对于许多人来🛣说【shuō】🍈，迁移到Linux是一件乐事。而对于另外一【lìng wài yī】些人来说【shuō】🍈，这简直🦐是一场恶梦【è mèng】🚹。尤其是【yóu qí shì】对于一些刚步【xiē gāng bù】入👄Linux管理大【guǎn lǐ dà】门的管【mén de guǎn】🏐理员来说【shuō】🍈，如果不🐔避免一些常见【xiē cháng jiàn】的错误，就容易给单位的网络【de wǎng luò】或系统【huò xì tǒng】🛰带来安全风险⛴。本文将📘为帮助这些新手们避【shǒu men bì】免这些🥁错误提【cuò wù tí】💠供一些建议。

错误一🤥：不经过严格审核【hé】，从多种【cóng duō zhǒng】渠道下👉载安装🔆各种类【gè zhǒng lèi】型的应用程序

乍看起来【lái】，这也许是一个不错的主意【zhǔ yì】。如果你🔌在运行【zài yùn háng】🤠Ubuntu，你会知😲道包管【dào bāo guǎn】⚫理程序【xù】使用的是。deb软件包🍃。不过，你找到的许多【de xǔ duō】应用程⚡序是以【xù shì yǐ】🚦源代码的形式【de xíng shì】提供的📣。没有问题吗【tí ma】?这些程🚋序安装【xù ān zhuāng】🕛后也许能够正常工作✏。但是你为什么不能随意安装【yì ān zhuāng】程序【xù】呢?道理很【dào lǐ hěn】😍简单，如果你🔌以源的形式【de xíng shì】安装了程序【xù】，那么🤝，你的软【nǐ de ruǎn】🍣件包管♈理系统将无法【jiāng wú fǎ】🍜跟踪你所安装【suǒ ān zhuāng】🍻的东西。因此【yīn cǐ】🚈，在程序【zài chéng xù】包🍃A(以源的形式【de xíng shì】安装)依赖于程序包【xù bāo】🍃B(从一个【cóng yī gè】。deb库安装的)，而软件【ér ruǎn jiàn】包🍃B是从更【shì cóng gèng】新管理器更新【qì gèng xīn】⏺的时候，会发生⏫什么事【shí me shì】🗳情呢?程序包【xù bāo】🍃A可能运行，也可能🚌无法运行。不过，如果程【rú guǒ chéng】🔏序包【xù bāo】🍃A和【hé】B都从【dōu cóng】🖤。deb库安装的话🐜，二者都能运行的机会将更高✖。此外，在所有【zài suǒ yǒu】的程序【xù】🔛包🍃都来自【dōu lái zì】于同样的二进制类🆎型时【xíng shí】，更新程🐩序包【xù bāo】🍃将更为容💻易。

错误二：忽视更新

这并不是说Linux管理员【guǎn lǐ yuán】缺乏技🕯巧。不过💛，许多🎷Linux管理员【guǎn lǐ yuán】在运行了【le】Linux之后😃，以为日🍰后就无事可做🧣了【le】，以为它安全可【ān quán kě】靠【kào】。其实，新的更新【de gèng xīn】💃可以为【kě yǐ wéi】一些【yī xiē】❌新的漏🔙洞打上【dòng dǎ shàng】补丁。维持更新可以🐞在一个易受损的系统与一个安全的👱系统之🕉间构造分水岭【fèn shuǐ lǐng】。Linux的安全来自于【lái zì yú】不断地📯维护🛸。为了【le】实现安全【xiàn ān quán】性【xìng】，为了【le】使用一些【yī xiē】新的特性和稳【xìng hé wěn】定性【dìng xìng】，任何管【rèn hé guǎn】💧理员都应当跟上Linux的更新【de gèng xīn】💃步伐【bù fá】🏴。

错误三：糟糕的口令

记住📓，root 的口令【de kǒu lìng】通常是🖐linux王国的关键【guān jiàn】。所以为【suǒ yǐ wéi】什么要【shí me yào】让root的口令【de kǒu lìng】那么容易被破【yì bèi pò】解呢【jiě ne】?保障你的用户🥖口令的健壮性【jiàn zhuàng xìng】🤭至关重【zhì guān chóng】要。如果你的口令【de kǒu lìng】比较长【bǐ jiào zhǎng】👁，且难于🏻记忆，可将这🚌个口【gè kǒu】令存放在😝一个可被加密的位置⛏。在需要这个口【zhè gè kǒu】💢令时，可用解【kě yòng jiě】密软件🧝解开这个口【zhè gè kǒu】💢令使用之🤷。

