2007年9月6日 星期四

遠端連線的黑暗技(SSH Tunnel)

4 則留言:
記得筆者在遠端登入的優缺點一文中,提過SSH的連線!其實它還有不為人知的應用

但這些應用不一定是正面的,我僅做些許介紹,以免造成許多管理者的困擾,在此要感謝一下,教我的老師CASPER,告訴我們這一招SSH Tunnel(可怕黑暗技


接著我們就來看看SSH Tunnel的威力吧!...

其實ssh在Linux或文字介面模式中,是遠端登入很常見的一種協議,如果你是這一類的愛好者,對這個名詞就一定不會陌生,它的好處就是傳送的資料都是經過加密處理,不是明碼傳送的喔!

它除了可以加密之外,事實上還有很多應用層面,今天我要提的就是比較不一樣的黑暗技(因為它可以用來突破網管的限制...= =+)

舉例來說,如果公司不讓你收外部的信件時,除了透過外部主機之外(WEB MAIL),也可以利用ssh tunnel來達成

筆者就先粗略的說明一下ssh tunnel的意義,其實它就很類似VPN的用途,就是先透過ssh的加密連線,登入了遠端的主機之後,就在這兩台電腦之間建立一個資料流通道

所以,在你透過ssh tunnel與遠端主機連線之後,就可以透過這個通道,把你本來要在本機端做的服務,轉嫁到遠端主機上來做(如此一來,網管就管不著了...),其實真的要管還是可以鎖住的,但是會衍生出更多問題

使用的方式如下:

硬體:兩台電腦主機(都能上網,這應該很簡單)
軟體:兩台都具備ssh功能(遠端需可接受ssh連線)
條件:ssh的port(22)能通、並具備相當的使用權

指令:A連線B的ssh tunnel:ssh -L port:B的IP:port B的IP
  (A-IP:192.168.1.99;B-IP:192.168.1.100)
      本端port        遠端主機IP
       ↓            ↓
 例:ssh -L 80:192.168.1.100:80 192.168.1.100
     ↑      ↑      
     參數  透過遠端主機的port

說明:建立一條從192.168.1.99到192.168.1.100的通道(本機端80 PORT與遠端主機 80 PORT透過此通道連結)

如果B主機是一台WEB SERVER(開啟80 PORT),在A電腦(192.168.1.99)的瀏覽器鍵入:http://127.0.0.1(127.0.0.1為本機端預設IP,但是A電腦並無WEB服務),這個http的request(要)會透過ssh的22 port連接到B電腦(192.168.1.100)的80 port

所以,你就會在A電腦上看見B電腦的WEB首頁(代表你建立的ssh tunnel已成功),這種ssh tunnel的方式除了WEB之外,VNC(5900~5906)或是MAIL(110-POP3、25-SMTP)都可以,除了FTP不行(因為FTP會使用20、21和隨機開啟的PORT)

不過一般WINDOWS並不具備ssh client,所以可以透過putty(中文化的pietty)、或是OpenSSH for Windows(Binary Installer Releases --> 下載setupssh381-20040709.zip使用,即可透過DOS COMMAND模式做ssh連線)

其它的應用就請大家自行鑽研囉!(黑暗技別亂用!很容易出事...)

那管理者要怎麼避免這一類的情事發生呢?把PORT封住就可以了嗎?!(除非你都不開port,不然...有的連80 port都能鑽)

但在多人多工的主機上,開ssh的port又是必要的便民措施(如果以Linux為作業主軸),當然可以透過過濾封包的方式找出這一類的資料流(該種軟體的價位一點都不便民呀!),這就是大開方便之門的風險!

補充:其實有人也透過類似的方法,突破封鎖,做其它的應用(online game或其它事...),所以我僅做基本介紹,不然我可能會被網路管理者拖去打(我是無辜的,是CASPER教我的,哈!拖老師下水)

2007年9月5日 星期三

全球的駭客戰(Global War of Hacker)

8 則留言:
最近有很多關於駭客入侵何處的政府機構(中德、中美...等),由此看來,因為網際網路的發展快速,也讓這一類的攻擊變成跨國界的情事,新聞內容如下:

