网络服务器操作系统
它继承了UNIX系统安全、稳定、高效等优点
在Linux系统中Root拥有最高权限正因如此攻击者往往以获取Root权限为目标作为管理员如何有效地对Root进行有效管理呢?本文将从权限控制角度提供几个安全窍门技巧
演示环境Red Hat Enterprise Linux 5
1、远程登录
我们知道在RHEL系统中
默认是允许Root用户直接远程登录假若攻击者获取了Root密码然后进行远程登录那整个服务器就沦陷了因此我们要做好Root权限限制拒绝其远程登录这样就算攻击者获取了Root密码也不能通过远程登录控制服务器限制Root远程登录思路方法有很多种笔者向大家推荐两种(1)SSH限制
我们知道SSH是Linux系统中用于远程维护管理
个服务类似于Windows系统中Telnet或者远程桌面3389通过SSH限制Root远程登录我们需要做就是修改SSH配置文件找/etc/ssh/sshd_config文件在其中添加PermitRootLogin no需要注意是Linux系统是大小写敏感不要输错输入完毕后保存并退出然后输入命令service sshd restart重启SSH服务使修改生效这样当通过Root远程连接Linux服务器时就会拒绝连接(2)PAM认证
我们还可以使用PAM认证模块来拒绝Root用户直接登录系统
可通过下面操作来实现打开/etc/pam.d/sshd文件在第行加入auth required /lib/security/pam_listfile.so item=user sense=deny file=/etc/sshduser _disibledevent=>
然后我们创建个认证文件可以在终端中运行命令echo "root" > /etc/sshduser来创建当然我们也可以使用vi打开sshduser文件来加入用户需要介绍说明是当有多个用户时每个用户占用行添加完成后再使用Root直接登录服务器就可以看到登录被拒绝了2、su限制
我们知道在Linux系统中有个su命令
利用该命令只要知道Root用户密码默认情况下任何人都可以切换到Root用户中进行操作例如个属于users组普通用户gslw可以通过su命令切换到Root用户中.因此
我们需要对SU进行限制只允许特定组用户才能SU到Root用户使用思路方法还是通过PAM认证模块来实现我们先前控制ssh服务是使用/etc/pam.d/sshd文件当然控制用户使用su命令就需要对/etc/pam.d/su文件进行修改
直接打开该文件进行修改或者在终端命令窗口输入命令vi /etc/pam.d/su然后去掉其中#auth required pam_wheel.so use_uid注释即可其含义是
使用pam_wheel.so文件来检查当前用户UID如果不是whell组用户就直接拒绝现在我们通过gslw用户登录系统然后su到Root可以看到被拒绝当然要使其可以su到Root需要将其加入了wheel组才可以3、Root分权
大家知道
由于Root具有最高权限经常用root用户来管理系统会给系统带来定安全隐患比如条无意识输入破坏性命令有可能会给系统带来毁灭性打击另外如果系统被植入了嗅探工具如果用root登录会造成root口令被窃取因此我们要消减Root权限可以让其它用户来完成Root些工作避免过多地使用Root用户如何为Root分权
要根据服务器性质来确定比如个Linux平台apache服务器作为管理员经常使用命令应该是诸如/usr/local/apache2/bin/apachect1 start/stop/restart这样是启动/重启/停止服务器命令我们可以为此创建个用户gslw来管理apache服务器我们知道普通用户是没有权限来启动apache服务器这里要用到sudo命令通过它为gslw用户加入扩展权限使其可以管理apache服务器利用Vi或者直接进入/etc/pam.d打开sudo文件
然后在其中添加行gslw ALL=(ALL) /usr/local/apache2/bin/apachectl命令就可以了该命令分成 4个字段依次为用户名、作用对象、以谁身份运行以及运行命令当然我们也可以加入gslw localhost=(root) /usr/local/apache2/bin/apachectl start这样过滤更严格些最后保存退出后使用gslw用户登录系统就可以运行/usr/local/apache2/bin/apachectl start命令了上面只是举例大家可以根据自己需要在sudo文件中添加相应命令行不过需要介绍说明是命令定要严格过滤不要赋权过大整理总结:Linux下
权限控制是非常严格但也非常灵活我们可以根据自己安全需求进行布防当然有关Root权限控制策略和思路方法还有很多希望本文提供思路对大家有所帮助
最新评论