淘客熙熙

主题:关于Linux的推广——普通用户篇 -- 万斤

共:💬381 🌺357
全看分页树展 · 主题 跟帖
家园 继续探讨你提出来的问题

1.

我不清楚Debian系统去年一年的patch的数量,没法评论。我管理的Windows servers我确实是基本上每个月有没有patch都要重启一遍,成习惯了,

Debian下面的不稳定版几乎每天都有几十个软件有更新版本。但是一般来说,大部分升级你可以长期不用理会。除非有相关的安全漏洞被发现了,或者你需要新的功能。这个Debian网站上有定期的通知。如果关键的问题,比如最近发现的以前的Linux内核root漏洞,Debian的内核包会自动打上补丁。

一般来说,Linux如果升级内核,确实需要重新启动。但是但是,如果你正在运行关键任务的服务器,那么最近的Linux好像有能力在不重启的情况下更换新内核。Linux甚至支持服务器上的热交换CPU,硬盘,内存。。。但是这已经超出大多数普通用户,甚至是企业用户需要考虑的范围了。

2.

“木马的目的在于获利。只要它能运行上10秒钟,扫描用户的邮件,通讯录,文件(特别是open format的文件:)),找到有价值的信息,再传送到外面去,目的就达到了。不需要改动系统文件,也不需要常驻。”

这个就是用户的问题,一般来说你也没有办法阻止通过在 用户端运行程序在防火墙上打个洞:)但是,我想通过虚拟机系统,你总是可以教育用户玩的时候用另外一个肉鸡系统来代替。我的经验,用户由于是第一受害者,他们通常对此比管理员还敏感。只要被破坏一两次,下次就知道了。所以我通常都不管他们,只要别破坏整个系统就可以了:)

“我不清楚Linux下如何达到以下的目的:

- 我想强制在每台客户机上安装某一固定版本的软件,如果被用户移除则自动重装,Linux下怎么确保?

- 我想保证有root权限的用户也不能把管理员用来集中管理账户删除,并更改防火墙来拒绝我从远程的控制。

- 我想拒绝任何用户运行某一版本的某程序,不管是在本地硬盘上,网络上还是USB drive上。怎么办?

- 我想强制同一间教室的电脑都使用同样的墙纸,不同的教室的墙纸不同。怎么办?

- 我想把公司所有机器的硬件型号,操作系统,安装的软件等等信息全部收录到一个数据库中,方便查询,并且这些信息要随时动态更新。如何确保?

- 希望你能说明一下Linux如何对付这些问题。这些都是规模大起来以后常见的问题。”

这个是我要回答你的重点,需要系统地来分析。

基本上,你讨论的是集中管理的问题,在windows下面,如果我没有搞错,用的是ActiveDirectory方式。这个技术的核心是一个LDAP数据库。Linux下面也有类似的数据库叫做OpenLDAP,SAMBA系统本身也整合进入OpenLDAP,目前可以作为一个domain controller。所以目前Linux下面可以同时管理Linux用户,也可以管理Windows用户。在下一个版本的SAMBA里面,SAMBA可以代替windows 2000 server成为主域控制器。

1)问:“我想强制在每台客户机上安装某一固定版本的软件,如果被用户移除则自动重装,Linux下怎么确保?”

答:有N种方法。如果是我做,首先我会把这个固定版本的软件放在一个特殊的目录下,比如/usr/local或者 /opt等等,然后用shell命令检查这个包里面一个或者某些执行文件是否存在,是否被改动,如果不存在或者被改动,则强行拷贝回去。这个检查可以用FAM实时监视,也可以用cron定期监视,或者用~/.bash_logout在用户退出的时候激发。

2)问:“我想保证有root权限的用户也不能把管理员用来集中管理账户删除,并更改防火墙来拒绝我从远程的控制。”

答:你可以把root用户直接从整个客户端取消,换句话说,没有人能够以root登录也不能变成root。所有的用户认证,计算机管理都由远程服务器完成。而具体的管理工作,可以由受限制的sudo来完成。我一直不清楚为什么要给用户这么大的权力。比如程序安装,它们可以安装在自己的home目录下,

3)问:“我想拒绝任何用户运行某一版本的某程序,不管是在本地硬盘上,网络上还是USB drive上。怎么办?”

答:这个稍微复杂一点,也是有很多方法。最简单的方法是把分区mount成 -noexec。所以用户只能运行你给定的程序。当然这个方法防不住用perl/python/sh这样的script程序。如果你给他们权限可以使用这些程序的的话。这个就是更高级的问题了。

4)问:“我想强制同一间教室的电脑都使用同样的墙纸,不同的教室的墙纸不同。怎么办?”

答:这个很简单,在gnome下面,用gconftool就能用命令行控制。在KDE下面应该有相应的控制,甚至你用DBUS就可以在KDE下面动态自动刷新某种墙纸。

5)问:“- 我想把公司所有机器的硬件型号,操作系统,安装的软件等等信息全部收录到一个数据库中,方便查询,并且这些信息要随时动态更新。如何确保?”

答:有N种方法,

Linux下面有若干个硬件自动探测的脚本,可以自动更新这些硬件型号。获取操作系统信息很容易用本地脚本开机的时候自动更新就可以。安装的软件,关键看这个软件装在哪里,如果是以比如deb方式安装的,dpkg就可以。关键是最后要把这些信息集中成文本文件。然后就可以利用脚本存到subversion下面或者OpenLDAP下面。

希望我能回答你所有的问题。 

其他问题回头再回答:)

全看分页树展 · 主题 跟帖


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河