从/dev/tty1, /dev/tty2, /dev/tty3 这三个设备上登录
系统
如果/etc/securretty 不存在的话,那么 root 将可以从任何设备登录系统.
2.安全性
/etc/securetty 的默认权限是 600,所有者和所有组都是 root
/etc/shadow
包含加密后的用户帐号密码信息,还可以包括密码时效信息。包括的字段有:• 登录名
• 加密后的密码
• 从 1970 年 1 月 1 日到密码最后一次被更改的天数
• 距密码可以更改之前的天数
• 距密码必须更改之前的天数
• 密码到期前用户被警告的天数
• 密码到期后帐户被禁用的天数
• 从 1970 年 1 月 1 日到帐号被禁用的天数
1.文件格式
/etc/shadow 文件保存的是用户名,密码,用户账号设置相关信息。
例:
root:$1$6UviCNvh$WTR0zPMek41KmzD0Z1DdV1:12264:3:4:5:6:12267:
第一段: root----- 用户注册名
第二段: $1$6UviCNvh$WTR0zPMek41KmzD0Z1DdV1 ----加密口令
第三段: 12264-----上次更动密码的日期,以 1970 年 1 月 1 日为 1,1 天加 1
第四段: 3---------密码将被允许修改之前的天数(0 表示“可在任何时间修
改”)
第五段: 4---------系统将强制用户修改为新密码之前的天数(1 表示“永远
都不能修改”)
第六段: 5---------密码过期之前,用户将被警告过期的天数(-1 表示“没有
警告”)
第七段: 6---------密码过期之后,系统自动禁用帐户的天数(-1 表示“永远
不会禁用”)
第八段: 12267-----该帐户被禁用的天数(-1 表示“该帐户被启用”).以 1970
年 1 月 1 日为 1,1 月 2 日为 2
第九段 ------ 保留供将来使用
注:第 2 段中为*表示帐号不可登录,如密码前为 !! 或只有 !! 表示帐号被锁
2.安全性/etc/shadow 的默认所有者和所有组均为 root.
建议运行# chattr +i /etc/shadow 来保护文件使其不被意外地删除或重写
3.相关命令
passwd
useradd
userdel
usermod
/ect/gshadow
1.文件格式
/ect/gshadow 文件保存的是用户和组群设置的信息
例:
root:!!::root,wa1
第一段:组名
第四段:该组包含用户列表
2.安全性
/etc/gshadow 的默认所有者和所有组均为 root.
建议运行# chattr +i /etc/shadow 来保护文件使其不被意外地删除或重写
3.相关命令
groupadd
groupdel
groupmod
groups
/etc/sysctl.conf
1.文件格式
/etc/sysctl.conf 是 sysctl 程序的配置文件.sysctl 可以在系统运行时更改内
核参数./etc/sysctl.conf 中的配置将在系统起动时执行.
以 # 和 ; 开始的行是注释,将和空白行一起被忽略.
配置项的格式为:
token = value
token 是一个键名,value 是对应的键值.token 和 value 前后的空格将被忽略
token 不能是随意的字符串.他和/proc/sys 下的文件有一一对应的关系:
假设foo是/proc/sys下的一个文件.删除foo的绝对路径前的 "/proc/sys" 这
一部分,然后把剩下部分中的 "/" 替换成 ".",得到的字符串就是 foo 所对应
的键名.例如:
/proc/sys/net/ipv4/ip_forward 对应的键名为 net.ipv4.ip_forward
应用举例:
Redhat Linux 9 默认是禁止 ip 转发的,而我们在做 ip 伪装时需要起用 ip 转发.
通常的做法是在 iptables 的规则之前加上一句:
echo 1>/proc/sys/net/ipv4/ip_forward
实际上我们也可以在/etc/sysctl.conf 中写上:net.ipv4.ip_forward = 1
这样系统就默认起用 ip 转发了.当然他不会立即生效.因为/etc/sysctl.conf
是在系统起动时读入的.想要立即生效的话,请使用 sysctl 命令.
