使用Sudo让Solaris更加安全
Sudo是一款开源安全工具,它能允许管理员给予某些用户或组以作为root用户或其他用户从而运行特定命令的权利。本文将介绍如何通过Sudo让Solaris更加安全。
Sudo是一款开源安全工具,它能允许管理员给予某些用户或组以作为root用户或其他用户从而运行特定命令的权利。这个软件还能记录下特定系统用户的命令和参数。sudo的开发者声明这个软件的基本出发点就是“让人们以尽可能少的权限完成他们的工作。Sudo在1986年夏天首次发行,Todd Miller先生现在负责这个程序并在BSD方式的许可证下发行它。Sudo主页位于http://www.sudo.ws/sudo/ 。Sudo程序是一款在命令行方式下工作的安全工具,并且我们每次只执行一条命令。它支持的功能如表-1:
|
功能特征 |
描述 |
|
命令记录 |
记录命令和参数。该功能用于跟踪用户输入的命令,尤其适合于进行系统审计。因为sudo 会记录下所有作为root用户(或者规定的其他用户)的命令,所以许多管理员经常用它来替代root shell,以便记录下自己使用的命令,这不仅能增进系统安全,还能用来进行故障检修。 |
|
多系统集中记录 |
|
|
命令限制 |
限定用户或者用户组能够使用的命令。 |
|
票据式系统 |
票据式系统通过创建票据对登录sudo施行时间限制,在给定时间内票据是有效的。每个新命令都刷新这个票据时间。缺省是5分钟 |
|
多系统集中管理 |
Solaris的Sudo 的配置一般写在/usr/localsudoers这个文件中,而该文件可以供多个系统所用,这样一来,我们就可以在一个主机上对这些系统进行集中管理了。 |
|
|
|
二、下载安装Sudo
| #wget ftp://ftp.sunfreeware.com/pub/freeware/intel/10/sudo-1.6.9p16-sol10-x86-local.gz #wget ftp://ftp.sunfreeware.com/pub/freeware/intel/10/libintl-3.4.0-sol10-x86-local.gz #wget ftp://ftp.sunfreeware.com/pub/freeware/intel/10/libiconv-1.11-sol10-x86-local.gz #wget ftp://ftp.sunfreeware.com/pub/freeware/intel/10/libgcc-3.3-sol10-intel-local.gz #gunzip sudo-1.6.9p16-sol10-x86-local.gz #gunzip libintl-3.4.0-sol10-x86-local.gz #gunzip libiconv-1.11-sol10-x86-local.gz #gunzip libgcc-3.3-sol10-intel-local.gz |
下面使用pkgadd –d 命令以此安装以上四个软件包。
图1 sudo安装完成界面
说明:Sudo几乎支持所有的UNIX类操作系统版本,但如果要从源代码进行安装的话,必须准备好GCC编译器和Gun make工具。也可以使用pkgget安装sudo,solairs有一种工具,这就是pkg_get,由blastwave.org推出的。用作者的话说是:“一个用来自动抓取www.sunfreeware.com上的包的工具. 模拟了Debian linux上的"apt-get".”传统的Solaris命令功能并不够强大--这个软件可以补充很多包管理的功能。这个工具简单到仅使用如下命令就可以获取sunfreeware.com上一个包的最新版本。
# pkg-get install sudo
这条命令会自动下载适合你的体系结构和为你的OS修订的版本sudo数据库(如果存在的话),并安装它。如果你已安装了一个较老的版本,就可以使用'upgrade'代替 'install',这样就会用新的版本覆盖老的版本(即升级)。
下载pkg-get:
| #wget http://www.blastwave.org/pkg_get.pkg #pkgadd -d pkg-get.Pkg # pkg-get –I sudo |
