遠端連線的黑暗技（SSH Tunnel）

記得筆者在遠端登入的優缺點一文中，提過SSH的連線！其實它還有不為人知的應用

但這些應用不一定是正面的，我僅做些許介紹，以免造成許多管理者的困擾，在此要感謝一下，教我的老師CASPER，告訴我們這一招SSH Tunnel（可怕黑暗技）


接著我們就來看看SSH Tunnel的威力吧！...

其實ssh在Linux或文字介面模式中，是遠端登入很常見的一種協議，如果你是這一類的愛好者，對這個名詞就一定不會陌生，它的好處就是傳送的資料都是經過加密處理，不是明碼傳送的喔！

它除了可以加密之外，事實上還有很多應用層面，今天我要提的就是比較不一樣的黑暗技（因為它可以用來突破網管的限制...= =+）

舉例來說，如果公司不讓你收外部的信件時，除了透過外部主機之外（WEB MAIL），也可以利用ssh tunnel來達成

筆者就先粗略的說明一下ssh tunnel的意義，其實它就很類似VPN的用途，就是先透過ssh的加密連線，登入了遠端的主機之後，就在這兩台電腦之間建立一個資料流通道

所以，在你透過ssh tunnel與遠端主機連線之後，就可以透過這個通道，把你本來要在本機端做的服務，轉嫁到遠端主機上來做（如此一來，網管就管不著了...），其實真的要管還是可以鎖住的，但是會衍生出更多問題

使用的方式如下：

硬體：兩台電腦主機（都能上網，這應該很簡單）
軟體：兩台都具備ssh功能（遠端需可接受ssh連線）
條件：ssh的port（22）能通、並具備相當的使用權

指令：A連線B的ssh tunnel：ssh -L port:B的IP:port B的IP
　　（A-IP：192.168.1.99；B-IP：192.168.1.100）
　　　　　　本端port　　　　　　　　遠端主機IP
　　　　　　 ↓　　　　　　　　　　　　↓
　例：ssh -L 80:192.168.1.100:80 192.168.1.100
　　　　　↑　　　　　　↑　　　　　　
　　　　 參數　　透過遠端主機的port

說明：建立一條從192.168.1.99到192.168.1.100的通道（本機端80 PORT與遠端主機 80 PORT透過此通道連結）

如果B主機是一台WEB SERVER（開啟80 PORT），在A電腦（192.168.1.99）的瀏覽器鍵入：http://127.0.0.1（127.0.0.1為本機端預設IP，但是A電腦並無WEB服務），這個http的request（要）會透過ssh的22 port連接到B電腦（192.168.1.100）的80 port

所以，你就會在A電腦上看見B電腦的WEB首頁（代表你建立的ssh tunnel已成功），這種ssh tunnel的方式除了WEB之外，VNC（5900~5906）或是MAIL（110-POP3、25-SMTP）都可以，除了FTP不行（因為FTP會使用20、21和隨機開啟的PORT）

不過一般WINDOWS並不具備ssh client，所以可以透過putty（中文化的pietty）、或是OpenSSH for Windows（Binary Installer Releases --> 下載setupssh381-20040709.zip使用，即可透過DOS COMMAND模式做ssh連線）

其它的應用就請大家自行鑽研囉！（黑暗技別亂用！很容易出事...）

那管理者要怎麼避免這一類的情事發生呢？把PORT封住就可以了嗎？！（除非你都不開port，不然...有的連80 port都能鑽）

但在多人多工的主機上，開ssh的port又是必要的便民措施（如果以Linux為作業主軸），當然可以透過過濾封包的方式找出這一類的資料流（該種軟體的價位一點都不便民呀！），這就是大開方便之門的風險！

補充：其實有人也透過類似的方法，突破封鎖，做其它的應用（online game或其它事...），所以我僅做基本介紹，不然我可能會被網路管理者拖去打（我是無辜的，是CASPER教我的，哈！拖老師下水）

全球的駭客戰（Global War of Hacker）

最近有很多關於駭客入侵何處的政府機構（中德、中美...等），由此看來，因為網際網路的發展快速，也讓這一類的攻擊變成跨國界的情事，新聞內容如下：

ETTODAY：原文連結（會隨時間被拿掉）
駭客侵入美國防部竊資料　中國解放軍主謀？
2007/09/04 15:28 記者蔡慧萱／編譯

（節錄部份內容）
根據「金融時報」(Financial Times)的報導，美國國防部五角大廈今年6月遭到駭客入侵下載政府檔案，而且經過美國調查，這群駭客有可能就是中國大陸解放軍。這個消息在中國國家主席胡錦濤6日和布希會面之前披露，時機相當敏感。...略

