对于许多人来说【shuō】，迁移到🕍Linux是一件乐事。而对于【ér duì yú】🥋另外一些人来【xiē rén lái】📀说【shuō】，这简直是一场【shì yī chǎng】恶梦🔒。尤其是对于一【duì yú yī】些刚步入Linux管理大门的管🧜理员来说【shuō】，如果不【rú guǒ bú】避免一🕰些常见的错误【de cuò wù】，就容易【jiù róng yì】给单位🏓的网络【de wǎng luò】📘或系统带来安🍒全风险。本文将为帮助🧞这些新【zhè xiē xīn】🤶手们避免这些【miǎn zhè xiē】🏹错误提供一些【gòng yī xiē】建议。

错误一：不经过🔊严格审核，从多种👥渠道下【qú dào xià】载安装各种类【gè zhǒng lèi】型的应【xíng de yīng】用程序🥉

乍看起🌬来【lái】🛏，这也许🥕是一个不错的👜主意。如果你【rú guǒ nǐ】在运行Ubuntu，你会知【nǐ huì zhī】道包【bāo】🌓管理程序【chéng xù】🏗使用的【shǐ yòng de】🍠是。deb软件包【jiàn bāo】🎙。不过【bú guò】，你找到的许多🍽应用程序【chéng xù】是以✖源代码💚的形式提供的【tí gòng de】。没有问题吗😻?这些程【zhè xiē chéng】序【xù】🏗安装【zhuāng】🎤后也许能够正🐣常工作🤤。但是你为什么📟不能随意安装【zhuāng】🎤程序【chéng xù】🏗呢?道理很【dào lǐ hěn】🙎简单，如果你【rú guǒ nǐ】以源的形式安【xíng shì ān】装【zhuāng】🎤了程序【chéng xù】🏗，那么【nà me】🎉，你的软件包【jiàn bāo】🎙管理系统🕧将无法跟踪你【gēn zōng nǐ】所安装【zhuāng】🎤的东西。因此【yīn cǐ】，在程序【zài chéng xù】🏗包【bāo】🌓A(以源的形式安【xíng shì ān】装【zhuāng】🎤)依赖于【yī lài yú】程序【chéng xù】🏗包【bāo】🌓B(从一个。deb库安装【zhuāng】🗓的)，而软件【ér ruǎn jiàn】包【bāo】🎙B是从更【shì cóng gèng】🌵新管理【xīn guǎn lǐ】器更新【qì gèng xīn】🌲的时候，会发生什么事【shí me shì】👯情呢?程序【chéng xù】🏗包【bāo】🌓A可能运【kě néng yùn】行，也可能无法运【wú fǎ yùn】行。不过【bú guò】，如果程序【chéng xù】🏗包【bāo】🌓A和🚍B都从🐻。deb库安装【zhuāng】🗓的话🔗，二者都【èr zhě dōu】能运行【néng yùn háng】的机会🔶将更高。此外【cǐ wài】，在所有的程序【chéng xù】🏗包【bāo】🌓都来【dōu lái】🛏自于同样的二🙃进制类型时🔒，更新程🔤序【xù】🏗包【bāo】🌓将更为容易【róng yì】。

错误二：忽视更新

这并不是说Linux管理员缺乏技【quē fá jì】☕巧🏰。不过，许多【xǔ duō】Linux管理员在运行【zài yùn háng】🍿了Linux之后【zhī hòu】，以为日后就无事可做🍍了，以为它😘安全可【ān quán kě】靠🚨。其实🍽，新的更【xīn de gèng】新🥂可以为一些🛤新的漏洞打上🧒补丁。维持更新可以在一个易受损的系统【de xì tǒng】与一个安全的系统【de xì tǒng】之间构造🕎分水岭。Linux的安全【de ān quán】来自于🌇不断地维护【wéi hù】。为了实【wéi le shí】🍲现安全🎙性【xìng】，为了使用一些新的特【xīn de tè】性和稳【xìng hé wěn】定性【xìng】♐，任何管理员都【lǐ yuán dōu】应当跟【yīng dāng gēn】上🧒Linux的更新【de gèng xīn】🥂步伐💞。

错误三：糟糕的口令

记住【jì zhù】，root 的口令【de kǒu lìng】📄通常是linux王国的【wáng guó de】🔷关键。所以为什么要📙让👖root的口令【de kǒu lìng】📄那么容易被破【yì bèi pò】解呢?保障你的用户口令的健壮性至关重🎟要🍓。如果你的口令【de kǒu lìng】📄比较长【bǐ jiào zhǎng】，且难于【qiě nán yú】记忆【jì yì】，可将这🍓个口令💘存放在📕一个可【yī gè kě】被加密【bèi jiā mì】的位置。在需要【zài xū yào】🍓这个口令💘时，可用解密软件解开这【jiě kāi zhè】♓个口令💘使用之👝。

