歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux管理 >> Linux問題解決

意外的管理員 Linux管理的整合安全

  《意外的管理員:按步教你配置Linux服務器》最初並沒有作為一本書來編寫。作者Don R. Crawley寫了一份講義,作為他任教的Linux研討會的補充學習材料。最終,這份講義發展成為一本厚厚的工作簿,並最終以現在看到的形式出版。

  這本書略去了那些普通管理員很少用到的空洞的細節,目標是成為一本簡單、必要的Linux管理基礎知識的學習手冊。章節主題包括對Linux平台及其系統管理的介紹,然後是深入地講解必要的Linux管理任務,包括網絡、安全、集成以及學習使用一些重要的命令,如cron和grep.

  你可以試讀一下第四章:文件和目錄管理。在書中,Crawley還和我們探討了一些更為重要的Linux配置和管理主題。在本文中,Crawley將就這本書的內容解答網站編輯提出的問題。

  你的書叫做《意外的管理員》。由於這本書本身就是一個意外的產物,你能解釋一下它是如何變成一本書的嗎?

  當我第一次想要把研討會的工作簿變成一本常規書籍時,我認為這會是一個相當簡單的過程。我快速地學習了思科的那本ASA(《意外的管理員》系列的第一本書),發現它其實並不那麼簡單。在教室裡,學生的練習作業包含了與其他同學的互動。在進行實際操作訓練時,我在私人網絡內搭建了一台專用服務器,為學生們的電腦提供網絡服務,包括DNS、DHCP、文件和Web服務。常規書籍的讀者則有可能是一個人獨自閱讀,而且也沒有專用服務器。因此,這些練習題就必須考慮這點而重寫。此外,一本書的格式也與工作簿完全不同。當然,你還必須要有一個吸引人的封面。人們總是根據封面來判斷書籍!

  書中有兩章在討論Linux的集成。為什麼對Linux管理員來說這是一個重要的主題?

  Sun Microsystems的前首席執行官Scoot McNeally曾說:“網絡就是計算機。”今天,我們每個人都以不同程度互相聯系著。作為IT專業人士,我們經常會處理各種各樣的系統,包括Linux、Microsoft、Unix、Apple、手機系統以及大型機系統。我們的用戶並不關心用哪種系統,他們深深關心的是能夠方便訪問他們的數據。這本書處理用NFS的‘nix和有Samba的'nix/Windows系統間的整合。當然,肯定還有其它方法可以整合不同的系統以及在它們之間進行數據交換。最主要的是確保用戶能夠輕松地訪問工作所需的必要數據,不論是何種平台。

  對於這本書,你專注的是使用最廣泛的命令行解釋工具Bash.在該接口中,你多年來發現的最有用的功能或者命令有哪些?

  除了一般腳本,有經驗的'nix管理員常用的更有效的命令包括:對命令使用別名,使用“grep”命令搜索文本字符串 ,使用“less”顯示文本文件的內容(每次顯示一頁,並能上下翻頁),使用“find”定位文件,以及“awk”命令,是一個功能強大的過濾工具(可以用“awk”查找未設置密碼的賬戶)。

  你能舉出一些第二章“Linux管理”中所介紹的出眾的Linux管理工具和技術嗎?

  這是個很難回答的問題,因為第二章實際上只是介紹Linux管理的基本知識。因此,該章提到的大部分工具和技術並不是那麼出眾,但卻非常基本和重要的。我想,當使用基於紅帽的系統時,如CentOs、RHEL或者Fedora的時候,使用“service”和“system”欄下的工具比手動配置、啟動、監測和停止守護進程要容易得多。知道用戶和系統配置文件的保存位置也非常有幫助。

  “whereis”是一個尋找可執行文件和配置文件的實用工具。懂得如何使用文本編輯器對有效管理'nix系統非常重要。我選擇在書中介紹“vim”,因為它使用廣泛。“grep”也是基本的'nix工具之一,使用它能讓你工作起來更有效率。知道如何正確地關閉系統能夠防止數據損壞,所以對此我也寫了一節。雖然Google是尋找答案的強力工具,但是man和info頁面仍然是關於配置和管理信息的最可靠來源,於是我加入了一個相當長的學生習題來練習如何使用它們。歸檔、壓縮、提取和解壓是很常見的操作,所以我介紹了一系列能夠完成這些操作任務的工具。第二章介紹的工具都不是出眾的,但它們都非常重要,值得學習,對Linux新手來說尤其如此。

  Ext4文件系統已經出現兩年多了,在企業界的使用率正在穩步上升。你提到在某些發行版本中ext3仍然是默認的文件系統,你的意思是否是ext4的使用會越來越廣泛,只不過還需要時間來改變人們的使用慣性?與前任相比,ext4在文件管理方面有哪些優勢和不足?

