利用sudo加固linux系统安全.pdfVIP

利用 sudo 加固 Linux 系统安全 所谓系统加固就是利用手工配置及有关软件来提高系统安全性的过程。本文将向读者详细介绍利用开源软件 sudo 来对 Root 权限进行控制和审计以加固 Linux 系统安全的具体操作方法。 一、sudo 的功能 Sudo 是一款开源安全工具，最常用于对 Root 权限进行控制和审计。它的指导思想是 “在保证人们能正常工作 的条件下，尽量压缩授予他们的权限”。系统管理员不仅可以让指定的用户或用户组作为root 用户或其它用户来 运行某些命令，还能将指定的用户所输入的命令和参数作详细的记录。当然，该软件是可以免费下载的，具体地址 是 www.gratisoft.us/sudo/download.html。 Sudo 程序是一款在命令行方式下工作的安全工具，并且我们每次只执行一条命令。它支持的功能有： ◆命令日志：记录命令和参数。该功能用于跟踪用户输入的命令，尤其适合于进行系统审计。因为 sudo 会记 录下所有作为 root 用户 (或者规定的其他用户)的命令，所以许多管理员经常用它来替代 root shell，以便记录下 自己使用的命令，这不仅能增进系统安全，还能用来进行故障检修。 ◆集中记录多个系统的日志：Sudo 联合系统日志守护进程 syslog 后，能将所有日志集中存放在一个主机上。 ◆命令限制：限定用户或者用户组能够使用的命令。 ◆检票系统：检票系统通过在用户登录到 sudo 时所创建的票据来设定时间限制。票据只在规定的时间内有效。 每个新的命令都会刷新票据的预设时间，默认的预设时间是五分钟。现实中，该功能非常有用，有了它即使 root 用户离开系统时忘了注销的话，也不至于被其他可以接触到键盘的用户肆无忌惮的窥探系统。因为票据过期后，系 统必须重新登录。所以，我们最好把有效时间尽量设的短一点，如默认有效时间五分钟。检票系统还可以用来清除 用户的票据文件。 ◆集中管理多个系统：Sudo 的配置一般写在/etc/sudoers 这个文件中，而该文件可以供多个系统所用，这样 一来，我们就可以在一个主机上对这些系统进行集中管理了。 Sudo 几乎支持所有的 UNIX 操作系统版本，但如果要从源代码进行安装的话，必须准备好 C 编译器和 make 工 具。 二、Sudo 命令参数详解 利用 Sudo，我们既可以让某个用户作为超级用户来执行某些命令，还可以让他作为其他用户来执行某些命令 ——这一点对于系统管理格外有用。sudo 命令的具体配置都可以在/etc/sudoers 文件中找到，该文件规定了某个 命令是否可以被某特定的用户执行。 使用 sudo 的前提条件是 ，用户必须已经具有了自己的用户名和口令。如果一个用户企图通过 sudo 来运行命 令，但该用户却没有位于 sudoers 文件中的话，系统将自动向管理员发送一封电子邮件，指出非授权用户正在访问 系统。 如前所述，因为 sudo 具有检票功能，所以用户登录 sudo 时，会发给他一张票据，默认情况下其有效时间为 五分钟。不过，用户也可以通过带 –v 标志的 sudo 命令来更新票据，这会为票据申请另外五分钟。命令如下所示： sudo –v 如果有非授权用户运行上面的命令的话，管理员将收到一封反映该事件的电子邮件。 同时，标志-v 也会通知非授权用户，他是非法用户。如果该用户很顽固，又一次次输入该 sudo 命令，那么系 统会再发一封电子邮件通知管理员。 无论登录的企图是否成功，Sudo 都会如实记录到默认的 syslog(3)文件中。但是，我们也可以在 Sudo 的配置 文件改变这一行为。下表给出了 sudo 命令的一些选项。 选项 选项名 描述 -V Version 打印版本号，然后退出。 -h Help 打印帮助信息，然后退出。 -l List 列出所有当前用户允许和禁止的命令。 将用户的票据更新为一个预配置的时间，默认时五 -v Validate 分钟。如果需要的话，该用户必须再次输入用户口 令。 作废该用户的票