五、root权限管理限制
Root一直是Linux保护的重点,由于它权力过大,因而最好不要轻易将超级用户授权出去。但有部分程序的安装及维护工作必须要求拥有超级用户权限,在此类情况下,可利用其他工具让这类用户有部分root权限。sudo就是这样的工具。
sudo程序允许普通用户经过组态设定后,以用户自己的密码再登录一次,获得超级用户权限,但仅能执行有限的几个指令。如应用sudo后,可以让管理磁带备份的管理人员每天按时登录到系统中,取得超级用户权限去执行文档备份工作,但却没有特权去作做其他只有超级用户才能做的工作。
sudo不但限制了用户的权限,而且还将每次使用sudo所执行的指令记录下来,不管该指令的执行是成功还是失败。在大型企业中,有时候有许多人同时管理Linux系统的各个不同部分,每个管理人员都有用sudo授权给某些用户超级用户权限的能力,从sudo的日志中,可以追踪到谁做了什么以及改动了系统的哪些部分。
需要重视的是,sudo并不能限制所有的用户行为,尤其是当某些简单的指令没有设置限定时,就有可能被黑客滥用。例如,一般用来显示文件内容的/etc/cat指令,若是拥有root的权限,黑客则可利用它修改或删除一些重要的文件。
六、谨慎管理r系列程序
在Linux系统中有一系列r字头的公用程序,如rlogin,rcp等等。它们很容易被黑客用作入侵我们的系统,因而非常危险,因此绝对不要将root账号开放给这些公用程序。由于这些公用程序都是用.rhosts文件或者hosts.equiv文件核准进入的,因此必须要保证root账号不包括在这些文件之内。
由于r等远程指令是黑客们用来攻击系统的较好途径,因而需多安全工具都是针对这一安全漏洞而设计的。例如,PAM工具就可以用来将r字头公用程序有效地禁止掉,它在/etc/pam.d/rlogin文件中加上登录必须先核准的指令,使整个系统的用户都不能使用自己home目录下的.rhosts文件。
粤公网安备44030402000391号
