77、Unix系统账户安全防护全解析

Unix系统账户安全防护全解析

1. root账户保护

在许多Unix版本中，若 /etc/ttys 文件里未将控制台标记为“安全”，在单用户模式下启动系统时就需输入超级用户密码。不把控制台标记为“安全”，能增强系统安全性。

除了上述方式，还有其他机制可进一步保护root账户：
- wheel组 ：不在wheel组的用户无法使用 su 命令成为超级用户。不过在某些Unix版本中，wheel组用户可用自己的密码而非超级用户密码，通过 su 命令成为root，所以要谨慎选择加入wheel组的人员。
- sudo程序 ：多个Linux发行版和MacOS X包含 sudo 程序，也可在任何Unix系统上安装。当有多人负责系统管理时， sudo 是个不错的选择。管理员使用 sudo 命令以root身份运行程序，它会提示输入用户自己的密码而非root密码。 sudo 的优势在于能限制用户可运行的命令，还会记录每个通过 sudo 运行的命令。例如，可允许用户仅以root身份运行 dump 命令进行系统备份。但 sudo 也有潜在问题，被允许以root身份运行命令的用户账户，多数情况下需像保护超级用户账户一样进行保护。

2. 可信路径与可信计算基

当关注系统安全时，要确保执行的是真实