當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>操作系統(tǒng)>linux系統(tǒng)>正文

利用Sudo加固Linux系統(tǒng)安全

http://m.yibo1263.com　2008-5-20 8:16:39 　來(lái)源:51CTO 　編輯:東三省

kill –HUP [PID NUMBER] 　

　　⒒ 它是不會(huì)讓你重啟httpd進(jìn)程的，因?yàn)槟悴皇莚oot用戶。所以會(huì)收到如下信息：

bash: kill: (PID NUMBER) – Not owner 　

　　⒓ 現(xiàn)在，我們改為使用sudo作為root用戶來(lái)運(yùn)行該命令，具體如下所示：

sudo kill –HUP (PID NUMBER) 　

這回成功了。

　　⒔ 接下來(lái)，我們以用戶bob的身份利用ls 命令來(lái)顯示root目錄。命令如下所示：

ls /root 　

　　結(jié)果我們被拒絕了，因?yàn)槲覀儾皇莚oot用戶。

　�、� 好了，現(xiàn)在我們使用sudo作為root用戶執(zhí)行該命令，看看結(jié)果如何：

sudo ls /root 　

　　看到了吧，我們的請(qǐng)求被執(zhí)行了。root用戶的目錄已經(jīng)列出來(lái)了。

　　⒖ 為了使bob的時(shí)間戳過(guò)期，可以通過(guò)sudo –k命令來(lái)達(dá)此目的。這樣一來(lái)，bob 下一次使用sudo時(shí)就必須再次輸入口令。
六、無(wú)需口令的情形

　　有些情況下，沒(méi)有必要每次運(yùn)行sudo時(shí)都得輸入口令，因?yàn)樵撚脩粢呀?jīng)登錄到系統(tǒng)上了。所以，sudo 為我們提供了一種有效的方法來(lái)避免這種單調(diào)乏味的任務(wù)，辦法就是在sudoers 文件中加入NOPASSWD 標(biāo)簽。

　�、� 為了在sudoers文件中取消對(duì)口令的要求，請(qǐng)登錄為root 用戶，然后鍵入以下命令：

visudo
　
　�、� Sudoers 文件會(huì)在vi 中打開(kāi)。修改bob 的用戶權(quán)限規(guī)定，如下所示：

bob your-hostname = NOPASSWD: /sbin/ifconfig, /bin/kill, /bin/ls 　

　�、� 按ESC鍵，然后鍵入:wq 來(lái)寫(xiě)入并退出文件：

　�、� 登錄為bob ，用下列命令來(lái)停用連接設(shè)備：

sudo /sbin/ifconfig eth0 down 　

　　這次不會(huì)要求我們輸入口令了，因?yàn)樵撁顚⒆鳛閞oot用戶來(lái)運(yùn)行。

　�、� 用以下命令來(lái)重新激活該連接設(shè)備：

sudo /sbin/ifconfig eth0 up

　　七、Sudo的日志功能

　　前面已經(jīng)說(shuō)過(guò)，sudo能夠記錄各用戶都運(yùn)行了哪些命令。但是，這些需要對(duì)sudo 和syslogd 進(jìn)行適當(dāng)?shù)呐渲谩榇�，我們首先要�?var/log目錄中創(chuàng)建一個(gè)日志文件，還必須對(duì)syslog.conf進(jìn)行相應(yīng)的配置，讓它記錄sudo 命令。配置sudo 日志功能的具體步驟如下所示：

　�、� 登錄為root 用戶，然后在/var/log/目錄下創(chuàng)建一個(gè)sudo 日志文件。具體命令如下所示：

touch /var/log/sudo 　

　　⒉ 之后，您必須在syslog.conf 文件中添加相應(yīng)的行來(lái)命令它將記錄放到sudo的日志文件。我們可以用下列命令來(lái)打開(kāi)syslog.conf：

vi /etc/syslog.conf 　

　�、� 將下面一行命令放到syslog.conf文件的末尾。操作時(shí)，我們可以通過(guò)按下i鍵來(lái)插入文字。要注意，下面的空格必須使用TAB 鍵，而不是空格鍵。

local2.debug /var/log/sudo 　

　�、� 這個(gè)syslog.conf條目會(huì)將所有成功和不成功的sudo 命令都記錄到文件/var/log/sudo中。您還可以通過(guò)用網(wǎng)絡(luò)主機(jī)代替本機(jī)目錄來(lái)讓日志記錄到一個(gè)網(wǎng)絡(luò)主機(jī)上。syslog.conf文件如圖2所示。
　
Linux

　　圖2 編輯syslog.conf文件進(jìn)行日志記錄

　�、� 按下ESC寫(xiě)入并退出文件，然后鍵入以下命令：

:wq 　

　�、� 因?yàn)閟yslog.conf文件已經(jīng)修改，所以必須重新啟動(dòng)syslogd 。要向syslogd 發(fā)送HUP信號(hào)，必須首先知道syslogd 進(jìn)程標(biāo)識(shí)符，為此鍵入以下命令來(lái)獲取syslogd PID ：

ps aux 　 grep syslogd 　

　　第二欄表示顯示PID號(hào)碼，最后一欄表示顯示PID 對(duì)應(yīng)的進(jìn)程。

　�、� 要重啟syslogd ，從上面命令輸出中找出syslogdPID ，然后鍵入以下命令：

kill –HUP [PID NUMBER]
　
　　⒏ 因?yàn)槲覀兿霝橛脩鬮ob建立日志條目，所以作為用戶bob登錄。

　�、� 以用戶bob的身份登錄后，鍵入以下ifconfig命令：

sudo –l
sudo /sbin/ifconfig eth0 down
sudo /sbin/ifconfig eth0 up 　

　�、� 利用kill 命令重新啟動(dòng)httpd進(jìn)程(或者其它進(jìn)程)，命令如下所示：

ps aux 　 grep httpd 　

　�、� 從以上命令的輸出中找出Apache (httpd )PID ，并輸入下列命令：

本新聞共5頁(yè),當(dāng)前在第4頁(yè) 1 2 3 4 5

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·Linux防火墻偽裝機(jī)制抵抗黑客攻擊

·簡(jiǎn)單介紹Linux內(nèi)核安全入侵偵察系統(tǒng)

·使用國(guó)外Linux主機(jī)做網(wǎng)站要注意2點(diǎn)

·大企業(yè)后端使用Linux十大常見(jiàn)方式

·化解四種入侵Linux服務(wù)器方法

·蓋茨新個(gè)人網(wǎng)站使用Linux服務(wù)器

·Linux系統(tǒng)安全知識(shí) 防范黑客攻擊

·Linux服務(wù)器維護(hù)的四大法寶

·在關(guān)閉的Linux機(jī)器實(shí)現(xiàn)防火墻功能

·Linux系統(tǒng)清除Grub的幾種方法

·Linux改善FTP服務(wù)器的安全性

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费