安全性是一個龐大和具有挑戰(zhàn)性的主題，但每個負(fù)責(zé)服務(wù)器端工作的人都應(yīng)當(dāng)知道基本步驟。Cameron 概括了一些使您的用戶帳戶清潔和安全的方法。

安全性是一大難題。它不會一成不變，而且很難知道它需要擴展到多大程度：如果您不小心的話，當(dāng)您的老板真正想要的是不讓看門人看到他的年度預(yù)算時，您才會最終相信他需要理解安全性的好處。

不管在計算安全性的所有方面跟上潮流是多么的具有挑戰(zhàn)性，畢竟有幾個領(lǐng)域已經(jīng)足夠成熟，值得進行系統(tǒng)地學(xué)習(xí)。對于任何使用 Linux 服務(wù)器的人，我建議他學(xué)習(xí)的第一個領(lǐng)域是帳戶管理。

注意您的用戶

在第一批專門介紹 Linux 管理和編程的書籍中，許多都包括關(guān)于“用戶管理”或“帳戶管理”的一章。它們的意思非常明確：如何為使用您主機的人設(shè)置和維護計算帳戶和組關(guān)系。

在那時，“使用”必然意味著“登錄”。帳戶管理的全部工作就是：使用諸如 useradd 、 chsh 等命令來配置 Linux 帳戶，以便于由同部門開發(fā)人員占多數(shù)的用戶群使用。/etc/passwd 及其 API 是 Linux 專家的關(guān)注重點。

那個時代早已成為過去，我對大多數(shù)服務(wù)器提出的第一個建議就是清除 /etc/passwd 的大部分內(nèi)容。我的意思是：由于歷史原因，大多數(shù)電子郵件服務(wù)器、Web 服務(wù)器、文件服務(wù)器等，都用 /etc/passwd 管理它們的用戶訪問。我認(rèn)為這通常都是一個錯誤。在早些時候，當(dāng)可能有十幾個或二十幾個工程師共享一臺高端工作站時，這是一種明智方式。但是，當(dāng)一臺電子郵件服務(wù)器可能要處理幾萬名用戶（他們中的大多數(shù)只是把計算當(dāng)成和飲水器或電話系統(tǒng)一樣的公用設(shè)施）的郵箱時，傳統(tǒng)的 /etc/passwd 方式就是一個錯誤。

依靠 /etc/passwd 當(dāng)然是可能的。它經(jīng)歷了足夠的修補和調(diào)整，足以應(yīng)付令人驚訝的工作量。但不是必須如此。如果您將用戶帳戶移到專門的數(shù)據(jù)存儲，如 LDAP（輕量級目錄訪問協(xié)議）甚至 RDBMS（關(guān)系數(shù)據(jù)庫管理系統(tǒng)）數(shù)據(jù)存儲，您可以在可伸縮性、安全性和維護方面受益。將 /etc/passwd 限制為只供少數(shù)真正需要登錄的開發(fā)人員和管理員使用。

這一實踐在安全性方面有很大好處，因為服務(wù)（電子郵件和 Web 等）用戶的忙閑度與開發(fā)人員的完全不同。一旦您已設(shè)置好了一臺新的服務(wù)器，它的 /etc/passwd 就不應(yīng)經(jīng)常更改。監(jiān)控它是否被更新 — 特別是篡改 — 是一項簡單的任務(wù)。但是，如果您正在運行一個較大的服務(wù)器，那么每天都會有幾個新的和過期的電子郵件帳戶更改。需要將這些帳戶從 /etc/passwd 賦予的更大的訪問權(quán)隔離開來。

構(gòu)建一個替代性帳戶數(shù)據(jù)存儲是一個認(rèn)真而嚴(yán)肅的建議嗎？的確如此，這確實令人驚訝。為了使由無需登錄的用戶占多數(shù)的非常龐大的 /etc/passwds 正常工作，過去幾年已經(jīng)投入了大量的工作。如果您確實決定編寫自己的帳戶認(rèn)證，并且依靠象 sendmail 這樣的傳統(tǒng)電子郵件程序，那么您很可能發(fā)現(xiàn)自己正在為 SMTP、POP3 和 IMAP4 服務(wù)器編寫更改。

那些障礙常常使開發(fā)人員傾向于使用現(xiàn)成的軟件。我的習(xí)慣是使用別人已編寫好而我可以重用的解決方案。但是，與這些業(yè)界使用的服務(wù)器不同的一點在于：我還是常常需要定制它們 — 例如，設(shè)置特殊消息目錄、日志記錄信息或使用記帳。對我來說最重要的一點是使安全性考慮事項模塊化。我希望能夠?qū)㈤_發(fā)人員和管理員帳戶與最終用戶服務(wù)完全分開地加以管理。通過將后者從 /etc/passwd 清除，我可以很容易地鎖定一方而不會影響另一方。

