490 likes | 615 Views
Linux 基礎學習. Chapter 14 Account Manager VBird 2005/09/08. 內容. 關於使用者帳號 關於使用者的群組 使用者帳號管理 使用者群組管理 使用者身份切換 PAM 與特殊 Shell 使用者溝通之方式 手動增加使用者 簡單的使用者安全說明. 關於使用者帳號. UID/GID 系統僅認識 User ID 與 Group ID 而已; 帳號名與群組名是幫助人類記憶的; UID 與帳號的對應記錄於: /etc/passwd GID 與群組的對應記錄於: /etc/group
E N D
Linux 基礎學習 Chapter 14 Account Manager VBird 2005/09/08 Linux基礎--Account Manager
內容 • 關於使用者帳號 • 關於使用者的群組 • 使用者帳號管理 • 使用者群組管理 • 使用者身份切換 • PAM 與特殊 Shell • 使用者溝通之方式 • 手動增加使用者 • 簡單的使用者安全說明 Linux基礎--Account Manager
關於使用者帳號 • UID/GID • 系統僅認識 User ID 與 Group ID 而已; • 帳號名與群組名是幫助人類記憶的; • UID 與帳號的對應記錄於:/etc/passwd • GID 與群組的對應記錄於:/etc/group • 如何取得登入的權限資料: • 使用者輸入帳號,系統與 /etc/passwd 比對; • 使用者輸入密碼,系統與 /etc/shadow 比對; • 藉由 /etc/passwd 記錄的資訊、讀取 /etc/group 與 /etc/profile 等相關設定資料後,取得 shell 與屬性。 Linux基礎--Account Manager
關於使用者帳號(續) • 使用者帳號記錄檔: /etc/passwd • root:x:0:0:root:/root:/bin/bash • 帳號名稱; • 密碼(已經被移動到 /etc/shadow 當中) • UID 號碼(詳情請看下頁) • GID 號碼,此為 initial group ,名稱需與 /etc/group 對應 • 解釋欄、可設定成類似 BBS 的資訊欄位 • 家目錄所在 • 使用者使用的 Shell 程式 Linux基礎--Account Manager
關於使用者帳號(續) • UID 的分類: • 系統管理員: • 0:可以有多個帳號的 UID 為 0 喔; • 一般身份使用者 • System Users:系統保留,用於安裝、啟動服務等權限 • 1-99:系統保留帳號; • 100-499:保留給一些服務(network)使用; • Regular Users:一般可登入系統的使用者帳號: • 500-65535:其他可登入系統的使用者 Linux基礎--Account Manager
關於使用者帳號(續) • 使用者密碼記錄檔: /etc/shadow • root:$1$i9Ejldjfjio389u9:12959:0:99999:7::: • 帳號名稱; • 密碼(經過加密的,有多種編碼方式!開頭為『 ! 或 * 』表示為不可登入的帳號) • 密碼最近一次更動的日期 (1970/1/1 開始計數) • 密碼不可被更動的日數(與第三欄位搭配) • 密碼必須要更動的日數(與第三欄位搭配) • 密碼必須要更動前的警告日數(與第 3,5 欄搭配) • 密碼過期的寬恕日數 • 帳號失效的日期(1970/1/1 開始計數) • 未使用,保留! Linux基礎--Account Manager
關於使用者帳號(續) • 一個例子的說明: • dmtsai:$1$8zdAKdfC$XDa8eSus2I7nQL7UjRsIy/:13025:5:60:7:2:13125: • 使用者為 dmtsai; • 使用 MD5 編碼格式,為可登入帳號 (密碼欄位是固定的) • 最近密碼更動日期: 13025 為 2005/08/30 • 建立後的五天內不能更動密碼 (使用 passwd 顯示錯誤) • 建立後的 60 天內『必須』變更密碼; • 密碼到期前(60天)的七天,登使用者登入時,會有提示字元告知使用者必須要變更密碼了; • 在 5-60 天之內若變更密碼,則 13025 會跟著改變; • 密碼失效日期為 13125,大約在 2005/12/8 左右。 Linux基礎--Account Manager
關於使用者帳號(續) • root 密碼忘記怎麼辦? • 想盡各種方法,只要能夠讀取 /etc/shadow 就對了! • 可利用 Live CD; • 可利用 run level 1 (開機時,在 kernel 處加入 -single ) • 將 /etc/shadow 的密碼欄整個清空; • 重新開機進入 Linux,此時 root 不需要密碼即可登入。 • 立即以 passwd 變更密碼! Linux基礎--Account Manager
關於使用者的群組 • 群組設定檔: /etc/group, /etc/gshadow • 群組名稱與 GID 對應在 /etc/group 內; • /etc/gshadow 僅有在具有群組管理員(類似版主)時,才會有比較顯著的意義存在。 • /etc/group 的內容: • root:x:0:root • 群組名稱 • 群組密碼(已移動到 /etc/gshadow 內) • GID • 支援的帳號 Linux基礎--Account Manager
