設定 sudo 才知道哪些人用 root 權限做了哪些事,若不喜歡用 sudo 還有許多其它方式來禁止 root 存取的方式,詳細方式可參考[Red Hat Enterprise Linux 4: 安全性設定手冊 第 4章. 工作站的保全]
#which sudo visudo //確定 sudo 是否安裝
/usr/bin/sudo
/usr/sbin/visudo
設定 visudo 不用再鍵入密碼就可變成 root、開啟 sudo log 功能,修改完 visudo 後若有人執行 sudo command 則 /var/log/sudo.log 會自動建立。
#visudo
## Same thing without a password
# %wheel ALL=(ALL) NOPASSWD: ALL //預設值
%wheel ALL=(ALL) NOPASSWD: ALL //修改後
#Sudo log //並加入如下二行
Host_Alias SERVER = 192.168.100.100 //指定本機 IP
Defaults@SERVER log_year, logfile=/var/log/sudo.log //指定 log 格式及路徑
設定 sudo log 二種格式 (log_host、log_year)寫入 /var/log/sudo.log 內容的差異
Dec 27 18:08:27 2007 : <username> : TTY=pts/2 ; PWD=/home/user/<username> ; USER=root ; COMMAND=/usr/sbin/ntsysv //使用 log_year
Dec 27 18:13:27 : <username> : HOST=<hostname> : TTY=pts/2 ; PWD=/home/user/<username> ; USER=root ; COMMAND=/usr/sbin/visudo //使用 log_host
將使用者 <user> 加入 wheel 郡組,也就是只有 <user> 才能變成 root
usermod -G wheel <username>
全站熱搜
留言列表