眾所周知,Linux系統的ROOT帳號如通微軟操作系統的Administrator帳號一樣,對於操作系統來說,有著至關重要的作用。如何管理要ROOT帳戶,對於Linux系統的安全性以及穩定性至關重要。下面筆者談談自己在管理ROOT帳戶的一些啟示,供大家參考。
啟示一:ROOT用戶只作為備用帳戶。
無論是你自己使用Linux系統,還是企業其他員工使用;又或者只是作為服務器使用,最好都不要直接使用ROOT用戶。
如你公司現在員工在使用Linux系統,那麼你作為Linux系統的管理員,就不能讓員工直接以ROOT帳戶進行登陸。而要給他們配置其他的用戶,進行日常業務的辦公。這主要是因為ROOT帳戶對於操作系統來說,具有最高的管理權限。而Linux系統對於員工來說,很多都是陌生的。若給他們這麼高的權限的話,系統有時候一不小心改變了某個文件,那麼就會導致系統的崩潰。故,在實際帳戶管理中,我們需要為普通用戶設置一個最小權限的帳戶。
其實,在Linxu系統下,普通用戶與管理員用戶權限的轉換沒有像微軟操作系統那麼麻煩。我們只需要通過一些簡單的命令,就可以完成權限的轉換動作,如此,就可以省去我們頻繁注銷的麻煩。
如我們某個用戶的Linux系統,其除了具有一個 ROOT帳戶以外,還有一個SA001的帳戶。該帳戶只是普通權限,無法對操作系統進行任何的配置動作,包括安裝軟件或者掛載其他共享文件夾的權限。筆者公司現在在企業內部網絡上,還部署了一台文件服務器。現在我們需要給這台操作系統連上文件服務器,但是,用戶現在利用的是SA001帳號登陸,我們該怎麼辦呢?
若我們直接利用SA001普通帳戶,執行mount命令進行服務器連接的話,那麼系統就會提示我們,這個命令必須在管理員用戶權限下才能夠運行。若在Windows操作系統下,我們還可以選擇“打開方式”中選擇以什麼身份運行這個命令。但是在Linux操作系統下,我們該如何處理呢?難道需要重新啟動系統嗎?其實,Linux系統下,權限的轉換個人以為,比Windows系統要簡單的多。
此時,我們就可以在命令行下,直接輸入su,然後輸入ROOT帳戶的密碼,此時,就可以以root身份運行程序。如此的話,我們就可以在這個命令行窗口下,直接利用mount命令,掛載共享目錄了。
如現在我們有兩個管理員帳戶,如一台文件服務器上,裝了兩個網絡應用,分別由兩個管理員管理。我們為他們分別設置了管理員帳戶,如AD001與AD002,此時,需要以AD002的管理員帳戶進行登陸,此時,我們就可以以su –AD002的形式,登陸進去。此時,在這個命令窗口中運行的任何程序,將都是以AD002的身份進行運行。這個操作,是否要比Windows操作系統簡便許多。
不過,在這個轉換的過程中,我們需要注意兩個問題。一是這個權限只是針對你所登陸的窗口,若你退出這個窗口或者在其他窗口中就沒有這個管理員權限。如我們現在打開兩個終端,在一個終端窗口中利用su命令以管理員身份登陸。此時,我們若在這個終端中運行mount命令的話,可以正常運行。但是,此時,我們若在另外一個終端窗口運行mount命令的話,則仍然會有“沒有權限執行這個命令”的錯誤提示。也就是說,我們在終端窗口中,以su命令,進行管理員權限轉換之後,其只對當前的這個終端起效,而對於另外的端口是沒有影響的。
另外一個問題,就是若在終端窗口中,利用su命令權限轉換後,其對應的環境變量,仍然是原來帳戶SA001的環境變量。如我們在Linux系統中,若安裝了JAVA程序,並且在root用戶下配置好了相關的環境變量後。此時,我們若先以普通用戶SA001登陸到系統,並在終端利用su命令,切換到管理員權限之後,我們運行java命令,就會發現系統會提示“沒有為JAVA配置環境變量”。可見,我們利用su命令,雖然取得了管理員權限,但是,沒有取得其對應的環境變量。
如我們在利用su命令進行權限轉換之後,我們還想其對應的環境變量也帶過來的話,該怎麼辦呢?此時,我們就需要在su命令後面添加一個參數,來實現我們的需求。如我們可以以su – (小橫桿)命令進行權限的轉換,此時,轉換過後的環境變量就是root管理員帳戶所對應的環境變量。
