07 -用户管理/63 -用户和权限-用户管理介绍

大家好，欢迎大家继续收看上硅谷的云计算课程，我是沈超老师。这节课开始呢，我们来开始学习用户管理，那我们这一章来开始讲用户，那我们前面这个啊基本管理那就已经讲完了，我们开始讲用户和权限管理。那这一招呢？我们开始来讲这个Linux的用户管理，其实不论Linux还是Windows都可以方便的添加用户，Windows更方便，来右击我的电脑选择管理。这里会有用户和用户组的工具，如果你要新建用户，在这里直接点右键就可以了，签个用户名，建立密码，然后点确定就行了。那。如果要想新建组呢，也会是很方便啊，我们说Windows的优点，图形界面更好理解，操作起来更简单，对吧，那好。那我们后来发现，其实在给我们的用户上课的时候，我们的学员不是说他不理解用户，哎，因为我们的学员或多或少都是接触过计算机的，他最少都知道，哎，对了，我提醒你一句啊，Windows的管理员可叫admin admin traitor啊，这个单词要会拼会写会背，OK。

那。我们的用户呢，其实或多或少都是接触过Windows下的用户了，包括Windows这个用户管理非常简单，右击就可以，甚至都不用讲，自己看看就能看明白。那所以学员。一般说他不会说他对用户很陌生，但是学员想不通的事情是这样一件事，什么事，老师。我为什么需要添加更多的用户？我直接就用管理员账户直接登录不就完了吗？我用了电脑十来年了，我一直就是用管理员账户，我从来没有用过其他用户，我何必要用其他的用户？各位，这是我们学员想不通的事儿。OK，那我们说原因很简单，各位不是说你们的想法就是错，而是由于你们用到的都是个人电脑。

嗯。而个人电脑吧。而个人电脑呢？能接触到你电脑的人不是你的亲戚，就是你的朋友、同学，换句话说，你觉得这些人是可以信任的。所以。我见到我们绝大多数学员的个人电脑都是没有密码的，都是可以直接登录的，原因就是你的这个生活的环境，你觉得你的电脑是可以被信任的。但是如果是服务器。各位，首先服务器不是放在你自己的机房，也不放在你的公司，而是放在多，绝大多数都是放在公共机房，因为不是所有的公司都建不起自己的独立机房，对吧？那你的服务器是放在外面，其次呢？维护服务器的人是谁？是你的公司的同事、上级和下级，换句话说，他可能只是你工作当中的一个伙伴呢，可能还真不一定可以无条件的信任他。

那这种情况下，我们说不同的这个级别的这个这个人员就需要使用不同级别的账户，而绝不能所有的人都是管理员的。你记住了啊，在服务器上绝不可能是所有的人都是管理员登录。一般情况下，我们认为只有你们部门的负责人啊，这个技术部的经理能拿管理员，剩下的人都应该是普通用户。那这种情况下，那我们说我们合理的用户管理，包括合理的权限分配都是什么，都是必备吧。OK，那这种情况下，这就是我们为什么要单独来学用户和权限的这样的内容，OK来学习这个内容，OK那。我们举个例子啊，我说了这个用户和权限，这那这东西到底怎么分啊，因为我们的用户其实主要就分了管理员和普通用户，而在Linux上面，我们的管理员权限比这个Windows的administrator还要大。

我们可以看到前面讲的基本权限是不是对这个root都是不起作用的，所以在Linux系统中更要严格保护好你的这个管理员权限，OK，那超哥举个例子啊，举一下我们当年我们的工作当中是如何分配权限，各位。我们当年是做游戏的。我们当年是做游戏的，游戏是比较古老嘛，啊，十来年前了，那个时候叫希望。啊，希望方外大家可能没见过，呃，这个可能没有，但是第二个游戏可能大伙儿都见过了，叫做问道啊。对，问道和问道啊，关于华夏，那最早我们都是做这个。那一开始的时候，还是希望。那这个游戏呢，不是我们自己开发的，是韩国人写的，然后呢，我们公司买了韩国人的版权，在国内独家发行的，是这样一种情况，当时呢，为了保护我们这个游戏的数据库的安全。

各位。现在啊，你们能应该理解了，我想问你个事，这个东西它数据值钱吗？啊，咱不要说就这一个游戏啊，就是说你们玩的游戏数据值钱吗？这个时候我们学员最敏感，为啥你们的游戏里的装备是不是很多人都花钱买装备，就算你不买装备，你那个东西，比如说你花时间，花了很长时间打出来的东西也都是可以卖钱的，换句话说，这些数据其实都是真金白银的。不光对你的用户是，对公司来讲也是。所以。我们为了保护我们游戏的这个数据安全，我们做了严格的数据划分。各位，咱说句难听点的啊，做了严格的用户权限划分啊，不是数据划分说错了，那我们说说难听点是吧。

