详解Fedora目录结构

1、详解Fedora目录结构Linux目录结构是和windows有大不同的设计，这很容易让初学者搞不明白，这里是个人总结的一些知识点，讲解Linux目录结构包括文件类型和一些重要的文件子目录。linux文件系统的最顶端是/,称为linux的root,所有的目录、文件、设备都在/之下。文件类型：linux有四种基本文件系统类型：普通文件、目录文件、连续文件和特殊文件。可以用巾le命令来识别。普通文件：如文本文件、c语言源代码、shell脚本等，可以用cat、less、more、vi等来察看内容，用mv来改名。目录文件：包括文件名、子目录名及其指针。可以用ls列出目录文件链接文件：是指向一索引节点的那

2、些目录条目，用ls来查看时，链接文件的标志用l开头，而文件后以"->”指向所链接的文件特殊文件：如磁盘、终端、打印机等都在文件系统中表示出来，常放在/etc目录内。例如：软驱A称为/dev/fd0,/dev/had来自第一硬盘。/bin:存放系统所需要的那些命令，二进制可执行文件。比如ls、cp、mkdir等命令；功能和/usr/bin类似，这个目录中的文件都是可执行的、普通用户可以使用的命令。/boot:这是Linux的内核及引导系统程序所需要的文件目录，比如initrd.img等文件都位于这个目录中，grub系统引导管理器也位于这个目录。/cgroup:最早controlg

3、roup是叫做"Containers",禾用configfs作酉己置."Containers"着眼于资源的分配，有两个重要概念：1. subsystem,内核可以给进程提供的服务/资源2. container,一个进程组，成员共享同样的一个或多个子系统分配限制。containers是层次的，个container可以hold多个container它的最可取之处是创建了一个资源分配的框架，其它开发者可以利用这个框架去开发自己的资源分配patch,比如上回提到的磁盘设备。后来不知道为什么没有采用configfs,自己搞了一个containerfilesyste

4、m.最后在2.6.24内核（08年1月）中被正式合并进入主线，被改名为controlgroup或简写为cgroup.详细介绍在内核源代码文档目录中的cgroups.txt。刚刚进入2.6.24的时候，只有cpusets（绑定cpu/memorynode）和CFSgroupscheduling（cpu带宽分配）两个资源。2.6.25又引入了memoryresource./cdrom:光驱/dev：设备文件存储目录，比如声卡、磁盘。/etc:系统配置文件的所在，一些服务器的配置文件也在这里；如用户帐号及密码配置件。/home：普通用户目录默认存放目录。/lib:库文件存放目录，用户无权限执行这个目

5、录下的命令，这个目录和/usr/sbin;/usr/local/sbin目录是相似的。凡是目录sbin中包含的都是root权限才能执行的。/lost+found:在ext2或ext3文件系统中，当系统意外崩溃或机器意外关机，而产生一些文件碎片放在这里。当系统启动的过程中fsck工具会检查这里，并修复已经损坏的文件系统。有时系统发生问题，有很多的文件被移到这个目录中，可能会用手工的方式来修复，或移到文件到原来的位置上。/media：本目录是空的，是用于挂载的。即插即用型存储设备的挂载点自动在这个目录下创建，比如USBB系统自动挂载后，会在这个目录下产生一个目录；CDROM/DW动挂载后，也会在这

6、个目录中创建一个目录，类似cdrom的目录。这个只有在最新的发行套件上才有，比如FedoraCore4.05.0等。可以参看/etc/fstab的定义；/mnt:这个目录一般是用于存放挂载储存设备的挂载目录的，比如有cdrom等目录。可以参看/etc/fstab的定义。有时我们可以把让系统开机自动挂载文件系统，把挂载点放在这里也是可以的。主要看/etc/fstab中怎么定义了；比如光驱可以挂载到/mnt/cdrom。/opt:表示的是可选择的意思，有些软件包也会被安装在这里，也就是自定义软件包，比如在FedoraCore5.0中，OpenOffice就是安装在这里。有些我们自己编译的软件包，就