ETTODAY:原文連結(會隨時間被拿掉)
駭客侵入美國防部竊資料 中國解放軍主謀?
2007/09/04 15:28 記者蔡慧萱/編譯

(節錄部份內容)
根據「金融時報」(Financial Times)的報導,美國國防部五角大廈今年6月遭到駭客入侵下載政府檔案,而且經過美國調查,這群駭客有可能就是中國大陸解放軍。這個消息在中國國家主席胡錦濤6日和布希會面之前披露,時機相當敏感。...略

美國在線中文:原文連結(會隨時間被拿掉)
中國駭客大規模入侵德政府(組圖)
發佈時間:2007-08-27 18:20:56 【來源:明鏡週刊】

(節錄部份內容)
報導引述德國情報單位“聯邦憲法保護局”的報告說,今年五月起,聯邦總理府、外交部、經濟部、學術研究部等政府部門的電腦內,發現來自中國蘭州、廣東和北京的木馬程式,夾帶在Word和Powerpoint的檔案,意圖竊取機密,幕後黑手指向中國人民解放軍的情報單位。

(以上為新聞內容,非本人杜撰...)

或許用全球性來說也不為過(每次一有殺傷力強大的病毒,往往是計算全球的損失),除了少數網路不一定能夠深及的地區(非洲大陸、熱帶雨林...等)

不過,有一點值得我們正視,如果駭客從個人行為,提升成團體、企業或是國家級(其實網路戰就有類似的目標,例:愛沙尼亞的網路戰),可能就變成一種隱性的軍備競賽

雖然有人會說,那都是電影裡才會有的情節(例:DIE HARD 4.0)可是現在的情勢看來,並非只有電影中才會出現

讓我們回頭想想我們現在的安全性真的夠好嗎?

還記得好幾年前,總統府首頁被置換亂發新聞稿、甚至是宣布愚人節放假一天(請自行Google一下,就會看到很多歷史的痕跡)

雖然現在網頁可能已經改成每X秒就會RELOAD一次,或是教給專業機構代管(中研院),不管是何種手段,都可以看出資訊安全在台灣是屬於「亡羊補牢」這一類(上至政府、下至中小企業都有可能、個人用戶有時反而積極...)

往往是挖東牆補西牆(就整體資源來說),如果是國家級介入的話,原本是無國界的網路,反而開始成為另一種劃清界線的範疇(例:X盾計畫

先不論那些新聞最後的結果如何,我們知道現在政府機構重度依賴電子文件,所以很有可能會受到外部駭客的影響,讓原有的運行模式被中斷(有時非電子化文件,有一定的必要性),這一點對於任何事都追求效率的機構或單位...這是癡人說夢吧!

那加強資訊安全的稽核呢?

反觀一下自己公司、企業、甚至是政府機構,現在的資訊人員大多以約聘或是外包來維護公司內部的資訊設備(就算有正式職員,數量也絕對不足以處理所有相關事宜),又要如何即時鞏固自身的安全呢?

這是跟本地的民情有關、還是跟主事者對於這些事情的看法不同而定呢?

如果,那一天駭客戰真的開打,現在的防護真的足以支撐嗎?還是我們已經做好了準備?(答案...大家心裡有數!)

現在資訊安全的重要性,真的很薄弱,要主事者能夠體會,我想還是得要發生重大事故(有人被殺頭、或是影響整體運作),才有可能會應此而有所變化!畢竟資安這條路,不是嘴上說說而已,總是要能實際為體系「賺錢」才會被重視呀!

還是,因為主事者看見了這些駭客的新聞後會覺醒?(哈!當我沒說...)

2007年9月4日 星期二

免費防毒程式的隱憂(Free Anti-Virus Software)

3 則留言:
有上網的電腦,誰沒有裝防毒軟體呢?應該絕大多數的人都有安裝,除非你不在乎自己電腦的使用權(除非你是想要刻意製作誘補系統...)

所以,現在防毒軟體的採用已經漸漸成型,至少在資安部份是件好事,可是...真的用錢去購買相關軟體的人有多少?(排除公司企業的授權數量)

絕大多數人還是會著眼於免費的防毒軟體,其中包括有名的AVS(美國AOL提供的掃毒軟體,現與MCAFEE合作)、ANTIVIR(德國的防毒軟體)、線上掃毒或試用版皆有,不過它卻也帶來了許多的隱憂,使用前請三思!

使用這些防毒程式的隱憂是什麼呢?