關於使用者的群組(續) • 有效群組(effective group)與初始群組(initial group) • 每個使用者都可以具有多個群組的支援; • 初始群組: • 使用者登入時預設取得的群組權限; • 記錄檔 /etc/passwd 內的第四個欄位 • 有效群組: • 在當時環境下,實際作用的群組權限。 • 能否進行某些檔案的讀取與有效群組有關! • 可使用 groups 來觀察目前的群組與有效群組 • 有效群組的切換: newgrp [new group name] • 該 user 必須在 group_name 的支援內 (/etc/group 第四欄位) • 該 group_name 必須要有密碼 (/etc/gshadow) Linux基礎--Account Manager
關於使用者的群組(續) • 群組密碼設定檔: /etc/gshadow • root:::root • 群組名稱 • 密碼欄,同樣的,若 ! 表示無法提供切換的群組 • 該群組的管理員(類似版主) • 該群組擁有的支援帳號 Linux基礎--Account Manager
使用者帳號管理 • 使用 useradd [options] username 新增帳號 • -u:後面接的是 UID ,是一組數字。直接指定 UID • -g:後面接的是群組名稱,即 initial group • -G:後面接的是群組名稱,寫入 /etc/group 的第四欄 • -M:強制!不要建立使用者家目錄 • -m:強制!要建立使用者家目錄! • -c:這個就是 /etc/passwd 的第五欄的說明內容 • -d:指定某個目錄成為家目錄,而不要使用預設值; • -r:建立一個系統帳號, UID 會有限制 (/etc/login.defs) • -s:後面接一個 shell ,預設是 /bin/bash Linux基礎--Account Manager
使用者帳號管理(續) • 使用 useradd [options] username 新增帳號 • 範例: • 使用預設值建立 vbird1 帳號; • useradd vbird1 • 觀察 vbird1 的相關屬性(UID/GID/有否家目錄/shadow 的密碼欄) • UID > 500 以上, GID 可能與 UID 相同,或指向 users , • 不一定具有家目錄;但家目錄預設在 /home/vbird1 • /etc/shadow 密碼欄預設為『不可登入』的狀態。 • 可能會建立 /etc/group 內的同名群組。 • 需再以 passwd vbird1 給予帳號一個有效的密碼。 Linux基礎--Account Manager
使用者帳號管理(續) • useradd • 使用 useradd 會修改: • /etc/passwd, /etc/shadow, /etc/group, /etc/gshadow • 若不指定任何參數,則以預設值進行帳號設定 • /etc/default/useradd (與帳號之參數較有關) • /etc/login.defs (與密碼與 UID/GID 較有關) • Group Schemes • Public: • 系統以一個通用群組(一般為 users)作為使用者的預設群組 • Private: • 使用者擁有自己的群組。 Linux基礎--Account Manager
使用者帳號管理(續) • useradd 的設定檔 • /etc/default/useradd • GROUP=100 <==預設的群組 • HOME=/home <==預設的家目錄所在目錄 • INACTIVE=-1 <==在 /etc/shadow 內的第 7 欄 • EXPIRE= <==在 /etc/shadow 內的第 8 欄 • SHELL=/bin/bash <==預設的 shell • SKEL=/etc/skel <==使用者家目錄的內容資料參考目錄 • /etc/skel/ • 此目錄下的所有檔案都會被複製到使用者的預設家目錄當中,並且會修改權限成為使用者所有。 • 可以加入、修改檔案 (ex>.bashrc),以方便未來新增使用者的預設參數! Linux基礎--Account Manager
使用者帳號管理(續) • useradd 的設定檔(續) • /etc/login.defs • MAIL_DIR /var/spool/mail • PASS_MAX_DAYS 99999 <==/etc/shadow 內的第 5 欄 • PASS_MIN_DAYS 0 <==/etc/shadow 內的第 4 欄 • PASS_MIN_LEN 5 <==密碼最短的字元長度 • PASS_WARN_AGE 7 <==/etc/shadow 內的第 6 欄 • UID_MIN 500<==使用者最小的 UID • UID_MAX 60000 <==使用者能夠用的最大 UID • GID_MIN 500<==使用者自訂群組的最小 GID • GID_MAX 60000 <==使用者自訂群組的最大 GID • CREATE_HOME yes <==在不加 -M 及 -m 時,是否主動建立 • 關於 UID 的取用 (Regular users) • 若 /etc/passwd 內有大於 UID_MIN,取 /etc/passwd 內最大的那個 +1 • 若 /etc/passwd內沒有大於 UID_MIN,則取 UID_MIN。 Linux基礎--Account Manager