错误四：将服务器启动进入到X

在一台【zài yī tái】机器是【jī qì shì】🌱专用服【zhuān yòng fú】务器时【wù qì shí】，你可能会想到【huì xiǎng dào】🏷安装🐐X，这样一些【xiē】🎬管理任务就【wù jiù】🍂会简单🐀一些【xiē】🎬。不过😕，这并不📖意味着【yì wèi zhe】用户需要将服务器启动进入到📚X.这样会【zhè yàng huì】浪费珍【làng fèi zhēn】贵的内存和CPU资源【zī yuán】。相反地，你应当在级别3上停止启动过程，进入😵命令行【mìng lìng háng】模式。这样做不但会【bú dàn huì】将所有【jiāng suǒ yǒu】的资源【de zī yuán】留给服🍑务器，而且还会防止🔭泄露机【xiè lù jī】🤸器的机密😭。要登录到🏷X，用户只需要以命令行【mìng lìng háng】方式登🐈录，然后键🏹入😵startx进入到📚桌面【zhuō miàn】。

错误五：随意许可，原因是不理解许可

如果对🍋许可配⚡置不当【zhì bú dāng】，就会给黑客留下机会。处理许【chù lǐ xǔ】可问题的最简💱单方法🌷是使用【shì shǐ yòng】🐷所谓的RWE方法📷，即Read(读取)、Write(写入【xiě rù】)、Execute(执行【zhí háng】🚏)。假设你【jiǎ shè nǐ】😬想让一【xiǎng ràng yī】个用户【gè yòng hù】能够读取一个文件但【wén jiàn dàn】不能写入【xiě rù】文件。为此🍕，你可以执行【zhí háng】🚏：

chmod u+w，u-rx 文件名

一些新🍄用户【yòng hù】💦可能会看🔻到一个错误，说他们【shuō tā men】没有使用文件【yòng wén jiàn】的许可，因此他们就使🌧用了：Chmod 777 文件名【wén jiàn míng】，以为这【yǐ wéi zhè】样能够【yàng néng gòu】避免问题🏺。但这样做实际【zuò shí jì】🔁上会导致更多【zhì gèng duō】🕦的问题【de wèn tí】🏺，因为它给了文件的【wén jiàn de】可执行的🚼权限。记住这【jì zhù zhè】👶一点🛥：777将一个【jiāng yī gè】文件的【wén jiàn de】读取😶、写入、执行的🚼许可给了所有用【suǒ yǒu yòng】📲户【hù】🛑，666将一个【jiāng yī gè】文件的【wén jiàn de】读取😶、写入权限给了【xiàn gěi le】所有用【suǒ yǒu yòng】📲户【hù】🛑，而🌋555将文件的【wén jiàn de】读取😶、执行权✖限给了【xiàn gěi le】所有用【suǒ yǒu yòng】📲户【hù】🛑，还有444、333、222、111等等。

错误六：没有备份关键的配置文件

许多管【xǔ duō guǎn】⚾理员都有这样🍐的体会，在升级🏩到💴某个【mǒu gè】X版本【bǎn běn】，如【rú】X11之后，却发现新版本【xīn bǎn běn】破坏了😡你的【nǐ de】🦂xorg.conf配置文🕖件，以至于💙你再也【nǐ zài yě】无法使用X?建议你【jiàn yì nǐ】在升级🏩X之前，先对以前的/etc/x11/xorg.conf作一个😜备份【bèi fèn】🛫，以免升级失败【jí shī bài】。当然，X的升级【de shēng jí】程序会🔯设法为用户备份【bèi fèn】🛫xorg.conf文件🎦，但它却🥈在/etc/x11目录内🎤备份【bèi fèn】🛫。即使这【jí shǐ zhè】种备份【bèi fèn】💻看起来【kàn qǐ lái】不错，你最好【nǐ zuì hǎo】还是自己做一个备份【bèi fèn】⏰吧👯。笔者的👒一个习惯是将【guàn shì jiāng】😁其备份【bèi fèn】🛫到💴/root目录中【mù lù zhōng】🐡，这样🍐，用户就【yòng hù jiù】可以知道只有【dào zhī yǒu】根🎓(root)用户能【yòng hù néng】够访问【gòu fǎng wèn】此文件🎦。记住【jì zhù】，安全第💔一。这里的方法也适用于其它的关键备【guān jiàn bèi】份🛫，如【rú】Samba、Apache、Mysql等。

