2.用户账号的管理
用户账号的管理包括如何保证系统中每个用户账号的安全、如何管理这些账号,以及如何处理对系统安全有威胁的账号。
保证系统有一个安全的/etc/passwd文件是十分必要的,维护该文件时应注意以下问题:
(1)尽量避免直接修改/etc/passwd文件。
(2)在用户可以容忍的情况下,尽量使用比较复杂的用户账号名。
(3)尽量将passwd文件中UID号为0的人数限制在一到两个人内。如果发现存在管理员以外的UID为0时,就表示系统被攻破。以下命令可以显示passwd文件中ID为0的用户:
# grep
'[^:]*[^*]*:0*'
/etc/passwd
(4)保证passwd文件中没有口令相同的用户账号。下面的命令用来查询该文件中是否有ID=110的用户:
# grep
110
/etc/passwd
(5)保证passwd文件中每个用户的口令字段不为空,可以使用下面的命令:
# grep
'[^:]*[^::]:*'
/etc/passwd
(6)注意系统特殊用户使用的Shell字段,保证他们使用专用程序,而非一般用户的Shell。
(7)除非在必要的情况下,最好不要使用组口令。
(8)对于新用户最好先为之提供rsh(Restricted Shell),让他们在受限的环境中使用系统。
(9)当一个账号长时间不用时,可通过记账机制发现该账号,并将该账号查封。
3.安全问题
文件和目录权限的管理涉及重要目录的安全问题,包括以下目录:
/bin、/boot、/dev、/etc和$HOME。
/bin目录保存引导系统所需的全部可执行程序及常用的Linux命令。该目录只允许超级用户进行修改。同时,应把目录设置在PATH环境变量的最前面。例如:
PATH=/bin:/usr/bin:/usr/local/bin:/home/mengqc/bin
如果设置在最后,用户mengqc可以在自己的目录下放置一个名为su的特洛伊木马程序。超级用户执行su命令时,mengqc就可以获取超级用户口令。
/boot用来存放Linux初启时所需的一些数据和文件。如该目录被破坏,系统就不能启动。
/dev目录包含有链接硬件设备的文件,它的存取权限应当是775,并且应属root所有。设备文件使用权限设置不当,能给系统安全带来影响。例如/dev/mem是系统内存,用cat命令就可以在终端上显示系统内存中的内容。
/etc目录下的passwd、group、shadow 、inittab、cshrc和xinitrc等文件是系统正常工作时所用的。大多数情况下,/etc中的文件是黑客首选的攻击目标。
$HOME目录是各个用户的主目录,一般位于/home目录下。该目录的名称一般与用户的登录名相同。超级用户的主目录在/root下。
如果没有正确设置用户主目录的权限,就会给该用户带来危险。例如,假设其他人可以写一个用户的主目录,那么,可以通过修改该用户主目录中的.bash_profile文件来获取与该用户相同的身份。
4.对系统日志进行日常维护
系统管理员另一个复杂的任务是对系统日志进行日常维护。系统日志记录提供了对系统活动的详细审计信息,这些日志用于评估、审查系统的运行环境和各种操作。对于一般情况,日志记录包括记录用户登录时间、登录地点、进行什么操作等内容。使用得当的话,日志记录能向管理员提供有关危害安全的侵害或入侵企图的信息。
这些审计信息通常由守护程序自动产生,是系统默认设置的一部分,能帮管理员寻找系统存在的问题,对系统维护十分有用。还有一些日志需要管理员设置才能生效。大部分日志存放在/var/log目录中。
系统性能优化
对系统性能的优化主要包括以下几个方面的内容:
◆对于磁盘I/O性能的优化;
◆对文件系统的有机调整;
◆进程的执行调度;
◆系统守护进程任务的管理。
使用工具iostat监测磁盘I/O的性能 iostat检查各个磁盘的输入和输出,并产生各个磁盘的数据吞吐量、传输请求的统计数据。下面是一个使用iostat命令的示例:
# iostat
-d
2
该命令将以2秒为时间间隔,产生对系统磁盘使用情况的统计输出。使用该工具得到各个硬盘的繁忙情况,就能根据数据吞吐量得出系统磁盘的性能。此时,系统管理员应该得出以下结论:
(1)当前磁盘的I/O性能是否已经影响到整个系统的性能,比如说,经常出现CPU等待I/O操作而出现CPU idle状态。
(2)用户的工作是否已经受到影响,例如,当使用NFS服务时,文件服务器是否经常不能及时处理用户请求。
(3)对于硬盘系统,当前的I/O是否集中在某一个或某几个磁盘上,造成任务请求不均衡。
对于这些问题,系统管理员应该有针对性地采用以下措施:
◆采用RAID技术提高硬盘I/O性能;
◆采用高性能硬盘来解决I/O瓶颈;
◆采用更先进、更快速的硬盘接口技术;
◆对文件系统进行调整,对执行进程进行调度。
对进程进行调度
进程在其运行过程中需要占有系统资源,如果用户执行的进程耗用资源过多,将有可能造成系统性能的瓶颈现象。这时,就需要对这样的进程进行调度。一种情况是与用户协商,将这个进程从系统中删除,这时需要系统管理员使用kill命令;另一种情况是需要对该进程的优先级别或调度时间进行调整,可以通过nice命令及at命令等完成。
要想让系统很好服务,必须管理好系统。作为系统管理员权力至上,职责也重大。以上介绍了系统管理的基本知识,然而,要想让系统始终处于良好工作状态,除了深入掌握管理知识外,还需在实践中不断积累经验。
