當前位置 : 首頁>軟件學院>操作系統(tǒng)>linux系統(tǒng)>正文

利用Sudo加固Linux系統(tǒng)安全

http://www.yibo1263.com　2008-5-20 8:16:39 　來源:51CTO 　編輯:東三省

kill –HUP [PID NUMBER] 　

　�、� 它是不會讓你重啟httpd進程的，因為你不是root用戶。所以會收到如下信息：

bash: kill: (PID NUMBER) – Not owner 　

　　⒓ 現(xiàn)在，我們改為使用sudo作為root用戶來運行該命令，具體如下所示：

sudo kill –HUP (PID NUMBER) 　

這回成功了。

　�、� 接下來，我們以用戶bob的身份利用ls 命令來顯示root目錄。命令如下所示：

ls /root 　

　　結果我們被拒絕了，因為我們不是root用戶。

　�、� 好了，現(xiàn)在我們使用sudo作為root用戶執(zhí)行該命令，看看結果如何：

sudo ls /root 　

　　看到了吧，我們的請求被執(zhí)行了。root用戶的目錄已經(jīng)列出來了。

　�、� 為了使bob的時間戳過期，可以通過sudo –k命令來達此目的。這樣一來，bob 下一次使用sudo時就必須再次輸入口令。
六、無需口令的情形

　　有些情況下，沒有必要每次運行sudo時都得輸入口令，因為該用戶已經(jīng)登錄到系統(tǒng)上了。所以，sudo 為我們提供了一種有效的方法來避免這種單調乏味的任務，辦法就是在sudoers 文件中加入NOPASSWD 標簽。

　　⒈ 為了在sudoers文件中取消對口令的要求，請登錄為root 用戶，然后鍵入以下命令：

visudo
　
　　⒉ Sudoers 文件會在vi 中打開。修改bob 的用戶權限規(guī)定，如下所示：

bob your-hostname = NOPASSWD: /sbin/ifconfig, /bin/kill, /bin/ls 　

　�、� 按ESC鍵，然后鍵入:wq 來寫入并退出文件：

　�、� 登錄為bob ，用下列命令來停用連接設備：

sudo /sbin/ifconfig eth0 down 　

　　這次不會要求我們輸入口令了，因為該命令將作為root用戶來運行。

　�、� 用以下命令來重新激活該連接設備：

sudo /sbin/ifconfig eth0 up

　　七、Sudo的日志功能

　　前面已經(jīng)說過，sudo能夠記錄各用戶都運行了哪些命令。但是，這些需要對sudo 和syslogd 進行適當?shù)呐渲�。為此，我們首先要�?var/log目錄中創(chuàng)建一個日志文件，還必須對syslog.conf進行相應的配置，讓它記錄sudo 命令。配置sudo 日志功能的具體步驟如下所示：

　�、� 登錄為root 用戶，然后在/var/log/目錄下創(chuàng)建一個sudo 日志文件。具體命令如下所示：

touch /var/log/sudo 　

　�、� 之后，您必須在syslog.conf 文件中添加相應的行來命令它將記錄放到sudo的日志文件。我們可以用下列命令來打開syslog.conf：

vi /etc/syslog.conf 　

　�、� 將下面一行命令放到syslog.conf文件的末尾。操作時，我們可以通過按下i鍵來插入文字。要注意，下面的空格必須使用TAB 鍵，而不是空格鍵。

local2.debug /var/log/sudo 　

　�、� 這個syslog.conf條目會將所有成功和不成功的sudo 命令都記錄到文件/var/log/sudo中。您還可以通過用網(wǎng)絡主機代替本機目錄來讓日志記錄到一個網(wǎng)絡主機上。syslog.conf文件如圖2所示。
　
Linux

　　圖2 編輯syslog.conf文件進行日志記錄

　�、� 按下ESC寫入并退出文件，然后鍵入以下命令：

:wq 　

　�、� 因為syslog.conf文件已經(jīng)修改，所以必須重新啟動syslogd 。要向syslogd 發(fā)送HUP信號，必須首先知道syslogd 進程標識符，為此鍵入以下命令來獲取syslogd PID ：

ps aux 　 grep syslogd 　

　　第二欄表示顯示PID號碼，最后一欄表示顯示PID 對應的進程。

　�、� 要重啟syslogd ，從上面命令輸出中找出syslogdPID ，然后鍵入以下命令：

kill –HUP [PID NUMBER]
　
　�、� 因為我們想為用戶bob建立日志條目，所以作為用戶bob登錄。

　�、� 以用戶bob的身份登錄后，鍵入以下ifconfig命令：

sudo –l
sudo /sbin/ifconfig eth0 down
sudo /sbin/ifconfig eth0 up 　

　�、� 利用kill 命令重新啟動httpd進程(或者其它進程)，命令如下所示：

ps aux 　 grep httpd 　

　　⒒ 從以上命令的輸出中找出Apache (httpd )PID ，并輸入下列命令：

本新聞共5頁,當前在第4頁 1 2 3 4 5

【收藏】【打印】【進入論壇】

·Linux防火墻偽裝機制抵抗黑客攻擊

·簡單介紹Linux內核安全入侵偵察系統(tǒng)

·使用國外Linux主機做網(wǎng)站要注意2點

·大企業(yè)后端使用Linux十大常見方式

·化解四種入侵Linux服務器方法

·蓋茨新個人網(wǎng)站使用Linux服務器

·Linux系統(tǒng)安全知識防范黑客攻擊

·Linux服務器維護的四大法寶

·在關閉的Linux機器實現(xiàn)防火墻功能

·Linux系統(tǒng)清除Grub的幾種方法

·Linux改善FTP服務器的安全性

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费