所谓系统加固就是利用手工配置及有关软件来提高系统安全性的过程。本文将向读者详细介绍利用开源软件sudo来对Root权限进行控制和审计以加固Linux系统安全的具体操作方法。
一、sudo的功能
Sudo是一款开源安全工具,最常用于对Root权限进行控制和审计。它的指导思想是“在保证人们能正常工作的条件下,尽量压缩授予他们的权限”。系统管理员不仅可以让指定的用户或用户组作为root用户或其它用户来运行某些命令,还能将指定的用户所输入的命令和参数作详细的记录。当然,该软件是可以免费下载的,具体地址是www.gratisoft.us/sudo/download.html。
Sudo程序是一款在命令行方式下工作的安全工具,并且我们每次只执行一条命令。它支持的功能有:
◆命令日志:记录命令和参数。该功能用于跟踪用户输入的命令,尤其适合于进行系统审计。因为sudo 会记录下所有作为root用户(或者规定的其他用户)的命令,所以许多管理员经常用它来替代root shell,以便记录下自己使用的命令,这不仅能增进系统安全,还能用来进行故障检修。
◆集中记录多个系统的日志:Sudo联合系统日志守护进程syslog后,能将所有日志集中存放在一个主机上。
◆命令限制:限定用户或者用户组能够使用的命令。
◆检票系统:检票系统通过在用户登录到sudo时所创建的票据来设定时间限制。票据只在规定的时间内有效。每个新的命令都会刷新票据的预设时间,默认的预设时间是五分钟。现实中,该功能非常有用,有了它即使root用户离开系统时忘了注销的话,也不至于被其他可以接触到键盘的用户肆无忌惮的窥探系统。因为票据过期后,系统必须重新登录。所以,我们最好把有效时间尽量设的短一点,如默认有效时间五分钟。检票系统还可以用来清除用户的票据文件。
◆集中管理多个系统:Sudo 的配置一般写在/etc/sudoers这个文件中,而该文件可以供多个系统所用,这样一来,我们就可以在一个主机上对这些系统进行集中管理了。
Sudo几乎支持所有的UNIX操作系统版本,但如果要从源代码进行安装的话,必须准备好C编译器和make工具。
二、Sudo 命令参数详解
利用Sudo,我们既可以让某个用户作为超级用户来执行某些命令,还可以让他作为其他用户来执行某些命令——这一点对于系统管理格外有用。sudo命令的具体配置都可以在/etc/sudoers文件中找到,该文件规定了某个命令是否可以被某特定的用户执行。
使用sudo的前提条件是 ,用户必须已经具有了自己的用户名和口令。如果一个用户企图通过sudo 来运行命令,但该用户却没有位于sudoers文件中的话,系统将自动向管理员发送一封电子邮件,指出非授权用户正在访问系统。
如前所述,因为sudo具有检票功能,所以用户登录sudo 时,会发给他一张票据,默认情况下其有效时间为五分钟。不过,用户也可以通过带–v标志的sudo命令来更新票据,这会为票据申请另外五分钟。命令如下所示:
sudo –v
如果有非授权用户运行上面的命令的话,管理员将收到一封反映该事件的电子邮件。
同时,标志-v也会通知非授权用户,他是非法用户。如果该用户很顽固,又一次次输入该sudo 命令,那么系统会再发一封电子邮件通知管理员。
无论登录的企图是否成功,Sudo 都会如实记录到默认的syslog(3)文件中。但是,我们也可以在Sudo 的配置文件改变这一行为。下表给出了sudo命令的一些选项。
|
选项 |
选项名 |
描述 |
|
-V |
Version |
打印版本号,然后退出。 |
|
-h |
Help |
打印帮助信息,然后退出。 |
|
-l |
List |
列出所有当前用户允许和禁止的命令。 |
|
-v |
Validate |
将用户的票据更新为一个预配置的时间,默认时五分钟。如果需要的话,该用户必须再次输入用户口令。 |
|
-k |
Kill |
作废该用户的票据。执行该选项将命令用户重新输入用户口令以更新票据。 |
|
-K |
Sure kill |
彻底删除该用户的票据。之后再运行该选项时,用户必须用其用户名和口令进行登录。 |
|
-u |
User |
作为用户名规定的用户来运行特定的命令。这个由用户名规定的用户可以是root之外的任何用户。 如果您想入口一个uid,入口#uid代替该用户名。如果您想使用uid,可以用#uid代替该用户名。 |
三、安装Sudo 