其實說穿了!天下沒有白吃的午餐,那就是在你下載過程中,它們都會要求你留下有效的電子郵件信箱,可以讓它們寄送授權碼(一般來說可用一年),不過在你下載使用的同時,其實在合約內容中已經允諾它們可以收集你的電子郵件信箱

所以垃圾信(SPAM)也會如雪片般飛來(還有很多是來自英語系的國家,這一點與那些垃圾信寄送者收集信箱的手段有關)

在使用的時候往往會造成另一方面的困擾,除非你像我一樣,用一個只收不寄的信箱來收認證信,否則很難避免(哥哥有練過的!^.^哈

除了廣告信之外,其實還有一些問題在,其中可以分兩個層面來看,一個是技術面,一個是現實面,其實這些都是拜「免費」兩字所賜

技術面:

1.免費的功能大多為正式版的閹割版(不然正式版賣給誰?)
2.通常防火牆防毒功能只能則一(兩者很難皆有)
3.防毒碼及程式更新較(免費的不要嫌太多)
4.耗費電腦的資源較多(這一點常為人所垢病)

現實面:
1.提供服務的停止(無預警的停用)
2.服務上的不連續(版本更新、換廠商)

為什麼我今天會提到這一點呢?其實是有一段小故事的!

筆者有使用AOL的AVS的防毒軟體,話說它在跟MCAFEE合作前,還提供了新版本的AVS,之後在非常快的速度宣布與MCAFEE合作,所以原本使用AVS的孤兒就成了沒辦法用的可憐人(這就是使用免費軟體最大的痛,不過也是很正常的事)

那這些原本用AOL就會發現...自己到2007/8/31之後就再也沒有辦法更新病毒碼(通常也是此時才會發現自己的防毒軟體,其實已經不再被支援了!),至於有沒有發信通知就不得而知了!至少我沒有收到

所以,我今天才分享一下在使用這一類的防毒軟體時可能會發生的現象,不過僅是個案,並不代表所有免費防毒軟體皆如此

那...真的沒有辦法解決了嗎?我們原本得到的授權都還沒到期耶!

哈!經過筆者的測試...只要你在那短短幾天內,有下載到AVS的更新版本(AVS_v25.exe),會有KASPERSKY數位簽章(2007年4月6日下午08:46:37),把原本舊的AVS覆蓋掉之後,就又可以繼續更新了!話又說回來...又有幾個人在那短短幾天有載到呢?(小聲說:我有...

如果有人能提供其它的解決方法,當然也歡迎提供分享喔!

2007年9月3日 星期一

WP快速安裝(Installation of Wordpress)

2 則留言:
筆者先前所寫「淚灑部落格(Tears of Blog)」一文中,有提到一個自行架設的平台WordPress,其實現在它算是極熱門的一種部落格(更早之前有Movable Type

不過我還是以現在最熱門的WordPress來介紹(後面簡稱為WP)...

其實要安裝起來並不會太難,只是難在你要如何修改相關的功能、版型...等設定(這當然也牽涉到每個人的美感),所以我也僅能介紹安裝的部份,當然,其實在網路上已經可以找到不下數千種以上的說明或教學網頁(我只是以分享經驗的角度切入),如有遺漏還請各位高手指教...


首先,說明一下我設定的軟體平台:
1.OS:WIN-XPPRO-SP2或 LINUX-FEDORA6。
2.BLOG:WordPress(2.2.2)
3.Server:appserv-win32-2.5.9(FOR WIN32)LAMP
4.TOOLS:phpMyAdmin(WIN-2.10.2;LINUX-2.11.0)。
5.中文化:Kirin Lin 正體中文。

其實,筆者在兩種不同的平台上都有架設過,如果對LINUX的操作上比較不熟悉的人(小聲說:其實我也沒多熟...),筆者強烈建議採用appserv的套件來安裝(因為它把所需的套件都已包裝成一個EXE檔)

想在LINUX上安裝的,當然也不用我多說(LAMP可透過yum直接抓回來、phpMyAdmin就手動下載吧!),因此,筆者在這邊也不多說明有關Server的架設(下次有機會再說...)

