我們的生活越來越方便，那是因?yàn)榭萍及l(fā)展的費(fèi)城迅速?，F(xiàn)在，電腦越來越普及，我們應(yīng)用電腦，可我們知道電腦是怎樣工作的么？電腦中必不可少的就是操作系統(tǒng)。而Linux操作系統(tǒng)的發(fā)展非常迅速，有趕超微軟的趨勢(shì)。這里介紹Linux操作系統(tǒng)的知識(shí)。

1.. 為什么我們都建議不要用 root 賬號(hào)登錄？

> ROOT means system manager
> 有操作系統(tǒng)及控制系統(tǒng)運(yùn)作的一切權(quán)限

沒錯(cuò)，root 的權(quán)限太大了，如果 root 造成了問題，例如觸發(fā)了病毒、執(zhí)行了木馬程式、錯(cuò)誤刪除檔案、...等等，都可能是無法挽救而且是致命的~~
所以，除非迫不得己，不要用 root 來登錄系統(tǒng)。當(dāng)真需要的時(shí)候，請(qǐng)用 su 或 sudo 來做。

2.. 為什么不要把 . 加到 $PATH 中？

現(xiàn)在如果你把 . 加到$PATH
假如有人在tmp底下放一個(gè)叫做ls的shell script
#! /bin/sh
/bin/rm -rf /
然后root跑到/tmp底下 下個(gè)ls...
了解到會(huì)發(fā)生什么狀況了吧~

3.. 為什么用 root 執(zhí)行命令最好用絕對(duì)路徑？

這道理和前面一個(gè)其實(shí)是很類似的
假設(shè)你的$PATH是這樣
/bin:/usr/bin:....
你要執(zhí)行的命令放在/usr/bin
如果有某個(gè)有心人士設(shè)法把相同名稱的指令放進(jìn)了/bin
你執(zhí)行到的是哪個(gè)指令呢?...

上兩題前面有朋友回答過了，說得非常好，請(qǐng)參考。

補(bǔ)充一點(diǎn)：
由于可能會(huì)被 root 執(zhí)行的 shell script，通常也會(huì)重新定義 PATH 變數(shù)，以限制命令的讀入范圍，
當(dāng)然，最好還是用絕對(duì)路徑了~~(如果連命令本身都已經(jīng)成了木馬程式，或被修改過，那就另當(dāng)別論。)

4.. 為什么我們要設(shè)定 umask ？

> 控制檔案產(chǎn)生后的預(yù)設(shè)權(quán)限

‘效果’是設(shè)定預(yù)設(shè)權(quán)限，‘目的’就是確定檔案只能被授權(quán)的賬號(hào)執(zhí)行或修改或讀取。比方說，在 redhat 系統(tǒng)上，root 的 umask 是 022 ；而普通賬號(hào)則是 002 ，您會(huì)發(fā)現(xiàn) root 被 umask 拿掉的權(quán)限更多。而釵h程式在建立新檔案的時(shí)候，也會(huì)調(diào)整 umask 之后才進(jìn)行。

5.. 為什么謹(jǐn)慎使用 chown 和 chmod ？

> chown是改變?nèi)航M和持有人
> chmod是改變檔案 r w x 三權(quán)限

不小心使用，會(huì)讓有些本來不應(yīng)該獲得權(quán)限的人‘意外’的獲得了權(quán)限，當(dāng)然也會(huì)讓本來應(yīng)該獲得權(quán)限的人失去了權(quán)限。如果覺得 permission 還不足以保護(hù)，那么，再利用 attribute (chattr)來作進(jìn)一步的保護(hù)。

為什么我們要在系統(tǒng)上面設(shè)定檔案權(quán)限？請(qǐng)好好思考一下~~！我們要知道：
“設(shè)定權(quán)限不是目的，而是手段而已?！?

