對於許多人來說,遷移到Linux是一件樂事。而對於另外一些人來說,這簡直是一場惡夢。尤其是對於一些剛步入Linux管理大門的管理員來說,如果不避免一些常見的錯誤,就容易給單位的網絡或系統帶來安全風險。本文將為幫助這些新手們避免這些錯誤提供一些建議。
錯誤一:不經過嚴格審核,從多種渠道下載安裝各種類型的應用程序
乍看起來,這也許是一個不錯的主意。如果你在運行Ubuntu,你會知道包管理程序使用的是。deb軟件包。不過,你找到的許多應用程序是以源代碼的形式提供的。沒有問題嗎?這些程序安裝後也許能夠正常工作。但是你為什麼不能隨意安裝程序呢?道理很簡單,如果你以源的形式安裝了程序,那麼,你的軟件包管理系統將無法跟蹤你所安裝的東西。因此,在程序包A(以源的形式安裝)依賴於程序包B(從一個。deb庫安裝的),而軟件包B是從更新管理器更新的時候,會發生什麼事情呢?程序包A可能運行,也可能無法運行。不過,如果程序包A和B都從。deb庫安裝的話,二者都能運行的機會將更高。此外,在所有的程序包都來自於同樣的二進制類型時,更新程序包將更為容易。
錯誤二:忽視更新
這並不是說Linux管理員缺乏技巧。不過,許多Linux管理員在運行了Linux之後,以為日後就無事可做了,以為它安全可靠。其實,新的更新可以為一些新的漏洞打上補丁。維持更新可以在一個易受損的系統與一個安全的系統之間構造分水嶺。Linux的安全來自於不斷地維護。為了實現安全性,為了使用一些新的特性和穩定性,任何管理員都應當跟上Linux的更新步伐。
錯誤三:糟糕的口令
記住,root 的口令通常是linux王國的關鍵。所以為什麼要讓root的口令那麼容易被破解呢?保障你的用戶口令的健壯性至關重要。如果你的口令比較長,且難於記憶,可將這個口令存放在一個可被加密的位置。在需要這個口令時,可用解密軟件解開這個口令使用之。
錯誤四:將服務器啟動進入到X
在一台機器是專用服務器時,你可能會想到安裝X,這樣一些管理任務就會簡單一些。不過,這並不意味著用戶需要將服務器啟動進入到X.這樣會浪費珍貴的內存和CPU資源。相反地,你應當在級別3上停止啟動過程,進入命令行模式。這樣做不但會將所有的資源留給服務器,而且還會防止洩露機器的機密。要登錄到X,用戶只需要以命令行方式登錄,然後鍵入startx進入到桌面。
錯誤五:隨意許可,原因是不理解許可
如果對許可配置不當,就會給黑客留下機會。處理許可問題的最簡單方法是使用所謂的RWE方法,即Read(讀取)、Write(寫入)、Execute(執行)。假設你想讓一個用戶能夠讀取一個文件但不能寫入文件。為此,你可以執行:chmod u+w,u-rx 文件名,一些新用戶可能會看到一個錯誤,說他們沒有使用文件的許可,因此他們就使用了:Chmod 777 文件名,以為這樣能夠避免問題。但這樣做實際上會導致更多的問題,因為它給了文件的可執行的權限。記住這一點:777將一個文件的讀取、寫入、執行的許可給了所有用戶,666將一個文件的讀取、寫入權限給了所有用戶,而555將文件的讀取、執行權限給了所有用戶,還有444、333、222、111等等。
錯誤六:沒有備份關鍵的配置文件
許多管理員都有這樣的體會,在升級到某個X版本,如X11之後,卻發現新版本破壞了你的xorg.conf配置文件,以至於你再也無法使用X?建議你在升級X之前,先對以前的/etc/x11/xorg.conf作一個備份,以免升級失敗。當然,X的升級程序會設法為用戶備份xorg.conf文件,但它卻在/etc/x11目錄內備份。即使這種備份看起來不錯,你最好還是自己做一個備份吧。筆者的一個習慣是將其備份到/root目錄中,這樣,用戶就可以知道只有根(root)用戶能夠訪問此文件。記住,安全第一。這裡的方法也適用於其它的關鍵備份,如Samba、Apache、Mysql等。
錯誤七:以根用戶身份登錄
這是一種很危險的錯誤。如果用戶需要根特權來執行或配置一個應用程序,可以在一個標准的用戶賬戶中使用su切換到root用戶。登錄到root為什麼不是一件好事兒?在用戶以標准用戶身份登錄時,所有正在運行的X應用程序仍擁有僅限於此用戶的訪問權。如果用戶以根用戶身份登錄,X就擁有了root的許可。這就會導致兩個問題,一、如果用戶由GUI犯了一個大錯,這個錯誤對系統來說,有可能是一個巨大的災難。二、以根用戶的身份運行X使得系統更易於遭受攻擊。
錯誤八:沒有安裝一個可正常運行的內核
你可能不會在一台機器上安裝10個以上的內核。但你需要更新內核,這種更新並沒有刪除以前的內核。你是怎麼做的呢?你一直保持使用最近的可正常工作的內核。假設你目前正常工作的內核是2.6.22,而2.6.20是備份內核。如果你更新到2.6.26,而在新內核中一切都工作正常,你就可以刪除2.6.20了。
錯誤九:逃避使用命令行
恐怕很少有人願意記住那麼多命令。在大多數情況下,圖形用戶界面是許多人的最愛。不過,有時,命令行使用起來更加容易、快捷、安全、可靠。逃避使用命令行是Linux管理的大忌。管理員至少應當理解命令行是如何工作的,至少還要掌握一些重要的管理命令。
錯誤十:忽視日志文件
/var/log的存在是有理由的。這是存放所有的日志文件的唯一位置。在發生問題時,你首先需要看一下這裡。檢查安全問題,可看一下/var/log/secure.筆者看的第一個位置是/var/log/messages.這個日志文件保存著所有的一般性錯誤。在此文件中,你可以得到關於網絡、媒體變更等消息。在管理一台機器時,用戶可以使用某個第三方的應用程序,如logwatch,這樣就可以創建為用戶創建基於/var/log文件的各種報告。
這十個錯誤在一些Linux管理員新手們中是很常見的。避免這些錯誤將會使管理工作更
加安全、穩健。