使策略自動化

和將開發(fā)人員帳戶與用戶服務(wù)分開幾乎同樣重要的是使策略自動化。為創(chuàng)建和刪除帳戶 — 既包括開發(fā)人員（/etc/passwd）的也包括最終用戶（電子郵件、Web 和數(shù)據(jù)庫等）的 — 建立明確而詳細(xì)的過程。盡管將這些納入可執(zhí)行文件是很好的規(guī)定，但并不完全有必要。重要的是過程是可理解的和明確的。不小心的帳戶創(chuàng)建和刪除 總是會留下安全性漏洞。應(yīng)當(dāng)與人力資源、客戶支持或其它相關(guān)部門一起檢查您的過程。如果不親身體驗替代方案，那么您很難認(rèn)識到這是多么關(guān)鍵。

當(dāng)您沒有為添加和除去用戶帳號編寫過程時，則總會出現(xiàn)這樣的結(jié)果：假定新員工周一報到，那么他或她可能到周五仍不能訪問其公司文件。或者，某人辭職，在假日聚會做了道別，可在二月份開始時仍在檢索特殊用途的公司資產(chǎn)。

帳戶自動化一個附帶的好處是它鼓勵更加徹底的驗證。如果開發(fā)人員沒有用不同特性配置帳戶的方便辦法，他們很可能不會執(zhí)行那些預(yù)計將使配置發(fā)生變化的應(yīng)用程序。

我最近親身經(jīng)歷了這樣的情況。我因某個緊急事件而被召來，當(dāng)時實現(xiàn)小組實際上在“正確地”允許經(jīng)理查看雇員業(yè)績評審 — 甚至包括那些不屬于他們管理的雇員！盡管聽起來可笑，但這是典型的安全性問題。它甚至在分析和設(shè)計評審期間被指出過幾次。雖然每次都向決策者反映了這個問題，但由于它是巨大而混亂的問題集合的一部分，所以它每次都在沒有明確決議的情況下被忽略。

只有當(dāng)一位支持專家最終建立起一個一般實例的具體示例（在該示例中有幾位經(jīng)理，每位經(jīng)理有多份雇員報告）時，錯誤才得到應(yīng)有的注意。不要臨陣磨槍；要定期對所有種類的用戶帳戶的配置進行徹底的測試。

保持警覺

安全性最困難的部分，至少對我們中的許多人而言，是如何避免犯錯。安全性是屬于“最弱環(huán)節(jié)”事件之一，一個漏洞就可以使您目前的所有投資（不管多么龐大、計劃多么周詳）一錢不值。要做好安全性工作，您必須對原本不會考慮的事情保持警覺。

美國政府網(wǎng)站常常是證明那種挑戰(zhàn)的嚴(yán)重程度的最好例子。常在有關(guān)“反恐”的安全問題新聞中出現(xiàn)的某聯(lián)邦機構(gòu)維護一個網(wǎng)站，在那里用戶密碼在用于更改用戶首選項的頁面上公開地顯示。相當(dāng)多的組織解決頻繁發(fā)生的丟失密碼問題的方法是：根據(jù)或多或少的公共信息 指定密碼（例如，“您的密碼是您出生地的頭四個字母，加上您出生年份的后兩位數(shù)字”）。

如何能避免這樣的災(zāi)難性錯誤？遺憾的是，幾乎沒有系統(tǒng)的方法能“聰明地”成功實現(xiàn)這樣的抽象目標(biāo)。但是，在需要采取的有用步驟中，對 RISKS 文摘的研究和嚴(yán)格的工程檢查是有用的步驟之一。

RISKS 是 Peter G. Neumann 自 1985 年就一直在編輯的在線時事通訊（請參閱下面的 參考資料）。在思考事情（特別是 Linux 服務(wù)器上的安全性）的出錯原因方面，閱讀它是個很好的習(xí)慣。Neumann 使該文摘易讀而且有趣，當(dāng)然偶爾會令人恐怖。

您還應(yīng)該養(yǎng)成讓其他人試驗?zāi)南敕ǖ牧?xí)慣。您可能認(rèn)為“軟件檢查”不過是找出開發(fā)人員的源代碼中放錯地方的標(biāo)點符號的一種方法，但它實際上是非常有趣和高效的實踐。特別是，檢查是對需求文檔、網(wǎng)站和所有其它產(chǎn)品的同行評審進行組織的極佳方法。請進行檢查。通過別人的眼睛查看您的工作。您將有可能了解許多關(guān)于您服務(wù)器的安全或不安全性的信息。