6r�^�N�}�S�M�c0 UNIX系统中,计算机安全系统建立在身份验证机制上。如果root口令失密,系统将会受到侵害,尤其在网络环境中,后果更不堪设想。因此限制用户 root 远程登录,对保证计算机系统的安全,具有实际意义。本文向大家介绍一些方法,能达到限制 root 远程登录的目的。51Testing软件测试网9B�j�U�`.A-}
6C)^;C+G�q+S8v f�O0 方法一:在/etc/default/login 文件,增加一行设置命令:51Testing软件测试网�g ?�Y�]3V�P+a
51Testing软件测试网*}.v
m.Z�Y�_�l)D CONSOLE = /dev/tty01
�M'U�u�e
T�D051Testing软件测试网;M�I�L�?�T 设置后立即生效,无需重新引导。以后,用户只能在控制台(/dev/tty01)root登录,从而达到限制root远程登录,不过,同时也限制了局域网用户root登录,给管理员的日常维护工作带来诸多不便。51Testing软件测试网�w
y�B�J$K�N�?�O
\
51Testing软件测试网2g�w�Q9f�R1| 方法二:1.为了达到限制root远程登录,首先要分清哪些用户是远程用户(即是否通过另一台 Windows 系统或 UNIX 系统进行 telnet 登录),哪些用户是局域网用户。通过以下shell程序能达到此目的。
0?4m�A�S�[1b5S�D4u051Testing软件测试网�U+H"p�[�r-| A�Q TY=`tty | cut -b 9-12`
+J,^2t*a6t0j
P
`.m7u0�F,h:u t�k+p�h0 WH=`finger | cut -b 32-79 | grep "$TY " | cut -b 29-39`51Testing软件测试网�B�z!\8~�f�b�c�A�G
a B�z.`�g0 KK=` tty | cut -b 6-9`51Testing软件测试网5~)^�Z8w�B;Q9G�\,n
51Testing软件测试网(g�X:l�s:B$_$R�\ If [ "$KK" = "ttyp" ]
�Q8h�|
O�g)D P051Testing软件测试网�W2_;e�H�C�J Then51Testing软件测试网
@:v7]7J�g
}:W;F�R�o�T0 WH=$WH
�f
s�o�]4R�}�O�E051Testing软件测试网"w:a:P3w�A�d�@ Else51Testing软件测试网7d.z(O9h�L2U&@�P�@
51Testing软件测试网 _�K�P�m { d;k+O�\�n�r7q WH="local"51Testing软件测试网%g4u,\1b�]$q�V�S�t�c�U5~
z�p�V:^�V.x�d�~0T�J)r0 Fi51Testing软件测试网�`#a�x S5V
�C:n�B&Q.[0 以上Shell命令程序中,WH为登录用户的主机IP地址,但如果在 /etc/hosts 文件中,定义了IP 地址和机器名之间的对应关系,则 WH 为用户登录的主机名。假设连接到局域网中的终端服务器的IP 地址为:99.57.32.18, 那么应在 /etc/hosts 文件中加入一行:
9X%|/f�k�u:W+m�_�U�{0�}�^�K�Y.m�D:F�?0 99.57.32.18 terminal_server
#r
x5j�l�y�Z�E�{&[051Testing软件测试网�Y�j�\(u5y2e
R&G 所有通过99.57.32.18终端服务器登录到主机的终端中,WH 是同一个值,即为终端服务器名terminal_server。
�U7l�h0z3Q$P*L(k�Z)u�u0�T5D.E�X�w/R+U%S,I {�s0 2.在root的.profile文件中,根据 WH 值进行不同的处理,从而实现限制root远程登录。
�H F
O&]�S"z�~051Testing软件测试网%]%y3^
i,P2N8E�I�T!t Trap 1 2 3 9 1551Testing软件测试网�p�A3|�j�{�m6d�H%D
51Testing软件测试网�z�C:C�U
T4k+|�c�t�P�p�Z If [ "$WH" = "local" -o "$WH" = "terminal_server" ]
�{�y�\�k.M(M�v9p0
U�P�j�l�e
}+f�_�P0 Then
�n"[�E�N�|/x051Testing软件测试网(i:?�J�~/Y4G�R�Q�b Echo "Welcome......"
�x+r�m6E�p#_&a z�w0�y�Z9w5E�|(?0 Else51Testing软件测试网4w:V$N8} m�@�A�v
'r�v2Z1u)J4u�M�?0 Exit51Testing软件测试网'V�Y�n6P2H�Y�z�n+\
�P1q5n9G�}!]�F)F�L�l0 Fi51Testing软件测试网�v%B�I*q�_
E)`
,d+H6H-K�W+g0 方法三:有时为了工作的方便,允许局域网中部分电脑root登录,例如,允许局域网中IP 地址为 99.57.32.58 的电脑root登录,要实现这一点,需要在前述方法中,作两点补充:51Testing软件测试网�J4[9W)x!b�W8y
V�j�Z�G�h9C�w-r�d,\�O0 1.在 /etc/hosts 文件中,加入一行:99.57.32.58 xmh。51Testing软件测试网�j,F3w�c�O
W.c
51Testing软件测试网�X#a({�Q�K�_
@�T 2.在上述 Shell 程序段中,将下述内容:51Testing软件测试网/K$I,~�X�\�Z�P&P
51Testing软件测试网�J�v*e5L"o7t�@ If [ "$WH" = "local" -o "$WH" = "terminal_server" ]51Testing软件测试网�N�u8g6H
H$f!P�q�m
51Testing软件测试网!m!y$z#|%X$A#Z 修改为:51Testing软件测试网9_�W�W0b9Q�Z
�V�g5x�~1f�j
]
e�_�p0 If [ "$WH" = "local" -o "$WH" = "terminal_server" -o "$WH"= "xmh" ]51Testing软件测试网6u6]�U.P9W�R
�I�\;t1v�K2Q0 方法四:经过以上处理后,仍存在普通用户登录后用su命令变成 root 用户的可能,从而达到 root 远程登录的目的。为了防止用这种方法实现 root 远程登录,需要限制普通用户不能执行 su 命令:51Testing软件测试网6C�V)L�I�B'D
f)[
(X-P9J*n�`)l0 1.将su命令属主改为 root;51Testing软件测试网�z�]8@'Z�w�B
51Testing软件测试网.{�}�G�r�[;l�s.J9H�I 2.将su命令的权限改为 700。
�b�q'K�w1D�[�s
C0)K�t(t+Q�J5O0 方法五:在上述方法中,虽限制了普通用户执行su 命令,但“精明”的用户可以用 ftp 命令上载一个用户可以执行的 su命令,从而实现 root 远程登录。为了防止这一点,需要在路由器上设立防火墙,限制用户执行ftp协议,这里不再赘述。51Testing软件测试网�l�g�U�X�O�\
(?8R�z5L�@�C�i"k0
�v�r�G�q0~ }8v!S$`"_0