使用者帳號管理(續) • passwd 給予使用者密碼: • 由 root 直接給予: • passwd username • 使用者自行登入後修改: • passwd • 一般身份使用者設定密碼的一般規範: • 密碼不能與帳號相同; • 密碼盡量不要選用字典裡面會出現的字串; • 密碼需要超過 8 個字元;(與 /etc/login.defs 有關) Linux基礎--Account Manager
使用者帳號管理(續) • 練習: • 新增一個使用者,帳號為 vbird2,且該帳號需求: • UID 為 2000 • Group 為 users • 此使用者還可加入 root, daemon 群組內; • 使用者需要建立家目錄; • 使用者的密碼為 vbird2 • useradd -m -u 2000 -g users -G root,daemon vbird2 • passwd vbird2 • 建立一個系統帳號,名稱為 vbird3 • useradd -r vbird3 Linux基礎--Account Manager
使用者帳號管理(續) • 更改使用者的相關參數: • 使用者的相關參數都在 /etc/passwd, /etc/group 內; • 雖可使用 vi 直接修改,但不建議! • 系統運作一段時日後,原有的帳號屬性,如 UID/GID 盡可能不要更動,容易造成使用者權限的錯誤! • 可使用的修改指令: • usermod Linux基礎--Account Manager
使用者帳號管理(續) • 更改使用者的相關參數: • usermod [-cdegGlsuLU] username • -c:後面接帳號的說明,即 /etc/passwd 第五欄的說明欄 • -d:後面接帳號的家目錄,即修改 /etc/passwd 的第六欄; • -e:後面接日期,格式是 YYYY-MM-DD 在 /etc/shadow 內的第八個欄位 • -g:後面接 group name,修改 /etc/passwd 的第四個欄位, • -G:後面接 group name,修改的是 /etc/group 囉~ • -l:後面接帳號名稱。/etc/passwd 的第一欄! • -s:後面接 Shell 的實際檔案,例如 /bin/bash 或 /bin/csh 等等 • -u:後面接 UID 數字啦!即 /etc/passwd 第三欄的資料; • -L:暫時將使用者的密碼凍結,讓他無法登入。其實僅改 /etc/shadow 的密碼欄。 • -U 將 /etc/shadow 密碼欄的 ! 拿掉,解凍啦! Linux基礎--Account Manager
使用者帳號管理(續) • 更改使用者的相關參數:(練習) • 修改 vbird2 的說明為『 In class account 』 • usermod -c ‘In class account’ vbird2 • 設定帳號失效日期為『2008/1/1』 • usermod -e ‘2008-01-01’ vbird2 • 凍結該使用者,讓他無法登入,但不改變他的原有資料。 • usermod -L vbird2 • 解凍 • usermod -U vbird2 Linux基礎--Account Manager
使用者帳號管理(續) • 密碼設定相關 passwd • 可讓使用者修改密碼, root 可設定使用者密碼 • 封鎖/解開 使用者登入權限 • passwd -l account • passwd -u account • 僅在 /etc/shadow 的 user 密碼欄更動! Linux基礎--Account Manager
使用者帳號管理(續) • 以 userdel 刪除使用者 • userdel account • 僅刪除使用者資訊 • userdel -r account • 連帶刪除家目錄 • (SuSE 尚可刪除使用者的工作排程) • 其他使用者檔案的刪除 • find / -uid user_id -exec rm {} \; • 建議的程序: • 先以 find 找出該使用者的檔案,並刪除; • 使用 userdel -r username 整個刪除即可。 Linux基礎--Account Manager
使用者帳號管理(續) • 使用者自己可使用修改屬性的指令 • chsh:修改 shell,與 /etc/shells 有關; • chfn :修改 /etc/passwd 的第五欄說明內容: • 可修改的資料: • 全名; • 辦公室門號 • 辦公室電話 • 家裡電話 • chfn 可搭配 finger 進行查詢! • 可建立計畫檔: ~/.plan ,純文字檔。 Linux基礎--Account Manager
使用者群組管理 • 群組的新增與刪除: • groupadd [-g gid] [-r] groupname • -g :後面接某個特定的 GID ,用來直接給予某個 GID ~ • -r :建立系統群組啦!與 /etc/login.defs 內的 GID_MIN 有關。 • 嘗試建立 vbirdgroup 群組: • groupadd vbirdgroup • groupmod • -g :修改既有的 GID 數字; • -n :修改既有的群組名稱 • groupdel • 必須要沒有使用者的 initial group 為該群組才可刪除! Linux基礎--Account Manager
