萬盛學電腦網

 萬盛學電腦網 >> Linux教程 >> Linux下的Root權限控制

Linux下的Root權限控制

class="12265">

Linux是當前比較流行的網絡服務器操作系統,它繼承了UNIX系統安全、穩定、高效等優點。在Linux系統中Root擁有最高權限,正因如此攻擊者往往以獲取Root權限為目標。作為管理員如何有效地對Root進行有效管理呢?本文將從權限控制的角度,提供幾個安全技巧。

演示環境

Red Hat Enterprise Linux 5

1、遠程登錄

我們知道在RHEL系統中,默認是允許Root用戶直接遠程登錄的。假若攻擊者獲取了Root的密碼,然後進行遠程登錄,那整個服務器就淪陷了。因此,我們要做好Root的權限限制,拒絕其遠程登錄。這樣,就算攻擊者獲取了Root密碼,也不能通過遠程登錄控制服務器。限制Root遠程登錄的方法有很多種,筆者向大家推薦兩種。

(1)SSH限制

我們知道SSH是Linux系統中用於遠程維護管理的一個服務,類似於Windows系統中的Telnet或者遠程桌面3389。通過SSH限制Root遠程登錄,我們需要做的就是修改SSH的配置文件。找/etc/ssh/sshd_config文件,在其中添加PermitRootLogin no。需要注意的是Linux系統是大小寫敏感的,不要輸錯。輸入完畢後,保存並退出,然後輸入命令service sshd restart重啟SSH服務使修改生效。這樣當通過Root遠程連接Linux服務器時,就會拒絕連接。(圖1)

SSH限制

(2)PAM認證

我們還可以使用PAM認證模塊來拒絕Root用戶直接登錄系統,可通過下面的操作來實現。打開/etc/pam.d/sshd文件,在第一行加入auth required /lib/security/pam_listfile.so item=user sense=deny file=/etc/sshduser onerr=succeed這條語句。其含義是,在登錄時認證帳戶和密碼是否有效,只有認證通過才能登錄系統,否則結束認證拒絕登錄。它的認證模塊是/lib/security/pam_listfile.so,認證的用戶是用戶(user),當然也可以是組(group),認證的方式是拒絕(deny),認證文件是/etc/sshduser,文件名及目錄隨意,如果認證成功就返回(succeed)。(圖2)

PAM認證

然後我們創建一個認證文件,可以在終端中運行命令echo "root" > /etc/sshduser來創建,當然我們也可以使用vi打開sshduser文件來加入用戶。需要說明的是,當有多個用戶時,每個用戶占用一行。添加完成後,再使用Root直接登錄服務器就可以看到登錄被拒絕了。(圖3)

PAM認證

copyright © 萬盛學電腦網 all rights reserved