2.安全性
/etc/sysctl.conf 的默认权限是 644,所有者和所有组均为 root
3.See also
sysctl(8)
sysctl.conf(5)
proc(5)
procinfo(8)
/etc/shells
包含系统可用的可能的“shell”的列表。
/etc/motd
每日消息;在管理员希望向 Linux 服务器的所有用户传达某个消息时使用。
联网
/etc/gated.conf
gated 的配置。只能被 gated 守护进程所使用。
/etc/gated.version
包含 gated 守护进程的版本号。
/etc/gateway
由 routed 守护进程可选地使用。
/etc/networks
列举从机器所连接的网络可以访问的网络名和网络地址。
通过路由命令使用。允许使用网络名称。
/etc/protocols
列举当前可用的协议。请参阅 NAG(网络管理员指南,
Network Administrators Guide)和联机帮助页。 C 接口
是 getprotoent。绝不能更改。
/etc/resolv.conf
在程序请求“解析”一个 IP 地址时告诉内核应该查询哪
个名称服务器。
1.文件格式
/etc/resolv.conf 是系统的 DNS 解析器配置文件,最常见
的用途是用来指定系统所使用的 DNS 服务器地址,您可以
最多指定 MAXNS 个 DNS 服务器,MAXNS 是一个常量,在
/usr/include/resolv.h 中定义,一般为 3。每个 DNS 服务
器地址应该以点分十进制格式写在单独的行上,前面加上
关键字 nameserver。例如:
nameserver 173.26.100.99
nameserver 202.118.224.101
这里我们指定了两个 DNS 服务器,ip 地址分别为
173.26.100.99 和 202.118.224.101。当系统需要进行 DNS
解析时,优先使用列在前面的 DNS Server,如果解析失败
则转而使用下一个 DNS Server。
2.安全性
/etc/resolv.conf 的默认权限为 0644
/etc/host.conf
1.文件格式/etc/host.conf 也是一个 DNS 解析器配置文件,但它最常
见的用途是用来指定解析器使用的方法。一般来说,DNS
解析可以使用两种方法,一是查询 DNS 服务器,二是使用
本地 hosts 主机表。/etc/host.conf 可以用来指定优先使
用哪一种方法。可以使用 order 关键字来指定他们的优先
级.order 后可跟一种或多种 DNS 查询方法,之间用逗号隔
开,其优先级依次降低。可用的 DNS 查询方法有:
hosts,bind,nis,分别表示使用本地 hosts 主机表,DNS
服务器,NIS 服务器来进行 DNS 查询。最常见的配置是:
order bind,hosts
2.安全性
/etc/host.conf 的默认权限为 0644
/etc/rpc
包含 RPC 指令/规则,这些指令/规则可以在 NFS 调用、
远程文件系统安装等中使用。
/etc/exports
要导出的文件系统(NFS)和对它的权限。
/etc/services
将网络服务名转换为端口号/协议。由 inetd、telnet、
tcpdump 和一些其它程序读取。有一些 C 访问例程。
/etc/inetd.conf
inetd 的配置文件。请参阅 inetd 联机帮助页。包含每个
网络服务的条目,inetd 必须为这些网络服务控制守护进
程或其它服务。注意,服务将会运行,但在 /etc/services
中将它们注释掉了,这样即使这些服务在运行也将不可用。
格式为:<service_name> <sock_type> <proto> <flags>
<user> <server_path> <args>
/etc/sendmail.cf
邮件程序 sendmail 的配置文件。比较隐晦,很难理解。
/etc/sysconfig/network
指出 NETWORKING=yes 或 no。至少由 rc.sysinit 读取。
/etc/sysconfig/network-scripts/if*
Red Hat 网络配置脚本。
系统命令
系统命令要独占地控制系统,并让一切正常工作。所有如 login(完成控制台用户身份验证阶段)或
bash(提供用户和计算机之间交互)之类的程序都是系统命令。因此,和它们有关的文件也特别重要。
这一类别中有下列令用户和管理员感兴趣的文件。
/etc/lilo.conf
包含系统的缺省引导命令行参数,还有启动时使用的不同映象。您在 LILO
引导提示的时候按 Tab 键就可以看到这个列表。
/etc/logrotate.conf
维护 /var/log 目录中的日志文件。
/etc/identd.conf
identd 是一个服务器,它按照 RFC 1413 文档中指定的方式实现 TCP/IP
提议的标准 IDENT 用户身份识别协议。identd 的操作原理是查找特定
TCP/IP 连接并返回拥有此连接的进程的用户名。作为选择,它也可以返回
其它信息,而不是用户名。请参阅 identd 联机帮助页。
/etc/ld.so.conf
“动态链接程序”(Dynamic Linker)的配置。
/etc/inittab
按年代来讲,这是 UNIX 中第一个配置文件。在一台 UNIX 机器打开之后启
动的第一个程序是 init,它知道该启动什么,这是由于 inittab 的存在。在运行级别改变时,init 读取 inittab,然后控制主进程的启动。
1.文件格式
init 进程将查看此文件来启动子进程,完成系统引导./etc/inittab 描述了
一个进程是在系统引导时起动还是在系统引导完成后的某个情形下起动.他
也是由一行行的记录组成的.而以 # 开头的行是注释,将被忽略.
