关于LINUX系统ROOT帐号管理的几个启示

    众所周知，LINUX系统的ROOT帐号如通微软操作系统的Administrator帐号一样，对于操作系统来说，有着至关重要的作用。如何管理要ROOT帐户，对于Linux系统的安全性以及稳定性至关重要。下面笔者谈谈自己在管理ROOT帐户的一些启示，供大家参考。

　　启示一：ROOT用户只作为备用帐户。

　　无论是你自己使用Linux系统，还是企业其他员工使用;又或者只是作为服务器使用，最好都不要直接使用ROOT用户。

　　如你公司现在员工在使用Linux系统，那么你作为Linux系统的管理员，就不能让员工直接以ROOT帐户进行登陆。而要给他们配置其他的用户，进行日常业务的办公。这主要是因为ROOT帐户对于操作系统来说，具有最高的管理权限。而Linux系统对于员工来说，很多都是陌生的。若给他们这么高的权限的话，系统有时候一不小心改变了某个文件，那么就会导致系统的崩溃。故，在实际帐户管理中，我们需要为普通用户设置一个最小权限的帐户。

　　其实，在Linxu系统下，普通用户与管理员用户权限的转换没有像微软操作系统那么麻烦。我们只需要通过一些简单的命令，就可以完成权限的转换动作，如此，就可以省去我们频繁注销的麻烦。

　　如我们某个用户的Linux系统，其除了具有一个 ROOT帐户以外，还有一个SA001的帐户。该帐户只是普通权限，无法对操作系统进行任何的配置动作，包括安装软件或者挂载其他共享文件夹的权限。笔者公司现在在企业内部网络上，还部署了一台文件服务器。现在我们需要给这台操作系统连上文件服务器，但是，用户现在利用的是SA001帐号登陆，我们该怎么办呢?

　　若我们直接利用SA001普通帐户，执行mount命令进行服务器连接的话，那么系统就会提示我们，这个命令必须在管理员用户权限下才能够运行。若在Windows操作系统下，我们还可以选择“打开方式”中选择以什么身份运行这个命令。但是在Linux操作系统下，我们该如何处理呢?难道需要重新启动系统吗?其实，Linux系统下，权限的转换个人以为，比Windows系统要简单的多。

　　此时，我们就可以在命令行下，直接输入su，然后输入ROOT帐户的密码，此时，就可以以root身份运行程序。如此的话，我们就可以在这个命令行窗口下，直接利用mount命令，挂载共享目录了。

　　如现在我们有两个管理员帐户，如一台文件服务器上，装了两个网络应用，分别由两个管理员管理。我们为他们分别设置了管理员帐户，如AD001与AD002，此时，需要以AD002的管理员帐户进行登陆，此时，我们就可以以su ?AD002的形式，登陆进去。此时，在这个命令窗口中运行的任何程序，将都是以AD002的身份进行运行。这个操作，是否要比Windows操作系统简便许多。

　　不过，在这个转换的过程中，我们需要注意两个问题。一是这个权限只是针对你所登陆的窗口，若你退出这个窗口或者在其他窗口中就没有这个管理员权限。如我们现在打开两个终端，在一个终端窗口中利用su命令以管理员身份登陆。此时，我们若在这个终端中运行mount命令的话，可以正常运行。但是，此时，我们若在另外一个终端窗口运行mount命令的话，则仍然会有“没有权限执行这个命令”的错误提示。也就是说，我们在终端窗口中，以su命令，进行管理员权限转换之后，其只对当前的这个终端起效，而对于另外的端口是没有影响的。

　　另外一个问题，就是若在终端窗口中，利用su命令权限转换后，其对应的环境变量，仍然是原来帐户SA001的环境变量。如我们在Linux系统中，若安装了JAVA程序，并且在root用户下配置好了相关的环境变量后。此时，我们若先以普通用户SA001登陆到系统，并在终端利用su命令，切换到管理员权限之后，我们运行java命令，就会发现系统会提示“没有为JAVA配置环境变量”。可见，我们利用su命令，虽然取得了管理员权限，但是，没有取得其对应的环境变量。

　　如我们在利用su命令进行权限转换之后，我们还想其对应的环境变量也带过来的话，该怎么办呢?此时，我们就需要在su命令后面添加一个参数，来实现我们的需求。如我们可以以su ? (小横杆)命令进行权限的转换，此时，转换过后的环境变量就是root管理员帐户所对应的环境变量。

[1] [2] 下一页