对于许多人来说,迁移到Linux是一件乐事。对于其他人来说,这是一场噩梦。尤其是对于一些刚刚踏入Linux管理大门的管理员来说,如果一些常见的错误不避免,很容易给单位的网络或系统带来安全隐患。
本文将提供一些建议来帮助这些新手避免这些错误。
错误一:从各种渠道下载安装各种类型的应用,没有经过严格审核。
乍一看,这可能是个好主意。如果你运行的是ubuntu,你会知道包管理器用的是。然而,你发现的许多应用程序都是以源代码的形式提供的。没有问题吗?这些程序在安装后可能会正常工作。
但是为什么不能随意安装程序呢?原因很简单。如果您将程序作为源代码安装,您的软件包管理系统将无法跟踪您安装了什么。因此,当包A(作为源安装)依赖包B(来自安装的. Deb库)时,
从更新管理器更新包B会发生什么?包a可能会运行,也可能不会运行。但是,如果包a和包b都是从。如果安装了deb库,两者运行的几率会更高。另外,
当所有包都来自相同的二进制类型时,更新包会更容易。
错误2:忽略更新
这并不是说Linux管理员缺乏技能。但是,很多Linux管理员在运行Linux之后,认为自己以后无事可做,认为它安全可靠。事实上,新的更新可以修补一些新的漏洞。
维护更新可以在易受攻击的系统和安全的系统之间建立一个分水岭。Linux的安全性来自于不断的维护。为了实现安全性和使用一些新的功能和稳定性,任何管理员都应该跟上Linux的更新。
错误3:错误的密码
记住,root的密码通常是打开linux王国的钥匙。那么,为什么要让root的密码变得如此容易呢?确保用户密码的可靠性非常重要。如果您的密码很长且难以记忆,您可以将其存储在加密的位置。
当你需要这个密码的时候,你可以使用解密软件来解锁这个密码并使用它。
错误4:将服务器引导到x。
当一台机器是专用服务器时,您可能希望安装X,这样一些管理任务会更容易。但是,这并不意味着用户需要将服务器引导至x,这样会浪费宝贵的内存和CPU资源。相反,您应该在级别3停止启动过程。
进入命令行模式。这样做不仅可以将所有资源留给服务器,还可以防止机器的秘密被泄露。要登录X,用户只需要在命令行登录,然后输入startx进入桌面。
错误五:随意许可,因为不懂许可。
如果许可证配置不当,就会给黑客留下可乘之机。处理许可问题的最简单的方法是使用所谓的RWE方法,即读、写和执行。
假设您希望用户能够读取文件,但不能写入文件。为此,您可以执行:chmod u w,u-rx文件名,一些新用户可能会看到一个错误,指出他们没有使用该文件的权限。
所以他们使用了文件名:Chmod 777,认为这样可以避免问题。但是这样做实际上会导致更多的问题,因为它给了文件可执行的权限。记住这一点:777允许所有用户读、写和执行一个文件。
666赋予所有用户读写一个文件的权限,555赋予所有用户读写一个文件的权限,包括444、333、222、111等等。
错误6:未备份关键配置文件。
很多管理员都有这样的体验,升级到X版本后,比如X11,发现新版本破坏了你的xorg.conf配置文件,以至于你不能再用X?我建议在升级X之前,
备份之前的/etc/x11/xorg.conf,以防升级失败。当然,X的升级程序会尝试为用户备份xorg.conf文件,但是备份在/etc/x11目录下。即使这个备份看起来不错,
你最好自己做个备份。我的一个习惯是把它备份到/root目录下,让用户知道只有root用户才能访问这个文件。记住,安全第一。这里的方法也适用于其他关键备份,
如Samba、Apache、mysql等。
错误七:以根用户身份登录
这是一种很危险的错误。如果用户需要根特权来执行或配置一个应用程序,可以在一个标准的用户账户中使用su切换到root用户。登录到root为什么不是一件好事儿?在用户以标准用户身份登录时,
所有正在运行的X应用程序仍拥有仅限于此用户的访问权。如果用户以根用户身份登录,X就拥有了root的许可。这就会导致两个问题,一、如果用户由GUI犯了一个大错,这个错误对系统来说,
有可能是一个巨大的灾难。二、以根用户的身份运行X使得系统更易于遭受攻击。
错误八:没有安装一个可正常运行的内核
你可能不会在一台机器上安装10个以上的内核。但你需要更新内核,这种更新并没有删除以前的内核。你是怎么做的呢?你一直保持使用最近的可正常工作的内核。假设你目前正常工作的内核是2.6.22,
而2.6.20是备份内核。如果你更新到2.6.26,而在新内核中一切都工作正常,你就可以删除2.6.20了。
错误九:逃避使用命令行
恐怕很少有人愿意记住那么多命令。在大多数情况下,图形用户界面是许多人的最爱。不过,有时,命令行使用起来更加容易、快捷、安全、可靠。逃避使用命令行是Linux管理的大忌。
管理员至少应当理解命令行是如何工作的,至少还要掌握一些重要的管理命令。
错误十:忽视日志文件
/var/log的存在是有理由的。这是存放所有的日志文件的唯一位置。在发生问题时,你首先需要看一下这里。检查安全问题,
可看一下/var/log/secure.笔者看的第一个位置是/var/log/messages.这个日志文件保存着所有的一般性错误。在此文件中,你可以得到关于网络、媒体变更等消息。在管理一台机器时,
用户可以使用某个第三方的应用程序,如logwatch,这样就可以创建为用户创建基于/var/log文件的各种报告。
这十个错误在一些Linux管理员新手们中是很常见的。避免这些错误将会使管理工作更加安全、稳健。