在某些情况下,以root用户身份访问系统是危险的,可能会导致系统和数据损坏。 可以用su和sudo等setuid程序解决。
su命令[ app 01 rot @ app-01~~ ]使用$ su-rootsu命令登录root时,用户将获得系统的绝对管理权限
仅允许特定用户使用此su命令
为此,请编辑插件验证模块(PAM )的配置文件/etc/pam.d/su,在文本编辑器中打开该文件,然后取消注释。
# authrequiredpam _ wheel.souse _ uid将用户添加到名为wheel的特殊管理组中
只有在/etc/sudoers配置文件中列出的用户才能使用usermod -a -G wheel username sudo命令。 命令在用户的shell中执行,而不是在rootshell中执行。 这意味着root可以完全禁用外壳。
每次使用sudo命令成功进行验证时,sudo ls /root都会记录在/var/log/messages中,发出的用户和命令会记录在/var/log/secure文件中。
权限管理赋予某人完全的管理权限:使用visudo命令编辑/etc/sudoers
juan ALL=(ALL ) ALL #允许juan使用sudo执行任何命令
某些管理权限markup`%users ALL=/s笑帽/mount /mnt/cdrom,/s笑帽/umount/mnt/cdrom#users组的成员可以执行的挂载磁盘命令是
Cmnd_Alias SYS_BACKUP=/爱笑帽子/su - root -c /usr/locale/s爱笑帽子/sys_backup.sh,/mnt/cdrominsmsop1all=添加以下行将更改时间
defaults timestamp _ time out=value # value=0,如果每次sudo时都需要输入密码的帐户被入侵,攻击者可以使用以下sudo管理权限打开新的shell :
sudo /笑帽/bash #会绕过/etc/sudoers文件中指定的超时时间,不要求攻击者sudo重新输入密码