其實...安裝的步驟相當簡單:

1.下載WordPress 2.2.2:視平台選擇適用的檔案:



補充:LINUX可用:#wget http://wordpress.org/latest.tar.gz(抓最新檔)

2.解壓縮、安裝:
WINDOWS:解壓縮至appserv資料夾(例:D:\AppServ\www\wordpress)
LINUX:解壓縮至Apache的預設路徑(例:/var/www/html/wordpress)

補充:
1.LINUX解壓縮:#tar zxvf wordpress-2.2.2.tar.gz。
2.可更改資料夾名稱,如wordpress --> blog(方便之後連結上的管理)。

3.設定檔:將資料夾中的 wp-config-sample.php,另存為wp-config.php再修改

利用文字編輯器,更改其中的相關內容:(紅字部份新增設定...)

define('DB_NAME', 'wp'); 資料庫名稱
define('DB_USER', 'root');資料庫使用者
define('DB_PASSWORD', 'test');使用者密碼
define('DB_HOST', 'localhost');維持預設即可
define('DB_CHARSET', 'utf8');維持預設即可
define ('WPLANG', 'zh_TW');加入中文語系

4.利用phpMyAdmin建立一個名為wp的資料庫:



PS:建立資料庫時,注意「校對」需為 utf8_general_ciutf8_unicode_ci(多謝kirin的指導與提醒
,因為我phpMyAdmin安裝完的預設校對即為 utf8_unicode_ci,所以遺漏了這項說明

5.下載中文化語系檔:

請至Kirin Lin 正體中文 WordPress(下載左方的WordPress2.2.2)
解壓縮將zh_TW.mo和zh_TW.po置於:..\wordpress\wp-content\languages\

6.繼續安裝:開啟http://localhost/wordpress/(圖片版)

(1)會看見一個未安裝的訊息:點選install.php


(2)說明文件:


(3)輸入標題與電子郵件信箱:


(4)記住帳號、密碼:(之後可更改成自己熟記的)


(5)登入:


(6)管理頁面:


(7)完成後的首頁:


辛苦的裁圖作業,終於完成了這篇教學文,不過裡面可能還有一些其它的問題(例:phpMyAdmin的安裝、LAMP的安裝...等),有興趣的人可以留言討論

針對這教學文有其它建議或是指教(筆者也怕有不足之處),歡迎來信或留言告知,最後希望這篇文章可以解決一些想要自己安裝部落格,卻一直很難上手的朋友!

2007年8月31日 星期五

淚灑部落格(Tears of Blog)

沒有留言:
現在不論男女老少,只要是喜歡上網+愛寫東西(無論是放心情、日記、分享...),應該都有自己的部落格(BLOG),當然也有許多是申請相簿送部落格、留言版...

還記得筆者之前寫過部落格的功能性一文中,提到一大堆相關的內容,雖然還在持續增加中(我是亂入魔人),但是有的時候會發現原有的功能突然失效...

那時候不是只有掃興而已,很有可能因此萌生退意,離開這片原有的天空

不過,就算想要離開,也不是這麼簡單的一件事,因為你辛苦建立的文字王國怎麼辦,帶得走嗎?衍生的問題就變成了部落客(Blogger)最頭痛的問題...

其實筆者原先也嘗試過要把我原本在無名(Wretch)的文字帶去別的地方(它們有提供下載xml的資料,至少可以把文字的部份備份出來),但是要怎麼匯入到其它的平台上呢?

我也到處去註冊、嘗試把原有的內容匯至新家(當時是 Pixnet),雖然可以把文字的部份匯入,但是原本舊有的圖是無法跟著一起過來的,雖然xml裡有包著原圖的link

但是各平台中能置入圖片的方法,經常都只限自己平台內的圖片(事實是可以匯入,但是要有專人推薦或是入會才具備的進階功能),這對於我這種圖片經常四散的人來說...明顯是個大麻煩

所以我放棄直接搬運的大工程,就跑來這什麼都要自己動手的地方(自找的...)

不過,從這裡我們也可以看出,其實我們這些寫部落格的寫手們,一個永遠的痛(隨時都有可能被迫搬家),除非你的流量能大到讓平台主有廣告效益(例:彎彎的部落格流量破,這是什麼數字呀!@.@")

如果不想隨時被趕來趕去,或是可能突然什麼功能消失的話,相對的也要付出一點代價(有錢萬事通),可以租個網路主機,或是自己在家用那有限的頻寬(筆者用Fttb也不敢這樣做)架設一個BLOG(例:現在很熱門的WordPress,簡單上手...後面自己想辦法!)

