Linux操作系统下Sudo命令的使用方法说明

　　四. 日志与安全

　　sudo为安全考虑得很周到，不仅可以记录日志，还能在有必要时向系统管理员报告。但是，sudo的日志功能不是自动的，必须由管理员开启。这样来做：

　　# touch /var/log/sudo
　　# vi /etc/syslog.conf

　　在syslog.conf最后面加一行（必须用tab分割开）并保存：

　　local2.debug /var/log/sudo

　　重启日志守候进程，

　　ps aux | grep syslogd

　　把得到的syslogd进程的PID（输出的第二列是PID）填入下面：

　　kill –HUP PID

　　这样，sudo就可以写日志了：

　　[foobar@localhost ~]$ sudo ls /rootanaconda-ks.cfg
　　Desktop install.log
　　install.log.syslog
　　$cat /var/log/sudoJul 28 22:52:54 localhost sudo: foobar :
　　TTY=pts/1 ; PWD=/home/foobar ; USER=root ; COMMAND=/bin/ls /root

　　不过，有一个小小的“缺陷”，sudo记录日志并不是很忠实：

　　[foobar@localhost ~]$ sudo cat /etc/shadow > /dev/null
　　[foobar@localhost ~]$
　　cat /var/log/sudo...Jul 28 23:10:24 localhost sudo: foobar : TTY=pts/1 ;
　　PWD=/home/foobar ; USER=root ; COMMAND=/bin/cat /etc/shadow

　　重定向没有被记录在案！为什么？因为在命令运行之前，shell把重定向的工作做完了，sudo根本就没看到重定向。这也有个好处，下面的手段不会得逞：

　　[foobar@localhost ~]$ sudo ls /root > /etc/shadowbash: /etc/shadow: 权限不够

　　sudo 有自己的方式来保护安全。以root的身份执行sudo-V，查看一下sudo的设置。因为考虑到安全问题，一部分环境变量并没有传递给sudo后面的命令，或者被检查后再传递的，比如：PATH，HOME，SHELL等。当然，你也可以通过sudoers来配置这些环境变量。

　　如上所见，sudo对于控制和审查root的访问很有帮助，它能让系统管理员更有效，安全地管理系统。掌握sudo的正确使用也是对于系统管理员的良好训练。本文只是初步地介绍了sudo 的使用。

上一页  [1] [2] [3] 

【责编:Yoyo】