所謂系統加固就是利用手工配置及有關軟件來提高系統安全性的過程。本文將向讀者詳細介紹利用開源軟件sudo來對Root權限進行控制和審計以加固Linux系統安全的具體操作方法。

一、sudo的功能

Sudo是一款開源安全工具，最常用于對Root權限進行控制和審計。它的指導思想是“在保證人們能正常工作的條件下，盡量壓縮授予他們的權限”。系統管理員不僅可以讓指定的用戶或用戶組作為root用戶或其它用戶來運行某些命令，還能將指定的用戶所輸入的命令和參數作詳細的記錄。當然，該軟件是可以免費下載的，具體地址是www.gratisoft.us/sudo/download.html。

Sudo程序是一款在命令行方式下工作的安全工具，并且我們每次只執行一條命令。它支持的功能有：

◆命令日志：記錄命令和參數。該功能用于跟蹤用戶輸入的命令，尤其適合于進行系統審計。因為sudo 會記錄下所有作為root用戶(或者規定的其他用戶)的命令，所以許多管理員經常用它來替代root shell，以便記錄下自己使用的命令，這不僅能增進系統安全，還能用來進行故障檢修。

◆集中記錄多個系統的日志：Sudo聯合系統日志守護進程syslog后，能將所有日志集中存放在一個主機上。

◆命令限制：限定用戶或者用戶組能夠使用的命令。

◆檢票系統：檢票系統通過在用戶登錄到sudo時所創建的票據來設定時間限制。票據只在規定的時間內有效。每個新的命令都會刷新票據的預設時間，默認的預設時間是五分鐘。現實中，該功能非常有用，有了它即使root用戶離開系統時忘了注銷的話，也不至于被其他可以接觸到鍵盤的用戶肆無忌憚的窺探系統。因為票據過期后，系統必須重新登錄。所以，我們最好把有效時間盡量設的短一點，如默認有效時間五分鐘。檢票系統還可以用來清除用戶的票據文件。

◆集中管理多個系統：Sudo 的配置一般寫在/etc/sudoers這個文件中，而該文件可以供多個系統所用，這樣一來，我們就可以在一個主機上對這些系統進行集中管理了。

Sudo幾乎支持所有的UNIX操作系統版本，但如果要從源代碼進行安裝的話，必須準備好C編譯器和make工具。