在Linux世界驰骋——Linux系统管理(4)

欢迎 skyaj 加入本站！

免费注册

用户登陆

今天是：2009年01月07日星期三您现在位于：首页 → 技术文章 → 在Linux世界驰骋—...

[完全免费的源代码下载站—卓越源代码

在Linux世界驰骋——Linux系统管理(4)

作者：孟庆昌出处：Unix爱好者家园unix-cd.com 更新时间： 2005年11月30日

系统安全管理

Linux系统安全管理包括多个要素，例如，普通用户的系统安全、超级用户的系统安全、文件系统的安全、进程安全，以及网络安全等。只有以上各个要素协调配合，才能真正地保证系统不易受到致命的打击。

安全管理的目标和要素

安全管理的目标包括防止非法操作、防止未获得授权的人进入系统或无合法权限的人员越权操作；数据保护，防止已授权或未授权的用户存取对方重要的个人信息；正确管理用户，一个系统不应被一个恶意的、试图使用过多资源的用户损害；保证系统的完整性，保证系统的完整性；记账，通过确认用户身份和记录下用户所做的操作，并根据这些记录查出哪些操作比较可疑，以及哪些用户对系统进行了破坏，从而采取相应的防范措施；系统保护，阻止任何用户冻结系统资源，如果某个用户占用某一系统资源的时间过长，必须有相应的措施剥夺其使用权；否则会影响其它用户使用，甚至导致系统崩溃。

Linux系统安全包括三个要素，即物理安全管理、普通用户安全管理和超级用户安全管理。

1.物理安全

一般来说，物理安全应该包括以下几个方面：

(1)保证放置计算机机房的安全，必要时应添加报警系统。同时应提供软件备份方案，把备份好的软件放置在另一个安全地点。

(2)保证所有的通信设施(包括有线通信线、电话线、局域网、远程网等)都不会被非法人员监听。

(3)钥匙或信用卡识别设备、用户口令钥匙分配、文件保护、备份或恢复方案等关键文档资料要保存在安全的位置。

2.普通用户安全管理

Linux系统管理员的职责之一是保证用户资料安全，其中一部分工作是由用户的管理部门来完成的。但作为系统管理员，有责任发现和报告系统的安全问题。

系统管理员可以定期随机抽选一用户，将该用户的安全检查结果发送给他及其管理部门；此外，用户的管理部门应该强化安全意识，制定完善的安全管理规划。

3.超级用户安全管理

超级用户可以对系统中任何文件和目录进行读写，超级用户口令一旦丢失，系统维护工作就很难进行，系统也就无安全性可言。
超级用户在安全管理方面需要注意的地方包括：

(1)在一般情况下最好不使用root账号，应使用su命令进入普通用户账号。

(2)超级用户不要运行其它用户的程序。

(3)经常改变root口令。

(4)精心地设置口令时效。

(5)不要把当前工作目录排在PATH路径表的前面，以避免“特洛依木马”的入侵。

(6)不要未退出系统就离开终端。

(7)建议将登录名root改成其它名称。

(8)注意检查不寻常的系统使用情况。

(9)保持系统文件安全的完整性。

(10)将磁盘的备份存放在安全的地方。

(11)确保所有登录账号都有用户口令。

(12)启动记账系统。

用户口令的管理

计算机安全包括物理安全和逻辑安全。通过加强机房管理、保证通信线路安全、建立完整的备份制度等措施，一般情况下都能保证物理安全。另外，建立和完善逻辑安全同样是一个很重要的问题，其中包括用户口令的管理、用户账号的管理、文件和目录权限的管理及维护系统日志。

1.用户口令的管理

用户口令的管理包括设置好的用户口令、采用正确的用户口令管理策略、设置用户口令的时效机制、执行安全的用户口令操作。

一个好的用户口令至少有6字符，口令中不要包含个人信息，例如生日、名字、门牌号码等。用户口令中最好有一些非字母(即数字、标点等)字符，最好应便于记忆。

用户口令的安全性随着时间的推移而变弱，所以，经常改变用户口令有利于系统安全。系统管理员可以通过修改/etc/shadow文件实现。

多数情况下用户口令丢失都与用户误操作有关。为保证用户口令安全必须注意以下几点：

(1)不要将用户口令写下来；

(2)用户在输入口令时，应避免被别人看到；

(3)保证用户一人一个口令，避免多人使用同一个账号；

(4)不要重复使用同一口令；

(5)不要在不同系统上使用同一口令；

(6)不要通过网络或Modem来传送口令。
2.用户账号的管理

用户账号的管理包括如何保证系统中每个用户账号的安全、如何管理这些账号，以及如何处理对系统安全有威胁的账号。

保证系统有一个安全的/etc/passwd文件是十分必要的，维护该文件时应注意以下问题：

(1)尽量避免直接修改/etc/passwd文件。

(2)在用户可以容忍的情况下，尽量使用比较复杂的用户账号名。

(3)尽量将passwd文件中UID号为0的人数限制在一到两个人内。如果发现存在管理员以外的UID为0时，就表示系统被攻破。以下命令可以显示passwd文件中ID为0的用户：