记录的格式是:
id:runlevels:action:process
id 域是一个由 1 到 4 个字符组成的字符串,这个字符串必需是唯一的,即不
能有两条记录拥有相同的 id 域.id 域是一个标志域,由它区分各条记录.注
意,对于 gettys 或者其他的 login 进程来说,id 域必须是对应 tty 的 tty 后
缀,例如,对于 tty1 来说,id 域应该是 1.查看你的 /etc/inittab,会发现类
似下面这样的记录:
.........
1:2345:respawn:/sbin/mingetty tty1
2:2345:respawn:/sbin/mingetty tty2
3:2345:respawn:/sbin/mingetty tty3
.............
runlevels 域是一个运行级的列表,可用的运行级有:
0 ---- 停机
1 ---- 单用户模式
2 ---- 不带 NFS 的多用户模式
3 ---- 完整的多用户模式
4 ---- 没有使用
5 ---- X11
6 ---- 重起系统
S ---- 单用户
s ---- 同 S
action 域是一个预定义的动作,可用的 action 有:
respawn
进程终止后立刻重新开始(如 getty 进程)
wait
进程在进入指定的运行级后起动一次,然后 init 将等待它的终止
once
进程在进入指定的运行级后起动一次
boot
进程在系统引导时起动,runlevels 域将被忽略
bootwait
进程在系统引导时起动,然后 init 将等待它的终止,runlevels 域将被忽略
off
这个 action 不做任何事
ondemand
有一个特殊的运行级叫做 ondemand runlevel,包括 a,b 和 c.如果一个进程
被标记了 ondemand runlevel,那么当要求切换到这个 ondemand runlevel
时将会起动这个进程.但实际上的 runlevel 不会改变initdefault
标记了 initdefault 这个 action 的记录项的 runlevel 域指定了系统引导完
成后进入的运行级
sysinit
在系统引导时起动这个进程.而且在所有的 boot 和 bootwait 项之前起
动.process 域将被忽略
powerwait
在电力中断时起动这个进程.通常会由一个与连接到计算机的 UPS 系统对话
的进程通知 init 电力切断.init 在继续之前将等待这个进程结束
powerfail
同 powerwait 类似,但是 init 不会等待这个进程结束
powerokwait
一旦 init 被通知电力已经恢复,将起动这个进程
powerfailnow
当 init 被告知 UPS 的电力亦将耗尽时起动这个进程
ctrlaltdel
当 init 接到 SIGINT 信号时起动这个进程.一般是按下了 ctrl+alt+del 这个
组合键
kbrequest
当一个特殊的键盘组合键被按下时起动这个进程
process 域指定了将运行的进程,可以有参数.如果这个域以 + 开头,表明
init 将为这个进程更新 utmp/wtmp 记录.