使用者群組管理(續) • 群組管理員之建立與使用: • gpasswd 建立 /etc/gshadow 的密碼資料 • -A : 該群組的管理員 • -M :將某些帳號加入這個群組當中! • -r :將 groupname 的密碼移除 • -R :讓 groupname 的密碼欄失效, newgrp 就不能使用 • 練習: • 設定 vbirdgroup 具有密碼,密碼為 vbirdgroup • gpasswd vbirdgroup • 將 vbird2 加入成為 vbirdgroup 的管理員。 • gpasswd -A vbird2 vbirdgroup Linux基礎--Account Manager
使用者群組管理(續) • 群組管理員之建立與使用: • gpasswd 建立 /etc/gshadow 的密碼資料(管理員的工作) • -a :將某位使用者加入到 groupname 這個群組當中! • -d :將某位使用者移除出 groupname 這個群組當中。 • 練習: • 觀察 vbird2 的有效群組為那個? • 變換 vbird2 的有效群組應該要使用什麼指令? • newgrp groupname • 以 vbird2 登入 tty3,並且將 vbird1 加入 vbirdgroup 當中; • gpasswd -a vbird1 vbirdgroup Linux基礎--Account Manager
綜合練習 • 練習: • 建立一個群組為 novell 其 GID 為 300 • 如何讓一個新建的使用者在建立後,家目錄就擁有一個子目錄為 novell ? • 如何讓終端機登入提示畫面中,多顯示3行: ========================= The LCC NET study system. ========================= • 如何讓使用者在登入後,可以看見: Welcome to the LCC Network Study System. Any questions mail to me please. root@localhost Linux基礎--Account Manager
綜合練習 • 練習: • 建立一個使用者,參數如下: • 全名為: The LCC account • initial 群組為: novell • 其他群組為: users • 登入帳號: novell • 密碼:lccnet • 需要建立家目錄 • 請嘗試以 novell 登入系統 (在 tty2) • 如何將 novell 暫時 lock 不予登入! Linux基礎--Account Manager
使用者身份切換 • 切換使用者的身份: su • - :完整切換成為 root 的工作環境; • -l :完整切換成為一般使用者的工作環境 • -m :-m 與 -p 是一樣的,表示『使用目前的環境設定,而不重新讀取新使用者的設定檔。』 • -c :僅進行一次指令,所以 -c 後面可以加上指令 • 練習: • 用 root 切換身份成為 vbird2 • 用 vbird2 切換身份成為 root • 用 vbird2 切換身份成為 novell ? • 用 vbird2 ,使用 root 的權限執行 passwd vbird3 ? Linux基礎--Account Manager
使用者身份切換(續) • 切換使用者的身份: sudo • 當使用者執行 sudo 時,系統會主動的去尋找 /etc/sudoers 檔案,判斷該使用者是否有執行 sudo 的權限; • 若使用者具有可執行 sudo 的權限後,便讓使用者『輸入使用者自己的密碼』來確認; • 若密碼輸入成功,便開始進行 sudo 後續接的指令; • 不過, root 執行 sudo 時,不需要輸入密碼; • 若欲切換的身份與執行者身份相同,那也不需要輸入密碼。 • 需求: • 使用者能進行的工作,必須在 /etc/sudoers 規範!! Linux基礎--Account Manager
使用者身份切換(續) • 切換使用者的身份: sudo,利用 visudo • /etc/sudoers 內容的語法: • username HOST = (newusername) commands • %groupname HOST = (newuser) commands • 讓 vbird2 可以進行所有身份使用者的工作? • vbird2 (ALL) = (ALL) ALL • 讓 vbird3 僅能負責 daemon 的工作? • vbird3 (ALL) = (daemon) ALL • 在 /etc/sudoers 尚可利用 Alias 來設定。(需大寫字元) • User_Alias ALIASNAME= user1,user2,user3… • Cmd_Alias CMDNAME = cmd1, cmd2… Linux基礎--Account Manager
使用者身份切換(續) • 切換使用者的身份: sudo,利用 visudo • 練習: • 設定一組帳號別名,名稱為 ADMUSER,內含 vbird1, vbird2 • 設定一組命令別名,名稱為 ADMCMD,內容至少含有 /bin/su • 設定 ADMUSER 能用的指令僅有 ADMCMD。 Linux基礎--Account Manager
