29、Linux系统安全防护指南

Linux系统安全防护指南

1. 避免以Root用户登录

Root用户拥有系统的最高权限，可执行所有操作。虽然使用Root账户能无限制地访问维护系统所需的所有命令，但一直使用它会使系统在危险操作即将发生时的警告机制失效。在正常情况下，系统会警告普通用户其没有执行某些功能的必要权限，这一警告既能限制用户对系统部分功能或目录的访问，又能识别出某些命令可能带来的严重后果。而使用Root账户时，很多此类警告会被抑制，可能的风险也不会被标记，一个简单的按键错误就可能导致严重灾难。

因此，应尽量减少使用Root账户，将其使用权限限制在最少的人员范围内，并将其锁定到控制台。审计Root这样的通用账户的使用情况非常困难，甚至几乎不可能。在关键任务系统中，通常只分配一个人使用Root账户。

可以使用su和sudo命令来替代Root账户。su命令可用于获取系统的Root访问权限，但需要知道Root密码，且一旦获得权限，其访问级别等同于Root用户，因此必须严格控制。而sudo则提供了更精细的权限管理方式，可针对单个命令授予用户权限，让用户在执行必要任务的同时，限制其对不必要资源的访问。

例如，用户需要向服务器批量上传信息时，默认情况下，SLES不允许普通用户挂载可移动媒体。有两种解决方法：一是修改/etc/fstab中/dev/cdrom挂载点的定义，添加user选项，使非特权用户可以随意挂载和卸载CD，但此方法会让系统所有用户都能访问CD驱动器