范例:
id:3:initdefault:
系统引导完成后进入运行级 3
si::sysinit:/etc/rc.d/rc.sysinit
系统引导时运行/etc/rc.d/rc.sysinit
l0:0:wait:/etc/rc.d/rc 0
系统进入运行级 0 时执行/etc/rc.d/rc 0,这里 0 是参数
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
捕获到 ctrl+alt+del 时运行/sbin/shutdown -t3 -r now.如果想禁用
ctrl+alt+del 这个组合键,直接删除或注释掉这行
pf::powerfail:/sbin/shutdown -f -h +2 "Power Failure; System
Shutting Down"
电力中断时执行/sbin/shutdown -f -h +2 "Power Failure; System
Shutting Down"
1:2345:respawn:/sbin/mingetty tty1
进入运行级 2,3,4 或 5 时执行 respawn:/sbin/mingetty tty1.注意指定的
action 是 respawn,这也就是为什么我们在终端下 logout 后会立刻又出现一
个 login 提示符
x:5:respawn:/etc/X11/prefdm -nodaemon
进入运行级 5 时执行/etc/X11/prefdm -nodaemon,指定的 action 是 respawm
2.安全性
/etc/inittab 的权限是 644,所有者和所有组均为 root3.相关命令
init
telinit
更多内容请
man init
man inittab
/etc/termcap
一个数据库,包含所有可能的终端类型以及这些终端的性能。
守护进程
守护进程是一种运行在非交互模式下的程序。一般来说,守护进程任务是和联网区域有关的:它们等
待连接,以便通过连接提供服务。Linux 可以使用从 Web 服务器到 ftp 服务器的很多守护进程。
/etc/syslog.conf
syslogd 是一种守护进程,它负责记录(写到磁盘)从其它程序发送到系统
的消息。这个服务尤其常被某些守护进程所使用,这些守护进程不会有另外
的方法来发出可能有问题存在的信号或向用户发送消息。
1.文件格式
/etc/syslog.conf 是 syslog 守护程序的配置文件.syslog 守护程序为记录
来自运行于系统之上的程序的消息提供了一种成熟的客户机 -服务器机制。
syslog 接收来自守护程序或程序的消息,根据优先级和类型将该消息分类,
然后根据由管理员可配置的规则将它写入日志。结果是一个健壮而统一的管
理日志的方法。
这个文件由一条条的规则组成.每条规则应该写在一行内.但是如果某行以
反斜线 结尾的话,他的下个物理行将被认为与此行同属于一行.空白行和
以 # 开始的行将被忽略.
每条规则都是下面这种形式:
facility.priority[;facility.priority .....] action
facility 和 priority 之间用一个英文句点分隔.他们的整体称为 selector.
每条规则可以有多个 selector,selector 之间用分号隔开. 而 selector 和
action 之间则用空格或者 tab 隔开.
facility 指定 syslog 功能,主要包括以下这些:
auth 由 pam_pwdb 报告的认证活动。
authpriv 包括特权信息如用户名在内的认证活动
cron 与 cron 和 at 有关的信息。
daemon 与 inetd 守护进程有关的信息。
kern 内核信息,首先通过 klogd 传递。
lpr 与打印服务有关的信息。
mail 与电子邮件有关的信息
mark syslog 内部功能用于生成时间戳
news 来自新闻服务器的信息
syslog 由 syslog 生成的信息
user 由用户程序生成的信息
uucp 由 uucp 生成的信息
local0----local7 与自定义程序使用,例如使用 local5 做为 ssh 功能* 通配符代表除了 mark 以外的所有功能
priority 指定消息的优先级. 与每个功能对应的优先级是按一定顺序排列
的,emerg 是最高级,其次是 alert,依次类推。缺省时,在
/etc/syslog.conf 记录中指定的级别为该级别和更高级别。如果希望使用
确定的级别可以使用两个运算符号!(不等)和=。
user.=info
表示告知 syslog 接受所有在 info 级别上的 user 功能信息。
可用的 syslog 优先级如下:
emerg 或 panic 该系统不可用
alert 需要立即被修改的条件
crit 阻止某些工具或子系统功能实现的错误条件
err 阻止工具或某些子系统部分功能实现的错误条件
warning 预警信息
notice 具有重要性的普通条件
info 提供信息的消息
debug 不包含函数条件或问题的其他信息
none 没有重要级,通常用于排错
* 所有级别,除了 none
action 字段所表示的活动具有许多灵活性,特别是,可以使用名称管道的作
用是可以使 syslogd 生成后处理信息。
syslog 主要支持以下 action
file
指定文件的绝对路径,如: /var/log/messages . log 信息将写到此文件中
terminal 或 printer
完全的串行或并行设备标志符,如/dev/console . log 信息将送到此设备
@host
远程的日志服务器. log 信息将送到此日志服务器
username
发送信息给指定用户
named pipe
指定使用 mkfifo 命令来创建的 FIFO 文件的绝对路径。
如果对此文件作了改动, 想要使改动生效,您需要向 syslog 守护程序通知
所做的更改。向它发送 SIGHUP 是个正确的办法,您可以用 killall 命令
轻松地做到这一点:
# killall -HUP syslogd
2.安全性
您应该清楚如果 syslogd 写的日志文件还不存在的话,程序将创建它们。
无论您当前的 umask 如何设置,该文件将被创建为可被所有用户读取。如
果您关心安全性,那么您应该用 chmod 命令将该文件设置为仅 root 用户
可读写。此外,可以用适当的许可权配置 logrotate 程序(在下面描述)
