作者: FOX 理由:51CTO論壇整頓　

◆十二、防止任何人都可以用su號令成為root

假定不想任何人都可以用"su"號令成為root或只讓某些用戶有權使用"su"號令，那么在"/etc/pam.d/su"文件中參與下面兩行。發起只管限定用戶顛末"su"號令成為root。

第一步

編輯su文件（vi /etc/pam.d/su）在文件的頭部參與下面兩行：

auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel

參與這兩行之后，"/etc/pam.d/su"文件變為：

#%PAM-1.0
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel
auth required /lib/security/pam_pwdb.so shadow nullok
account required /lib/security/pam_pwdb.so
password required /lib/security/pam_cracklib.so
password required /lib/security/pam_pwdb.so shadow use_authtok nullok
session required /lib/security/pam_pwdb.so
session optional /lib/security/pam_xauth.so

這兩行的意思是只要"wheel"組的成員才華用su號令成為root。具體，"wheel"組是細碎頂用于這個方針的特殊帳號。不能用其它組名。

第二步

在"/etc/pam.d/su"設置文件中定義有"wheel"組，而今介紹一下如何讓一些用戶可以用"su"號令成為"root"。下面是一個例子，讓admin用戶成為"wheel"組的成員，多么就可以用"su"號令成為"root"：

[root@deep]# usermod -G10 admin

"G"是默示用戶所在的其它組。"10"是"wheel"組的ID值，"admin"是我們加到"wheel"組的用戶。用異常的號令可以讓其他的用戶可以用su號令成為root。

◆十三、 把rpm法度圭表標準轉移到一個安全的處所，并轉變默許的訪問許可

一旦在Linux效勞器上用rpm號令安置完齊備需要的軟件，最好把rpm法度圭表標準轉移到一個安全的處所，如：軟盤或其它你以為安全的處所。因為假定有人入侵了你的效勞器，他就不能用rpm號令安置那些有害的軟件。固然，假定未來要用rpm安置新的軟件，你就要把rpm法度圭表標準拷回原來的目次。把rpm法度圭表標準移到軟盤上，用下面的號令：

[root@deep]# mount /dev/fd0 /mnt/floppy/
[root@deep]# mv /bin/rpm /mnt/floppy/
[root@deep]# umount /mnt/floppy

具體：萬萬不要把rpm法度圭表標準從細碎中卸載丟失，不然以后就不能從新安置它，因為安置rpm法度圭表標準或其它軟件包本身就要用rpm號令。

還有一點要具體的是，把rpm號令的訪問許可從默許的755改成700。多么非root用戶就不能使用rpm號令了。分外是思考到萬一在安置完新軟件之后忘了把rpm法度圭表標準移到一個安全的處所，多么做就更有需要了。

轉變"/bin/rpm"默許的訪問權限，用下面這個號令：

[root@deep]# chmod 700 /bin/rpm

版權聲明：
原創作品，答允轉載，轉載時請務必以超鏈接方法標明文章 原始理由 、作者信息和本聲明。不然將清查法律責任。

總結

以上是生活随笔為你收集整理的Linux效劳器装机安全快速进阶指南(6)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。