美國在線中文：原文連結（會隨時間被拿掉）
中國駭客大規模入侵德政府(組圖)
發佈時間:2007-08-27 18:20:56 【來源:明鏡週刊】

（節錄部份內容）
報導引述德國情報單位“聯邦憲法保護局”的報告說，今年五月起，聯邦總理府、外交部、經濟部、學術研究部等政府部門的電腦內，發現來自中國蘭州、廣東和北京的木馬程式，夾帶在Word和Powerpoint的檔案，意圖竊取機密，幕後黑手指向中國人民解放軍的情報單位。

（以上為新聞內容，非本人杜撰...）

或許用全球性來說也不為過（每次一有殺傷力強大的病毒，往往是計算全球的損失），除了少數網路不一定能夠深及的地區（非洲大陸、熱帶雨林...等）

不過，有一點值得我們正視，如果駭客從個人行為，提升成團體、企業或是國家級（其實網路戰就有類似的目標，例：愛沙尼亞的網路戰），可能就變成一種隱性的軍備競賽

雖然有人會說，那都是電影裡才會有的情節（例：DIE HARD 4.0）可是現在的情勢看來，並非只有電影中才會出現

讓我們回頭想想我們現在的安全性真的夠好嗎？

還記得好幾年前，總統府首頁被置換、亂發新聞稿、甚至是宣布愚人節放假一天（請自行Google一下，就會看到很多歷史的痕跡）

雖然現在網頁可能已經改成每X秒就會RELOAD一次，或是教給專業機構代管（中研院），不管是何種手段，都可以看出資訊安全在台灣是屬於「亡羊補牢」這一類（上至政府、下至中小企業都有可能、個人用戶有時反而積極...）

往往是挖東牆補西牆（就整體資源來說），如果是國家級介入的話，原本是無國界的網路，反而開始成為另一種劃清界線的範疇（例：X盾計畫）

先不論那些新聞最後的結果如何，我們知道現在政府機構重度依賴電子文件，所以很有可能會受到外部駭客的影響，讓原有的運行模式被中斷（有時非電子化文件，有一定的必要性），這一點對於任何事都追求效率的機構或單位...這是癡人說夢吧！

那加強資訊安全的稽核呢？

反觀一下自己公司、企業、甚至是政府機構，現在的資訊人員大多以約聘或是外包來維護公司內部的資訊設備（就算有正式職員，數量也絕對不足以處理所有相關事宜），又要如何即時鞏固自身的安全呢？

這是跟本地的民情有關、還是跟主事者對於這些事情的看法不同而定呢？

如果，那一天駭客戰真的開打，現在的防護真的足以支撐嗎？還是我們已經做好了準備？（答案...大家心裡有數！）

現在資訊安全的重要性，真的很薄弱，要主事者能夠體會，我想還是得要發生重大事故（有人被殺頭、或是影響整體運作），才有可能會應此而有所變化！畢竟資安這條路，不是嘴上說說而已，總是要能實際為體系「賺錢」才會被重視呀！

還是，因為主事者看見了這些駭客的新聞後會覺醒？（哈！當我沒說...）

免費防毒程式的隱憂（Free Anti-Virus Software）

有上網的電腦，誰沒有裝防毒軟體呢？應該絕大多數的人都有安裝，除非你不在乎自己電腦的使用權（除非你是想要刻意製作誘補系統...）

所以，現在防毒軟體的採用已經漸漸成型，至少在資安部份是件好事，可是...真的用錢去購買相關軟體的人有多少？（排除公司企業的授權數量）

絕大多數人還是會著眼於免費的防毒軟體，其中包括有名的AVS（美國AOL提供的掃毒軟體，現與MCAFEE合作）、ANTIVIR（德國的防毒軟體）、線上掃毒或試用版皆有，不過它卻也帶來了許多的隱憂，使用前請三思！

使用這些防毒程式的隱憂是什麼呢？

其實說穿了！天下沒有白吃的午餐，那就是在你下載過程中，它們都會要求你留下有效的電子郵件信箱，可以讓它們寄送授權碼（一般來說可用一年），不過在你下載使用的同時，其實在合約內容中已經允諾它們可以收集你的電子郵件信箱

