作者: FOX 理由:51CTO论坛整顿 
 

◆十二、防止任何人都可以用su号令成为root

假定不想任何人都可以用”su”号令成为root或只让某些用户有权使用”su”号令,那么在”/etc/pam.d/su”文件中参与下面两行。发起只管限定用户颠末”su”号令成为root。

第一步

编辑su文件(vi /etc/pam.d/su)在文件的头部参与下面两行:

auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel

参与这两行之后,”/etc/pam.d/su”文件变为:

#%PAM-1.0
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel
auth required /lib/security/pam_pwdb.so shadow nullok
account required /lib/security/pam_pwdb.so
password required /lib/security/pam_cracklib.so
password required /lib/security/pam_pwdb.so shadow use_authtok nullok
session required /lib/security/pam_pwdb.so
session optional /lib/security/pam_xauth.so

这两行的意思是只要”wheel”组的成员才华用su号令成为root。具体,”wheel”组是细碎顶用于这个方针的特殊帐号。不能用其它组名。

第二步

在”/etc/pam.d/su”设置文件中定义有”wheel”组,而今介绍一下如何让一些用户可以用”su”号令成为”root”。下面是一个例子,让admin用户成为”wheel”组的成员,多么就可以用”su”号令成为”root”:

[root@deep]# usermod -G10 admin

“G”是默示用户所在的其它组。”10″是”wheel”组的ID值,”admin”是我们加到”wheel”组的用户。用异常的号令可以让其他的用户可以用su号令成为root。

◆十三、 把rpm法度圭表标准转移到一个安全的处所,并转变默许的访问许可

一旦在Linux效劳器上用rpm号令安置完齐备需要的软件,最好把rpm法度圭表标准转移到一个安全的处所,如:软盘或其它你以为安全的处所。因为假定有人入侵了你的效劳器,他就不能用rpm号令安置那些有害的软件。固然,假定未来要用rpm安置新的软件,你就要把rpm法度圭表标准拷回原来的目次。把rpm法度圭表标准移到软盘上,用下面的号令:

[root@deep]# mount /dev/fd0 /mnt/floppy/
[root@deep]# mv /bin/rpm /mnt/floppy/
[root@deep]# umount /mnt/floppy

具体:万万不要把rpm法度圭表标准从细碎中卸载丢失,不然以后就不能从新安置它,因为安置rpm法度圭表标准或其它软件包本身就要用rpm号令。

还有一点要具体的是,把rpm号令的访问许可从默许的755改成700。多么非root用户就不能使用rpm号令了。分外是思考到万一在安置完新软件之后忘了把rpm法度圭表标准移到一个安全的处所,多么做就更有需要了。

转变”/bin/rpm”默许的访问权限,用下面这个号令:

[root@deep]# chmod 700 /bin/rpm

版权声明:
原创作品,答允转载,转载时请务必以超链接方法标明文章 原始理由 、作者信息和本声明。不然将清查法律责任。