主题:关于Linux的推广——普通用户篇 -- 万斤
1.
我不清楚Debian系统去年一年的patch的数量,没法评论。我管理的Windows servers我确实是基本上每个月有没有patch都要重启一遍,成习惯了,
Debian下面的不稳定版几乎每天都有几十个软件有更新版本。但是一般来说,大部分升级你可以长期不用理会。除非有相关的安全漏洞被发现了,或者你需要新的功能。这个Debian网站上有定期的通知。如果关键的问题,比如最近发现的以前的Linux内核root漏洞,Debian的内核包会自动打上补丁。
一般来说,Linux如果升级内核,确实需要重新启动。但是但是,如果你正在运行关键任务的服务器,那么最近的Linux好像有能力在不重启的情况下更换新内核。Linux甚至支持服务器上的热交换CPU,硬盘,内存。。。但是这已经超出大多数普通用户,甚至是企业用户需要考虑的范围了。
2.
“木马的目的在于获利。只要它能运行上10秒钟,扫描用户的邮件,通讯录,文件(特别是open format的文件:)),找到有价值的信息,再传送到外面去,目的就达到了。不需要改动系统文件,也不需要常驻。”
这个就是用户的问题,一般来说你也没有办法阻止通过在 用户端运行程序在防火墙上打个洞:)但是,我想通过虚拟机系统,你总是可以教育用户玩的时候用另外一个肉鸡系统来代替。我的经验,用户由于是第一受害者,他们通常对此比管理员还敏感。只要被破坏一两次,下次就知道了。所以我通常都不管他们,只要别破坏整个系统就可以了:)
“我不清楚Linux下如何达到以下的目的:
- 我想强制在每台客户机上安装某一固定版本的软件,如果被用户移除则自动重装,Linux下怎么确保?
- 我想保证有root权限的用户也不能把管理员用来集中管理账户删除,并更改防火墙来拒绝我从远程的控制。
- 我想拒绝任何用户运行某一版本的某程序,不管是在本地硬盘上,网络上还是USB drive上。怎么办?
- 我想强制同一间教室的电脑都使用同样的墙纸,不同的教室的墙纸不同。怎么办?
- 我想把公司所有机器的硬件型号,操作系统,安装的软件等等信息全部收录到一个数据库中,方便查询,并且这些信息要随时动态更新。如何确保?
- 希望你能说明一下Linux如何对付这些问题。这些都是规模大起来以后常见的问题。”
这个是我要回答你的重点,需要系统地来分析。
基本上,你讨论的是集中管理的问题,在windows下面,如果我没有搞错,用的是ActiveDirectory方式。这个技术的核心是一个LDAP数据库。Linux下面也有类似的数据库叫做OpenLDAP,SAMBA系统本身也整合进入OpenLDAP,目前可以作为一个domain controller。所以目前Linux下面可以同时管理Linux用户,也可以管理Windows用户。在下一个版本的SAMBA里面,SAMBA可以代替windows 2000 server成为主域控制器。
1)问:“我想强制在每台客户机上安装某一固定版本的软件,如果被用户移除则自动重装,Linux下怎么确保?”
答:有N种方法。如果是我做,首先我会把这个固定版本的软件放在一个特殊的目录下,比如/usr/local或者 /opt等等,然后用shell命令检查这个包里面一个或者某些执行文件是否存在,是否被改动,如果不存在或者被改动,则强行拷贝回去。这个检查可以用FAM实时监视,也可以用cron定期监视,或者用~/.bash_logout在用户退出的时候激发。
2)问:“我想保证有root权限的用户也不能把管理员用来集中管理账户删除,并更改防火墙来拒绝我从远程的控制。”
答:你可以把root用户直接从整个客户端取消,换句话说,没有人能够以root登录也不能变成root。所有的用户认证,计算机管理都由远程服务器完成。而具体的管理工作,可以由受限制的sudo来完成。我一直不清楚为什么要给用户这么大的权力。比如程序安装,它们可以安装在自己的home目录下,
3)问:“我想拒绝任何用户运行某一版本的某程序,不管是在本地硬盘上,网络上还是USB drive上。怎么办?”
答:这个稍微复杂一点,也是有很多方法。最简单的方法是把分区mount成 -noexec。所以用户只能运行你给定的程序。当然这个方法防不住用perl/python/sh这样的script程序。如果你给他们权限可以使用这些程序的的话。这个就是更高级的问题了。
4)问:“我想强制同一间教室的电脑都使用同样的墙纸,不同的教室的墙纸不同。怎么办?”
答:这个很简单,在gnome下面,用gconftool就能用命令行控制。在KDE下面应该有相应的控制,甚至你用DBUS就可以在KDE下面动态自动刷新某种墙纸。
5)问:“- 我想把公司所有机器的硬件型号,操作系统,安装的软件等等信息全部收录到一个数据库中,方便查询,并且这些信息要随时动态更新。如何确保?”
答:有N种方法,
Linux下面有若干个硬件自动探测的脚本,可以自动更新这些硬件型号。获取操作系统信息很容易用本地脚本开机的时候自动更新就可以。安装的软件,关键看这个软件装在哪里,如果是以比如deb方式安装的,dpkg就可以。关键是最后要把这些信息集中成文本文件。然后就可以利用脚本存到subversion下面或者OpenLDAP下面。
希望我能回答你所有的问题。
其他问题回头再回答:)
- 相关回复 上下关系8
压缩 2 层
🙂我的观点是, 2 bulaohu 字595 2008-03-28 08:35:01
🙂我可以给出大概的时间 2 万斤 字473 2008-03-28 09:00:58
🙂我使用的Win2K运行时间 纳沉 字508 2008-03-28 06:51:54
🙂继续探讨你提出来的问题
🙂从维护的角度,那Linux没得说 2 喜欢喝冰茶 字780 2008-03-26 21:33:52
🙂维护看你怎么说了 司徒彼 字698 2008-04-03 15:56:50
🙂LAPACK有现成的Deb/rpm包,安装相对容易 1 万斤 字545 2008-04-03 17:38:59
🙂可能另外一个是题外话 司徒彼 字1125 2008-04-04 13:14:20