安全及日志管理
作为一个系统管理员,必须要能对系统事故找到故障原因,这就涉及到必须对系统的各项日志进行察看分析。在NT中是使用Administrative Tools菜单中Event Viewer查看系统的SYSTEM、SECURITY、APPLICATION日志文件。对Netware而言,错误日志是SYS$LOG.ERR文件,通过syscon菜单中supervisor options下view file server errorlog观察记录,另外文卷错误日志文件是各文卷中的VOL$LOG.LOG以及事务跟踪处理系统错误日志文件SYS:文卷中的TTS$LOG.ERR文件;UNIX中各项日志包括/usr/adm目录下的系统错误登记文件message、使用su命令的记录文件sulog、每个用户记录上次注册时间的登记文件lastlog、系统中注册用户的有关信息文件wtmp、每个用户所执行命令的内容项文件acct以及/etc目录下当前注册用户的有关信息文件utmp和其他应用程序产生的日志文件。对于其中的一些日志文件,可以采用who或w命令查看当前系统的登录使用者(XENIX系统中还可以用whodo命令确定当前用户的行为);last命令查看以前的登录情况,这些命令都可以合并使用grep进行条件控制选择过滤;用find查看文件及其属主,特别监控具有根访问权的进程及文件以及检查开机文件/etc/inetd.conf、/etc/rc.local、/etc/passwd和corn或at运行的文件,并用corntab -l 与corntab -r命令对用户的corntab文件进行列出与删除管理;使用ls -lR生成主检查表,并定期生成新表,使用diff命令进行比较,并使检查通过的新表成为新的主检查表,直到下一次检查为止。个人强烈建议在inetd.conf中注释掉所有的r打头的命令文件,以及去掉/etc/hosts.equiv中的所有项并不允许用户设立个人的.rhosts文件,使可信主机不予设立或为空以加强系统的安全。
系统进程管理
在UNIX中,系统报告命令包括df用来报告自由磁盘块数;du用来总结磁盘使用状况;nice用来改变某个命令所设优先权;Pstat用来报告系统信息,如节点表或进程表;sar用来报告系统的活动状态如CPU的使用和缓冲区的活动状况;time用来打印过去的时间、系统时间以及命令的执行时间;uptime用来报告系统的活动状况,如系统启动时间及已运行时间;vmsfat用来报告页数及系统统计数字,如分支点的情况。BSD UNIX中的ps -aux或system V中的ps -ef以及LINUX中的ps aux用来查看进程状态及其宿主,并使用kill命令及时停止不正常的进程。在NT中则使用Task Manager查看cpu和内存的使用情况,进行进程管理,另外也使用performance monitor进行状态监控,以及时做出调节。值得注意的是,随着网络应用的扩大,病毒成为对网络安全的一大威协。为此,在网络上安装病毒检测和清除工具已经成为网络管理必须要做的。