Linux管理不可避免的一些常見(jiàn)錯誤

　　遷移到Linux對于一些人來(lái)說(shuō)，這簡(jiǎn)直是一場(chǎng)惡夢(mèng)。尤其是對于一些剛步入Linux管理大門(mén)的管理員來(lái)說(shuō)，如果不避免一些常見(jiàn)的錯誤，就容易給單位的網(wǎng)絡(luò )或系統帶來(lái)安全風(fēng)險。本文將為幫助這些新手們避免這些錯誤提供一些建議。

　　錯誤一：不經(jīng)過(guò)嚴格審核，從多種渠道下載安裝各種類(lèi)型的應用程序

　　乍看起來(lái)，這也許是一個(gè)不錯的主意。如果你在運行Ubuntu，你會(huì )知道包管理程序使用的是。deb軟件包。不過(guò)，你找到的許多應用程序是以源代碼的形式提供的。沒(méi)有問(wèn)題嗎?這些程序安裝后也許能夠正常工作。但是你為什么不能隨意安裝程序呢?道理很簡(jiǎn)單，如果你以源的形式安裝了程序，那么，你的軟件包管理系統將無(wú)法跟蹤你所安裝的東西。因此，在程序包A(以源的形式安裝)依賴(lài)于程序包B(從一個(gè)。deb庫安裝的)，而軟件包B是從更新管理器更新的時(shí)候，會(huì )發(fā)生什么事情呢?程序包A可能運行，也可能無(wú)法運行。不過(guò)，如果程序包A和B都從。deb庫安裝的話(huà)，二者都能運行的機會(huì )將更高。此外，在所有的程序包都來(lái)自于同樣的二進(jìn)制類(lèi)型時(shí)，更新程序包將更為容易。

　　錯誤二：忽視更新

　　這并不是說(shuō)Linux管理員缺乏技巧。不過(guò)，許多Linux管理員在運行了Linux之后，以為日后就無(wú)事可做了，以為它安全可靠。其實(shí)，新的更新可以為一些新的漏洞打上補丁。維持更新可以在一個(gè)易受損的系統與一個(gè)安全的系統之間構造分水嶺。Linux的安全來(lái)自于不斷地維護。為了實(shí)現安全性，為了使用一些新的特性和穩定性，任何管理員都應當跟上Linux的更新步伐。

　　錯誤三：糟糕的口令

　　記住，root 的口令通常是linux王國的關(guān)鍵。所以為什么要讓root的口令那么容易被破解呢?保障你的用戶(hù)口令的健壯性至關(guān)重要。如果你的口令比較長(cháng)，且難于記憶，可將這個(gè)口令存放在一個(gè)可被加密的位置。在需要這個(gè)口令時(shí)，可用解密軟件解開(kāi)這個(gè)口令使用之。

　　錯誤四：將服務(wù)器啟動(dòng)進(jìn)入到X

　　在一臺機器是專(zhuān)用服務(wù)器時(shí)，你可能會(huì )想到安裝X，這樣一些管理任務(wù)就會(huì )簡(jiǎn)單一些。不過(guò)，這并不意味著(zhù)用戶(hù)需要將服務(wù)器啟動(dòng)進(jìn)入到X.這樣會(huì )浪費珍貴的內存和CPU資源。相反地，你應當在級別3上停止啟動(dòng)過(guò)程，進(jìn)入命令行模式。這樣做不但會(huì )將所有的資源留給服務(wù)器，而且還會(huì )防止泄露機器的機密。要登錄到X，用戶(hù)只需要以命令行方式登錄，然后鍵入startx進(jìn)入到桌面。

　　錯誤五：隨意許可，原因是不理解許可

　　如果對許可配置不當，就會(huì )給黑客留下機會(huì )。處理許可問(wèn)題的最簡(jiǎn)單方法是使用所謂的RWE方法，即Read(讀取)、Write(寫(xiě)入)、Execute(執行)。假設你想讓一個(gè)用戶(hù)能夠讀取一個(gè)文件但不能寫(xiě)入文件。為此，你可以執行：chmod u+w，u-rx 文件名，一些新用戶(hù)可能會(huì )看到一個(gè)錯誤，說(shuō)他們沒(méi)有使用文件的許可，因此他們就使用了：Chmod 777 文件名，以為這樣能夠避免問(wèn)題。但這樣做實(shí)際上會(huì )導致更多的問(wèn)題，因為它給了文件的可執行的權限。記住這一點(diǎn)：777將一個(gè)文件的讀取、寫(xiě)入、執行的許可給了所有用戶(hù)，666將一個(gè)文件的讀取、寫(xiě)入權限給了所有用戶(hù)，而555將文件的讀取、執行權限給了所有用戶(hù)，還有444、333、222、111等等。

