众所周知,Linux系统的ROOT帐号如通微软操作系统的Administrator帐号一样,对于操作系统来说,有着至关重要的作用。如何管理要ROOT帐户,对于Linux系统的安全性以及稳定性至关重要。下面笔者谈谈自己在管理ROOT帐户的一些启示,供大家参考。
启示一:ROOT用户只作为备用帐户。
无论是你自己使用Linux系统,还是企业其他员工使用;又或者只是作为服务器使用,最好都不要直接使用ROOT用户。
如你公司现在员工在使用Linux系统,那么你作为Linux系统的管理员,就不能让员工直接以ROOT帐户进行登陆。而要给他们配置其他的用户,进行日常业务的办公。这主要是因为ROOT帐户对于操作系统来说,具有最高的管理权限。而Linux系统对于员工来说,很多都是陌生的。若给他们这么高的权限的话,系统有时候一不小心改变了某个文件,那么就会导致系统的崩溃。故,在实际帐户管理中,我们需要为普通用户设置一个最小权限的帐户。
其实,在Linxu系统下,普通用户与管理员用户权限的转换没有像微软操作系统那么麻烦。我们只需要通过一些简单的命令,就可以完成权限的转换动作,如此,就可以省去我们频繁注销的麻烦。
如我们某个用户的Linux系统,其除了具有一个 ROOT帐户以外,还有一个SA001的帐户。该帐户只是普通权限,无法对操作系统进行任何的配置动作,包括安装软件或者挂载其他共享文件夹的权限。笔者公司现在在企业内部网络上,还部署了一台文件服务器。现在我们需要给这台操作系统连上文件服务器,但是,用户现在利用的是SA001帐号登陆,我们该怎么办呢?
若我们直接利用SA001普通帐户,执行mount命令进行服务器连接的话,那么系统就会提示我们,这个命令必须在管理员用户权限下才能够运行。若在Windows操作系统下,我们还可以选择“打开方式”中选择以什么身份运行这个命令。但是在Linux操作系统下,我们该如何处理呢?难道需要重新启动系统吗?其实,Linux系统下,权限的转换个人以为,比Windows系统要简单的多。
此时,我们就可以在命令行下,直接输入su,然后输入ROOT帐户的密码,此时,就可以以root身份运行程序。如此的话,我们就可以在这个命令行窗口下,直接利用mount命令,挂载共享目录了。
如现在我们有两个管理员帐户,如一台文件服务器上,装了两个网络应用,分别由两个管理员管理。我们为他们分别设置了管理员帐户,如AD001与AD002,此时,需要以AD002的管理员帐户进行登陆,此时,我们就可以以su –AD002的形式,登陆进去。此时,在这个命令窗口中运行的任何程序,将都是以AD002的身份进行运行。这个操作,是否要比Windows操作系统简便许多。
不过,在这个转换的过程中,我们需要注意两个问题。一是这个权限只是针对你所登陆的窗口,若你退出这个窗口或者在其他窗口中就没有这个管理员权限。如我们现在打开两个终端,在一个终端窗口中利用su命令以管理员身份登陆。此时,我们若在这个终端中运行mount命令的话,可以正常运行。但是,此时,我们若在另外一个终端窗口运行mount命令的话,则仍然会有“没有权限执行这个命令”的错误提示。也就是说,我们在终端窗口中,以su命令,进行管理员权限转换之后,其只对当前的这个终端起效,而对于另外的端口是没有影响的。
另外一个问题,就是若在终端窗口中,利用su命令权限转换后,其对应的环境变量,仍然是原来帐户SA001的环境变量。如我们在Linux系统中,若安装了JAVA程序,并且在root用户下配置好了相关的环境变量后。此时,我们若先以普通用户SA001登陆到系统,并在终端利用su命令,切换到管理员权限之后,我们运行java命令,就会发现系统会提示“没有为JAVA配置环境变量”。可见,我们利用su命令,虽然取得了管理员权限,但是,没有取得其对应的环境变量。
如我们在利用su命令进行权限转换之后,我们还想其对应的环境变量也带过来的话,该怎么办呢?此时,我们就需要在su命令后面添加一个参数,来实现我们的需求。如我们可以以su – (小横杆)命令进行权限的转换,此时,转换过后的环境变量就是root管理员帐户所对应的环境变量。