12、OpenBSD 用户管理全攻略

OpenBSD 用户管理全攻略

1. 用户管理概述

在当今数字化时代，系统安全至关重要。虽然网络入侵常常成为新闻焦点，但系统管理员面临的最大安全威胁往往来自系统内部的用户。这些用户可能并非恶意地将数据泄露给犯罪集团，但心怀不满或能力不足的用户一旦有机会，就可能导致服务器崩溃，这种情况更多是出于无知而非恶意。

安全可理解为保密性、完整性和可用性的结合。拥有不受限制系统访问权限的用户可能会对安全造成损害。因此，对用户账户进行适当管理是系统管理员的一项重要任务，包括添加、删除、配置和修改用户账户。

2. 根账户的使用

2.1 避免日常使用根账户

近年来，在单用户系统中使用特权根账户进行日常任务的趋势有所增加。然而，使用特权账户阅读邮件和浏览网页会增加因用户错误和恶意攻击带来的风险。普通用户的粗心按键可能只会导致权限拒绝错误，而根用户的相同操作可能会使系统无法使用并破坏所有数据。

即使你是 OpenBSD 系统的唯一用户，日常任务也应使用非特权用户账户。如果入侵者攻破了非特权账户，潜在损害仅限于该用户的权限范围。但如果被攻破的是处理系统管理任务的账户，入侵者可能会对系统造成无限损害。

2.2 最小权限原则

执行任务时应使用所需的最低权限级别。例如，OpenBSD 的 Web 服务器以特定用户 www 运行，而非根用户。如果入侵者攻破 Web 服务器并以 www 用户身份访问系统，他只能损坏 www 用户有权限写入的文件。同样，若 Web 服务器软件进入错误状态并随机删除文件，此原则也能限制其可删除的文件范围。

给予每个用户特权访问的操作系统会因此产生更多问题