對於許多人來說（shuō），遷移到Linux是一件樂事。而對於另外一些人來說（shuō），這簡直是一（yī）場惡夢。尤（yóu）其（qí）是對於一些剛步入Linux管（guǎn）理大門（mén）的管（guǎn）理（lǐ）員來（lái）說（shuō），如（rú）果不避（bì）免（miǎn）一些常見的錯（cuò）誤，就容易給單位的網絡或係統帶來安全風險。本文將為幫助這些新手們避免這些（xiē）錯誤提供（gòng）一些建議。

錯誤一：不（bú）經過嚴（yán）格（gé）審核，從多種（zhǒng）渠道下載安裝各種（zhǒng）類型的應用程（chéng）序

乍（zhà）看起來，這也許是（shì）一個不錯的主意。如（rú）果你在運行Ubuntu，你會（huì）知道包管理程序使用的是（shì）。deb軟件包。不（bú）過，你（nǐ）找到的許多應用程序是（shì）以源代碼的形式提（tí）供的（de）。沒有問題嗎?這些程序安裝後（hòu）也許能（néng）夠正（zhèng）常工（gōng）作（zuò）。但是你為什麽不能（néng）隨意安裝（zhuāng）程序呢（ne）?道理很簡單（dān），如果你以源的形式（shì）安裝了（le）程序，那麽，你的軟件包管（guǎn）理（lǐ）係統將無法跟蹤（zōng）你（nǐ）所安裝（zhuāng）的東（dōng）西。因此（cǐ），在程序包A(以源的形（xíng）式安裝)依賴於程序包B(從（cóng）一個。deb庫安裝（zhuāng）的)，而軟件包（bāo）B是從更新管理器更新的時（shí）候，會發生什（shí）麽事情呢?程序（xù）包A可能（néng）運行（háng），也可能無（wú）法（fǎ）運行。不（bú）過，如果程序包A和B都從。deb庫安裝的話，二者都能運行（háng）的機（jī）會將更高。此外，在所（suǒ）有（yǒu）的程序（xù）包都（dōu）來自於同樣的（de）二進製類型時（shí），更新程序包將更為容（róng）易。

錯誤二：忽視（shì）更（gèng）新

這並不是（shì）說（shuō）Linux管理員缺（quē）乏技巧。不過（guò），許多Linux管理（lǐ）員在運行（háng）了（le）Linux之後，以為（wéi）日後就無事可做（zuò）了（le），以為（wéi）它安全可（kě）靠。其實（shí），新（xīn）的更新可以（yǐ）為一些新的漏（lòu）洞打上補丁。維持更（gèng）新可以在一個易受損的係統與一個（gè）安全的（de）係統之間構（gòu）造分（fèn）水嶺（lǐng）。Linux的（de）安全來自（zì）於（yú）不斷地（dì）維（wéi）護。為了實現安全性，為了使用（yòng）一些（xiē）新的特（tè）性和穩定（dìng）性，任何管（guǎn）理員都應（yīng）當跟（gēn）上Linux的更新步（bù）伐。

錯誤三：糟（zāo）糕的口令

記住，root 的口（kǒu）令通常是linux王國的（de）關（guān）鍵。所以為什麽要讓root的口令那麽容易被破解（jiě）呢（ne）?保障你的用戶（hù）口令的（de）健壯性至關（guān）重要。如果你（nǐ）的口（kǒu）令比（bǐ）較長，且難於記憶，可（kě）將這個口令存放在一個可被加密的位（wèi）置。在需要這個口（kǒu）令時，可（kě）用（yòng）解（jiě）密軟件解開（kāi）這個口令（lìng）使用之。

錯誤四：將服務器啟動進入（rù）到X

在一台機器（qì）是專（zhuān）用服務（wù）器（qì）時，你可能會想到安裝X，這樣一些管理任務就會簡單一（yī）些。不過，這並不（bú）意味著用戶需要將（jiāng）服務器啟（qǐ）動（dòng）進入到（dào）X.這樣（yàng）會（huì）浪費珍貴的內存和CPU資源。相反地，你應當（dāng）在級（jí）別3上停止（zhǐ）啟動過程，進入命令行模式。這樣做（zuò）不但（dàn）會將（jiāng）所有的資源留給服（fú）務器，而且還（hái）會防止泄露機器的機（jī）密。要登錄到（dào）X，用戶隻需要（yào）以命令行方式（shì）登錄，然後鍵入startx進入（rù）到桌麵。

