linux下的“分离控制”思想

学了linux有段时间了，总是在有意无意中收集到linux的一些细微的相同点，在此总结之---分离控制，以下面几个为例。

1、sudo

linux的sudo命令用来暂时使自己获得在自己的env下的root权限，ubuntu是默认开启这个权限的，后来我开始用了redhat的稳定复制版来学习，centos,我很喜欢这个系统，有很多东西都要自己去设置，我喜欢这样来鼓捣，符合我的风格。

回归正题，思考：既然可以使用sudo命令那么一般用户不是可以一直获得root的权限？首先env不同，其次可以使用sudo命令的用户是由root在/etc/sudoers 中定义的，如此以来便可以控制可获得超越一般身份权限的用户，而且可以在其中设置用户可以执行的命令，这样以来控制便细化，分级可以更有水准。

格式：  user              ALL=(ALL)             ALL        

root只需设置一个文件，用一行简单的字符，便可以搞定看似纷乱的问题，只得笑自己见识浅薄了！

2、at  crom

在系统上也不是所有人可以进行例行性的工作调度，否则，这个系统岂不是乱了套？at与cron调度任务的建立者只能是在 /etc/at.allow（/etc/cron.allow）中出现，且不能在/etc/at.deny（/etc/cron.deny）中出现的才可以.通常这连个文件之后保留一个，系统按顺序检测一个之后就会生效。

linux系统最听root的话，其它的用户，都直接或间接的被root支配。

3、selinux(security enhanced  linux)

提起这个东西，可是牛了，是来自于美国国家安全局，看名字都知道是什么用处了，他也可以让系统不停root的话，除非root知道问题出在哪里。

被selinux控制的资源是目标，它可以被存取的对象是隐秘的被selinux保护着的。一个进程要想取到资源，必须在其策略规则里设置妥当：目标资源的type在其势力范围之内，即所谓安全上下文的匹配。匹配之后还得经过rwx的考验才能最终成功取得资源，这可真是一个来之不易的过程。

这样的控制使得管理员可以在多个方面细化控制，达到想要的目的，分离控制是我所想的一个不确定的名词，用来加深自己的理解，时时拿来品味。