Linux安全之禁用特定命令

在生產實際中，常常會因為某些安全要求，需要對linux系統限制使用者執行許可權過大的命令或較敏感的，因此，如何限制系統的某些功能，限制linux系統下使用者可執行的命令，將是一件安全日常不斷需要深入研究的事，本文主要從幾個方面，整理相關限制命令執行的方法，以供日常安全運維參考；

1）禁止非wheel使用者使用su命令

編輯su配置檔案：vi /etc/pam.d/su，開啟：

auth required /lib/security/$isa/pam_wheel.so use_uid //即要求wheel組的使用者才可執行su，只有usermod -g wheel 使用者，才可su；

修改/etc/login.defs檔案： echo 「su_wheel_only yes」 >> /etc/login.defs //普通使用者登入，shell限制

修改預設的su的wheel組：vi /etc/pam.d/su檔案

auth sufficient /lib/security/pam_rootok.so debug

auth required /lib/security/pam_wheel.so group=wheel //將wheel替換為其他組

1）禁止授權普通使用者sudo：

chmod u+w /etc/sudoers

2）vi /etc/sudoers 或visudo，編輯sudoers檔案，找到以下行：

*** all = (all) all ## 將***替換為允許sudo的普通使用者名稱，後面，all，限制sudo執行的命令；

還可以為每個使用者建立特定sudo策略檔案，在/etc/sudoers.d/目錄下建立與使用者同名的策略檔案：

visudo -f /etc/sudoers.d/blue，寫入：

blue all=/usr/bin/, !/usr/bin/passwd, /bin/, !/bin/kill ##不可殺程序和修改密碼

3）限制root執行某些命令

4）禁用內部命令

root下執行help可檢視內部命令，然後執行：enable -n 要禁止的命令，可以禁止；如果再啟用，只需執行enable 要啟用的命令；

5）禁用history

history命令配置時間戳：# export histtimeformat=』%f %t 』

檢視：# export histtimeformat=』%f %t 』 # history | more

控制歷史命令記錄的總行數：vi ~/.bash_profile，修改：histsize=450 histfilesize=450

強制 history 不記住特定的命令：# export histcontrol=ignorespace //在不想被記住的命令前面輸入乙個空格

禁用 history: # export histsize=0

利用工具afe-rm，安裝後替換系統命令rm；

.tar.gz # 將safe-rm命令複製到系統的/usr/local/bin目錄

cp safe-rm-

1.1.0

/safe-rm /usr/local/bin/

ln -s /usr/local/bin/safe-rm /usr/local/bin/rm # 建立軟鏈結,用safe-rm替換rm，如果有問題，請檢查環境變數path，是否包含/usr/local/bin路徑

遞迴過濾示例（這樣/root/blue/students各級目錄都會受到保護）：

/ /root /root/blue /root/blue/students

示例2：