当前位置:操作系统 > Unix/Linux >>

在Linux世界驰骋——Linux系统管理八

2.用户账号的管理

  用户账号的管理包括如何保证系统中每个用户账号的安全、如何管理这些账号,以及如何处理对系统安全有威胁的账号。

  保证系统有一个安全的/etc/passwd文件是十分必要的,维护该文件时应注意以下问题:

  (1)尽量避免直接修改/etc/passwd文件。

  (2)在用户可以容忍的情况下,尽量使用比较复杂的用户账号名。

  (3)尽量将passwd文件中UID号为0的人数限制在一到两个人内。如果发现存在管理员以外的UID为0时,就表示系统被攻破。以下命令可以显示passwd文件中ID为0的用户:

  # grep

  '[^:]*[^*]*:0*'

  /etc/passwd

  (4)保证passwd文件中没有口令相同的用户账号。下面的命令用来查询该文件中是否有ID=110的用户:

  # grep

  110

  /etc/passwd

  (5)保证passwd文件中每个用户的口令字段不为空,可以使用下面的命令:

  # grep

  '[^:]*[^::]:*'

  /etc/passwd

  (6)注意系统特殊用户使用的Shell字段,保证他们使用专用程序,而非一般用户的Shell。

  (7)除非在必要的情况下,最好不要使用组口令。

  (8)对于新用户最好先为之提供rsh(Restricted Shell),让他们在受限的环境中使用系统。

  (9)当一个账号长时间不用时,可通过记账机制发现该账号,并将该账号查封。

  3.安全问题

  文件和目录权限的管理涉及重要目录的安全问题,包括以下目录:

  /bin、/boot、/dev、/etc和$HOME。

  /bin目录保存引导系统所需的全部可执行程序及常用的Linux命令。该目录只允许超级用户进行修改。同时,应把目录设置在PATH环境变量的最前面。例如:

  PATH=/bin:/usr/bin:/usr/local/bin:/home/mengqc/bin

  如果设置在最后,用户mengqc可以在自己的目录下放置一个名为su的特洛伊木马程序。超级用户执行su命令时,mengqc就可以获取超级用户口令。

  /boot用来存放Linux初启时所需的一些数据和文件。如该目录被破坏,系统就不能启动。

  /dev目录包含有链接硬件设备的文件,它的存取权限应当是775,并且应属root所有。设备文件使用权限设置不当,能给系统安全带来影响。例如/dev/mem是系统内存,用cat命令就可以在终端上显示系统内存中的内容。

  /etc目录下的passwd、group、shadow 、inittab、cshrc和xinitrc等文件是系统正常工作时所用的。大多数情况下,/etc中的文件是黑客首选的攻击目标。

  $HOME目录是各个用户的主目录,一般位于/home目录下。该目录的名称一般与用户的登录名相同。超级用户的主目录在/root下。

  如果没有正确设置用户主目录的权限,就会给该用户带来危险。例如,假设其他人可以写一个用户的主目录,那么,可以通过修改该用户主目录中的.bash_profile文件来获取与该用户相同的身份。

  4.对系统日志进行日常维护

  系统管理员另一个复杂的任务是对系统日志进行日常维护。系统日志记录提供了对系统活动的详细审计信息,这些日志用于评估、审查系统的运行环境和各种操作。对于一般情况,日志记录包括记录用户登录时间、登录地点、进行什么操作等内容。使用得当的话,日志记录能向管理员提供有关危害安全的侵害或入侵企图的信息。

  这些审计信息通常由守护程序自动产生,是系统默认设置的一部分,能帮管理员寻找系统存在的问题,对系统维护十分有用。还有一些日志需要管理员设置才能生效。大部分日志存放在/var/log目录中。

  系统性能优化

  对系统性能的优化主要包括以下几个方面的内容:

  ◆对于磁盘I/O性能的优化;

  ◆对文件系统的有机调整;

  ◆进程的执行调度;

  ◆系统守护进程任务的管理。

  使用工具iostat监测磁盘I/O的性能 iostat检查各个磁盘的输入和输出,并产生各个磁盘的数据吞吐量、传输请求的统计数据。下面是一个使用iostat命令的示例:

  # iostat

  -d

  2

  该命令将以2秒为时间间隔,产生对系统磁盘使用情况的统计输出。使用该工具得到各个硬盘的繁忙情况,就能根据数据吞吐量得出系统磁盘的性能。此时,系统管理员应该得出以下结论:

  (1)当前磁盘的I/O性能是否已经影响到整个系统的性能,比如说,经常出现CPU等待I/O操作而出现CPU idle状态。

  (2)用户的工作是否已经受到影响,例如,当使用NFS服务时,文件服务器是否经常不能及时处理用户请求。

  (3)对于硬盘系统,当前的I/O是否集中在某一个或某几个磁盘上,造成任务请求不均衡。

  对于这些问题,系统管理员应该有针对性地采用以下措施:

  ◆采用RAID技术提高硬盘I/O性能;

  ◆采用高性能硬盘来解决I/O瓶颈;

  ◆采用更先进、更快速的硬盘接易做图术;

  ◆对文件系统进行调整,对执行进程进行调度。

  对进程进行调度

  进程在其运行过程中需要占有系统资源,如果用户执行的进程耗用资源过多,将有可能造成系统性能的瓶颈现象。这时,就需要对这样的进程进行调度。一种情况是与用户协商,将这个进程从系统中删除,这时需要系统管理员使用kill命令;另一种情况是需要对该进程的优先级别或调度时间进行调整,可以通过nice命令及at命令等完成。

  要想让系统很好服务,必须管理好系统。作为系统管理员权力至上,职责也重大。以上介绍了系统管理的基本知识,然而,要想让系统始终处于良好工作状态,除了深入掌握管理知识外,还需在实践中不断积累经验。

  

上一个:紧急处理:Linux操作系统常遇见的六个问题
下一个:在Linux世界驰骋——Linux系统管理六

更多Unix/Linux疑问解答:
路由原理介绍
子网掩码快速算法
改变网络接口的速度和协商方式的工具miitool和ethtool
Loopback口的作用汇总
OSPF的童话
增强的ACL修改功能
三层交换机和路由器的比较
用三层交换机组建校园网
4到7层交换识别内容
SPARC中如何安装Linux系统(2)
SPARC中如何安装Linux系统(1)
用Swatch做Linux日志分析
实战多种Linux操作系统共存
浅析Linux系统帐户的管理和审计
Linux2.6对新型CPU的支持(2)
电脑通通透
玩转网络
IE/注册表
DOS/Win9x
Windows Xp
Windows 2000
Windows 2003
Windows Vista
Windows 2008
Windows7
Unix/Linux
苹果机Mac OS
windows8
安卓/Android
Windows10
如果你遇到操作系统难题:
访问www.zzzyk.com 试试
CopyRight © 2022 站长资源库 编程知识问答 zzzyk.com All Rights Reserved
部分文章来自网络,