7、可以安装在这个目录中；通过源码包安装的软件，可以通过./configure-prefix=/opt/目录。/proc:操作系统运行时，进程（正在运行中的程序）信息及内核信息（比如cpu、硬盘分区、内存信息等）存放在这里。/proc目录伪装的文件系统proc的挂载目录，proc并不是真正的文件系统，它的定义可以参见/etc/fstab。/root:Linux的内核及引导系统程序所需要的文件，比如vmlinuzinitrd.img文件都位于这个目录中。在一般情况下，GRUBELILO系统引导管理器也位于这个目录；/sbin:大多是涉及系统管理的命令的存放，是超级权限用户root的可执行命令存放地，

8、普通用户无权限执行这个目录下的命令，这个目录和/usr/sbin;/usr/X11R6/sbin或/usr/local/sbin目录是相似的；我们记住就行了，凡是目录sbin中包含的都是root权限才能执行的。/selinux:/srv:一些服务需要访问的文件存放在这/sys:系统的核心文件/tmp：临时文件目录，有时用户运行程序的时候，会产生临时文件。这个目录和/var/tmp目录相似。/usr：这个是系统存放程序的目录，比如命令、帮助文件等。当我们安装一个linux发行版官方提供的软件包时，大多安装在这里。如果有涉及服务器配置文件的，会把配置文件安装在/etc目录中。/usr目录下包括设计

9、字体目录/usr/share/fonts,帮助目录/usr/share/man或/usr/share/doc,普通用户可执行文件目录/usr/bin或/usr/local/bin；超级权限用户root可执行命令存放目录，比如/usr/sbin或/usr/local/sbin等，还有程序的头文件存放目录/usr/include/var：这个目录的内容是经常变动的，/var下有/var/log这是用来存放系统日志的目录,/var/lib用来存放一些库文件，比如MySQL勺。一些重要子目录/etc/init.d:这个目录是用来存放系统或服务器以SystemV模式启动的脚本，这在以SystemV模式启

10、动或初始化的系统中常见。比如Fedora/RedHat;/etc/xinit.d:如果服务器是通过xinetd模式运行的，它的脚本要放在这个目录下。有些系统没有这个目录，比如Slackware,有些老的版本也没有。在Rehat/Fedora中比较新的版本中存在。/etc/rc.d:这是Slackware发行版有的一个目录，是BS防式启动脚本的存放地；比如定义网卡，服务器开启脚本等。/etc/X11:这是X-Window相关的配置文件存放地。比如下面的例子：rootlocalhost#/etc/init.d/sshdstart注：启动sshd服务器rootlocalhost#/etc/init.

11、d/sshdstop注：停止sshd服务器这就是典型的sshd服务器SystemV模式启动脚本，通过这运行这个脚本可以启动sshd服务器了。/usr/bin:这个目录是可执行程序的目录，普通用户就有权限执行；当我们从系统自带的软件包安装一个程序时，他的可执行文件大多会放在这个目录。比如安装gaim软件包时。相似的目录是/usr/local/bin；有时/usr/bin中的文件是/usr/local/bin的链接文件；/usr/sbin:这个目录也是可执行程序的目录，但大多存放涉及系统管理的命令。只有root权限才能执行；相似目录是/sbin或/usr/local/sbin或/usr/X11R6

12、/sbin等;/usr/local:这个目录一般是用来存放用户自编译安装软件的存放目录；一般是通过源码包安装的软件，如果没有特别指定安装目录的话，一般是安装在这个目录中。/usr/share:系统共用的东西存放地，比如/usr/share/fonts是字体目录，是用户都共用的吧。/usr/src:是内核源码存放的目录，比如下面有内核源码目录，比如linux、linux-2.xxx.xx目录等。有的系统也会把源码软件包安装在这里。比如Fedora/Redhat,当我们安装file.src.rpm的时候，这些软件包会安装在/usr/src/redhat相应的目录中。另外Fedhat4.05.0,他