　　錯誤六：沒(méi)有備份關(guān)鍵的配置文件

　　許多管理員都有這樣的體會(huì )，在升級到某個(gè)X版本，如X11之后，卻發(fā)現新版本破壞了你的xorg.conf配置文件，以至于你再也無(wú)法使用X?建議你在升級X之前，先對以前的/etc/x11/xorg.conf作一個(gè)備份，以免升級失敗。當然，X的升級程序會(huì )設法為用戶(hù)備份xorg.conf文件，但它卻在/etc/x11目錄內備份。即使這種備份看起來(lái)不錯，你最好還是自己做一個(gè)備份吧。筆者的一個(gè)習慣是將其備份到/root目錄中，這樣，用戶(hù)就可以知道只有根(root)用戶(hù)能夠訪(fǎng)問(wèn)此文件。記住，安全第一。這里的方法也適用于其它的關(guān)鍵備份，如Samba、Apache、Mysql等。

　　錯誤七：以根用戶(hù)身份登錄

　　這是一種很危險的錯誤。如果用戶(hù)需要根特權來(lái)執行或配置一個(gè)應用程序，可以在一個(gè)標準的用戶(hù)賬戶(hù)中使用su切換到root用戶(hù)。登錄到root為什么不是一件好事兒?在用戶(hù)以標準用戶(hù)身份登錄時(shí)，所有正在運行的X應用程序仍擁有僅限于此用戶(hù)的訪(fǎng)問(wèn)權。如果用戶(hù)以根用戶(hù)身份登錄，X就擁有了root的許可。這就會(huì )導致兩個(gè)問(wèn)題，一、如果用戶(hù)由GUI犯了一個(gè)大錯，這個(gè)錯誤對系統來(lái)說(shuō)，有可能是一個(gè)巨大的災難。二、以根用戶(hù)的身份運行X使得系統更易于遭受攻擊。

　　錯誤八：沒(méi)有安裝一個(gè)可正常運行的內核

　　你可能不會(huì )在一臺機器上安裝10個(gè)以上的內核。但你需要更新內核，這種更新并沒(méi)有刪除以前的內核。你是怎么做的呢?你一直保持使用最近的可正常工作的內核。假設你目前正常工作的內核是2.6.22，而2.6.20是備份內核。如果你更新到2.6.26，而在新內核中一切都工作正常，你就可以刪除2.6.20了。

　　錯誤九：逃避使用命令行

　　恐怕很少有人愿意記住那么多命令。在大多數情況下，圖形用戶(hù)界面是許多人的最?lèi)?ài)。不過(guò)，有時(shí)，命令行使用起來(lái)更加容易、快捷、安全、可靠。逃避使用命令行是Linux管理的大忌。管理員至少應當理解命令行是如何工作的，至少還要掌握一些重要的管理命令。

　　錯誤十：忽視日志文件

　　/var/log的存在是有理由的。這是存放所有的日志文件的唯一位置。在發(fā)生問(wèn)題時(shí)，你首先需要看一下這里。檢查安全問(wèn)題，可看一下/var/log/secure.筆者看的第一個(gè)位置是/var/log/messages.這個(gè)日志文件保存著(zhù)所有的一般性錯誤。在此文件中，你可以得到關(guān)于網(wǎng)絡(luò )、媒體變更等消息。在管理一臺機器時(shí)，用戶(hù)可以使用某個(gè)第三方的應用程序，如logwatch，這樣就可以創(chuàng )建為用戶(hù)創(chuàng )建基于/var/log文件的各種報告。

　　這十個(gè)錯誤在一些Linux管理員新手們中是很常見(jiàn)的。避免這些錯誤將會(huì )使管理工作更加安全、穩健。