权限划分其实最主要的目的不是为了防范外部攻击。各外外部攻击和你的，如果他这个东西啊，他对他的这个，如果他真得到了权限，你这个东西就很麻烦，那而且他想要通过外部攻击想得到权限，是一个非常考验专业技术的这种活儿，在实际的工作中，这种事儿基本上不太可能。就算外部攻击也最多就像病毒和木马这样的破坏性的啊，就是说是可能造成的威胁，反而没有你自己的内部员工这种做，那咱说难难听点是吧。这个严格的权限分割其实不是为了防范外部人员，他其实主要是为了防范内部人员。哎，话很难听，但是这事就是啥，把事儿做在前面，总比出了问题之后再去承担责任要强。OK，原因我们就说了，这个东西是值钱的。而且我说随着我们互联网的这种这个生活化的这种这种加剧，或者说你的日常生活所有东西都和这些互联网数据不相干，就是分不开的话，我们这个东西是越来越值钱。

你想想，那你淘宝那上面的订单产生的数据值钱吗？肯定值钱，对不对？所以他会越来越值钱，那人都是有贪念的，如果我真的对，比如说我真对淘宝有权限，我能在里面随便改，诶，那这是不是就是每天都在考验你啊，你万一哪一天没经得住诱惑，你随时改了点东西，这东西是不是看起来这是很容易的事儿，所以啊。权限分割最主要的目的是其实是防范内容，那越是重要的数据，那越要做严格的权限分割，大家记得这事好了，那我们当年呢，我们其实做了严格的权限分割。我们把。Linux的系统呈现。和MYSQL的数据库权限隔开了好。那系统权限给谁了呢？给了我们认为部门给了我们。

那这个时候我们的部门负责人拿到的是root权限，也就是管理员，我们其他所有的工程师用到的都是普通用户权限。好，这样的话就是相对比较合理了，对吧，那当时的时候我们出了点小问题什么。我们在想，该把这个MYSQL数据库权限给谁呢？哎，首先啊，第一原则就是这个权限绝不能给一波人，就是权限分离，数据库权限绝不能再给运维了，因为运维手里已经有系统权限。那数据库权限给谁呢？当时他们开会开了很长时间，然后呢，最终下了决定，说把买三个权限给客服。我靠。各位，你们可能都会觉得很吃惊啊，当时为什么把这个权限给客服？最主要的原因啊。

客服是谁？不是你们以为的那个12306，就是那个什么打电话的这种不是游戏客服，就是game master游戏管理员对吧，你们在游戏里有问题找到了，就是这种客服。来了。这个客服呢，我们当时的游戏还做不到让这个客服的账号是隐身登录的，哎，现在，呃，你们魔兽世界去共鸣啊，你们应该知道魔兽世界的客服是普通玩家是看不见的。那我们当年的这些客服呢，不行，还直接就是一个普看起来就是一个玩家账号，只不过呢，他的那个呃，装备都是不是客服自己打出来的，它是自己就是我们的调整出来的客服标准装备，其次呢，它的名字呢，都是写的是game master，零一或者零二，这个都是都是不能改的，你普通用户是不能建立这样的，一眼就能看出来这是这个官方人员，哎。那这个时候呢，客服，因为我们刚刚说了，他的装备不可能自己打，那这个时候需要有数据库权限，给这些特定的装备分配一些特定的这个账，这个装备。

给他特定的这些账户分配特定的装备，所以呢。当时认为客户有这个需求，所以把买销权限付给了客服。其实当时最主要的目的还是为了把这个权限分割，当然这个权限没有给客服部的所有人，只给了他们客服部的经理。只有他一个人有这个权限。但是当时忽略了一个问题，什么？忽略了一个问题，什么客服部是非专业技术人员？那么这时候就出现了这样一件事，一开始的时候，头头一年运营的都还没问题，挺好了。而且呢还盈利，然后呢，有一天呢，客服部的经理电脑出了问题。他是非技术人员，他不会修，他就来求助我们的这个人来找我们。然后我们某一个工程师预谋已久。提前给他去修装备的时候，修电脑的时候，在他的电脑里植入了一个木马。