PAM與特殊 Shell • 系統帳號預設的不可登入 shell • /sbin/nologin • 即使不小心讓系統帳號有密碼,他還是不能登入; • 登入資訊可以另外以 /etc/nologin.txt 取代。 Linux基礎--Account Manager
PAM與特殊 Shell(續) • PAM:Pluggable Authentication Modules • 使用者與應用程式之間的一個認證界面 • PAM 的相關檔案: • 應用程式使用 PAM 所需『同名』設定檔位於: • /etc/pam.d/* • PAM 本身提供的模組位於: • /lib/security/* • 預設的 PAM 環境檔案放置於 • /etc/security/* • 應用程式利用 function call 的方式啟用 PAM 相關的函式,利用函式 return 的資訊進行認證的判斷。 Linux基礎--Account Manager
PAM與特殊 Shell(續) • PAM 設定檔格式: [Module type] [Control flag] [modules] [arguments] • Module type • auth: authentication request • account: controls various aspects of the account • session: provides functions during user session • password: checks password • control flag • required: must be successfully processed • requisite: as above, but ends immediately when error • optional: • sufficient: Linux基礎--Account Manager
PAM與特殊 Shell(續) • Module type • auth: 確認使用者的認證情況 • 通常要求以密碼完成; • 也可能以智慧卡或其他指紋辨識系統; • account: 確認使用者的 permission 相關資訊 • 當使用者登入此服務時,能夠取得的權限與相關資訊 • session: 使用者進入該服務後的環境設定 • session 在認證成功後即開啟; • 可用以設定 user 的環境及 system log 的資訊 • password: 允許密碼的變更 • 通常為要求密碼的變更之認證需求。 Linux基礎--Account Manager
PAM與特殊 Shell(續) • Control flag • required: • 該模組必須要能夠『成功』的完成認證; • 若認證失敗,仍可將資訊記錄下來才結束; • requisite: • 若認證失敗,則立即結束,不會有資訊紀錄下來 • optional: • 通常用在額外的訊息顯示 • sufficient: • 若之前的所有模組都沒有錯誤訊息,則立刻呼叫服務執行,後續的模組不會再被啟動; • 若有錯誤訊息,則繼續底下的模組流程 Linux基礎--Account Manager
PAM與特殊 Shell(續) • 一個簡單的範例:/etc/pam.d/login #%PAM-1.0 auth required pam_securetty.so auth required pam_stack.so service=system-auth auth required pam_nologin.so account required pam_stack.so service=system-auth password required pam_stack.so service=system-auth session required pam_selinux.so close session required pam_stack.so service=system-auth session optional pam_console.so session required pam_selinux.so multiple open Linux基礎--Account Manager
PAM與特殊 Shell(續) • 簡單的範例: • 兩個常見的 PAM 模組 • /lib/security/pam_securetty.so • 允許 root 登入的安全環境(/etc/pam.d/login) • 可與 /etc/securetty 配合 • /lib/security/pam_nologin.so • 僅對一般身份有效,對 root 無效。 • 避免 user 登入的模組(/etc/pam.d/login) • 需與 /etc/nologin 配合(手動增加此一檔案),此檔案若存在,則 users 將無法登入,且 user 嘗試登入時,會顯示出 /etc/nologin 的內容 (ASCII 檔案格式) Linux基礎--Account Manager
PAM與特殊 Shell(續) • 簡單的範例: • /etc/security/limit.conf • 可以限制使用者的相關資源! • 範例: • dmtsai hard fsize 10240 • @users hard fsize 10240 Linux基礎--Account Manager
