Linux下的Root權限控制

class="12265">

Linux是當前比較流行的網絡服務器操作系統，它繼承了UNIX系統安全、穩定、高效等優點。在Linux系統中Root擁有最高權限，正因如此攻擊者往往以獲取Root權限為目標。作為管理員如何有效地對Root進行有效管理呢?本文將從權限控制的角度，提供幾個安全技巧。

演示環境

Red Hat Enterprise Linux 5

1、遠程登錄

我們知道在RHEL系統中，默認是允許Root用戶直接遠程登錄的。假若攻擊者獲取了Root的密碼，然後進行遠程登錄，那整個服務器就淪陷了。因此，我們要做好Root的權限限制，拒絕其遠程登錄。這樣，就算攻擊者獲取了Root密碼，也不能通過遠程登錄控制服務器。限制Root遠程登錄的方法有很多種，筆者向大家推薦兩種。

(1)SSH限制

我們知道SSH是Linux系統中用於遠程維護管理的一個服務，類似於Windows系統中的Telnet或者遠程桌面3389。通過SSH限制Root遠程登錄，我們需要做的就是修改SSH的配置文件。找/etc/ssh/sshd_config文件，在其中添加PermitRootLogin no。需要注意的是Linux系統是大小寫敏感的，不要輸錯。輸入完畢後，保存並退出，然後輸入命令service sshd restart重啟SSH服務使修改生效。這樣當通過Root遠程連接Linux服務器時，就會拒絕連接。(圖1)

(2)PAM認證

我們還可以使用PAM認證模塊來拒絕Root用戶直接登錄系統，可通過下面的操作來實現。打開/etc/pam.d/sshd文件，在第一行加入auth required /lib/security/pam_listfile.so item=user sense=deny file=/etc/sshduser onerr=succeed這條語句。其含義是，在登錄時認證帳戶和密碼是否有效，只有認證通過才能登錄系統，否則結束認證拒絕登錄。它的認證模塊是/lib/security/pam_listfile.so，認證的用戶是用戶(user)，當然也可以是組(group)，認證的方式是拒絕(deny)，認證文件是/etc/sshduser，文件名及目錄隨意，如果認證成功就返回(succeed)。(圖2)

然後我們創建一個認證文件，可以在終端中運行命令echo "root" > /etc/sshduser來創建，當然我們也可以使用vi打開sshduser文件來加入用戶。需要說明的是，當有多個用戶時，每個用戶占用一行。添加完成後，再使用Root直接登錄服務器就可以看到登錄被拒絕了。(圖3)