6.. 為什么不要謹(jǐn)慎使用 SGID 和 SUIG？

> 就等于別人利用你的模樣做壞事

準(zhǔn)確來說，主要是針對(duì) root 權(quán)限來設(shè)定的，這往往是程式設(shè)計(jì)者或管理員要花心思好好設(shè)定才對(duì)，絕對(duì)不能貪圖方便，而大開 root 的 SGID 和 SUID 。(后面我提到的 sendmail ，有些動(dòng)作就必須以 root 來執(zhí)行，所以也讓 sendmail 成了入侵者的最愛~~)

當(dāng)然，好的 SGID 和 SUID 還能限制程式只能由某些權(quán)限低的賬號(hào)來執(zhí)行。您應(yīng)該會(huì)明白為什么 apache 所 fork 出來的 children ，都是 nobody 身份了吧？

7.. 為什么我們會(huì)使用 sudo 來限制普通使用者執(zhí)行 root 的動(dòng)作？

> 如果沒有sudo的話
> 要執(zhí)行只能靠su之后，再動(dòng)作
> 那就需要知道root's passwd

不是那么簡單：
首先，root 的密碼不宜對(duì)太多人公開。其次，如果一個(gè)人成為 su 之后，可以用 root 身份做任何事情，但用 sudo 的話，您可以限制一個(gè)人用 root 身份做特定的事情。

8.. 為什么 ftp 和 telnet 會(huì)拒絕 root 連線？

> root 最大最有影響力

對(duì)，也是老生常談的問題啦。再陪搭 PAM、tcpwrapper、ipfilter 這些機(jī)制，來限制服務(wù)和程式的執(zhí)行對(duì)象，也在很大程度上避免了高權(quán)限服務(wù)程式的危險(xiǎn)性。

9.. 為什么要隨時(shí)留意安全資訊，并及時(shí)修補(bǔ)程式漏洞？

> 因?yàn)椴《镜娜招略庐?
> 和漏洞的發(fā)現(xiàn)都可能發(fā)生在每一個(gè)今天

因?yàn)槿魏纬淌接锌赡塬@得 root 的權(quán)限，例如前不久的 wu-ftp 漏洞，bind 漏洞，rpc 漏洞，等等...如果不及時(shí)修補(bǔ)，后果非常危險(xiǎn)。如果那些程式漏洞不能獲得 root 的權(quán)限，那么入侵者也不愿意花大量時(shí)間去破解，畢竟要考慮“投入/回報(bào)”比率的。

10.. 為什么 sendmail 后來加入了 restricted shell ？

> 不清楚.........沒玩sendmail server

前面談 SUID/SGID 和程式漏洞的時(shí)候，知道有些程式會(huì)獲得 root 的權(quán)限，而 sendmail 在過往之所以最被入侵者喜愛，也最為人不滿之處，就是破解 sendmail 很容易獲得 root 權(quán)限，其因之一，就是 sendmail 允陰z呼叫其它命令，或?qū)⒔Y(jié)果 pipe 到 shell 中執(zhí)行，而這樣的 shell 有可能是一個(gè) root shell ，所以非常危險(xiǎn)。

后來，sendmail 在編譯的時(shí)候，允許加入 restricted shell 只有那些被置于(或 link 至) rsh 底下的命令才能被 sendmail 執(zhí)行，
這樣在一定程度上，限制了 sendmail 的活動(dòng)范圍。

同樣的，人們?cè)诰幾g bind 的時(shí)候，也是使之以 named 的身份來執(zhí)行，同時(shí)也用 chroot 來限制 named 的活動(dòng)范圍，其目的，也是防范入侵者活動(dòng) root 權(quán)限而損害系統(tǒng)的安全性。

回到我們前面討論的，以病毒為例也一樣：如果這個(gè)病毒是 root 執(zhí)行的，那它就可以為所欲為了；但如果病毒以權(quán)限較低的身份來執(zhí)行，那它的影響也是有限的。所以，為什么 linux 下面沒有人樂意寫病毒？或是比較少聽到 linux 有病毒發(fā)作呢？因?yàn)檎嬉《景l(fā)揮威力，是有一定條件的。而不像是 windows 系統(tǒng)，任何一個(gè)人(或 script)執(zhí)行病毒，效果都一樣的。

既然這樣，您愿意花大力氣在 linux 系統(tǒng)上發(fā)展病毒、然后等那些無知的 root 來執(zhí)行嗎？難度顯然高多了！~~當(dāng)然，也不是沒有人會(huì)在 linux 上發(fā)展病毒，只是，其“投入/回報(bào)”比率的多寡，和愿意投入度的取舍而已~~

知道了這些Linux操作系統(tǒng)知識(shí)，希望你能夠?qū)W好。

【編輯推薦】

1. 詳解Linux操作系統(tǒng)中使用Windows分區(qū)
2. 完成Linux漢化輕松應(yīng)用Linux
3. Linux技術(shù)受風(fēng)河與NEC垂青
4. 多樣性的Linux桌面
5. Red Hat宣布企業(yè)Linux 6將不再支持安騰