Linux系统安全防护指南
1. 避免以Root用户登录
Root用户拥有系统的最高权限,可执行所有操作。虽然使用Root账户能无限制地访问维护系统所需的所有命令,但一直使用它会使系统在危险操作即将发生时的警告机制失效。在正常情况下,系统会警告普通用户其没有执行某些功能的必要权限,这一警告既能限制用户对系统部分功能或目录的访问,又能识别出某些命令可能带来的严重后果。而使用Root账户时,很多此类警告会被抑制,可能的风险也不会被标记,一个简单的按键错误就可能导致严重灾难。
因此,应尽量减少使用Root账户,将其使用权限限制在最少的人员范围内,并将其锁定到控制台。审计Root这样的通用账户的使用情况非常困难,甚至几乎不可能。在关键任务系统中,通常只分配一个人使用Root账户。
可以使用su和sudo命令来替代Root账户。su命令可用于获取系统的Root访问权限,但需要知道Root密码,且一旦获得权限,其访问级别等同于Root用户,因此必须严格控制。而sudo则提供了更精细的权限管理方式,可针对单个命令授予用户权限,让用户在执行必要任务的同时,限制其对不必要资源的访问。
例如,用户需要向服务器批量上传信息时,默认情况下,SLES不允许普通用户挂载可移动媒体。有两种解决方法:一是修改/etc/fstab中/dev/cdrom挂载点的定义,添加user选项,使非特权用户可以随意挂载和卸载CD,但此方法会让系统所有用户都能访问CD驱动器