Linux下的Root权限控制

    Linux是当前比较流行的网络服务器操作系统，它继承了UNIX系统安全、稳定、高效等优点。在Linux系统中Root拥有最高权限，正因如此攻击者往往以获取Root权限为目标。作为管理员如何有效地对Root进行有效管理呢?本文将从权限控制的角度，提供几个安全技巧。

　　演示环境

　　Red Hat Enterprise Linux 5

　　1、远程登录

　　我们知道在RHEL系统中，默认是允许Root用户直接远程登录的。假若攻击者获取了Root的密码，然后进行远程登录，那整个服务器就沦陷了。因此，我们要做好Root的权限限制，拒绝其远程登录。这样，就算攻击者获取了Root密码，也不能通过远程登录控制服务器。限制Root远程登录的方法有很多种，笔者向大家推荐两种。

　　(1)SSH限制

　　我们知道SSH是Linux系统中用于远程维护管理的一个服务，类似于Windows系统中的Telnet或者远程桌面3389。通过SSH限制Root远程登录，我们需要做的就是修改SSH的配置文件。找/etc/ssh/sshd_config文件，在其中添加PermitRootLogin no。需要注意的是Linux系统是大小写敏感的，不要输错。输入完毕后，保存并退出，然后输入命令service sshd restart重启SSH服务使修改生效。这样当通过Root远程连接Linux服务器时，就会拒绝连接。(图1)

    
    (2)PAM认证

　　我们还可以使用PAM认证模块来拒绝Root用户直接登录系统，可通过下面的操作来实现。打开/etc/pam.d/sshd文件，在第一行加入auth required /lib/security/pam_listfile.so item=user sense=deny file=/etc/sshduser Onerr=succeed这条语句。其含义是，在登录时认证帐户和密码是否有效，只有认证通过才能登录系统，否则结束认证拒绝登录。它的认证模块是/lib/security/pam_listfile.so，认证的用户是用户(user)，当然也可以是组(group)，认证的方式是拒绝(deny)，认证文件是/etc/sshduser，文件名及目录随意，如果认证成功就返回(succeed)。(图2)

    
    然后我们创建一个认证文件，可以在终端中运行命令echo "root" > /etc/sshduser来创建，当然我们也可以使用vi打开sshduser文件来加入用户。需要说明的是，当有多个用户时，每个用户占用一行。添加完成后，再使用Root直接登录服务器就可以看到登录被拒绝了。(图3)

[1] [2] [3] 下一页