各位这个客服人员，这个技术人员为什么会这么干，原因很简单，他打我们这个游戏，当年还是希望打游戏上瘾了，然后呢，他又觉得花钱买装备不划算，哎，各位花钱买装备吧，你可以想象到这里面是不是都是一些普通就是买三里的数据啊。所以啊，我提醒你们，以后你们呃玩玩去，最好别花钱买装备不划算，他觉得花钱买装备又不划算。然后呢？你们很多学员就说那老师他自己改啊，哎，我说了各位。我提前我就说为什么要做这么复杂的权限分割，其实是不是就是为了防止你们或者我们内部人员来做自己的修改呢？换句话说，我问你啊，我们公司投了好几个亿，第一年为了运营这个游戏投了就投了三到四个亿人民币啊。这个时间可是04年05年那个时候的三四个亿啊，各位你们可以想象啊，我投这么多钱，我为了干嘛？

我是为了挣钱。我还是为了这个这个让你们这个内部人员打游戏打的爽。这都不用问是不是，那我为了要挣钱，我怎么才能挣钱。我是不是要维护我游戏里的这个市场稳定，不会说莫名其妙就破破多出来一堆紧急装备，整个价格体系崩溃，这个事儿什么都不可能，所以各位之所以做权限分割啊，我再说一遍，其实最主要的目的还是为了防范内部人员。所以。我们不像你们想的啊，就是作为游戏公司内部人员是可以随意调整自己的装备的，这怎么可能？我还是这句话，我们投钱是为了盈利，而不是为了让你们内部人员这几个家伙打游戏打的爽，所以你不要错误的以为作为内部员工是可以改装备的，不可能。任何游戏，只要他还要想挣钱，他都不会允许这样的事情发生。

OK，那这种情况下，这种情况下，那么我们说这个哥们儿他是没有办法得到这个权限的，所以他蓄谋已久啊，在给他修电脑的同时就植入了这个东西。通过木马获取到了买SQL的账户和密码，就是权限，然后呢，通过这个权限，他修改了252件装备。然后除了他自己用的和给亲朋好友分发了一大部分，剩余的一部分装备卖了4万块钱人民币。我为什么这么清楚？有些学员说，老师你参与了，哎呀，你不要把人想讹坏，不是啊，没有，各位原原因，我说过，对任何游戏来讲，顶级装备都是要严格监控的。为什么？你想想你的游戏为什么隔一段时间就要更新？是不是就是因为顶级装备大家普及了，你没有动力玩下去了，我是不是就要升级更新的版本，更高的等级，更好的装备，我忽悠你继续玩？

对吧，所以啊，任何时候我们都会要监控顶级装备的，我们这个装备在这台服务器上，在这个服务它的占比达到了多少，都是严格比率的，什么时候出现的。出现在谁的身上，是否有交易都是有严格记录的，所以我们在第一次数据维护的时候，就发现大量的装备异常，然后这几个装备甚至都没有考虑外来入侵啊，这几个装备它就集中在那一两个账户身上，然后呢，当时虽然还没有实名制，但是这个账户注册也是有一定信心的，然后通过报警。两三天的时间就解决了，各位听清楚。中国大陆第一起因为虚拟财产判刑时间大概是零五年底零六年初，大概是北京的报纸还是能找到的，如果你有兴趣可以去找，那么我身边的同事。所以我就说，听清楚了吗？我讲这个例子在想说什么，我想说。任何的这个服务器，只要它的数据是值钱的，都需要做严格的权限管理，绝不可能所有的人都是管理员，最高权限直接使用，OK，听清了，当然。

一些中小公司他有可能干嘛，就是比如说服务器上的数据，反正也不值钱，那这个时候就管理很就可能很混乱，就是是个人上去都是管理员啊，然后这个情况，但是我说中型公司，或者说只要是我指的这东西盈利了，都不会出现这情况，大家要记得，当然。我说的这个权限划分只是我们当年做的，而且其中是有漏洞的，对吧，那这种情况下，我说你们要有的这个概念是我一定要做权限划分，绝不能所有人都是管理员，这个概念要有具体怎么划，那我们说根据你的工作室经验，哎，我们一直说。运维工程师或者说。你们后期的这个云计算工程师，前期学起来好像很简单，我们所有的东西都是背下来就会，就像我们讲那令对吧，命为背下来就会，那好像简感觉简单，其实难度在哪？在后写，我这些七巧板都告诉你了，你到底怎么写，你来举例，这是考验你经验的时候了。OK，那我这里只是举个例子，那我想说什么？

我举这个例子，我想说什么？我想告诉你，在服务器上绝不可能所有的人都是管理员，合理的权限划分，然后用户划分，这是服务器必备的内容，所以不论是Windows服务器还是我们的Windows服务器，我们都要来学习和使用这个权限和用户的划分，OK。这节课我们主要在讲啥？就是在讲告诉你用户管理对服务器来讲是必须的，这个东西不是你能跳过去的东西。好各位，这节课呢，我们介绍了一下用户管理这个概念和它的重要度，行了，这节课就这样，我们下节课再见。