所以垃圾信（SPAM）也會如雪片般飛來（還有很多是來自英語系的國家，這一點與那些垃圾信寄送者收集信箱的手段有關）

在使用的時候往往會造成另一方面的困擾，除非你像我一樣，用一個只收不寄的信箱來收認證信，否則很難避免（哥哥有練過的！^.^哈）

除了廣告信之外，其實還有一些問題在，其中可以分兩個層面來看，一個是技術面，一個是現實面，其實這些都是拜「免費」兩字所賜

技術面：
1.免費的功能大多為正式版的閹割版（不然正式版賣給誰？）
2.通常防火牆與防毒功能只能則一（兩者很難皆有）
3.防毒碼及程式更新較慢（免費的不要嫌太多）
4.耗費電腦的資源較多（這一點常為人所垢病）

現實面：
1.提供服務的停止（無預警的停用）
2.服務上的不連續（版本更新、換廠商）

為什麼我今天會提到這一點呢？其實是有一段小故事的！

筆者有使用AOL的AVS的防毒軟體，話說它在跟MCAFEE合作前，還提供了新版本的AVS，之後在非常快的速度宣布與MCAFEE合作，所以原本使用AVS的孤兒就成了沒辦法用的可憐人（這就是使用免費軟體最大的痛，不過也是很正常的事）

那這些原本用AOL就會發現...自己到2007/8/31之後就再也沒有辦法更新病毒碼（通常也是此時才會發現自己的防毒軟體，其實已經不再被支援了！），至於有沒有發信通知就不得而知了！至少我沒有收到

所以，我今天才分享一下在使用這一類的防毒軟體時可能會發生的現象，不過僅是個案，並不代表所有免費防毒軟體皆如此

那...真的沒有辦法解決了嗎？我們原本得到的授權都還沒到期耶！

哈！經過筆者的測試...只要你在那短短幾天內，有下載到AVS的更新版本（AVS_v25.exe），會有KASPERSKY的數位簽章（2007年4月6日下午08:46:37），把原本舊的AVS覆蓋掉之後，就又可以繼續更新了！話又說回來...又有幾個人在那短短幾天有載到呢？（小聲說：我有...）

如果有人能提供其它的解決方法，當然也歡迎提供與分享喔！

WP快速安裝（Installation of Wordpress）

筆者先前所寫「淚灑部落格（Tears of Blog）」一文中，有提到一個自行架設的平台WordPress，其實現在它算是極熱門的一種部落格（更早之前有Movable Type）

不過我還是以現在最熱門的WordPress來介紹（後面簡稱為WP）...

其實要安裝起來並不會太難，只是難在你要如何修改相關的功能、版型...等設定（這當然也牽涉到每個人的美感），所以我也僅能介紹安裝的部份，當然，其實在網路上已經可以找到不下數千種以上的說明或教學網頁（我只是以分享經驗的角度切入），如有遺漏還請各位高手指教...


首先，說明一下我設定的軟體平台：
1.OS：WIN-XPPRO-SP2或 LINUX-FEDORA6。
2.BLOG：WordPress（2.2.2）。
3.Server：appserv-win32-2.5.9（FOR WIN32）或LAMP。
4.TOOLS：phpMyAdmin（WIN-2.10.2；LINUX-2.11.0）。
5.中文化：Kirin Lin 正體中文。

其實，筆者在兩種不同的平台上都有架設過，如果對LINUX的操作上比較不熟悉的人（小聲說：其實我也沒多熟...），筆者強烈建議採用appserv的套件來安裝（因為它把所需的套件都已包裝成一個EXE檔）

想在LINUX上安裝的，當然也不用我多說（LAMP可透過yum直接抓回來、phpMyAdmin就手動下載吧！），因此，筆者在這邊也不多說明有關Server的架設（下次有機會再說...）

其實...安裝的步驟相當簡單：

1.下載WordPress 2.2.2：視平台選擇適用的檔案：



補充：LINUX可用：#wget http://wordpress.org/latest.tar.gz（抓最新檔）

2.解壓縮、安裝：
WINDOWS：解壓縮至appserv資料夾（例：D:\AppServ\www\wordpress）
LINUX：解壓縮至Apache的預設路徑（例：/var/www/html/wordpress）