13、的内核源码包的目录位于/usr/src/kernels目录下的某个目录中（只有安装后才会生成相应目录）；/var/adm:比如软件包安装信息、日志、管理信息等，在Slackware操作系统中是有这个目录的。在Fedora中好象没有；自己看看吧。/var/log:系统日志存放，分析日志要看这个目录的东西；/var/spool:打印机、邮件、代理服务器等假脱机目录；SELinux简介SELinux全称是SecurityEnhancedLinux,由美国国家安全部(NationalSecurityAgency)领导开发的GPLM目，它拥有一个灵活而强制性的访问控制结构，旨在提高Linux系统的安全性

14、，提供强健的安全保证，可防御未知攻击，据称相当于B1级的军事安全性能。比MSNT所谓的C2等高得多。应用SELinux后，可以减轻恶意攻击或恶意软件带来的灾难，并提供对机密性和完整性有很高要求的信息很高的安全保障。SELinuxvsLinux普通Linux安全和传统Unix系统一样，基于自主存取控制方法，即DAC只要符合规定的权限，如规定的所有者和文件属性等，就可存取资源。在传统的安全机制下，一些通过setuid/setgid的程序就产生了严重安全隐患，甚至一些错误的配置就可引发巨大的漏洞，被轻易攻击。而SELinux则基于强制存取控制方法，即MAC透过强制性的安全策略，应用程序或用户必须同时

15、符合DACt对应SELinux的MACt能进行正常操作，否则都将遭到拒绝或失败，而这些问题将不会影响其他正常运作的程序和应用，并保持它们的安全系统结构。SELinux的相关配置文件SELinux的配置相关文件都在/etc/selinux下，其中/etc/selinux/targeted目录里就包含了策略的详细配置和context定义，以下是主要文件及功用：/etc/selinux/targeted/contexts/*_context默认的context设置/etc/selinux/targeted/contexts/files/*精确的context类型划分/etc/selinux/targ

16、eted/policy/*策略文件ApacheunderSELinuxApacheunderSELinux-让Apache跑得顺起来！对于刚使用RedhatEnterpriseLinux4或FedoraCore2以上/CentOS4的用户，一定会为Apache经常无法正常运转，报以"Permissiondenied"等错误而大为不解，甚至大为恼火。其实这是因为这些系统里激活了SELinux,而用户的apache配置与SELinux的配置策略有抵触产生的，只有通过适当调整，使apache的配置和访问符合策略才能正常使用。现在下面来分析一下SELinux中有关httpd(apa

17、che)的context定义(略有删节)/home/A/+/(www)|(web)|(public_html)(/.+)?system_u:object_r:httpd_user_content_t/var/www(/.*)?system_u:object_r:httpd_sys_content_t/var/www/cgi-bin(/.*)?system_u:object_r:httpd_sys_script_exec_t/usr/lib/cgi-bin(/.*)?system_u:object_r:httpd_sys_script_exec_t/var/www/perl(/.*)?syste

18、m_u:object_r:httpd_sys_script_exec_t/var/www/icons(/.*)?system_u:object_r:httpd_sys_content_t/var/cache/httpd(/.*)?system_u:object_r:httpd_cache_t/etc/vhosts-system_u:object_r:httpd_config_t/usr/sbin/httpd-system_u:object_r:httpd_exec_t/usr/sbin/apache(2)?-system_u:object_r:httpd_exec_t/usr/sbin/sue

19、xec-system_u:object_r:httpd_suexec_exec_t/var/log/httpd(/.*)?system_u:object_r:httpd_log_t/var/log/apache(2)?(/.*)?system_u:object_r:httpd_log_t/var/log/cgiwrap.log.*-system_u:object_r:httpd_log_t/var/cache/ssl.*.sem-system_u:object_r:httpd_cache_t/var/cache/mod_ssl(/.*)?system_u:object_r:httpd_cach

