設定 sudo 才知道哪些人用 root 權限做了哪些事,若不喜歡用 sudo 還有許多其它方式來禁止 root 存取的方式,詳細方式可參考[Red Hat Enterprise Linux 4: 安全性設定手冊 第 4章. 工作站的保全]

 #which sudo visudo                 //確定 sudo 是否安裝
 /usr/bin/sudo
 /usr/sbin/visudo

設定 visudo 不用再鍵入密碼就可變成 root、開啟 sudo log 功能,修改完 visudo 後若有人執行 sudo command 則 /var/log/sudo.log 會自動建立。

 #visudo
 ## Same thing without a password
 # %wheel        ALL=(ALL)       NOPASSWD: ALL         //預設值
 %wheel ALL=(ALL)       NOPASSWD: ALL                  //修改後
 #Sudo log                                             //並加入如下二行
 Host_Alias SERVER = 192.168.100.100                   //指定本機 IP
 Defaults@SERVER log_year, logfile=/var/log/sudo.log   //指定 log 格式及路徑

設定 sudo log 二種格式 (log_host、log_year)寫入 /var/log/sudo.log 內容的差異

 Dec 27 18:08:27 2007 : <username> : TTY=pts/2 ; PWD=/home/user/<username> ;    USER=root ; COMMAND=/usr/sbin/ntsysv                //使用 log_year
 Dec 27 18:13:27 : <username> : HOST=<hostname> : TTY=pts/2 ;    PWD=/home/user/<username> ; USER=root ; COMMAND=/usr/sbin/visudo   //使用 log_host

將使用者 <user> 加入 wheel 郡組,也就是只有 <user> 才能變成 root

 usermod -G wheel <username>
arrow
arrow
    全站熱搜
    創作者介紹
    創作者 YS,Lai 的頭像
    YS,Lai

    Lai YS的部落格

    YS,Lai 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