補充：
1.LINUX解壓縮：#tar zxvf wordpress-2.2.2.tar.gz。
2.可更改資料夾名稱，如wordpress --> blog（方便之後連結上的管理）。

3.設定檔：將資料夾中的 wp-config-sample.php，另存為wp-config.php再修改

利用文字編輯器，更改其中的相關內容：（紅字部份為新增設定...）

define('DB_NAME', 'wp'); 資料庫名稱
define('DB_USER', 'root');資料庫使用者
define('DB_PASSWORD', 'test');使用者密碼
define('DB_HOST', 'localhost');維持預設即可
define('DB_CHARSET', 'utf8');維持預設即可
define ('WPLANG', 'zh_TW');加入中文語系

4.利用phpMyAdmin建立一個名為wp的資料庫：



PS：建立資料庫時，注意「校對」需為 utf8_general_ci或 utf8_unicode_ci（多謝kirin的指導與提醒），因為我phpMyAdmin安裝完的預設校對即為 utf8_unicode_ci，所以遺漏了這項說明

5.下載中文化語系檔：

請至Kirin Lin 正體中文 WordPress（下載左方的WordPress2.2.2）
解壓縮將zh_TW.mo和zh_TW.po置於：..\wordpress\wp-content\languages\

6.繼續安裝：開啟http://localhost/wordpress/（圖片版）

（1）會看見一個未安裝的訊息：點選install.php


（2）說明文件：


（3）輸入標題與電子郵件信箱：


（4）記住帳號、密碼：（之後可更改成自己熟記的）


（5）登入：


（6）管理頁面：


（7）完成後的首頁：


辛苦的裁圖作業，終於完成了這篇教學文，不過裡面可能還有一些其它的問題（例：phpMyAdmin的安裝、LAMP的安裝...等），有興趣的人可以留言討論

針對這教學文有其它建議或是指教（筆者也怕有不足之處），歡迎來信或留言告知，最後希望這篇文章可以解決一些想要自己安裝部落格，卻一直很難上手的朋友！

淚灑部落格（Tears of Blog）

現在不論男女老少，只要是喜歡上網+愛寫東西（無論是放心情、日記、分享...），應該都有自己的部落格（BLOG），當然也有許多是申請相簿送部落格、留言版...

還記得筆者之前寫過部落格的功能性一文中，提到一大堆相關的內容，雖然還在持續增加中（我是亂入魔人），但是有的時候會發現原有的功能突然失效...

那時候不是只有掃興而已，很有可能因此萌生退意，離開這片原有的天空

不過，就算想要離開，也不是這麼簡單的一件事，因為你辛苦建立的文字王國怎麼辦，帶得走嗎？衍生的問題就變成了部落客（Blogger）最頭痛的問題...

其實筆者原先也嘗試過要把我原本在無名（Wretch）的文字帶去別的地方（它們有提供下載xml的資料，至少可以把文字的部份備份出來），但是要怎麼匯入到其它的平台上呢？

我也到處去註冊、嘗試把原有的內容匯至新家（當時是 Pixnet），雖然可以把文字的部份匯入，但是原本舊有的圖是無法跟著一起過來的，雖然xml裡有包著原圖的link

但是各平台中能置入圖片的方法，經常都只限自己平台內的圖片（事實是可以匯入，但是要有專人推薦或是入會才具備的進階功能），這對於我這種圖片經常四散的人來說...明顯是個大麻煩

所以我放棄直接搬運的大工程，就跑來這什麼都要自己動手的地方（自找的...）

不過，從這裡我們也可以看出，其實我們這些寫部落格的寫手們，一個永遠的痛（隨時都有可能被迫搬家），除非你的流量能大到讓平台主有廣告效益（例：彎彎的部落格流量破億，這是什麼數字呀！@.@"）

如果不想隨時被趕來趕去，或是可能突然什麼功能消失的話，相對的也要付出一點代價（有錢萬事通），可以租個網路主機，或是自己在家用那有限的頻寬（筆者用Fttb也不敢這樣做）架設一個BLOG（例：現在很熱門的WordPress，簡單上手...後面自己想辦法！）

