意外的管理员 Linux管理的整合安全

《意外的管理员:按步教你配置Linux服务器》最初并没有作为一本书来编写。作者Don R. Crawley写了一份讲义,作为他任教的Linux研讨会的补充学习材料。最终,这份讲义发展成为一本厚厚的工作簿,并最终以现在看到的形式出版。

这本书略去了那些普通管理员很少用到的空洞的细节,目标是成为一本简单、必要的Linux管理基础知识的学习手册。章节主题包括对Linux平台及其系统管理的介绍,然后是深入地讲解必要的Linux管理任务,包括网络、安全、集成以及学习使用一些重要的命令,如cron和grep.

你可以试读一下第四章:文件和目录管理。在书中,Crawley还和我们探讨了一些更为重要的Linux配置和管理主题。在本文中,Crawley将就这本书的内容解答网站编辑提出的问题。

你的书叫做《意外的管理员》。由于这本书本身就是一个意外的产物,你能解释一下它是如何变成一本书的吗?

当我第一次想要把研讨会的工作簿变成一本常规书籍时,我认为这会是一个相当简单的过程。我快速地学习了思科的那本ASA(《意外的管理员》系列的第一本书),发现它其实并不那么简单。在教室里,学生的练习作业包含了与其他同学的互动。在进行实际操作训练时,我在私人网络内搭建了一台专用服务器,为学生们的电脑提供网络服务,包括DNS、DHCP、文件和Web服务。常规书籍的读者则有可能是一个人独自阅读,而且也没有专用服务器。因此,这些练习题就必须考虑这点而重写。此外,一本书的格式也与工作簿完全不同。当然,你还必须要有一个吸引人的封面。人们总是根据封面来判断书籍!

书中有两章在讨论Linux的集成。为什么对Linux管理员来说这是一个重要的主题?

Sun Microsystems的前首席执行官Scoot McNeally曾说:“网络就是计算机。”今天,我们每个人都以不同程度互相联系着。作为IT专业人士,我们经常会处理各种各样的系统,包括Linux、Microsoft、Unix、Apple、手机系统以及大型机系统。我们的用户并不关心用哪种系统,他们深深关心的是能够方便访问他们的数据。这本书处理用NFS的‘nix和有Samba的'nix/Windows系统间的整合。当然,肯定还有其它方法可以整合不同的系统以及在它们之间进行数据交换。最主要的是确保用户能够轻松地访问工作所需的必要数据,不论是何种平台。

对于这本书,你专注的是使用最广泛的命令行解释工具Bash.在该接口中,你多年来发现的最有用的功能或者命令有哪些?

除了一般脚本,有经验的'nix管理员常用的更有效的命令包括:对命令使用别名,使用“grep”命令搜索文本字符串 ,使用“less”显示文本文件的内容(每次显示一页,并能上下翻页),使用“find”定位文件,以及“awk”命令,是一个功能强大的过滤工具(可以用“awk”查找未设置密码的账户)。

你能举出一些第二章“Linux管理”中所介绍的出众的Linux管理工具和技术吗?

这是个很难回答的问题,因为第二章实际上只是介绍Linux管理的基本知识。因此,该章提到的大部分工具和技术并不是那么出众,但却非常基本和重要的。我想,当使用基于红帽的系统时,如CentOS、RHEL或者Fedora的时候,使用“service”和“system”栏下的工具比手动配置、启动、监测和停止守护进程要容易得多。知道用户和系统配置文件的保存位置也非常有帮助。

“whereis”是一个寻找可执行文件和配置文件的实用工具。懂得如何使用文本编辑器对有效管理'nix系统非常重要。我选择在书中介绍“vim”,因为它使用广泛。“grep”也是基本的'nix工具之一,使用它能让你工作起来更有效率。知道如何正确地关闭系统能够防止数据损坏,所以对此我也写了一节。虽然Google是寻找答案的强力工具,但是man和info页面仍然是关于配置和管理信息的最可靠来源,于是我加入了一个相当长的学生习题来练习如何使用它们。归档、压缩、提取和解压是很常见的操作,所以我介绍了一系列能够完成这些操作任务的工具。第二章介绍的工具都不是出众的,但它们都非常重要,值得学习,对Linux新手来说尤其如此。

Ext4文件系统已经出现两年多了,在企业界的使用率正在稳步上升。你提到在某些发行版本中ext3仍然是默认的文件系统,你的意思是否是ext4的使用会越来越广泛,只不过还需要时间来改变人们的使用惯性?与前任相比,ext4在文件管理方面有哪些优势和不足?

