我們的生活越來越方便，那是因為科技發展的費城迅速。現在，電腦越來越普及，我們應用電腦，可我們知道電腦是怎樣工作的么？電腦中必不可少的就是操作系統。而Linux操作系統的發展非常迅速，有趕超微軟的趨勢。這里介紹Linux操作系統的知識。

1.. 為什么我們都建議不要用 root 賬號登錄？

> ROOT means system manager
> 有操作系統及控制系統運作的一切權限

沒錯，root 的權限太大了，如果 root 造成了問題，例如觸發了病毒、執行了木馬程式、錯誤刪除檔案、...等等，都可能是無法挽救而且是致命的~~
所以，除非迫不得己，不要用 root 來登錄系統。當真需要的時候，請用 su 或 sudo 來做。

2.. 為什么不要把 . 加到 $PATH 中？

現在如果你把 . 加到$PATH
假如有人在tmp底下放一個叫做ls的shell script
#! /bin/sh
/bin/rm -rf /
然后root跑到/tmp底下 下個ls...
了解到會發生什么狀況了吧~

3.. 為什么用 root 執行命令最好用絕對路徑？

這道理和前面一個其實是很類似的
假設你的$PATH是這樣
/bin:/usr/bin:....
你要執行的命令放在/usr/bin
如果有某個有心人士設法把相同名稱的指令放進了/bin
你執行到的是哪個指令呢?...

上兩題前面有朋友回答過了，說得非常好，請參考。

補充一點：
由于可能會被 root 執行的 shell script，通常也會重新定義 PATH 變數，以限制命令的讀入范圍，
當然，最好還是用絕對路徑了~~(如果連命令本身都已經成了木馬程式，或被修改過，那就另當別論。)

4.. 為什么我們要設定 umask ？

> 控制檔案產生后的預設權限

‘效果’是設定預設權限，‘目的’就是確定檔案只能被授權的賬號執行或修改或讀取。比方說，在 redhat 系統上，root 的 umask 是 022 ；而普通賬號則是 002 ，您會發現 root 被 umask 拿掉的權限更多。而釵h程式在建立新檔案的時候，也會調整 umask 之后才進行。

5.. 為什么謹慎使用 chown 和 chmod ？

> chown是改變群組和持有人
> chmod是改變檔案 r w x 三權限

不小心使用，會讓有些本來不應該獲得權限的人‘意外’的獲得了權限，當然也會讓本來應該獲得權限的人失去了權限。如果覺得 permission 還不足以保護，那么，再利用 attribute (chattr)來作進一步的保護。

為什么我們要在系統上面設定檔案權限？請好好思考一下~~！我們要知道：
“設定權限不是目的，而是手段而已?！?

6.. 為什么不要謹慎使用 SGID 和 SUIG？

> 就等于別人利用你的模樣做壞事

準確來說，主要是針對 root 權限來設定的，這往往是程式設計者或管理員要花心思好好設定才對，絕對不能貪圖方便，而大開 root 的 SGID 和 SUID 。(后面我提到的 sendmail ，有些動作就必須以 root 來執行，所以也讓 sendmail 成了入侵者的最愛~~)

當然，好的 SGID 和 SUID 還能限制程式只能由某些權限低的賬號來執行。您應該會明白為什么 apache 所 fork 出來的 children ，都是 nobody 身份了吧？

7.. 為什么我們會使用 sudo 來限制普通使用者執行 root 的動作？

> 如果沒有sudo的話
> 要執行只能靠su之后，再動作
> 那就需要知道root's passwd

不是那么簡單：
首先，root 的密碼不宜對太多人公開。其次，如果一個人成為 su 之后，可以用 root 身份做任何事情，但用 sudo 的話，您可以限制一個人用 root 身份做特定的事情。

8.. 為什么 ftp 和 telnet 會拒絕 root 連線？

> root 最大最有影響力

對，也是老生常談的問題啦。再陪搭 PAM、tcpwrapper、ipfilter 這些機制，來限制服務和程式的執行對象，也在很大程度上避免了高權限服務程式的危險性。

9.. 為什么要隨時留意安全資訊，并及時修補程式漏洞？

> 因為病毒的日新月異
> 和漏洞的發現都可能發生在每一個今天

因為任何程式有可能獲得 root 的權限，例如前不久的 wu-ftp 漏洞，bind 漏洞，rpc 漏洞，等等...如果不及時修補，后果非常危險。如果那些程式漏洞不能獲得 root 的權限，那么入侵者也不愿意花大量時間去破解，畢竟要考慮“投入/回報”比率的。

10.. 為什么 sendmail 后來加入了 restricted shell ？

> 不清楚.........沒玩sendmail server

前面談 SUID/SGID 和程式漏洞的時候，知道有些程式會獲得 root 的權限，而 sendmail 在過往之所以最被入侵者喜愛，也最為人不滿之處，就是破解 sendmail 很容易獲得 root 權限，其因之一，就是 sendmail 允陰z呼叫其它命令，或將結果 pipe 到 shell 中執行，而這樣的 shell 有可能是一個 root shell ，所以非常危險。

后來，sendmail 在編譯的時候，允許加入 restricted shell 只有那些被置于(或 link 至) rsh 底下的命令才能被 sendmail 執行，
這樣在一定程度上，限制了 sendmail 的活動范圍。

同樣的，人們在編譯 bind 的時候，也是使之以 named 的身份來執行，同時也用 chroot 來限制 named 的活動范圍，其目的，也是防范入侵者活動 root 權限而損害系統的安全性。

回到我們前面討論的，以病毒為例也一樣：如果這個病毒是 root 執行的，那它就可以為所欲為了；但如果病毒以權限較低的身份來執行，那它的影響也是有限的。所以，為什么 linux 下面沒有人樂意寫病毒？或是比較少聽到 linux 有病毒發作呢？因為真要病毒發揮威力，是有一定條件的。而不像是 windows 系統，任何一個人(或 script)執行病毒，效果都一樣的。

既然這樣，您愿意花大力氣在 linux 系統上發展病毒、然后等那些無知的 root 來執行嗎？難度顯然高多了！~~當然，也不是沒有人會在 linux 上發展病毒，只是，其“投入/回報”比率的多寡，和愿意投入度的取舍而已~~

知道了這些Linux操作系統知識，希望你能夠學好。

【編輯推薦】

1. 詳解Linux操作系統中使用Windows分區
2. 完成Linux漢化輕松應用Linux
3. Linux技術受風河與NEC垂青
4. 多樣性的Linux桌面
5. Red Hat宣布企業Linux 6將不再支持安騰