# grep  '[^:]*[^*]*:0*'  /etc/passwd

(4)保证passwd文件中没有口令相同的用户账号。下面的命令用来查询该文件中是否有ID=110的用户：

# grep  110  /etc/passwd

(5)保证passwd文件中每个用户的口令字段不为空，可以使用下面的命令：

# grep  '[^:]*[^::]:*'  /etc/passwd

(6)注意系统特殊用户使用的Shell字段，保证他们使用专用程序，而非一般用户的Shell。

(7)除非在必要的情况下，最好不要使用组口令。

(8)对于新用户最好先为之提供rsh(Restricted Shell)，让他们在受限的环境中使用系统。

(9)当一个账号长时间不用时，可通过记账机制发现该账号，并将该账号查封。

3.安全问题

文件和目录权限的管理涉及重要目录的安全问题，包括以下目录：

/bin、/boot、/dev、/etc和$HOME。

/bin目录保存引导系统所需的全部可执行程序及常用的Linux命令。该目录只允许超级用户进行修改。同时，应把目录设置在PATH环境变量的最前面。例如：

PATH=/bin:/usr/bin:/usr/local/bin:/home/mengqc/bin

如果设置在最后，用户mengqc可以在自己的目录下放置一个名为su的特洛伊木马程序。超级用户执行su命令时，mengqc就可以获取超级用户口令。

/boot用来存放Linux初启时所需的一些数据和文件。如该目录被破坏，系统就不能启动。

/dev目录包含有链接硬件设备的文件，它的存取权限应当是775，并且应属root所有。设备文件使用权限设置不当，能给系统安全带来影响。例如/dev/mem是系统内存，用cat命令就可以在终端上显示系统内存中的内容。

/etc目录下的passwd、group、shadow 、inittab、cshrc和xinitrc等文件是系统正常工作时所用的。大多数情况下，/etc中的文件是黑客首选的攻击目标。

$HOME目录是各个用户的主目录，一般位于/home目录下。该目录的名称一般与用户的登录名相同。超级用户的主目录在/root下。

如果没有正确设置用户主目录的权限，就会给该用户带来危险。例如，假设其他人可以写一个用户的主目录，那么，可以通过修改该用户主目录中的.bash_profile文件来获取与该用户相同的身份。
4.对系统日志进行日常维护

系统管理员另一个复杂的任务是对系统日志进行日常维护。系统日志记录提供了对系统活动的详细审计信息，这些日志用于评估、审查系统的运行环境和各种操作。对于一般情况，日志记录包括记录用户登录时间、登录地点、进行什么操作等内容。使用得当的话，日志记录能向管理员提供有关危害安全的侵害或入侵企图的信息。

这些审计信息通常由守护程序自动产生，是系统默认设置的一部分，能帮管理员寻找系统存在的问题，对系统维护十分有用。还有一些日志需要管理员设置才能生效。大部分日志存放在/var/log目录中。

系统性能优化

对系统性能的优化主要包括以下几个方面的内容：

◆对于磁盘I/O性能的优化；

◆对文件系统的有机调整；

◆进程的执行调度；

◆系统守护进程任务的管理。

使用工具iostat监测磁盘I/O的性能 iostat检查各个磁盘的输入和输出，并产生各个磁盘的数据吞吐量、传输请求的统计数据。下面是一个使用iostat命令的示例：

# iostat  -d  2

该命令将以2秒为时间间隔，产生对系统磁盘使用情况的统计输出。使用该工具得到各个硬盘的繁忙情况，就能根据数据吞吐量得出系统磁盘的性能。此时，系统管理员应该得出以下结论：

(1)当前磁盘的I/O性能是否已经影响到整个系统的性能，比如说，经常出现CPU等待I/O操作而出现CPU idle状态。

(2)用户的工作是否已经受到影响，例如，当使用NFS服务时，文件服务器是否经常不能及时处理用户请求。

(3)对于硬盘系统，当前的I/O是否集中在某一个或某几个磁盘上，造成任务请求不均衡。

对于这些问题，系统管理员应该有针对性地采用以下措施：

◆采用RAID技术提高硬盘I/O性能；

◆采用高性能硬盘来解决I/O瓶颈；

◆采用更先进、更快速的硬盘接口技术；

◆对文件系统进行调整，对执行进程进行调度。

对进程进行调度

进程在其运行过程中需要占有系统资源，如果用户执行的进程耗用资源过多，将有可能造成系统性能的瓶颈现象。这时，就需要对这样的进程进行调度。一种情况是与用户协商，将这个进程从系统中删除，这时需要系统管理员使用kill命令；另一种情况是需要对该进程的优先级别或调度时间进行调整，可以通过nice命令及at命令等完成。

要想让系统很好服务，必须管理好系统。作为系统管理员权力至上，职责也重大。以上介绍了系统管理的基本知识，然而，要想让系统始终处于良好工作状态，除了深入掌握管理知识外，还需在实践中不断积累经验。
（本文已被浏览 1866 次）

发布人：sdccf
→ 推荐给我的好友

上篇文章：在Linux世界驰骋——Linux系统管理(3)
下篇文章：Linux下添加硬盘、分区、格式化任务详解

Linu系统管理新手要了解的十个知识点	在Linux世界驰骋——Linux系统管理(3)
在Linux世界驰骋——Linux系统管理(2)	在Linux世界驰骋——Linux系统管理(1)