错误四：将服务器启动进入到X

在一台机器是专用服【zhuān yòng fú】务器时【wù qì shí】🍼，你可能💺会想到【dào】安装X，这样一些管理任务就会简单🉐一些。不过【bú guò】，这并不⏲意味着【yì wèi zhe】用户需要将服【yào jiāng fú】👳务器启🔮动进入到【dào】📥X.这样会🐕浪费珍【làng fèi zhēn】贵的内【guì de nèi】🛐存和CPU资源【zī yuán】。相反地【xiàng fǎn dì】🗣，你应当🔡在级别3上停止启动过程【chéng】💃，进入命令行模式。这样做【zhè yàng zuò】不但会将所有🗑的资源【de zī yuán】留给服务器，而且还会防止🍵泄露机【xiè lù jī】器的机🕰密【mì】。要登录【lù】🎹到【dào】X，用户只需要以命令行方式登录【lù】🎹，然后键【rán hòu jiàn】入startx进入到【dào】📥桌面🐫。

错误五：随意许可，原因是不理解许可

如果对【rú guǒ duì】许可配置不当，就会给🤥黑客留👅下机会【xià jī huì】。处理许可问题的【de】最简单方法【fāng fǎ】是使用所谓的【suǒ wèi de】🌊RWE方法【fāng fǎ】，即🍸Read(读取🏫)、Write(写入【xiě rù】)、Execute(执行🕋)。假设你想让一个用户🏖能够读【néng gòu dú】😶取一个⛪文件但不能写【bú néng xiě】🎱入文件。为此【wéi cǐ】🍀，你可以执行🕋：chmod u+w，u-rx 文件名，一些新用户可【yòng hù kě】🤔能会看到一个错误【cuò wù】🛎，说他们没有使用文件的【wén jiàn de】🦔许可，因此他们就使【men jiù shǐ】💰用了：Chmod 777 文件名，以为这样能够🌋避免问【bì miǎn wèn】题。但这样【dàn zhè yàng】做实际上会导【shàng huì dǎo】👳致更多【zhì gèng duō】的问题【de wèn tí】，因为它【yīn wéi tā】给了文件的【wén jiàn de】🦔可执行【kě zhí háng】🕋的【de】权限。记住这一点🍝：777将一个【jiāng yī gè】文件的【wén jiàn de】🦔读取🏫、写入【xiě rù】、执行🕋的【de】许可🚀给了所有【le suǒ yǒu】🍉用户🏖，666将一个【jiāng yī gè】文件的【wén jiàn de】🦔读取🏫、写入权【xiě rù quán】限给了所有【le suǒ yǒu】🍉用户🏖，而【ér】💲555将文件【jiāng wén jiàn】的【de】🦔读取🏫、执行🕋权限给了所有【le suǒ yǒu】🍉用户🏖，还有✖444、333、222、111等等【děng děng】。

错误六：没有备份关键的配置文件

许多管理员都有这样【yǒu zhè yàng】🤡的体会👃，在升级【zài shēng jí】🖥到【dào】某个X版本，如🛬X11之后【zhī hòu】，却发现新版本【xīn bǎn běn】破坏了你的💡xorg.conf配置文件【jiàn】，以至于你再也😗无法使【wú fǎ shǐ】用【yòng】🌠X?建议你在升级【zài shēng jí】🖥X之前【zhī qián】，先对以🚂前的/etc/x11/xorg.conf作一个【zuò yī gè】🥚备份🎛，以免升级失败🏫。当然，X的升级程序会设法为【shè fǎ wéi】🥘用【yòng】🌠户备份🎛xorg.conf文件【jiàn】，但它却【dàn tā què】在/etc/x11目录内【mù lù nèi】备份🎛。即使这种备份【zhǒng bèi fèn】🎛看起来🌿不错，你最好还是自【hái shì zì】👾己做一😑个备份🎛吧【ba】🍈。笔者的👠一😑个习惯是将其【shì jiāng qí】备份🎛到【dào】/root目录中，这样🤡，用【yòng】户就🍧可以知道只有【dào zhī yǒu】⏩根【gēn】(root)用【yòng】🌠户能够【hù néng gòu】访问此【fǎng wèn cǐ】文件【jiàn】。记住🎰，安全第👔一😑。这里的方法也【fāng fǎ yě】适用【yòng】🌠于其它的关键【de guān jiàn】备🎸份，如🛬Samba、Apache、Mysql等。