無論你是使用何種方式架設，相對的都要付出一筆費用（租借費、電費、設備維護費...），這就視狀況而定囉！（小聲說：筆者沒財力所以只能躲在大公司底下的小空間裡）

如果各位部落客執意要搬原有的內容，就要有很大的決心（砍掉重練，很多都要手動的喔！），其中要注意的有什麼呢？筆者就大概列出幾點：

1.相關設定：流量的計數、RSS訂閱、特定功能的ID或連結...等。
2.文字連結：XML檔是以文字模式匯出，故舊有的連結會消失。
3.圖片尺寸：原部落格中的圖片，不一定適用於新的平台（視版型而定）。
4.搬移公告：首頁加上醒目的搬家公告（可語法轉向，但平台通常不支援）。
5.其它：很閒的話可在舊部落格內的每篇文章中，加入對應的連結（昏）。

其實，應該還有很多需要注意的地方，因為每個平台在使用方面的限制上不同，我也就不加以詳述（大魚大肉、青菜蘿蔔各有所好），只是很多人在使用的過程中，難免會有抱怨，或是灰心的狀況（畢竟是免費空間，不要奢求太多！）

簡單的說，就是看妳想要怎樣的服務，在衡量一下你想付出多少的代價，再自己找個平衡點吧！這其實沒有誰好誰不好，這讓筆者想到Yahoo！併購無名後，引起的騷動（帳戶整合、重新認證...）

其實，平台提供的「固有服務」愈少，相對於部落客來說，能夠外加的內容就愈多，反之亦然，在你使用一切都已經圖形、套件化的同時，相對失去了可調整的空間（不然就是用錢換功能），這才是我這一篇要說的重點（也是我為何搬來的原因）

雖然，舊有的外加功能可能會隨著平台的更新而失效（會亂一陣子），不過，很快就會有人釋出解決之道，除此之外，部落客本身也可以當作多看多學（筆者有慘痛的經驗...）

在淚灑部落格的時候，其實對於寫手本身，也是另一種不同的成長吧！（只要能夠忍住不先砸電腦的話！共勉之...>_<|||）

省電模式惹禍！？（Battery Saving）

幾乎愛玩電腦的人，可能都會有一台價格不斐的玩具，那就是筆記型電腦（NB），不過因為它有一些先天性的障礙，導致使用起來有很多不一樣的地方

例如：設計有省電的需求（為了行動力）、硬體散熱較差（大小的考量）、效能會比桌上型PC弱（硬體架構的影響）...等，但是有什麼是無法忍受的呢？

昨天跟朋友討論的結果，Attila在今早發了一篇有關於無線網卡電源管理造成瞬斷一文（原文連結），我也來說說省電模式的影響吧！

其實我們知道現在省電模式的用途很多，不管是在PC上或是NB上都有很多省電的模式，其中很有名的有AMD在NB用的Cool'n'Quiet（或整合為OPM）或PC用的POWER NOW!、INTEL在P4用的SPEED STEP

其中的細節筆者就不加詳述（已附上相關連結！），簡單的說起來就是降低CPU時脈來達到省電的功能，其中不外乎客制化的省電技術（例：ASUS的Power4 Gear+、GIGABYTE的EIST...等），其實也都是利用相同的方式來達到省電的效果

除此之外，作業系統也有相關的省電設計，只是做法就不一樣了，通常是利用電源管理，或是停用某些裝置來達到特別的效果（例：網路卡），雖然它是好意，可是在不同環境下，卻有相當不同的考量

電源管理：控制台-->電源選項-->電源配置



裡面就有很多預設的選項，這些選項就依照狀況做調整（說實話，應該極少數人會在這裡調整吧！）

其實有時候在利用電腦打game的同時，會關閉螢幕或是中斷就跟電源選項或是營幕保護程式有關，如果是外接搖桿（沒有用鍵盤、滑鼠）電腦就會自動判定該省電囉！（orz...太聰明嗎？）

停用網卡：控制台-->系統-->硬體-->裝置管理員-->網路介面卡-->電源管理



這裡就可以決定是否要讓作業系統能關閉網卡的電源，這樣聽起來好像沒有什麼大不了的，可是你確定知道作業系統何時會關閉它的電源嗎？或是套用其他省電模式時會有何種影響？（例：Power4 Gear+...等）

其實它主要的功能是用在系統待命時（電源配置中有此選項），是否也同時關閉網卡的電源，這一點就有可能會造成無線網卡的瞬斷

其實，Attila在文章中的內容，其實就是屬於INTEL的PSP省電技術（Power Save Polling），一旦它套用在無線網卡這種較為敏感的設備上，就會造成瞬斷

