歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux基礎 >> Linux技術

Linux 特權帳號VS普通帳號

在Linux操作系統中,其帳號大致可以分為特權帳號與普通帳號兩類。其實這跟微軟操作系統中的角色非常的想象。只是微軟操作系統中的預定義角色比較多,而在Linux操作系統中,只有兩類用戶。作為Linux系統管理員必須要了解這兩列帳戶的差異。以及在以後的使用過程中需要注意的地方。

  通常情況下,Linux系統安裝完畢之後,系統會自動創建一個特權帳戶,即root。如需要在Linux操作系統上部署其他應用的時候,筆者建議大家重新創建一個帳戶。如要在Linux操作系統上部署郵箱服務器的話,那麼最好建立一個mail的帳戶。然後利用這個帳戶登陸系統,再進行相關的操作。這個絕對不是多次一舉。這主要是因為root帳戶與普通的帳戶具有很大的差異。這主要體現在以下幾個方面。

  一、磁盤空間上的限制。

  通常情況下,root帳戶對於操作系統具有最高的權限,其往往沒有磁盤空間的限制。即使對其他用戶設置了磁盤限額,而往往root帳戶不會受到這方面的限制。而普通用戶的話,其默認情況下只能夠對自己的主目錄有存儲文件的權限。為此可以通過磁盤限額等手段來限制其磁盤空間的大小。在有些情況下,實現這個磁盤空間的限制是非常重要的。

  因為Linux操作系統是一個多用戶的操作系統。有可能會在同一個Linux操作系統上同時部署多個應用服務。如可能會同時部署郵件服務器與文件服務器。而他們是分別采用兩個不同的帳戶名來部署的。那麼系統管理員就可以分別為他們設置磁盤限額,防止因為某個應用由於病毒等原因侵蝕了所有硬盤空間,而導致另外一個服務也當機了。如果兩個服務都用root帳戶部署,或者其中一個服務采用root帳戶運行的話,就不能夠對其進行磁盤空間限制了。如對郵件服務器使用root帳戶部署,萬一郵件服務器中了病毒(或者某些客戶端有病毒)而狂發垃圾郵件的話,則很有可能在系統管理未發覺之前,這個硬盤的空間就被消耗殆盡了。從而導致服務器的崩潰。而如果采用了分帳號部署的話,那麼最多只是郵箱服務器崩潰,而不會影響文件服務器與root帳戶的運行,還有挽救的余地。

  所以,無論在Linux操作系統上部署多少應用,最好都能夠把root 帳戶與普通帳戶分開來。Root帳戶一般情況下只用來做管理,而不用作他用。只有如此,才能夠實現磁盤限額。

  二、保證相對獨立的環境變量。

  Linux操作系統跟Windows操作系統類似,環境變量分為用戶環境變量與通用環境變量。用戶環境變量就只對當前的用戶有效;而通用環境變量則對整個操作系統中的用戶有效。有時候在部署網絡應用,需要讓各個環境變量相對的獨立。在某個用戶下創建的環境變量(用戶環境變量),到另外一個帳戶那邊,就是無效的。為此就可以通過創建多個帳戶來保證不同帳戶之間環境變量的獨立性。如在Linux操作系統中需要部署一個ERP應用,其有數據庫服務器與ERP應用服務器兩個部分組成,這連個部分是相互獨立、又相互聯系的兩個部分。系統管理員往往會分別設置兩個普通的帳戶來部署這兩個應用。通過這個方法,可以為每個應用分別保存個人的環境變量。從而讓多個應用部署在同一台計算機上時,可以相對獨立的工作,彼此之間不會相互干擾。

  如果把這些應用都部署在同一個帳戶下,那麼就需要設置很多的環境變量。此時都在一個帳戶下進行設置的話,很可能出錯,而且也有可能相互沖突。為此為了給某些應用創造一個相對獨立的工作環境,筆者建議不要用root帳戶在部署這些應用。而且最好為每個應用創建一個普通帳戶來管理,以保障環境變量的獨立性。

