在Linux中,Root用户拥有至高无上的权利,使用Root身份登录后,几乎可以在系统中做任何事情。出于对系统安全的考虑,我们需要对Root权限进行适当的控制,这样即使黑客拿到了Root权限,也同样对系统无可奈何,这不失为提高系统安全性的良策。这里以RedHat Linux为例,危险漫步对大家说明具体的操作方法。
![U]4K2{6]%DH4AMP%_4XHEGH.jpg](https://www.weixianmanbu.com/zb_users/upload/2017/04/201704191492582400887465.jpg)
我们知道,在Windows中可以通过远程桌面、终端服务等方式,对远程电脑进行全面控制。在Linux中与之对应的的远程控制方法是SSH服务,在Linux环境中,Root用户是可以直接使用SSH服务登录远程电脑的。这样黑客在获得了Root权限后,同样可以使用SSH连接工具,直接登录到Lrnux服务器上。如何才能排除这一安全隐患,限制Root用的SSH登录权限呢?在提示符下执行命令“Vl/et c/ss h/ssh d_con fig”,打开SSH服务配置文件,在其中添加“PermitRootLogin no”一行,之后保存文件即可,注意Linux是区分大小写的。之后执行命令“service sshd restart”,重新启动SSHD服务,之后&U可禁止ROOT用户使用SSH连接远程服务器了。当然,您也可以执行命令“vi/etc/p am.d/sshd”,在该文件第一行添加“auth required /lib/secnrity/pam_listffle.so item=user sense=deny file_/etc/sshduser on\=succeed”,之后执行命令“vi /etc/sshduser“,在打开的文件中加入“root”。这样可以在ROOT用户添加到“/etc/sshduser”文件中。这里使用“/pam_listfile.so”认证模块对用户进行认证,采用的认证方式是拒绝,所使用的认证文件是“/etc/sshduser”,因为Root用户已经包含在其中,因此认证无法通过,因此导致认证帐号密码失效,从而结束认证过程。这样,当使用Root权限登录SS'H服务时,自然无法通过认证。在Linux环境中,除了直接使用Root身份登录系统,执行各种管理操作外,普通用户也可以使用“su”命令,都可以获得Root管理权限,这同样会给系统安全带来不安全因素。因此需要对执行“su”命令的用妒进行控制,只能让特定的用户才可以使用“s冷命令来获得Root权限,就显得比较重要了。和“su”命令相关的认
证模块是“/et c/p am.d/su”。在提示符下执行命令“vi /etc/pam.cl/su”,在打开的文件中删除“#auth require pam_d wheel.souseuid”中的“#”符号,表示取消该行的注释功能,其作用是使用“pam_d wheel.so”认证文件对当前的用户的UID进行议证,如果不属于“wheel”用户组,就拒绝其使用“su”命令。这样,用户要使用“su”命令切换权限,就必须将自身添加到“wheel”组中,否则系统拒绝其操作。