作者: FOX 理由:51CTO论坛整顿　

◆十二、防止任何人都可以用su号令成为root

假定不想任何人都可以用"su"号令成为root或只让某些用户有权使用"su"号令，那么在"/etc/pam.d/su"文件中参与下面两行。发起只管限定用户颠末"su"号令成为root。

第一步

编辑su文件（vi /etc/pam.d/su）在文件的头部参与下面两行：

auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel

参与这两行之后，"/etc/pam.d/su"文件变为：

#%PAM-1.0
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel
auth required /lib/security/pam_pwdb.so shadow nullok
account required /lib/security/pam_pwdb.so
password required /lib/security/pam_cracklib.so
password required /lib/security/pam_pwdb.so shadow use_authtok nullok
session required /lib/security/pam_pwdb.so
session optional /lib/security/pam_xauth.so

这两行的意思是只要"wheel"组的成员才华用su号令成为root。具体，"wheel"组是细碎顶用于这个方针的特殊帐号。不能用其它组名。

第二步

在"/etc/pam.d/su"设置文件中定义有"wheel"组，而今介绍一下如何让一些用户可以用"su"号令成为"root"。下面是一个例子，让admin用户成为"wheel"组的成员，多么就可以用"su"号令成为"root"：

[root@deep]# usermod -G10 admin

"G"是默示用户所在的其它组。"10"是"wheel"组的ID值，"admin"是我们加到"wheel"组的用户。用异常的号令可以让其他的用户可以用su号令成为root。

◆十三、 把rpm法度圭表标准转移到一个安全的处所，并转变默许的访问许可

一旦在Linux效劳器上用rpm号令安置完齐备需要的软件，最好把rpm法度圭表标准转移到一个安全的处所，如：软盘或其它你以为安全的处所。因为假定有人入侵了你的效劳器，他就不能用rpm号令安置那些有害的软件。固然，假定未来要用rpm安置新的软件，你就要把rpm法度圭表标准拷回原来的目次。把rpm法度圭表标准移到软盘上，用下面的号令：

[root@deep]# mount /dev/fd0 /mnt/floppy/
[root@deep]# mv /bin/rpm /mnt/floppy/
[root@deep]# umount /mnt/floppy

具体：万万不要把rpm法度圭表标准从细碎中卸载丢失，不然以后就不能从新安置它，因为安置rpm法度圭表标准或其它软件包本身就要用rpm号令。

还有一点要具体的是，把rpm号令的访问许可从默许的755改成700。多么非root用户就不能使用rpm号令了。分外是思考到万一在安置完新软件之后忘了把rpm法度圭表标准移到一个安全的处所，多么做就更有需要了。

转变"/bin/rpm"默许的访问权限，用下面这个号令：

[root@deep]# chmod 700 /bin/rpm

版权声明： 原创作品，答允转载，转载时请务必以超链接方法标明文章 原始理由 、作者信息和本声明。不然将清查法律责任。