無論你是使用何種方式架設,相對的都要付出一筆費用(租借費、電費、設備維護費...),這就視狀況而定囉!(小聲說:筆者沒財力所以只能躲在大公司底下的小空間裡)

如果各位部落客執意要搬原有的內容,就要有很大的決心(砍掉重練,很多都要手動的喔!),其中要注意的有什麼呢?筆者就大概列出幾點:

1.相關設定:流量的計數、RSS訂閱、特定功能的ID或連結...等。
2.文字連結:XML檔是以文字模式匯出,故舊有的連結會消失。
3.圖片尺寸:原部落格中的圖片,不一定適用於新的平台(視版型而定)。
4.搬移公告:首頁加上醒目的搬家公告(可語法轉向,但平台通常不支援)。
5.其它:很閒的話可在舊部落格內的每篇文章中,加入對應的連結()。

其實,應該還有很多需要注意的地方,因為每個平台在使用方面的限制上不同,我也就不加以詳述(大魚大肉、青菜蘿蔔各有所好),只是很多人在使用的過程中,難免會有抱怨,或是灰心的狀況(畢竟是免費空間,不要奢求太多!)

簡單的說,就是看妳想要怎樣的服務,在衡量一下你想付出多少的代價,再自己找個平衡點吧!這其實沒有誰好誰不好,這讓筆者想到Yahoo!併購無名後,引起的騷動(帳戶整合重新認證...)

其實,平台提供的「固有服務」愈少,相對於部落客來說,能夠外加的內容就愈多,反之亦然,在你使用一切都已經圖形套件化的同時,相對失去了可調整的空間(不然就是用錢換功能),這才是我這一篇要說的重點(也是我為何搬來的原因)

雖然,舊有的外加功能可能會隨著平台的更新而失效(會亂一陣子),不過,很快就會有人釋出解決之道,除此之外,部落客本身也可以當作多看多學(筆者有慘痛的經驗...)

在淚灑部落格的時候,其實對於寫手本身,也是另一種不同的成長吧!(只要能夠忍住不先砸電腦的話!共勉之...>_<|||)

2007年8月30日 星期四

省電模式惹禍!?(Battery Saving)

4 則留言:
幾乎愛玩電腦的人,可能都會有一台價格不斐玩具,那就是筆記型電腦(NB),不過因為它有一些先天性的障礙,導致使用起來有很多不一樣的地方

例如:設計有省電的需求(為了行動力)、硬體散熱較差(大小的考量)、效能會比桌上型PC弱(硬體架構的影響)...等,但是有什麼是無法忍受的呢?

昨天跟朋友討論的結果,Attila在今早發了一篇有關於無線網卡電源管理造成瞬斷一文(原文連結),我也來說說省電模式的影響吧!

其實我們知道現在省電模式的用途很多,不管是在PC上或是NB上都有很多省電的模式,其中很有名的有AMD在NB用的Cool'n'Quiet(或整合為OPM)或PC用的POWER NOW!、INTEL
P4用的SPEED STEP

其中的細節筆者就不加詳述(已附上相關連結!),簡單的說起來就是降低CPU時脈來達到省電的功能,其中不外乎客制化的省電技術(例:ASUS的Power4 Gear+、GIGABYTE的EIST...等),其實也都是利用相同的方式來達到省電的效果

除此之外,作業系統也有相關的省電設計,只是做法就不一樣了,通常是利用電源管理,或是停用某些裝置來達到特別的效果(例:網路卡),雖然它是好意,可是在不同環境下,卻有相當不同的考量

電源管理:控制台-->電源選項-->電源配置



裡面就有很多預設的選項,這些選項就依照狀況做調整(說實話,應該極少數人會在這裡調整吧!)

其實有時候在利用電腦打game的同時,會關閉螢幕或是中斷就跟電源選項或是營幕保護程式有關,如果是外接搖桿(沒有用鍵盤滑鼠)電腦就會自動判定該省電囉!(orz...太聰明嗎?)

停用網卡:控制台-->系統-->硬體-->裝置管理員-->網路介面卡-->電源管理



這裡就可以決定是否要讓作業系統能關閉網卡的電源,這樣聽起來好像沒有什麼大不了的,可是你確定知道作業系統何時會關閉它的電源嗎?或是套用其他省電模式時會有何種影響?(例:Power4 Gear+...等)

其實它主要的功能是用在系統待命時(電源配置中有此選項),是否也同時關閉網卡的電源,這一點就有可能會造成無線網卡的瞬斷

其實,Attila在文章中的內容,其實就是屬於INTEL的PSP省電技術(Power Save Polling),一旦它套用在無線網卡這種較為敏感的設備上,就會造成瞬斷

所以,才需要利用手動的方式,調整優先權及相關設定,更何況是拿NB當桌機用的人,更應該要如此吧!否則應該沒有人可以忍受瞬斷的狀況吧!

