2.用戶賬號的管理 用戶賬號的管理包括如何保證系統中每個用戶賬號的安全、如何管理這些賬號,以及如何處理對系統安全有威脅的賬號。 保證系統有一個安全的/etc/passwd文件是十分必要的,維護該文件時應注意以下問題: (1)盡量避免直接修改/etc/passwd文件。 (2)在用戶可以容忍的情況下,盡量使用比較復雜的用戶賬號名。 (3)盡量將passwd文件中UID號為0的人數限制在一到兩個人內。如果發現存在管理員以外的UID為0時,就表示系統被攻破。以下命令可以顯示passwd文件中ID為0的用戶: # grep '[^:]*[^*]*:0*' /etc/passwd (4)保證passwd文件中沒有口令相同的用戶賬號。下面的命令用來查詢該文件中是否有ID=110的用戶: # grep 110 /etc/passwd (5)保證passwd文件中每個用戶的口令字段不為空,可以使用下面的命令: # grep '[^:]*[^::]:*' /etc/passwd (6)注意系統特殊用戶使用的Shell字段,保證他們使用專用程序,而非一般用戶的Shell。 (7)除非在必要的情況下,最好不要使用組口令。 (8)對於新用戶最好先為之提供rsh(Restricted Shell),讓他們在受限的環境中使用系統。 (9)當一個賬號長時間不用時,可通過記賬機制發現該賬號,並將該賬號查封。 3.安全問題 文件和目錄權限的管理涉及重要目錄的安全問題,包括以下目錄: /bin、/boot、/dev、/etc和$HOME。 /bin目錄保存引導系統所需的全部可執行程序及常用的Linux命令。該目錄只允許超級用戶進行修改。同時,應把目錄設置在PATH環境變量的最前面。例如: PATH=/bin:/usr/bin:/usr/local/bin:/home/mengqc/bin 如果設置在最後,用戶mengqc可以在自己的目錄下放置一個名為su的特洛伊木馬程序。超級用戶執行su命令時,mengqc就可以獲取超級用戶口令。 /boot用來存放Linux初啟時所需的一些數據和文件。如該目錄被破壞,系統就不能啟動。 /dev目錄包含有鏈接硬件設備的文件,它的存取權限應當是775,並且應屬root所有。設備文件使用權限設置不當,能給系統安全帶來影響。例如/dev/mem是系統內存,用cat命令就可以在終端上顯示系統內存中的內容。 /etc目錄下的passwd、group、shadow 、inittab、cshrc和xinitrc等文件是系統正常工作時所用的。大多數情況下,/etc中的文件是黑客首選的攻擊目標。 $HOME目錄是各個用戶的主目錄,一般位於/home目錄下。該目錄的名稱一般與用戶的登錄名相同。超級用戶的主目錄在/root下。 如果沒有正確設置用戶主目錄的權限,就會給該用戶帶來危險。例如,假設其他人可以寫一個用戶的主目錄,那麼,可以通過修改該用戶主目錄中的.bash_profile文件來獲取與該用戶相同的身份。 4.對系統日志進行日常維護 系統管理員另一個復雜的任務是對系統日志進行日常維護。系統日志記錄提供了對系統活動的詳細審計信息,這些日志用於評估、審查系統的運行環境和各種操作。對於一般情況,日志記錄包括記錄用戶登錄時間、登錄地點、進行什麼操作等內容。使用得當的話,日志記錄能向管理員提供有關危害安全的侵害或入侵企圖的信息。 這些審計信息通常由守護程序自動產生,是系統默認設置的一部分,能幫管理員尋找系統存在的問題,對系統維護十分有用。還有一些日志需要管理員設置才能生效。大部分日志存放在/var/log目錄中。 系統性能優化 對系統性能的優化主要包括以下幾個方面的內容: ◆對於磁盤I/O性能的優化; ◆對文件系統的有機調整; ◆進程的執行調度; ◆系統守護進程任務的管理。 使用工具iostat監測磁盤I/O的性能 iostat檢查各個磁盤的輸入和輸出,並產生各個磁盤的數據吞吐量、傳輸請求的統計數據。下面是一個使用iostat命令的示例: # iostat -d 2 該命令將以2秒為時間間隔,產生對系統磁盤使用情況的統計輸出。使用該工具得到各個硬盤的繁忙情況,就能根據數據吞吐量得出系統磁盤的性能。此時,系統管理員應該得出以下結論: (1)當前磁盤的I/O性能是否已經影響到整個系統的性能,比如說,經常出現CPU等待I/O操作而出現CPU idle狀態。 (2)用戶的工作是否已經受到影響,例如,當使用NFS服務時,文件服務器是否經常不能及時處理用戶請求。 (3)對於硬盤系統,當前的I/O是否集中在某一個或某幾個磁盤上,造成任務請求不均衡。 對於這些問題,系統管理員應該有針對性地采用以下措施: ◆采用RAID技術提高硬盤I/O性能; ◆采用高性能硬盤來解決I/O瓶頸; ◆采用更先進、更快速的硬盤接口技術; ◆對文件系統進行調整,對執行進程進行調度。 對進程進行調度 進程在其運行過程中需要占有系統資源,如果用戶執行的進程耗用資源過多,將有可能造成系統性能的瓶頸現象。這時,就需要對這樣的進程進行調度。一種情況是與用戶協商,將這個進程從系統中刪除,這時需要系統管理員使用kill命令;另一種情況是需要對該進程的優先級別或調度時間進行調整,可以通過nice命令及at命令等完成。 要想讓系統很好服務,必須管理好系統。作為系統管理員權力至上,職責也重大。以上介紹了系統管理的基本知識,然而,要想讓系統始終處於良好工作狀態,除了深入掌握管理知識外,還需在實踐中不斷積累經驗。
來源:賽迪網