以创建新的日志文件。syslog 守护程序始终会保留现有日志文件的当前属
性,因此一旦创建了文件,您就不需要担心它。
3.相关命令
logrotateklogd
syslogd
dmesg
/etc/httpd.conf
Web 服务器 Apache 的配置文件。这个文件一般不在 /etc 中。它可能在
/usr/local/httpd/conf/ 或 /etc/httpd/conf/ 中,但是要确定它的位置,
您还需要检查特定的 Apache 安装信息。
/etc/conf.modules
or
/etc/modules.conf
kerneld 的配置文件。有意思的是,kerneld 并不是“作为守护进程的”内
核。它其实是一种在需要时负责“快速”加载附加内核模块的守护进程。
用户程序
在 Linux(和一般的 UNIX)中,有无数的“用户”程序。最常见的一种用户程序配置文件是
/etc/lynx.cfg。这是著名的文本浏览器 lynx 的配置文件。通过这个文件,您可以定义代理服务器、
要使用的字符集等等。下面的代码样本展示了 lynx.cfg 文件的一部分,修改这部分代码可以改变
Linux 系统的代理服务器设置。缺省情况下,这些设置适用于在各自的 shell 中运行 lynx 的所有
用户,除非某个用户通过指定 --cfg = "mylynx.cfg" 重设了缺省的配置文件。
/etc/lynx.cfg 中的代理服务器设置
.h1 proxy
.h2 HTTP_PROXY
.h2 HTTPS_PROXY
.h2 FTP_PROXY
.h2 GOPHER_PROXY
.h2 NEWS_PROXY
.h2 NNTP_PROXY
# Lynx version 2.2 and beyond supports the use of proxy servers that can act as
# firewall gateways and caching servers. They are preferable to the older
# gateway servers. Each protocol used by Lynx can be mapped separately using
# PROTOCOL_proxy environment variables (see Lynx Users Guide). If you have
# not set them externally, you can set them at run time via this configuration file.
# They will not override external settings. The no_proxy variable can be used
# to inhibit proxying to selected regions of the Web (see below). Note that on
# VMS these proxy variables are set as process logicals rather than symbols, to
# preserve lowercasing, and will outlive the Lynx image.
#
.ex 15
http_proxy:http://proxy3.in.ibm.com:80/
ftp_proxy:http://proxy3.in.ibm.com:80/
#http_proxy:http://penguin.in.ibm.com:8080
#ftp_proxy:http://penguin.in.ibm.com:8080/
.h2 NO_PROXY
# The no_proxy variable can be a comma-separated list of strings defining
# no-proxy zones in the DNS domain name space. If a tail substring of the
# domain-path for a host matches one of these strings, transactions with that# node will not be proxied.
.ex
no_proxy:demiurge.in.ibm.com, demiurge
更改配置文件
在更改配置文件时,如果程序不是由系统管理员或内核控制的,就要确保重新启动过使用该配置的程
序。普通用户通常没有启动或停止系统程序和/或守护进程的权限。
内核
更改内核中的配置文件会立即影响到系统。例如,更改 passwd 文件以增加用户将立即使该用户变为