错误七：以根用户身份登录

这是一😶种很危险的错【xiǎn de cuò】🚚误。如果用户【yòng hù】需要🎦根特权🤮来执行【lái zhí háng】或配置【huò pèi zhì】⏬一个应📽用程序🔗，可以在【kě yǐ zài】一个标准的【de】用户【yòng hù】账户⛏中使用su切换到root用户【yòng hù】。登录到【dēng lù dào】root为什么【wéi shí me】不是一【bú shì yī】件好事儿🏫?在用户【yòng hù】以标准用户身【yòng hù shēn】份登录时【shí】🎂，所有正🗡在运行【zài yùn háng】的【de】X应用程🌅序仍拥有仅限🔬于此用【yú cǐ yòng】🎶户的【de】访😊问权。如果用户【yòng hù】以根用户身【yòng hù shēn】份登录，X就拥有【jiù yōng yǒu】了♏root的许可【de xǔ kě】👪。这就会【zhè jiù huì】🐍导致两个问题，一、如果用户【yòng hù】由GUI犯了♏一个大错【cuò】，这个错【cuò】误对系统来说【tǒng lái shuō】，有可能🌥是一个巨大的【de】😒灾难。二🌮、以根用户【yòng hù】的【de】身份运行X使得系统更易于遭受攻击。

错误八：没有安装一个可正常运行的内核

你可能【nǐ kě néng】不会在一台机🚬器上安➕装10个以上的内核【de nèi hé】🍓。但你需要更新📰内核，这种更🛂新并没🕒有删除⬇以前的内核【de nèi hé】🍓。你是怎【nǐ shì zěn】么做的🍿呢?你一直【nǐ yī zhí】保持使用最近的可正【de kě zhèng】常【cháng】工作🤔的内核【de nèi hé】🍓。假设你目前正常【cháng】工作🤔的内核【de nèi hé】🍓是2.6.22，而【ér】🦅2.6.20是备份内核。如果你【rú guǒ nǐ】更新到【gèng xīn dào】2.6.26，而【ér】🦅在新内核中一【hé zhōng yī】切都工作正【zuò zhèng】🌮常【cháng】，你就可以删除【yǐ shān chú】2.6.20了😏。

错误九：逃避使用命令行

恐怕很🗜少有人🏸愿意记🎱住那么🚟多命令【duō mìng lìng】。在大多【zài dà duō】数情况下，图形用🕜户界面【hù jiè miàn】是许多🤬人的最【rén de zuì】🎀爱。不过，有时【yǒu shí】，命令行【mìng lìng háng】使用起来更加🤝容易、快捷【kuài jié】📿、安全🎨、可靠。逃避使【táo bì shǐ】用命令行【mìng lìng háng】是💑Linux管理的大忌。管理员至少应【zhì shǎo yīng】当理解命令行【mìng lìng háng】是💑如何工作的，至少还要掌握【yào zhǎng wò】一些重要的管【yào de guǎn】♏理命令。

错误十：忽视日志文件

/var/log的存在是🏑有理由的。这是🏑存放所【cún fàng suǒ】有的日【yǒu de rì】志🌲文件的【wén jiàn de】🕞唯一位置📦。在发生【zài fā shēng】问题时，你首先🖤需要看🗜一下这里。检查安【jiǎn chá ān】全问题，可看一下/var/log/secure.笔者看的第一【de dì yī】💗个位置【gè wèi zhì】📦是🏑/var/log/messages.这个日📴志文件保存着🐜所有的【suǒ yǒu de】一般性错误。在此文【zài cǐ wén】⛔件中【jiàn zhōng】，你可以得到关🌡于网络【yú wǎng luò】、媒体变⬆更等消息。在管理一台机【yī tái jī】器时，用户可以使用某个第【mǒu gè dì】三方的【sān fāng de】📌应用程序🔚，如【rú】logwatch，这样就【zhè yàng jiù】可以创【kě yǐ chuàng】建为用户创建【hù chuàng jiàn】基于🔪/var/log文件的【wén jiàn de】🕞各种报💠告。

这十个【zhè shí gè】📳错误在【cuò wù zài】一些【yī xiē】Linux管理员新手们【xīn shǒu men】🉑中是很常见的【cháng jiàn de】。避免这些错误将会使✔管理工💿作更加🌹安全、稳健。