  從管理的角度來講,ext4有幾大優點,包括支持更大的硬盤分區和更多的子目錄。Ext4最大可支持16TB,而且比其前任的操作速度更快。Ext4也使用日志校驗來驗證磁盤區域,根據某些測試,這種方法能夠給文件系統的操作帶來相當大的改善。

  在缺點方面,我已經知道了一個問題,在系統崩潰或者突然斷電的情況下,ext4文件系統可能會出現數據丟失,2.6.30以前的內核版本尤其如此。盡管說世上沒有完美的文件系統,但這個問題在ext3文件系統中卻沒有ext4中這麼顯著。然而,RHEL 6仍然默認使用ext4.這說明Red Hat公司並不認為ext4存在嚴重問題,相反他們看到了ext4在性能方面帶來的顯著提升。我喜歡Paul Ferrill在關於ext4的文章中說的一句話:“如果你需要支持超大文件(>2TB)、超大文件系統(>16TB)或者海量的子目錄(ext3的子目錄數限制為32000個),那麼你肯定會想將ext3升級為ext4.對於全新的系統安裝,使用ext4是有意義的。至於某些現有的產品系統,短期內不會出現超出原文件系統各種限制的危險,因而可能會繼續使用原有的文件系統。”他說得對。不破,就不會立。

  對於設置文件和目錄的權限,Linux管理員需要了解什麼?關於這點本書提供了哪些信息?

  書中涵蓋了設置文件和目錄權限的基本知識,包括如何以字母和數字的方式為文件和目錄設置可讀、可寫以及可執行的權限。你問我對於設置文件和目錄的權限Linux管理員需要了解什麼:我認為對任何管理員,無論是Linux的還是別的系統的,最重要的是理解最低權限的概念。對一個系統、目錄甚至是文件,你只給用戶設置所要求的最低級別的權限,並且永遠不要超過這個權限。

  Linux系統的文件和目錄權限的問題在於,這種權限設置方式沿用於20世紀70年代,因此,對於現在各種高級的或者復雜的需求來說顯得不適用。例如,你只能為一個用戶、一組用戶以及其他所有用戶設置權限。在本書以後的版本中,我將介紹訪問控制(access-control)列表,它允許你設置比傳統的‘nix文件和目錄權限詳細得多的權限。然而,我曾認為,訪問控制列表(ACL)超出了本書的范圍。

  你詳細介紹了能夠簡化Linux管理員的日常管理工作的Webmin,這些日常管理工作包括解決賬戶鎖定以及其他繁瑣的工作。那麼,以你的經驗,在簡化Linux管理工作方面Webmin的最大用處體現在哪兒?

  對Webmin的使用可以從兩個方面來講:一是非技術管理員使用Webmin,二是技術類的管理員使用Webmin.你提到了解除賬戶鎖定和重置密碼,在我看來,這類任務應該由諸如人力資源部門的員工這樣的非技術類的管理員來處理。對非技術類的管理員來說,Webmin是天賜的利器,避免了讓他們與神秘而又令人生畏的命令行打交道。Webmin可以配置為根據登陸的賬號顯示特定的模塊,它有強大的搜索能力,並且簡單易用,只需要拖動和點擊鼠標,這一切都使得它非常適合非技術出身的管理員。

  對技術出身的管理員來說,Webmin帶來的好處又不同。就像所有的GUI一樣,我發現Webmin最大的用處體現在我需要完成平常很少用到的操作的時候。如果我需要進行新的操作,我通常會在測試系統上用GUI來完成它。操作完成後GUI會產生一個可用的配置。然後我可以解讀這些配置文件,以便更好地理解配置過程。從這點你可以看出,我最常使用的還是是命令行(CLI)。GUI現在越來越可靠和靈活,到底是使用GUI還是CLI純粹是一個個人喜好問題。如果你有使用Windows或者Mac的背景,你可能會覺得使用GUI比敲命令更加容易,對簡單的配置任務來說尤其如此。我相信最適合的工具就是最好的工具。基於同樣的道理,我也認為花時間和精力去學習我最重要的系統的復雜操作是值得的。這就意味著我需要命令行的幫助。

  在第16章,你提到“系統安全首先在於物理上的安全”.你是否有發現,許多Linux管理員過分注重加固網絡以至於忽視了Linux系統的物理安全威脅?你認為保護Linux的物理環境的最好方法是什麼?

  我不會說Linux(或者其他系統)管理員忽視了系統的物理威脅。我只是認為,我們都是人,人都有弱點(不能面面俱到),但我們可以隨時使用“鬧鐘”提醒自己。(你可以問問我妻子,有多少次面對顯而易見的事情我都需要提醒!)所有的系統安全都始於物理安全。最近我聽到一個新聞故事,在加納,垃圾場出售那些廢棄的硬盤,(購買者)只為獲取其中的數據。這提醒我一定要在即將報廢的硬盤上運行DBAN--通常我都會記得這樣做,但最好還是能有個提醒。只要物理上能夠接觸系統磁盤,任何人都能以“運行級別1”啟動Linux並自動獲得root權限。Windows系統可以用一個Linux啟動CD來啟動,管理員賬戶的密碼也會被修改。思科的路由器和防火牆能夠被電源循環(power-cycled),配置寄存器被修改從而允許非授權登陸。當然,即便是被物理接觸,我們仍然有無數種方法可以保護系統,但同樣也有無數種方法能夠破解我們的保護措施。最好的辦法是將系統放置在安全的數據中心以限制物理接觸、鎖定設備機架或者至少要把服務器鎖在壁櫥裡。哦,如果你把門敞開不上鎖,那麼把服務器放在壁櫥裡也是沒用的,這點我經常看到。

作者:Ryan Arsenault,Pat Ouellette 譯者:Dan

Copyright © Linux教程網 All Rights Reserved