可用。而且任何 Linux 系统的 /proc/sys 目录中都有一些内核可调参数。只有超级用户可以得到对
所有这些文件的写访问权力;其它用户只有只读访问权力。此目录中文件的分类的方式和 Linux 内
核源代码的分类方式一样。此目录中的每个文件都代表一个内核数据结构,这些数据结构可以被动态
地修改,从而改变系统性能。
注意:在更改其中任何文件的任何值之前,您应该确保自己全面了解该文件,以避免对系统造成不可
修复的损害。
/proc/sys/kernel/ 目录中的文件
文件名
描述
threads-max
内核可运行的最大任务数。
ctrl-alt-del
如果值为 1,那么顺序按下这几个键将“彻底地”重新引
导系统。
sysrq
如果值为 1,Alt-SysRq 则为激活状态。
osrelease
显示操作系统的发行版版本号
ostype
显示操作系统的类型。
hostname
系统的主机名。
domainname
网络域,系统是该网络域的一部分。
modprobe
指定 modprobe 是否应该在启动时自动运行并加载必需
的模块。
守护进程和系统程序
守护进程是永远运行在后台的程序,它默默地执行自己的任务。常见的守护进程有 in.ftpd(ftp 服
务器守护进程)、in.telnetd(telnet 服务器守护进程)和 syslogd(系统日志记录守护进程)。
有些守护进程在运行时会严密监视配置文件,在配置文件改变时就会自动重新加载它。但是大多数守
护进程并不会自动重新加载配置文件。我们需要以某种方式“告诉”这些守护进程配置文件已经被发
生了改变并应该重新加载。可以通过使用服务命令重新启动服务来达到这个目的(在 Red Hat Linux
系统上)。
例如,如果我们更改了网络配置,就需要发出:
service network restart 。
注意:这些服务最常见的是 /etc/rc.d/init.d/* 目录中存在的脚本,在系统被引导时由 init 启动。
所以,您也可以执行如下操作来重新启动服务:
/etc/rc.d/init.d/<script-for-the-service> start | stop | status
start、stop 和 status 是这些脚本接受的输入值,用来执行操作。
用户程序用户或系统程序在每次启动时都会读取其配置文件。尽管如此,请记住,有些系统程序在计算机打开
时情况不一样,它们的行为依赖于在 /etc/ 中的配置文件中读到的内容。所以,用户程序第一次启
动时将从 /etc/ 目录中存在的文件读取缺省配置。然后,用户可以通过使用 rc 和 .(点)文件来
定制程序,正如下面一节所示。
用户配置文件:.(点)文件和 rc 文件
我们已经看到怎样容易地配置程序。但是如果有的人不喜欢在 /etc/ 中配置程序的方式该怎么办呢?
“普通”用户不能简单地进入 /etc 然后更改配置文件;从文件系统的角度来看,配置文件的所有者
是 root 用户!这就是大多数用户程序都定义两个配置文件的原因:第一个是“系统”级别的,位于
/etc/;另一个属于用户“专用”,可以在他或她的主目录中找到。
例如,我在我的系统中安装了非常有用的 wget 实用程序。/etc/ 中有一个 /etc/wgetrc 文件。在
我的主目录中,有一个名为 .wgetrc 的文件,它描述了我定制的配置(只有在我,也就是用户运行
wget 命令时,才会加载这个配置文件)。其它用户在他们自己的主目录(/home/other)中也可以
有 .wgetrc 文件;当然,只有这些用户运行 wget 命令时,才会读取这个文件。换句话说,/etc/wgetrc
文件为 wget 提供了“缺省”值,而 /home/xxx/.wgetrc 文件列举了某个用户的“定制项”。重要
的是这只是“一般规则”,并非所有情况都如此。例如,一个象 pine 一样的程序,在 /etc/ 中并
没有任何文件,它只在用户主目录中有一个定制配置文件,名为 .pinerc。其它程序可能只有 /etc/
中的缺省配置文件,而且可能不允许用户“定制”这些配置文件(/etc 目录中只有少数 config. 文
件是这种情况)。
通常使用的 rc 和 .(点)文件
文件名
描述
~/.bash_login
请参考“man bash”。如果
~/.bash_profile 不存在,bash 则将
~/.bash_login 作为
~/.bash_profile 处理。
~/.bash_logout
请参考“man bash”。在退出时由
bash 登录 shell 引用。
~/.bash_profile
由 bash 登录 shell 引用
/etc/profile 之后引用。
~/.bash_history
先前执行的命令的列表。
~/.bashrc
请参考“man bash”。由 bash 非登