不過,省電模式的優劣,其實還是視狀況而定沒有絕對的!

例如:文書處理上網需要CPU全速運作、在處理影像多媒體製作時自動開啟省電模式(降低時脈)應該都是種浪費(前者能源、後者時間

看大家怎麼調校設定與形態,只能說...電腦是要用來惡整的呀!(笑)

2007年8月29日 星期三

LPI心得筆記簿 ─ 使用者管理(Manage Users)(2)

沒有留言:
筆者先前寫了有關於使用者管理(1)的心得筆記,現在來把一些比較特殊的用法也補上,雖然說這些用法不一定都用得著,可是多瞭解一點也沒有壞處,不是嗎?

更何況,有時候特別的用法在管理時,還是可以發揮出一定的功效...

雖然不太好上手,用久了還是可以讓這些成為技能中的一部份

其實,我在這裡也不是要介紹所有跟他們有關的參數,如果真的想要知道它相關的參數,可能利用man或help文件來查閱,可能會比筆者寫的詳細

useradd的其它參數:useradd [參數] username

常用的參數說明如下:

-g:設定gid(主要群組ID)
-G:增補群組ID(同時成為其它群組中的一員)
-s:設定shell(如bash...等)
-u:設定uid(使用者ID)
-d:設定使用者家目錄
-c:說明(跟/etc/passwd中的第五個欄位相同)
-e:帳戶到期日
-f:帳戶失效日

特殊用法-D(改變預設值)
說明:可以改變預設值的設定(之後新增的使用者皆套用此設定)
設定檔:/etc/default/useradd

useradd -D:查看現在的預設值(內容與/etc/default/useradd相同)
/etc/default/useradd 的內容如下
---------
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=
SHELL=/bin/bash
SKEL=/etc/skel
---------

常用的參數說明:用法useradd -D [參數] username

-b:定義家目錄的前一個目錄
-s:往後加入的使用者使用的shell名稱(bash、nologin...)

這部份的附加設定是新增帳號時不增加對應的mailbox,就在此檔案中加入一條規則:CREATE_MAIL_SPOOL=no(預設的mailbox在/var/spool/mail)

gpasswd的用法(主要是用來設定群組密碼時使用)

用法:gpasswd [參數] (username) group

常用的參數說明如下:

-a:新增群組成員(例:gpasswd -a abc test --> 將abc加入test的群組中)
-d:移除群組成員(例:gpasswd -d 123 test --> 將123移出test的群組中)
-r:取消群組的密碼(一般在預設值中,不會特別加上密碼)
-R:禁止任何非群組成員利用newgroup做群組更換
  (例:gpasswd -R test ; 123$ newgroup test-->無法切換至test群組)

除了上述的常用參數與指令之外,其實也可以利用usermod來修改相關內容(用法:usermod [參數] username),其中的參數用法與useradd相同

例:usermod -s /sbin/nologin test(設定test的shell為/sbin/nologin)

然而,還有一些比較少用,或是特殊狀況下才應用得到的指令,例:pwconv、pwunconv、grpconv、grpunconv等(使用時機視狀況而定)

指令的意義如下:
pwconv/pwunconv:做passwd/shadow中的密碼欄互換
grpconv/grpunconv:做gpasswd/gshadow中的密碼欄互換

最後,筆者要提醒一下管理者/使用者在設定密碼時需注意的事項
1.密碼不該是身邊任何可見的字:很好猜...。
2.長度須足夠:Fedora有強制的長度限制為6個字元(root不在此限)。
3.組合不同類型的字元:英數+特殊符號(例:23^#xd@)。
4.不要用完整的英文字:可用字典檔破解法。
5.不要所有系統都用相同密碼:一破全開(這一點很難...唉)。
6.定期變更密碼:設定使用者密碼的到期日。
7.設定一個記得住的密碼:其實這一點會跟第5點矛盾。

其它的部份,還請各位Linux的愛好者補上吧!畢竟筆者一人能做的部份有限,如果有誤的部份,還請各位指正說明,謝謝!