LINUX系統(tǒng)ROOT帳號管理的幾個啟示
下面筆者談談自己在管理ROOT帳戶的一些啟示,供大家參考。
啟示一:ROOT用戶只作為備用帳戶。
無論是你自己使用Linux系統(tǒng),還是企業(yè)其他員工使用;又或者只是作為服務器使用,最好都不要直接使用ROOT用戶。
如你公司現(xiàn)在員工在使用Linux系統(tǒng),那么你作為Linux系統(tǒng)的管理員,就不能讓員工直接以ROOT帳戶進行登陸。而要給他們配置其他的用戶,進行日常業(yè)務的辦公。這主要是因為ROOT帳戶對于操作系統(tǒng)來說,具有最高的管理權限。而Linux系統(tǒng)對于員工來說,很多都是陌生的。若給他們這么高的權限的話,系統(tǒng)有時候一不小心改變了某個文件,那么就會導致系統(tǒng)的崩潰。故,在實際帳戶管理中,我們需要為普通用戶設置一個最小權限的帳戶。
其實,在Linxu系統(tǒng)下,普通用戶與管理員用戶權限的轉換沒有像微軟操作系統(tǒng)那么麻煩。我們只需要通過一些簡單的命令,就可以完成權限的轉換動作,如此,就可以省去我們頻繁注銷的麻煩。
如我們某個用戶的Linux系統(tǒng),其除了具有一個ROOT帳戶以外,還有一個SA001的帳戶。該帳戶只是普通權限,無法對操作系統(tǒng)進行任何的配置動作,包括安裝軟件或者掛載其他共享文件夾的權限。筆者公司現(xiàn)在在企業(yè)內部網(wǎng)絡上,還部署了一臺文件服務器。現(xiàn)在我們需要給這臺操作系統(tǒng)連上文件服務器,但是,用戶現(xiàn)在利用的是SA001帳號登陸,我們該怎么辦呢?
若我們直接利用SA001普通帳戶,執(zhí)行mount命令進行服務器連接的話,那么系統(tǒng)就會提示我們,這個命令必須在管理員用戶權限下才能夠運行。若在Windows操作系統(tǒng)下,我們還可以選擇“打開方式”中選擇以什么身份運行這個命令。但是在Linux操作系統(tǒng)下,我們該如何處理呢?難道需要重新啟動系統(tǒng)嗎?其實,Linux系統(tǒng)下,權限的轉換個人以為,比Windows系統(tǒng)要簡單的多。
此時,我們就可以在命令行下,直接輸入su,然后輸入ROOT帳戶的密碼,此時,就可以以root身份運行程序。如此的話,我們就可以在這個命令行窗口下,直接利用mount命令,掛載共享目錄了。
如現(xiàn)在我們有兩個管理員帳戶,如一臺文件服務器上,裝了兩個網(wǎng)絡應用,分別由兩個管理員管理。我們?yōu)樗麄兎謩e設置了管理員帳戶,如AD001與AD002,此時,需要以AD002的管理員帳戶進行登陸,此時,我們就可以以su–AD002的形式,登陸進去。此時,在這個命令窗口中運行的任何程序,將都是以AD002的身份進行運行。這個操作,是否要比Windows操作系統(tǒng)簡便許多。
不過,在這個轉換的過程中,我們需要注意兩個問題。一是這個權限只是針對你所登陸的窗口,若你退出這個窗口或者在其他窗口中就沒有這個管理員權限。如我們現(xiàn)在打開兩個終端,在一個終端窗口中利用su命令以管理員身份登陸。此時,我們若在這個終端中運行mount命令的話,可以正常運行。但是,此時,我們若在另外一個終端窗口運行mount命令的話,則仍然會有“沒有權限執(zhí)行這個命令”的錯誤提示。也就是說,我們在終端窗口中,以su命令,進行管理員權限轉換之后,其只對當前的這個終端起效,而對于另外的端口是沒有影響的。
另外一個問題,就是若在終端窗口中,利用su命令權限轉換后,其對應的環(huán)境變量,仍然是原來帳戶SA001的環(huán)境變量。如我們在Linux系統(tǒng)中,若安裝了JAVA程序,并且在root用戶下配置好了相關的環(huán)境變量后。此時,我們若先以普通用戶SA001登陸到系統(tǒng),并在終端利用su命令,切換到管理員權限之后,我們運行java命令,就會發(fā)現(xiàn)系統(tǒng)會提示“沒有為JAVA配置環(huán)境變量”。可見,我們利用su命令,雖然取得了管理員權限,但是,沒有取得其對應的環(huán)境變量。
如我們在利用su命令進行權限轉換之后,我們還想其對應的環(huán)境變量也帶過來的話,該怎么辦呢?此時,我們就需要在su命令后面添加一個參數(shù),來實現(xiàn)我們的需求。如我們可以以su–(小橫桿)命令進行權限的轉換,此時,轉換過后的環(huán)境變量就是root管理員帳戶所對應的環(huán)境變量。
啟示二:直允許root帳戶登陸。
根據(jù)筆者的使用經(jīng)驗,筆者認為Linux系統(tǒng)在管理員帳戶的管理上,其功能比Windows操作系統(tǒng)要強大、完善的多。
如假設我們需要對裝有ORACLE數(shù)據(jù)庫的服務器進行恢復動作。我們都知道,在對ORACLE數(shù)據(jù)庫進行恢復的時候,是不允許其他用戶連接到這個數(shù)據(jù)庫上面的,否則的話,就會恢復不成功。現(xiàn)在我需要對數(shù)據(jù)庫進行恢復動作,我該如何才能夠保證,在數(shù)據(jù)庫恢復期間,其他用戶不會連接到這個數(shù)據(jù)庫服務器上呢?除了拔掉網(wǎng)線還有其他更好的方法呢?
如果我們以Linux系統(tǒng)作為數(shù)據(jù)庫服務器的操作系統(tǒng)的話,則就有一個很實用的功能,就可以達到這個目的。
如我們可以在/etc目錄中,執(zhí)行touchnologin<
新文章:
- CentOS7下圖形配置網(wǎng)絡的方法
- CentOS 7如何添加刪除用戶
- 如何解決centos7雙系統(tǒng)后丟失windows啟動項
- CentOS單網(wǎng)卡如何批量添加不同IP段
- CentOS下iconv命令的介紹
- Centos7 SSH密鑰登陸及密碼密鑰雙重驗證詳解
- CentOS 7.1添加刪除用戶的方法
- CentOS查找/掃描局域網(wǎng)打印機IP講解
- CentOS7使用hostapd實現(xiàn)無AP模式的詳解
- su命令不能切換root的解決方法
- 解決VMware下CentOS7網(wǎng)絡重啟出錯
- 解決Centos7雙系統(tǒng)后丟失windows啟動項
- CentOS下如何避免文件覆蓋
- CentOS7和CentOS6系統(tǒng)有什么不同呢
- Centos 6.6默認iptable規(guī)則詳解