  三、方便備份用戶的文件。

  Root帳戶與普通帳戶的主目錄是不同的。特權用戶root其主目錄是/root,而普通用戶的主目錄則為/home/帳號名稱。Linux操作系統的這個設置非常的有用。如現在Linux操作系統上有兩個用戶,一個是特權用戶,一個是普通的員工。通常情況下,普通帳戶只能夠把自己的文件、郵件等等保存在自己的主目錄中。那麼只需要對這個員工帳戶的主目錄進行備份,就可以備份用戶的私有文件。通過備份用戶的主目錄,即使當操作系統癱瘓或者員工換電腦時,只需要恢復主目錄中的文件,那麼就可以還用戶一個一模一樣的工作環境。為此,把特權用戶的目錄與普通用戶的目錄分開設置就變得非常的有用。

  另外,各個用戶下的主目錄也是相對獨立的。如在系統中創建了A與B兩個普通帳戶。則在操作系統根目錄下的/home/目錄下就會有A與B兩個目錄。此時默認情況下,用戶A只對目錄A具有操縱的權限;而用戶B也只有對目錄B具有操作的權限。也就是說,各個帳戶都只能夠操作各自目錄下的文件。為此,當多個用戶共享同一台主機的時候,每個用戶就都有一個私人的文件夾,從而可以防止自己的文件被別人無意中修改或則刪除。

  那如果當某個員工離職了,或則遺忘了密碼,那麼這個員工的文件就無法閱讀了嗎?這不是會給企業造成很大的損失嗎?其實不然。因為特權用戶root具有無與倫比的權限,為此root 帳戶可以訪問與修改任何普通帳戶的主目錄。也就是說,如果某個員工離職了,而其代理人需要這個員工主目錄下的文件,則系統管理員仍然可以憑root帳戶登陸系統,並把相關的文件復制給其代理人。從這裡也可以看出,root帳戶其權限是非常龐大的。默認情況下,最好把root帳戶與普通的帳戶分開來。以保障各個用戶之間能夠有一個相對獨立的個人主目錄。

  四、文件相關權限不同。

  通常情況下,只有文件的所有者可以更改文件的權限。如用戶A(普通帳戶)其建立另一個文件,其可以設置其它用戶是否對這個文件具有讀取、或者修改的權利。因為用戶A是這個文件的所有者,所以其有權進行這方面的設置。這是Linux操作系統中權限控制的最基本原則。但是root特權用戶會打破這個規則。默認情況下,root帳戶可以讀取、修改系統中的所有文件以及目錄,並可修改所有文件的權限。也就是說,root帳戶對文件以及目錄進行操作,使不受到所有權這個條件的限制的。即使root帳戶不是文件的所有者,其也可以把某些權限授權給其它用戶。

  為此在日常工作中,系統管理員應該限制其它普通用戶使用這個賬號。俗話說,害人之心不可有,防人之心不可無。如果一些對公司懷有不滿的員工,利用root帳號去查看自己無權查看的文件,或者進行修改、刪除等等操作,那麼就可能會造成比較大的損失。因為root帳戶可以對任何用戶的文件進行類似的操作。所以在日常工作中,系統管理員要管理好root帳戶的口令,不能夠洩露。同時在給員工分配帳戶的時候,也不要為了省心,而直接把root帳戶交給員工使用。不不僅不會省心,而且還會讓系統管理員更加的煩心。

  總之,root 帳戶與普通帳戶是兩個根本不同的帳戶。或者說,root帳戶本來就是為管理員而專門設立的,而不是為普通用戶所創建。為此筆者強烈建議,無論出於什麼目的,最好為Linux操作系統設置獨立的普通用戶。即使是系統管理員在使用Linux操作系統,也最好為其建立一個普通帳戶。當他們需要管理員的權利時,可以非常方便的通過su命令轉換到特權模式下。另外就是盡量為不同的員工、不同的應用設置不同的帳戶。通過不同的帳戶給他們提供一個相對獨立的工作環境,減少相互之間的干擾。這可以說是Linux操作系統部署中一個約定俗成的原則。
Copyright © Linux教程網 All Rights Reserved