Linux是當前比較流行的網絡服務器操作系統(tǒng)，它繼承了UNIX系統(tǒng)安全、穩(wěn)定、高效等優(yōu)點 。在Linux系統(tǒng)中Root擁有最高權限，正因如此攻擊者往往以獲取Root權限為目標 。作為管理員如何有效地對Root進行有效管理呢?本文將從權限控制的角度，提供幾個安全技巧 。
演示環(huán)境
Red Hat Enterprise Linux 5
1、遠程登錄
我們知道在RHEL系統(tǒng)中，默認是允許Root用戶直接遠程登錄的 。假若攻擊者獲取了Root的密碼，然后進行遠程登錄，那整個服務器就淪陷了 。因此，我們要做好Root的權限限制，拒絕其遠程登錄 。這樣，就算攻擊者獲取了Root密碼，也不能通過遠程登錄控制服務器 。限制Root遠程登錄的方法有很多種，筆者向大家推薦兩種 。
(1)SSH限制
我們知道SSH是Linux系統(tǒng)中用于遠程維護管理的一個服務，類似于Windows系統(tǒng)中的Telnet或者遠程桌面3389 。通過SSH限制Root遠程登錄，我們需要做的就是修改SSH的配置文件 。找/etc/ssh/sshd_config文件，在其中添加PermitRootLogin no 。需要注意的是Linux系統(tǒng)是大小寫敏感的，不要輸錯 。輸入完畢后，保存并退出，然后輸入命令service sshd restart重啟SSH服務使修改生效 。這樣當通過Root遠程連接Linux服務器時，就會拒絕連接 。(圖1)
(2)PAM認證
我們還可以使用PAM認證模塊來拒絕Root用戶直接登錄系統(tǒng)，可通過下面的操作來實現(xiàn) 。打開/etc/pam.d/sshd文件，在第一行加入auth required /lib/security/pam_listfile.so item=user sense=deny file=/etc/sshduser onerr=succeed這條語句 。其含義是，在登錄時認證帳戶和密碼是否有效，只有認證通過才能登錄系統(tǒng)，否則結束認證拒絕登錄 。它的認證模塊是/lib/security/pam_listfile.so，認證的用戶是用戶(user)，當然也可以是組(group)，認證的方式是拒絕(deny)，認證文件是/etc/sshduser，文件名及目錄隨意，如果認證成功就返回(succeed) 。(圖2)
然后我們創(chuàng)建一個認證文件，可以在終端中運行命令echo "root" > /etc/sshduser來創(chuàng)建，當然我們也可以使用vi打開sshduser文件來加入用戶 。需要說明的是，當有多個用戶時，每個用戶占用一行 。添加完成后，再使用Root直接登錄服務器就可以看到登錄被拒絕了 。(圖3)
2、su限制
我們知道在Linux系統(tǒng)中有個su命令，利用該命令只要知道Root用戶的密碼，默認情況下任何人都可以切換到Root用戶中進行操作 。例如，一個屬于users組的普通用戶gslw可以通過su命令切換到Root用戶中 。(圖4)
因此，我們需要對SU進行限制，只允許特定組的用戶才能SU到Root用戶 。使用的方法還是通過PAM認證模塊來實現(xiàn) 。我們先前控制ssh服務，是使用/etc/pam.d/sshd文件，當然控制用戶使用su命令就需要對
/etc/pam.d/su文件進行修改 。直接打開該文件進行修改，或者在終端命令窗口輸入命令vi /etc/pam.d/su，然后去掉其中#auth required pam_wheel.so use_uid的注釋即可 。(圖5)
其含義是，使用pam_wheel.so文件來檢查當前用戶的UID，如果不是whell組的用戶就直接拒絕 ?，F(xiàn)在我們通過gslw用戶登錄系統(tǒng)，然后su到Root可以看到被拒絕 。當然，要使其可以su到Root需要將其加入了wheel組才可以 。(圖6)
3、Root分權
大家知道，由于Root具有最高的權限，經常用root用戶來管理系統(tǒng)，會給系統(tǒng)帶來一定的安全隱患 。比如，一條無意識輸入的破壞性的命令有可能會給系統(tǒng)帶來毀滅性的打擊 。另外，如果系統(tǒng)被植入了嗅探工具，如果用root登錄會造成root口令被竊取 。因此我們要消減Root的權限，可以讓其它用戶來完成Root的一些工作，避免過多地使用Root用戶 。
如何為Root分權，要根據(jù)服務器的性質來確定 。比如一個Linux平臺的apache服務器，作為管理員經常使用的命令應該是諸如/usr/local/apache2/bin/apachect1 start/stop/restart這樣的是啟動/重啟/停止服務器的命令 。我們可以為此創(chuàng)建一個用戶gslw來管理apache服務器，我們知道普通用戶是沒有權限來啟動apache服務器的 。這里要用到sudo命令，通過它為gslw用戶加入擴展權限使其可以管理apache服務器 。

推薦閱讀

• 

  渣肉和粉蒸肉的區(qū)別?
• 

  藥流需要清宮嗎
• 

  冰箱一級二級三級能效有什么區(qū)別 買冰箱一級能效好還是二級能效好
• 

  脆柿子降火嗎,脆柿子要等皮軟了才能吃嗎
• 

  安全知識學習內容
• 

  最精美的建筑物之一 伊瑪目清真寺
• 

  臨床執(zhí)業(yè)醫(yī)師考試科目內容，臨床執(zhí)業(yè)醫(yī)師需要考哪些內容
• 

  血色浪漫鐘月明打牢頭是第幾集 血色浪漫鐘躍明打獄霸哪集
• 

  比特幣中國如何挖礦獲得比特幣
• 

  體驗A16
• 

  ipad6,11是什么型號 ipad6,11的型號是什么
• 

  什么游戲類似lol,占據(jù)游戲半壁江山
• 

  通常說的a4紙是多少尺寸
• 

  南山竹海溫泉有優(yōu)惠嗎
• 

  遇見你的貓狗狗喜歡吃什么
• 

  怎么看出來癌癥 怎么知道癌癥痊愈沒有呢

• linux下birt導出文件亂碼
• Linux下讓Firefox3與Firefox2瀏覽器共存的方法
• Linux操作系統(tǒng)下1拖多解決方案出現(xiàn)
• Linux內核isdn_net.c文件 本地溢出漏洞
• Linux查看文件夾大小的命令
• 在Linux下訪問MS SQL Server數(shù)據(jù)庫
• Linux操作系統(tǒng)中實現(xiàn)DDOS攻擊的方法
• Linux下添加硬盤、分區(qū)、格式化任務指南
• Linux應用問答系列之硬件FAQ
• RedHat linux inittab詳解