我的Linux，我做主！

   最近比较忙，一直没有更新博客的机会，今天看到这个很有吸引力的topic，就想跟大家一起聊聊，我与linux的不解之缘吧。

   记得第一次听说linux，还是在上大学的时候，对于我们这些被windows“洗脑”太深人来说才知道原来世界上还有不同的操作系统，unix，unix like，linux，由于是大学的一门课程，没有太多实践的机会，老师的介绍也仅仅是照本宣科，但是那已经足够拓展了我们的视野和思路，为日后更深入的了解做了良好的铺垫，算是美好的“邂逅”吧，记得那时候业余找来看的一本linux书是red hat 9.0由于时间实在久远，我从网上找了一张图，大概是这样的。

  如果说是“初恋”linux的话，那还是在大学毕业后，我来到中国电信实习，记得当时，电信的业务80%跑在unix/linux系统上的，有幸的是我被安排负责维护部分运行在linux操作系统上的业务，其中包括了电信的DNS，起初我是跟在之前的负责人后面，了解了服务器所处的网络环境，查询流量以及相关安全加固，由于之前在学校的时候有些许基础，在了解基本情况后，我在自己的电脑上搭建了一个简单的环境帮助自己更好的了解linux系统下的DNS配置，工作原理等，期间也遇到了很多问题，在一次次的查阅资料和反复实验后，我终于在三天内完整的搭建了线上环境，就是这个期间我爱上了这个在黑底白字的字符界面下操作的系统（我用的是xshell），那种在字符界面下操作的feeling很神秘就像电影里hacker在入侵一样。后来我全面的take over了DNS server的维护工作。之后的工作机会就没有离开过linux环境。

  后来由于我实习中的工作表现，顺利加入了中国电信，由于环境不错，无论是网络和硬件都给我进一步学习linux提供了良好的机会，我一直很珍惜工作环境提供的这个机会，每天下班都会一个人在机房排查系统故障，研究解决办法，搭建环境等。慢慢的对很多服务和一般常见的问题都有了明确的解决办法和排查思路，这让我在linux系统方面的技术水平得到了很快的提升。突然后一天和朋友聊天，了解到红帽的RHCE认证，我决定去尝试考试，也希望对自己的水平进行一个检测，幸运的是，我在没有参加相关培训的前提下，以满分的成绩获得了RHCE认证。也算是对我努力学习的肯定吧。

 接着辗转来到了现在的公司，在这个过程中无论是维护多少机器，无论业务架构发展怎么样的变化，曾经对基础的学习和积累至今受益匪浅。

  如果要说到linux的优点实在太多，其中我最想展开来聊的还是linux在系统安全上的优势，我们都知道windows的系统安全真的是太烂了，尤其是在用户权限上，如果黑客通过webshell拿到了普通用户权限，那么他一定能拿到administrator的权限，而linux下的普通用户到root用户的提权就难太多了，只要你应用程序主目录别chmod -R 777，提权不是那么容易的，当然如果你发现你的linux服务器被黑了，那么好吧，重做系统，这是我的经验当然也是红帽官方给的建议，你想想一个开源系统，那么多代码都是可以自己修改的，随便在哪里留个backdoor，你又怎么去一行行代码去查找，我的博客里也有这种backdoor的介绍，有兴趣可以自己去看看，这里我不是说开源不好，我热爱开源，崇尚开源，开源避免了我们重复去造轮子，可以让全世界的developer的智慧凝结在一起，每个人都可以是contributer，为一个project去贡献自己的code，这就是开源的魅力之一。有时候我也会去从白帽子的角度去hacker一个服务器，我会确认目标，如果不是linux的就算了，当然对于那些windows的抓鸡，提权更没有兴趣。我的目的很简单，去看看别人的网站有什么好的运维习惯，有什么不好的问题给我钻了空子，其中就拿一个我认为比较成功的例子来说吧，（但我可以很负责的说我从来不破坏别人的计算机系统，数据库等等），我曾经入侵过这个服务器，安装英文翻译应该是，圣迭戈，加利福尼亚大学超级计算机中心

在入侵这个服务器后我学到很多东西，比如服务器的配置注释很简明，脚本写的也很规范，可以说通过一种曲折的方式学习了外国人好的运维习惯。事后我问自己，为什么他的IDS那么好，安全加固也做的非常好，还是给我留了机会呢？你可能也会问，我之前不是说linux系统安全性比windows好太多吗？怎么又举了个反例推翻自己的论点呢？其实我毫不隐讳的说，能让我拿到这个服务器的权限，不是系统本身的漏洞，也不是SA的权限错误配置，更不是低级的弱口令，是在应用程序上的问题，从这个事情以后，我对linux系统安全问题有了更全面的认识，系统本身加固是不够的，应用程序还要对代码严格审计，所以之后的工作中，我都会从以下几个方面去考虑和实施：系统进行裁剪和定制，增加或者删除内核模块，避免因为冗余kernel模块影响性能和存在可能的潜在漏洞，即使更新软件版本，严格定义用户权限，文件权限，对普通用户操作进行审计，对代码进行审计，IDS严格监控。

总之linux是一本读不完的书，也许随着不同年龄的增长，我可以学到不同的东西，收获不同的体会。

本文出自 “老徐的私房菜” 博客，谢绝转载！