20、e_t/var/run/apache(2)?.pid.*-system_u:object_r:httpd_var_run_t/var/lib/httpd(/.*)?system_u:object_r:httpd_var_lib_t/var/lib/php/session(/.*)?system_u:object_r:httpd_var_run_t/etc/apache-ssl(2)?(/*)?system_u:object_r:httpd_config_t/usr/lib/apache-ssl(/.*)?-system_u:object_r:httpd_exec_t/usr/sbin/apac

21、he-ssl(2)?-system_u:object_r:httpd_exec_t/var/log/apache-ssl(2)?(/*)?system_u:object_r:httpd_log_t/var/run/apache-ssl(2)?.pid.*-system_u:object_r:httpd_var_run_t/var/run/gcache_port-ssystem_u:object_r:httpd_var_run_t/var/lib/squirrelmail/prefs(/.*)?system_u:object_r:httpd_squirrelmail_t/usr/bin/htss

22、lpass-system_u:object_r:httpd_helper_exec_t/usr/share/htdig(/.*)?system_u:object_r:httpd_sys_content_t/var/lib/htdig(/.*)?system_u:object_r:httpd_sys_content_t针对上述的内容，可以对如下的几个常见问题进行简单处理：1 .phpmyadmin在非默认/var/www/html目录下无法运转通常类似的情况都是在配置了虚拟主机时，访问/phpmyadmin等提示403访问拒绝，日志里也提示Permissiondenied,这是因为phpmyad

23、min防止的目录及文件本身属性不符合context要求。假设phpmyadmin在/web目录下，那么执行：chcon-R-thttpd_user_content_t/web则会令/web及其下所有子目录/文件，包括phpmyadmin文件都获得了httpd_user_content_t的属性，如果其传统的Unix属性对httpd来说是可读的话，再重新访问二下疝应该可以了。2 ./home目录下的虚拟主机无法运转与问题1也是类似的，不过根据上文中context的定义，/home目录下必须是用户的$HOME/wwwpublic_html或web目录才是httpd_user_content_t类型

24、，因此建议将要作为web页面的内容放置在用户的$HOME/wwwweb或public_html里，并确保其属性是httpd_user_content_t,使用如下命令查看：ls-Z/home/abc/drwxr-xr-xabcabcuser_u:object_r:user_home_dir_ttmpdrwxrwxr-xabcabcuser_u:object_r:httpd_user_contentwww如不是，则可通过chcon来逐级目录及文件更改，直至最后能访问：chcon-R-thttpd_user_content_t/home/abc/webchcon-tuser_home_dir_t/

25、home/abc3 .CGI程序无法运行如果cgi程序放在/var/www/cgi-bin/里也无法执行，遇到403或500错误的话，可以检查cgi程序的属性，按SELinuxcontexts文件里定义的，/var/www/cgi-bin/里必须是httpd_sys_script_exec_t属性。通过ls-Z查看，如果不是则通过如下命令更改：chcon-thttpd_sys_script_exec_t/var/www/cgi-bin/*.cgi如果是虚拟主M里而cgi",则杀考问题2使之能正常使用普通的功能后，再通过chcon设置cgi文件的context为httpd_sys_sc

26、ript_exec_t即可。4 .Setuid/gid程序无法运行例如早期的SqWebMail及qmailadmin等，需要setuid/gid的支持，但在SELinux下这将受到严格限制。第一种方法是比较彻底的办法，能保留系统的安全性，通过：audit2allow-l-i/var/log/messages将SELinux拒绝的信息转换为相应的policyallow指令，将这些指令添加到SELinuxpolicy的src里相应的配置文件，重新生成policy并加载。但这样做相对比较麻烦。另一个方法最简单，但将使apache得不到保护。首先确定SELinux类型是targeted的：cat/etc/selinux/config|grepSELINUXTYPE然后，使apache脱离SELinux保护：setsebool-Phttpd_disable_trans1然后重启动apache：/etc/init.d/httpd