對於許多人來說（shuō），遷移到Linux是一件（jiàn）樂事。而對於另外一些人來說，這簡直是一場惡夢。尤其是（shì）對於（yú）一些（xiē）剛步（bù）入Linux管理大門的管理員來說，如果不避免一些常見的錯誤，就容易給單位的網絡或係統帶來安全（quán）風險。本文（wén）將（jiāng）為幫（bāng）助這些（xiē）新手們避免這些錯誤提供（gòng）一些建議。

錯誤一：不經過嚴格審核，從多種渠道下載安裝各（gè）種類型的應用程序

乍看起來，這也許是一個不錯的主意。如果你在運行Ubuntu，你會知道包管理程序使用的是。deb軟件（jiàn）包。不過，你找到的許多應用程序是以源代（dài）碼的形（xíng）式提供的。沒（méi）有問題（tí）嗎?這（zhè）些程序安（ān）裝後也許能夠正常工作。但是你為什麽不能隨意安裝（zhuāng）程序呢?道理很簡單，如果你以源的形式安裝了程序，那麽（me），你的軟件包（bāo）管理係統將無法跟蹤你所（suǒ）安（ān）裝的東西（xī）。因此，在程序包A(以源（yuán）的形（xíng）式安裝)依賴於程序包B(從一個。deb庫安裝的)，而軟件包B是從（cóng）更新（xīn）管理器更新的時候，會發生什麽事情呢?程序包A可能運行（háng），也可能無法運行。不過，如果程序包A和B都從。deb庫安裝的話，二者都能運行的機會將更高。此外，在所有的程序包都來自於同樣的二進製類型時（shí），更新程序（xù）包將更為容易。

錯誤二：忽視更新

這並不是說Linux管理員缺乏技巧。不過，許（xǔ）多Linux管理員在運行（háng）了（le）Linux之後，以為日後（hòu）就無事可做了，以為它（tā）安全可靠。其實，新的（de）更新（xīn）可以為一些（xiē）新的漏洞打上（shàng）補丁。維持更（gèng）新可以在一（yī）個易（yì）受損的係統與一（yī）個安全的係統之間構造分水嶺。Linux的（de）安全來自於不斷地維護。為了實現安全性，為了使用一些新的特性和穩定性，任何管理員都應當（dāng）跟（gēn）上（shàng）Linux的（de）更新步伐。

錯誤三：糟糕的口令

記住，root 的口令（lìng）通常是linux王國的關鍵。所（suǒ）以為什麽要讓root的口令那麽容易被破（pò）解呢?保障你的用戶口令（lìng）的健壯（zhuàng）性至關重要。如果你的口令（lìng）比較長，且（qiě）難於記憶，可將這（zhè）個口（kǒu）令存放在一個可被加密的位置。在需要這（zhè）個口令時，可用解密軟件解開這個口令使用之。

錯誤四：將服務器啟動進入到X

在一台機器是專用服務器時，你（nǐ）可（kě）能會想到安裝X，這樣一些管理任務就會簡單一些。不過，這（zhè）並不意味著用戶需要將服務器啟動進入到X.這樣會浪費珍貴的內存和CPU資源。相反（fǎn）地，你應當在級別3上停止啟動過程，進入命令行模式。這樣做不但會將（jiāng）所有的資源留（liú）給服務器，而且還會防止泄露機器的機（jī）密。要登錄到X，用戶（hù）隻需要以命令行方式登錄，然後鍵入startx進（jìn）入到桌麵。

錯誤五：隨意許可，原因是不（bú）理解許（xǔ）可

如（rú）果對許可配置（zhì）不當，就會給（gěi）黑（hēi）客留下機會。處理許可問題的最簡單（dān）方法是使用所謂的RWE方法，即Read(讀取)、Write(寫入)、Execute(執行)。假設你想讓（ràng）一個用戶能夠讀取一個文件但不能寫（xiě）入文件。為此，你可（kě）以執行：

chmod u+w，u-rx 文件名

一（yī）些新用戶可能會看（kàn）到一個錯誤，說他們沒有使用文（wén）件的許可，因此他們就（jiù）使用了：Chmod 777 文件名，以（yǐ）為這樣能夠避免問題。但這樣做實際上會導致更多的問題（tí），因為它（tā）給了文件的可執行的權限。記（jì）住這（zhè）一點：777將（jiāng）一個文件的讀取、寫入、執行的許可給了所有用戶，666將一個文件的（de）讀取、寫入權限給了所有用戶，而555將文件的讀取、執行權限給了所有（yǒu）用戶，還有444、333、222、111等等（děng）。

