利用Sudo加固Linux系統安全

http://m.yibo1263.com　2008-5-20 8:16:39 　來源:51CTO 　編輯:東三省

　　Sudoers文件中包含一個root條目，默認的權限規(guī)定如下所示：

root ALL = (ALL ) ALL 　

　　該配置允許root用戶可以執(zhí)行所有命令。

　　要想讓其他用戶作為root 來運行命令，我們必須將這些用戶加入到sudoers 文件中。我們還必須規(guī)定允許在哪些主機上運行這些命令。最后，我們還必須列出這些用戶可以作為root 來運行的具體命令。在下面的步驟中，我們將創(chuàng)建用戶bob ，并允許他作為root 用戶在我們的機器上執(zhí)行某些命令。

　�、� 打開該sudoers文件，命令如下所示：

visudo 　

　�、� Sudoers 文件將在vi 中打開，在其中找到“User privilege specification”部分。然后在root 條目之后，按i鍵插入下面一項：

bob your-hostname = /sbin/ifconfig, /bin/kill, /bin/ls 　

　�、� 這一行的作用是允許用戶bob作為root用戶來執(zhí)行命令ifconfig、kill和ls。

　　需要注意的是，除非您有另行規(guī)定，否則默認凡是列在sudoers 文件中的命令，都將作為root用戶來運行。比如，我們可以讓用戶bob作為用戶Tom來運行命令。命令如下所示：

bob your-hostname = (Tom) /sbin/ifconfig 　

　　就本例來說，ifconfig命令將以用戶Tom 的身份來執(zhí)行。當然，您可以允給bob 以多種不同的用戶身份來執(zhí)行命令，比如：

bob your-hostname = (Tom) /sbin/ifconfig, (root) /bin/kill, /bin/ls 　

　　其中，kill 和ls 命令將作為root用戶來運行，而ifconfig命令則作為用戶Tom來執(zhí)行。Bob可以在命令行中鍵入以下命令：

sudo –u Tom /sbin/ifconfig 　

　�、� 按下ESC寫入并退出文件，然后鍵入以下命令：

:wq 　

　　這個命令利用vi寫并退出該文件。

　�、� 現在，我們需要建立用戶bob，命令如下：

useradd bob 　

　　6. 提供下列命令為用戶bob 創(chuàng)建口令：

Passwd bob

Changing password for user bob

New UNIX password:

Retype new UNIX password:

passwd: all authentication tokens updated successfully

　　五、運行Sudo

　　我們已經配置sudo，讓它給予用戶bob以超級用戶權限來執(zhí)行ifconfig、kill和ls命令。當bob 要運行這些命令時，他必須鍵入sudo 命令，并輸入其口令。

　�、� 首先作為用戶bob登錄。

　�、� 找出bob可以作為root用戶執(zhí)行的命令，為此，鍵入以下命令：

sudo –l 　

　�、� 如果第一次以用戶bob的身份運行sudo 的話，會給出一個警告：

We trust you have received the usual lecture from the local System Administrator.
It usually boils down to these three things:
#1) Respect the privacy of others.
#2) Think before you type
#3) With great power comes great responsibility 　

　�、� 提示您輸入口令，注意，不要輸入root用戶的口令，而是bob的口令。

Password: 　

　�、� 將列出允許bob在這個主機上運行的各個命令，如下所示：

User bob may run the following commands on this host:

(root) /sbin/ifconfig
(root) /bin/lill
(root) /bin/ls　

　�、� 運行ifconfig 來測試我們sudo的配置情況。如果不用sudo 的話，該選項需要root權限。命令如下所示：

/sbin/ifconfig eth0 down 　

　　該命令無效，因為bob無權停用系統的連接設備。

　　⒎ 為了停用該連接設備，bob 必須使用sudo ，命令如下所示：

sudo /sbin/ifconfig eth0 down 　

　　這次將會成功執(zhí)行。請注意，如果bob 的票據已經過期（默認有效期為五分鐘）的話，sudo會要求輸入bob的口令。如果我們在票據的有效期內運行這個命令的話，系統不會提示我們鍵入口令。

　�、� 用以下命令來重新激活該連接設備：

sudo /sbin/ifconfig eth0 up 　

　�、� 然后，利用kill命令重新啟動httpd 進程，具體如下所示：

ps aux 　 grep httpd 　

　�、� 從顯示的列表中選擇一個Apache PID ；如果沒有安裝Apache 的話，也可以選擇啟動其他的服務進程。命令如下：

本新聞共5頁,當前在第3頁 1 2 3 4 5

【收藏】【打印】【進入論壇】

·Linux防火墻偽裝機制抵抗黑客攻擊

·簡單介紹Linux內核安全入侵偵察系統

·使用國外Linux主機做網站要注意2點

·大企業(yè)后端使用Linux十大常見方式

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费