错误七：以根用户身份登录

这是一【zhè shì yī】种很危【zhǒng hěn wēi】险的🎃错误。如果用【rú guǒ yòng】🔼户需要【hù xū yào】根特权来执行【lái zhí háng】或配置🅰一个应用程序，可以在🛥一个标准的用👂户账户🥏中使用【zhōng shǐ yòng】su切换到【qiē huàn dào】root用户。登录到root为什么不是一【bú shì yī】🍒件好事儿【ér】💰?在用户以标准用户身份登录时【shí】🧓，所有正在运行【zài yùn háng】⏰的🎃X应用程序仍拥🛹有仅限于此用【yú cǐ yòng】户的【hù de】🎃访问权。如果用【rú guǒ yòng】🔼户以根用户身份登录，X就拥有【jiù yōng yǒu】了【le】🤳root的🎃许可。这就会🈸导致两个问题，一、如果用【rú guǒ yòng】🔼户由【hù yóu】GUI犯了【le】🤳一个大【yī gè dà】错，这个错⏺误对系⏰统来说【tǒng lái shuō】，有可能是一个【shì yī gè】🐷巨大的🎃灾难📊。二【èr】、以根用户的【hù de】🎃身份运行【háng】🎢X使得系统更易于遭受🚃攻击🏭。

错误八：没有安装一个可正常运行的内核

你可能【nǐ kě néng】不会在一台机⬆器上安装🌎10个以上【gè yǐ shàng】🙉的内核【de nèi hé】🏗。但你需要更新【yào gèng xīn】内核🏗，这种更新并没有删除以前的⏮内核🏗。你是怎🏢么做的【me zuò de】呢?你一直😄保持使🍇用最近的可正【de kě zhèng】常工作【cháng gōng zuò】🌉的内核【de nèi hé】🏗。假设你目前正🛁常工作【cháng gōng zuò】🌉的内核【de nèi hé】🏗是2.6.22，而2.6.20是备份内核🏗。如果你【rú guǒ nǐ】更新到【gèng xīn dào】2.6.26，而在新【ér zài xīn】😴内核🏗中一切都工作正常✨，你就可以删除【yǐ shān chú】🈳2.6.20了【le】。

错误九：逃避使用命令行

恐怕很🧐少有人【shǎo yǒu rén】🦒愿意记❓住那么多命令。在大多数情况🤰下【xià】，图形用【tú xíng yòng】户界面【hù jiè miàn】😫是许多【shì xǔ duō】人的最😢爱【ài】。不过，有时，命令行【mìng lìng háng】使用起🆗来更加容易、快捷【kuài jié】🔓、安全、可靠🤷。逃避使【táo bì shǐ】用命令行【mìng lìng háng】是Linux管理的【guǎn lǐ de】大忌。管理员👓至少应当理解命令行【mìng lìng háng】是如何🚜工作的【gōng zuò de】，至少还要掌握一些重📑要的管理命令【lǐ mìng lìng】。

错误十：忽视日志文件

/var/log的存在【de cún zài】🐋是有理【shì yǒu lǐ】🌽由的【yóu de】。这是【shì】存放所有⬛的日志【de rì zhì】文件🎩的唯一位置。在发生问题时👯，你首先需要看一下【xià】这里【lǐ】。检查安全问题，可看一🏃下【xià】/var/log/secure.笔者看【bǐ zhě kàn】的第一🔸个位置【gè wèi zhì】📒是【shì】/var/log/messages.这个日志文件🎩保存着所有的【suǒ yǒu de】一般性📵错误【cuò wù】🙂。在此文件中【jiàn zhōng】，你可以😤得到关于网络、媒体变更等消息【xī】🚋。在管理【zài guǎn lǐ】🕢一台机🚜器时【qì shí】，用户可🕋以使用某个第三方的应用程序，如【rú】logwatch，这样就可以创建为用💻户创建基于【jī yú】/var/log文件的各种报💻告。

这十个【zhè shí gè】🌜错误在【cuò wù zài】一些😧Linux管理员🙈新手们中是很常见的。避免这【bì miǎn zhè】些错误将会使【jiāng huì shǐ】管理工【guǎn lǐ gōng】🏹作更加安全、稳健🛑。