所以，才需要利用手動的方式，調整優先權及相關設定，更何況是拿NB當桌機用的人，更應該要如此吧！否則應該沒有人可以忍受瞬斷的狀況吧！

不過，省電模式的優劣，其實還是視狀況而定沒有絕對的！

例如：文書處理或上網需要CPU全速運作、在處理影像、多媒體製作時自動開啟省電模式（降低時脈）應該都是種浪費（前者能源、後者時間）

看大家怎麼調校設定與形態，只能說...電腦是要用來惡整的呀！（笑）

LPI心得筆記簿 ─ 使用者管理（Manage Users）（2）

筆者先前寫了有關於使用者管理（1）的心得筆記，現在來把一些比較特殊的用法也補上，雖然說這些用法不一定都用得著，可是多瞭解一點也沒有壞處，不是嗎？

更何況，有時候特別的用法在管理時，還是可以發揮出一定的功效...

雖然不太好上手，用久了還是可以讓這些成為技能中的一部份

其實，我在這裡也不是要介紹所有跟他們有關的參數，如果真的想要知道它相關的參數，可能利用man或help文件來查閱，可能會比筆者寫的詳細

useradd的其它參數：useradd [參數] username

常用的參數說明如下：

-g：設定gid（主要群組ID）
-G：增補群組ID（同時成為其它群組中的一員）
-s：設定shell（如bash...等）
-u：設定uid（使用者ID）
-d：設定使用者家目錄
-c：說明（跟/etc/passwd中的第五個欄位相同）
-e：帳戶到期日
-f：帳戶失效日

特殊用法：-D（改變預設值）
說明：可以改變預設值的設定（之後新增的使用者皆套用此設定）
設定檔：/etc/default/useradd

useradd -D：查看現在的預設值（內容與/etc/default/useradd相同）
/etc/default/useradd 的內容如下
－－－－－－－－－
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=
SHELL=/bin/bash
SKEL=/etc/skel
－－－－－－－－－

常用的參數說明：用法useradd -D [參數] username

-b：定義家目錄的前一個目錄
-s：往後加入的使用者使用的shell名稱（bash、nologin...）

這部份的附加設定是新增帳號時不增加對應的mailbox，就在此檔案中加入一條規則：CREATE_MAIL_SPOOL=no（預設的mailbox在/var/spool/mail）

gpasswd的用法（主要是用來設定群組密碼時使用）

用法：gpasswd [參數] （username） group

常用的參數說明如下：

-a：新增群組成員（例：gpasswd -a abc test --> 將abc加入test的群組中）
-d：移除群組成員（例：gpasswd -d 123 test --> 將123移出test的群組中）
-r：取消群組的密碼（一般在預設值中，不會特別加上密碼）
-R：禁止任何非群組成員利用newgroup做群組更換
　　（例：gpasswd -R test ; 123$ newgroup test-->無法切換至test群組）

除了上述的常用參數與指令之外，其實也可以利用usermod來修改相關內容（用法：usermod [參數] username），其中的參數用法與useradd相同

例：usermod -s /sbin/nologin test（設定test的shell為/sbin/nologin）

然而，還有一些比較少用，或是特殊狀況下才應用得到的指令，例：pwconv、pwunconv、grpconv、grpunconv等（使用時機視狀況而定）

指令的意義如下：
pwconv/pwunconv：做passwd/shadow中的密碼欄互換
grpconv/grpunconv：做gpasswd/gshadow中的密碼欄互換

最後，筆者要提醒一下管理者/使用者在設定密碼時需注意的事項
1.密碼不該是身邊任何可見的字：很好猜...。
2.長度須足夠：Fedora有強制的長度限制為6個字元（root不在此限）。
3.組合不同類型的字元：英數+特殊符號（例：23^#xd@）。
4.不要用完整的英文字：可用字典檔破解法。
5.不要所有系統都用相同密碼：一破全開（這一點很難...唉）。
6.定期變更密碼：設定使用者密碼的到期日。
7.設定一個記得住的密碼：其實這一點會跟第5點矛盾。

其它的部份，還請各位Linux的愛好者補上吧！畢竟筆者一人能做的部份有限，如果有誤的部份，還請各位指正說明，謝謝！