录交互式 shell 引用(没有其它文
件)。除非设置了 BASH_ENV 或 ENV,
非交互式 shell 不引用任何文件。
~/.emacs
启动时由 emac 读取。
~/.forward
如果这里包含一个电子邮件地址,那
么所有发往 ~ 的所有者的邮件都会
被转发到这个电子邮件地址。
~/.fvwmrc ~/.fvwm2rc
fvwm 和 fvwm2(基本的 X Window 管
理器)的配置文件。
~/.hushlogin
请参考“man login”。引起“无提
示”登录(没有邮件通知、上次登录
信息或者 MOD 信息)。~/.mail.rc
邮件程序的用户初始化文件。
~/.ncftp/
ncftp 程序的目录;包含书签、日志、
宏、首选项和跟踪信息。请参阅 man
ncftp。ncftp 的目的是为因特网标准
文件传输协议(Internet standard
File Transfer Protocol)提供一个
强大而灵活的接口。它旨在替换系统
所使用的标准的 ftp 程序。
~/.profile
请参考“man bash”。如果
~/.bash_profile 和 ~/.bash_login
文件不存在,bash 则将 ~/.profile
作为 ~/.bash_profile 处理,并被其
它继承 Bourn 的 shell 使用。
~/.pinerc
Pine 配置
~/.muttrc
Mutt 配置
~/.exrc
这个文件可以控制 vi 的配置。
示例:set ai sm ruler
在此文件中写入上面一行会让 vi 设
置自动缩进、匹配括号、显示行号和
行-列这几个选项。
~/.vimrc
缺省的“Vim”配置文件。和 .exrc
一样。
~/.gtkrc
GNOME 工具包(GNOME Toolkit)。
~/.kderc
KDE 配置。
~/.netrc
ftp 缺省登录名和密码。
~/.rhosts
由 r- 工具(如 rsh、rlogin 等等)
使用。因为冒充主机很容易,所以安
全性非常低。
1. 必须由用户(~/ 的所有者)或超
级用户拥有。
2. 列出一些主机,用户可以从这些主
机访问该帐号。
3. 如果是符号链接则被忽略。
~/.rpmrc
请参阅“man rpm”。如果 /etc/rpmrc
不存在则由 rpm 读取。
~/.signature
消息文本,将自动附加在从此帐号发
出的邮件末尾。
~/.twmrc
twm( The Window Manager)的配置
文件。~/.xinitrc
启动时由 X 读取(而不是由 xinit
脚本读取)。通常会启动一些程序。
示例:exec /usr/sbin/startkde
如果该文件中存在上面这行内容,那
么在从这个帐号发出 startx 命令
时,这一行就会启动“KDE 视窗管理
器”(KDE Window Manager)。
~/.xmodmaprc
此文件被传送到 xmodmap 程序,而且
可以被命名为任何文件(例如
~/.Xmodmap 和 ~/.keymap.km)。
~/.xserverrc
如果 xinit 可以找到要执行的 X,
xinit 就会将该文件作为 X 服务器
运行。
~/News/Sent-Message-IDs
gnus 的缺省邮件历史文件。
~/.Xauthority
由 xdm 程序读和写,以处理权限。请
参阅 X、xdm 和 xauth 联机帮助页。
~/.Xdefaults,
~/.Xdefaults-hostname
在主机 hostname 的启动过程中由 X
应用程序读取。如果找不到
-hostname 文件,则查找 .Xdefaults
文件。
~/.Xmodmap
指向 .xmodmaprc;Red Hat 有使用这
个名称的 .xinitrc 文件。
~/.Xresources
通常是传送到 xrdb 以加载 X 资源
数据库的文件的名称,旨在避免应用
程序需要读取一个很长
的 .Xdefaults 文件这样的情况。(有
些情况曾经使用了 ~/.Xres。)
~/mbox
用户的旧邮件。
3、重要的配置文件列表:
启动引导程序配置文件
LILO /etc/lilo.conf
GRUB /boot/grub/menu.lst
系统启动文件核脚本
主启动控制文件 /etc/inittab
SysV 启动脚本的位置 /etc/init.d、/etc/rc.d/init.d 或/etc/rc.d
SysV 启动脚本链接的位置 /etc/init.d/rc?.d、/etc/rc.d/rc?.d 或/etc/rc?.d
本地启动脚本 /etc/rc.d/rc.local、/etc/init.d/boot.local 或/etc/rc.boot 里的文件
网络配置文件