錯誤六：沒（méi）有備份關鍵的配置文件

許多管理員都有這樣的體會，在升（shēng）級到某個X版本，如X11之後，卻發現新版本破壞（huài）了你（nǐ）的xorg.conf配置（zhì）文件，以至於你再（zài）也無法（fǎ）使用X?建議你在升級X之前，先對以前的/etc/x11/xorg.conf作一個備份，以免升級失敗。當然，X的升級程（chéng）序會設法為用戶備份xorg.conf文件，但它卻（què）在（zài）/etc/x11目錄內備份。即使這種備（bèi）份看起來不錯，你最好還是自己做一個備份（fèn）吧。筆者的一個習（xí）慣是將其備份（fèn）到/root目錄中，這樣，用戶就（jiù）可以知道隻（zhī）有根(root)用戶能夠訪問此文件。記住，安全第一。這裏的方法也適用（yòng）於其它的（de）關鍵備份，如Samba、Apache、Mysql等。

錯誤七：以根用戶身份登錄

這是一種（zhǒng）很危險（xiǎn）的錯誤。如果用戶需要根特權來執行或配置（zhì）一個應用程序，可以在一個標（biāo）準的用戶賬戶中使用su切換到root用戶。登錄到root為什麽不是（shì）一（yī）件好事兒?在用戶以標準用戶身份登錄時，所有正在運（yùn）行的X應用程序仍擁有（yǒu）僅限（xiàn）於此用（yòng）戶的訪問權（quán）。如果用（yòng）戶以根用戶身份登（dēng）錄（lù），X就擁有了root的許可。這就會導致兩個（gè）問題，一、如果用戶由GUI犯了一個大錯，這個錯誤對係統來說，有可能是一個巨大的災難。二、以（yǐ）根用戶的身份運行X使得係統更易於遭受攻擊。

錯誤八：沒有安裝一個可正常運行的內核

你可能不會在一台機器上安裝10個（gè）以上的內核。但你需要更新內核，這種更（gèng）新並沒有刪除以前的（de）內核。你是（shì）怎麽（me）做的呢?你（nǐ）一直保持使用最近的（de）可正常工作的內核。假設（shè）你目前正常工作的內核是2.6.22，而2.6.20是備份內核。如果你（nǐ）更新到2.6.26，而在新內核中一切都工作正常，你就可以刪（shān）除2.6.20了。

錯誤（wù）九：逃避使用命令行

恐怕很少（shǎo）有人願意記住那麽多命令。在大多數情況下，圖形用戶界麵是許多人的最愛。不過，有時，命令行使用起來更加容易、快捷、安全、可靠。逃避使用命令行是Linux管理的大忌。管理員至少（shǎo）應當理解命令行是如何工作的，至少（shǎo）還要掌握一些重要的管理命令。

錯誤十：忽視日誌文件

/var/log的存在是（shì）有理由的。這是存放（fàng）所有的日誌文件的唯一位置。在發生問題時，你首先需要（yào）看一下這裏。檢查安全問題（tí），可看一下/var/log/secure.筆者看的第一個位置是/var/log/messages.這個日誌文（wén）件保存（cún）著所有的一般性錯誤。在（zài）此文件中，你可以得到關於網絡、媒體變更等消息。在管理一台機器時，用戶可以使用某個第三（sān）方的應用程序，如logwatch，這（zhè）樣就可以創建為用戶創建基於/var/log文件的各種（zhǒng）報告。

這（zhè）十個（gè）錯誤在一些Linux管理員新手們中是很常見的（de）。避免這些錯誤（wù）將會使管理工作更加安全、穩健。