从管理的角度来讲,ext4有几大优点,包括支持更大的硬盘分区和更多的子目录。Ext4最大可支持16TB,而且比其前任的操作速度更快。Ext4也使用日志校验来验证磁盘区域,根据某些测试,这种方法能够给文件系统的操作带来相当大的改善。

在缺点方面,我已经知道了一个问题,在系统崩溃或者突然断电的情况下,ext4文件系统可能会出现数据丢失,2.6.30以前的内核版本尤其如此。尽管说世上没有完美的文件系统,但这个问题在ext3文件系统中却没有ext4中这么显着。然而,RHEL 6仍然默认使用ext4.这说明Red Hat公司并不认为ext4存在严重问题,相反他们看到了ext4在性能方面带来的显着提升。我喜欢Paul Ferrill在关于ext4的文章中说的一句话:“如果你需要支持超大文件(>2TB)、超大文件系统(>16TB)或者海量的子目录(ext3的子目录数限制为32000个),那么你肯定会想将ext3升级为ext4.对于全新的系统安装,使用ext4是有意义的。至于某些现有的产品系统,短期内不会出现超出原文件系统各种限制的危险,因而可能会继续使用原有的文件系统。”他说得对。不破,就不会立。

对于设置文件和目录的权限,Linux管理员需要了解什么?关于这点本书提供了哪些信息?

书中涵盖了设置文件和目录权限的基本知识,包括如何以字母和数字的方式为文件和目录设置可读、可写以及可执行的权限。你问我对于设置文件和目录的权限Linux管理员需要了解什么:我认为对任何管理员,无论是Linux的还是别的系统的,最重要的是理解最低权限的概念。对一个系统、目录甚至是文件,你只给用户设置所要求的最低级别的权限,并且永远不要超过这个权限。

Linux系统的文件和目录权限的问题在于,这种权限设置方式沿用于20世纪70年代,因此,对于现在各种高级的或者复杂的需求来说显得不适用。例如,你只能为一个用户、一组用户以及其他所有用户设置权限。在本书以后的版本中,我将介绍访问控制(access-control)列表,它允许你设置比传统的‘nix文件和目录权限详细得多的权限。然而,我曾认为,访问控制列表(ACL)超出了本书的范围。

你详细介绍了能够简化Linux管理员的日常管理工作的Webmin,这些日常管理工作包括解决账户锁定以及其他繁琐的工作。那么,以你的经验,在简化Linux管理工作方面Webmin的最大用处体现在哪儿?

对Webmin的使用可以从两个方面来讲:一是非技术管理员使用Webmin,二是技术类的管理员使用Webmin.你提到了解除账户锁定和重置密码,在我看来,这类任务应该由诸如人力资源部门的员工这样的非技术类的管理员来处理。对非技术类的管理员来说,Webmin是天赐的利器,避免了让他们与神秘而又令人生畏的命令行打交道。Webmin可以配置为根据登陆的账号显示特定的模块,它有强大的搜索能力,并且简单易用,只需要拖动和点击鼠标,这一切都使得它非常适合非技术出身的管理员。

对技术出身的管理员来说,Webmin带来的好处又不同。就像所有的GUI一样,我发现Webmin最大的用处体现在我需要完成平常很少用到的操作的时候。如果我需要进行新的操作,我通常会在测试系统上用GUI来完成它。操作完成后GUI会产生一个可用的配置。然后我可以解读这些配置文件,以便更好地理解配置过程。从这点你可以看出,我最常使用的还是是命令行(CLI)。GUI现在越来越可靠和灵活,到底是使用GUI还是CLI纯粹是一个个人喜好问题。如果你有使用Windows或者Mac的背景,你可能会觉得使用GUI比敲命令更加容易,对简单的配置任务来说尤其如此。我相信最适合的工具就是最好的工具。基于同样的道理,我也认为花时间和精力去学习我最重要的系统的复杂操作是值得的。这就意味着我需要命令行的帮助。

在第16章,你提到“系统安全首先在于物理上的安全”.你是否有发现,许多Linux管理员过分注重加固网络以至于忽视了Linux系统的物理安全威胁?你认为保护Linux的物理环境的最好方法是什么?

我不会说Linux(或者其他系统)管理员忽视了系统的物理威胁。我只是认为,我们都是人,人都有弱点(不能面面俱到),但我们可以随时使用“闹钟”提醒自己。(你可以问问我妻子,有多少次面对显而易见的事情我都需要提醒!)所有的系统安全都始于物理安全。最近我听到一个新闻故事,在加纳,垃圾场出售那些废弃的硬盘,(购买者)只为获取其中的数据。这提醒我一定要在即将报废的硬盘上运行DBAN--通常我都会记得这样做,但最好还是能有个提醒。只要物理上能够接触系统磁盘,任何人都能以“运行级别1”启动Linux并自动获得root权限。Windows系统可以用一个Linux启动CD来启动,管理员账户的密码也会被修改。思科的路由器和防火墙能够被电源循环(power-cycled),配置寄存器被修改从而允许非授权登陆。当然,即便是被物理接触,我们仍然有无数种方法可以保护系统,但同样也有无数种方法能够破解我们的保护措施。最好的办法是将系统放置在安全的数据中心以限制物理接触、锁定设备机架或者至少要把服务器锁在壁橱里。哦,如果你把门敞开不上锁,那么把服务器放在壁橱里也是没用的,这点我经常看到。

相关推荐