建立网络接口的脚本 /sbin/ifup
保存网络配置数据文件的目录 /etc/network、/etc/sysconfig/network 和
/etc/sysconfig/network-scripts保存解析 DNS 服务的文件 /etc/resolv.conf
DHCP 客户端的配置文件 /etc/dhclient.conf
超级服务程序配置文件和目录
inetd 配置文件 /etc/inetd.conf
TCP Wrappers 配置文件 /etc/hosts.allow 和/etc/hosts.deny
xinetd 配置文件 /etc/xinetd.conf 和/etc/xinetd.d 目录里的文件
硬件配置
内核模块配置文件 /etc/modules.conf
硬件访问文件
Linux 设备文件 /dev 目录里
保存硬件和驱动程序数据的文件 /proc 目录里
扫描仪配置文件
SANE 主配置 /etc/sane.d/dll.conf
特定扫描仪的配置文件 /etc/sane.d 目录里以扫描仪型号命名的文件
打印机配置文件
BSD LPD 核 LPRng 的本地打印机主配置文件 /etc/printcap
CUPS 本地打印机主配置和远程访问受权文件 /etc/cups/cupsd.conf
BSD LPD 远程访问受权文件 /etc/hosts.lpd
LPRng 远程访问受权文件 /etc/lpd.perms
文件系统
文件系统表 /etc/fstab
软驱装配点 /floppy、/mnt/floppy 或/media/floppy
光驱装配点 /cdrom、/mnt/cdrom 或/media/cdrom
shell 配置文件
bash 系统非登录配置文件 /etc/bashrc、/etc/bash.bashrc 或/etc/bash.bashrc.local
bash 系统登录文件 /etc/profile 和/etc/profile.d 里的文件
bash 用户非登录配置文件 ~/.bashrc
bash 用户登录配置文件 ~/.profile
XFree86 配置文件核目录
XFree86 主配置文件 /etc/XF86config、/etc/X11/XF86Config 或/etc/X11/XF86Config-4
字体服务程序配置文件 /etc/X11/fs/config
Xft 1.x 配置文件 /etcX11/XftConfig
Xft 2.0 配置文件 /etc/fonts/fonts.conf
字体目录 /usr/X11R6/lib/X11/fonts 和/usr/share/fonts
Web 服务程序配置文件
Apache 主配置文件 /etc/apache、/etc/httpd 或/httpd/conf 里的 httpd.conf 或 httpd2.conf 文
件
MIME 类型文件 与 Apache 主配置文件在同一目录里的 mime.types 或 apache-mime.types
文件服务程序配置文件
ProFTPd 配置文件 /etc/proftpd.conf
vsftpd 配置文件 /etc/vsftpd.conf
NFS 服务程序的输出定义文件 /etc/exports
NFS 客户端装配的 NFS 输出 /etc/fstab
Samba 配置文件 /etc/samba/smb.confSamba 用户配置文件 /etc/samba/smbpasswd
邮件服务程序配置文件
sendmail 主配置文件 /etc/mail/sendmail.cf
sendmail 源配置文件 /etc/mail/sendmail.mc 或/usr/share/sendmail/cf/cf/linux.smtp.mc 或
其他文件
Postfix 主配置文件 /etc/postfix/main.cf
Exim 主配置文件 /etc/exim/exim.cf
Procmail 配置文件 /etc/procmailrc 或~/.procmailrc
Fetchmail 配置文件 ~/.fetchmailrc
远程登录配置文件
SSH 服务程序配置文件 /etc/ssh/sshd_config
SSH 客户端配置文件 /etc/ssh/ssh_config
XDM 配置文件 /etc/X11/xdm 目录下
GDM 配置文件 /etc/X11/gdm 目录下
VNC 服务程序配置文件 /usr/X11R6/bin/vncserver 启动脚本和~/.vnc 目录里的文件
其他服务程序配置文件
DHCP 服务程序配置文件 /etc/dhcpd.conf
BIND 服务程序配置文件 /etc/named.conf 和/var/named/
NTP 服务程序配置文件 /etc/ntp.conf