Linux安全：步步设防（1）

使用sudo
用户有时会使用一些需要root权限的命令，这时需要使用sudo。sudo是一种以限制在配置文件中的命令为基础，在有限时间内给用户使用并且记录到日志中的工具。其配置在/etc/sudoers文件中。当用户使用sudo时，需要输入自己的口令以验证使用者身份，随后的一段时间内可以使用定义好的命令，当使用配置文件中没有的命令时，将会有报警的记录。

/etc/sudoers sudo [-bhHpV] [-s ] [-u <用户>] [指令] 或sudo [-klv]

BR>-b 在后台执行命令
-h 显示帮助
-H 将HOME环境变量设为新身份的HOME环境变量
-k 结束密码的有效期，即下次将需要输入密码
-l 列出当前用户可以使用的命令
-p 改变询问密码的提示符号
-s 执行指定的shell
-u <用户> 以指定的用户为新身份，不使用时默认为root
-v 延长密码有效期5分钟
-V 显示版本信息
 限制su用户个数
前面提到本机的新建用户没有root权限，因此需要使用su切换用户，Linux可以增加对切换到root用户的限制。使用PAM （Pluggable Authentication Modules）可以禁止除在wheel组以外的任何人su成root，修改/etc/pam.d/su文件，除去屏蔽标识#。使用/usr/sbin/usermod G10 bjecadm将bjecadm这个账号加入gid为10的组，就是wheel组。

/etc/pam.d/su # 使用密码验证 auth sufficient /lib/security/pam_wheel.so debug # 限制wheel组用户才可以切换到root auth required /lib/security/pam_wheel.so use_uid

加强登录安全
通过修改/etc/login.defs文件可以增加对登录错误延迟、记录日志、登录密码长度限制、过期限制等设置。

/etc/login.defs #登录密码有效期90天 PASS_MAX_DAYS 90 #登录密码最短修改时间，增加可以防止非法用户短期更改多次 PASS_MIN_DAYS 0 #登录密码最小长度8位 PASS_MIN_LEN 8 #登录密码过期提前7天提示修改 PASS_WARN_AGE 7 #登录错误时等待时间10秒 FAIL_DELAY 10 #登录错误记录到日志 FAILLOG_ENAB yes #当限定超级用户管理日志时使用 SYSLOG_SU_ENAB yes #当限定超级用户组管理日志时使用 SYSLOG_SG_ENAB yes #当使用md5为密码的加密方法时使用 MD5_CRYPT_ENAB yes

STRONG>