PAM與特殊 Shell(續) • 練習: • 以 root 登入,並建立 /etc/nologin ,內容: • Maintaining……..Please login latter • 嘗試以其他 regular user 登入 • 查閱 /var/log/messages 的內容 • 如何取消? • 拿掉 /etc/nologin • 拿掉 /etc/pam.d/login 內的 #auth required pam_nologin.so Linux基礎--Account Manager
使用者溝通之方式 • 查詢線上使用者: • w, who, finger, last, lastlog • 與線上使用者的互動: • write username • mesg [y|n] • wall “messages…” • Email 傳遞消息: • mail -s “title” username • mail (進入 mailbox) • mail -f mailboxfile Linux基礎--Account Manager
使用者溝通之方式(續) • 每個可正常登入主機的 user 均有 mailbox • 參考: MAIL 變數 • 一般 Linux 的 mailbox 放在 /var/spool/mail • 每個 mailbox 都是一個檔案 • 輸入 mail 即可讀取 mail box 的內容。 • mail 指令 – 直接輸入 mail 即可讀取 mailbox • > 所指為目前的處理中的信件 • enter 或 n 進入下一封信件 • ? help • h print header (亦可輸入 h number) • d number delete • e number edit • R number replay to sender • s number file 將郵件儲存到 file 中 • x 或 exit 不進行任何動作離開 mail • q 進行完動作後離開(若有 d 則需此!) Linux基礎--Account Manager
使用者溝通之方式(續) • mail 指令 – mail [-acs] user@host • -a file 附加檔案(舊版本沒有此項) • -c 密件副本 • -s subject • mail -f mailboxfile • 練習: • (1)請寄一封信給 root 本機, title 為”good point” • mail -s “good point” root • (2)將該封信件轉存到 /tmp/mymail • mail ,並以 s number /tmp/mymail 轉存 • (3)請將該封信讀出來 • mail -f /tmp/mymail • (4)請將 ~/.bashrc 內容寄給自己 • mail -s “bashrc content” < ~/.basrhc Linux基礎--Account Manager
手動增加使用者 • 一些慣用工具: • pwck:檢驗 /etc/passwd /etc/shadow 的問題 • pwconv:將 /etc/passwd 密碼轉換到 /etc/shadow • pwuconv:將 /etc/shadow 移至 /etc/passwd ,並刪除 /etc/shadow • chpasswd:將來自 STDIN 的格式『username|passwd』中,將 passwd 加密後, update 到 /etc/shadow 內。 • 將 vbird2 的密碼換成 vbird2 • echo “vbird2:vbird2” | chpasswd Linux基礎--Account Manager
手動增加使用者(續) • 建立一純數字 1234 這個帳號: • 使用 vi 編輯 /etc/passwd ; • 使用 pwconv 同步化密碼; • 給予 1234 這個帳號一個合法的密碼; • 建立 1234 這個帳號的家目錄(注意其權限!) • 嘗試以 1234 登入。 Linux基礎--Account Manager
簡單的使用者安全說明 • Security Policies 的一般策略 • Local security and user account • 每個使用者應有自己的權限而不互相干擾 • root 除外!他有最高級的權限 • Linux password Encryption • 不可將密碼以明碼存在 • 加密為 one way 過程,若密碼超過8位,不容易破解 • Boot Procedure Protection • 開機過程中的各項資訊應加密 BIOS/MBR…. • 可修訂 /boot/grub/menu.lst • File Permissions Configuration • Network Security and local security Linux基礎--Account Manager
簡單的使用者安全說明(續) • Security tips • 避免以 root 進行各項日常工作; • 若可能,盡量以加密的連線進行連線處理 • 不要僅以 IP 位址作為確認的動作 • 務必保持網路服務套件(www/mail…)的更新 • 非必要的網路服務務必關閉;(netstat -anp) • 務必瞭解 RPM 檔案的來源正確性 • 瞭解備份的重要性 • 檢驗 log file • 使用防火牆 tcp_wrapper Linux基礎--Account Manager