錯誤（wù）五：隨意許可，原因是不理解許可

如果對許可配置不當，就會給黑（hēi）客留（liú）下機會。處理許可問題的最簡單方法是使（shǐ）用（yòng）所謂的（de）RWE方法，即Read(讀取)、Write(寫入（rù）)、Execute(執行)。假設你想讓一（yī）個用戶能（néng）夠讀取一個文件但不能寫（xiě）入文件。為此，你可以（yǐ）執行：

chmod u+w，u-rx 文件名

一（yī）些（xiē）新用戶可能會看到一個錯誤，說他們沒有使用文件的許（xǔ）可，因此（cǐ）他們（men）就使用（yòng）了：Chmod 777 文件名，以（yǐ）為這樣能夠避免問（wèn）題（tí）。但這樣做實（shí）際上會導致更多的問題，因為它給了文件的可執行的權限。記住這一點：777將一個文件的讀取（qǔ）、寫入、執行的許可給了所有用戶，666將一個（gè）文件的讀取、寫入權限給了所有用（yòng）戶，而555將文件的讀取、執行權限給了所有用（yòng）戶（hù），還有（yǒu）444、333、222、111等等（děng）。

錯誤六：沒有備份關鍵的配置文件

許多管理員都有這樣的體會，在升級到某個X版本（běn），如X11之後，卻發現新版本（běn）破壞了你的xorg.conf配置文件（jiàn），以至（zhì）於（yú）你再也（yě）無法使用X?建議你在升級（jí）X之前，先對（duì）以（yǐ）前的/etc/x11/xorg.conf作（zuò）一個備份，以免升級失敗（bài）。當（dāng）然，X的升級程序會設法為用（yòng）戶備份xorg.conf文件（jiàn），但（dàn）它卻在/etc/x11目錄內（nèi）備份。即使這（zhè）種備份看起來不（bú）錯，你最（zuì）好還是自己做一個（gè）備份吧。筆（bǐ）者（zhě）的一個（gè）習慣是（shì）將其備份到/root目錄中，這樣（yàng），用戶就可（kě）以知道隻有根(root)用戶能（néng）夠（gòu）訪問此文件。記住，安（ān）全第一。這裏（lǐ）的方法也適用於其它的關（guān）鍵備份，如Samba、Apache、Mysql等。

錯誤七：以根用戶身份登錄

這是一種很危險的錯誤（wù）。如果用戶需（xū）要根特權來執行或配置一個應用程（chéng）序，可（kě）以在一個標準（zhǔn）的用戶賬戶中使用su切換到root用戶。登錄到root為什麽不是一件好事兒?在（zài）用戶以標（biāo）準用（yòng）戶身份登錄時（shí），所有正在運行的X應（yīng）用程序仍擁有僅限於此用戶的訪問權。如果用戶以根用（yòng）戶身份登錄（lù），X就（jiù）擁有了（le）root的許（xǔ）可。這就會導致（zhì）兩個問題，一（yī）、如果用（yòng）戶由GUI犯了一個大錯，這個錯誤對係統來說，有可（kě）能是一（yī）個巨大的災難。二、以根用戶（hù）的身份（fèn）運行X使得係統更易於遭受攻擊（jī）。

錯誤八：沒（méi）有安裝一個可正常運行的內核

你（nǐ）可能不會在一台（tái）機器上安（ān）裝（zhuāng）10個（gè）以（yǐ）上的內（nèi）核。但你需要更新（xīn）內（nèi）核（hé），這種更新並沒（méi）有刪除（chú）以前的（de）內核（hé）。你是怎麽做（zuò）的（de）呢（ne）?你一（yī）直（zhí）保持使用最近的可正常（cháng）工作的內（nèi）核（hé）。假設你目前正常工作的內核是2.6.22，而2.6.20是備份內核。如果你更新到2.6.26，而在新內核中（zhōng）一（yī）切都工作正常，你就可（kě）以刪除2.6.20了。

錯誤（wù）九：逃（táo）避（bì）使用命令行

恐怕很少（shǎo）有人願（yuàn）意記住那麽多（duō）命（mìng）令。在大多數情況下，圖形（xíng）用戶界麵是許多人的最愛。不過，有時，命（mìng）令行使用起來更加容易、快捷、安全、可靠（kào）。逃（táo）避（bì）使用命令行（háng）是Linux管理的（de）大忌（jì）。管理員至（zhì）少應（yīng）當理解命令行（háng）是如何（hé）工作的，至少還要掌（zhǎng）握一些重要的（de）管（guǎn）理（lǐ）命令（lìng）。

錯誤十：忽視日誌文件

/var/log的（de）存在是有理由的。這（zhè）是存放所有的日誌文件（jiàn）的唯（wéi）一位置。在發生問題時，你首先需（xū）要（yào）看一（yī）下這裏（lǐ）。檢查（chá）安全問題，可看一下/var/log/secure.筆者看的第一個位置是/var/log/messages.這個日誌文件保存（cún）著所（suǒ）有的一般性（xìng）錯誤（wù）。在此文件中，你（nǐ）可（kě）以得到關於網絡、媒體變更等（děng）消息。在（zài）管理一（yī）台機器時，用戶可以使用某個（gè）第三方的應用程序，如logwatch，這樣就（jiù）可以創（chuàng）建為（wéi）用（yòng）戶創建基於/var/log文件（jiàn）的各（gè）種報告。

這十個（gè）錯（cuò）誤在一些（xiē）Linux管（guǎn）理員新手們中（zhōng）是很常見的。避免這（zhè）些錯誤將會使管理（lǐ）工作更加安全、穩健。