【TechTarget中国原创】问:我们公司使用一个“superuser”帐号(Unix的root和Windows的administrator),但是我知道这样的帐号是通过获取未经授权访问系统,最容易遭到攻击,而且代价很大的方法之一,因为文件、设备或者命令都不受到限制。有什么方法能够维护这些帐号,又同时降低风险?
答:Unix和Windows都有一个内置的工具,允许用户在受一定限制的情况下作为管理员只完成一些特定的任务。在Unix中这个工具叫“sudo”,在Windows中这个工具叫“runas”。
例如,在Unix系统中,一个没有管理特权的普通用户可以使用“sudo”运行一个工具程序,该程序一般只有管理员才可以运行。用户仅仅被允许作为管理员运行这个单独的程序,而不具备其他的更高访问权限。在Windows中“runas”也是一样。在Unix中,用户在命令提示符中键入“sudo”,然后要求输入与他们帐号对应的密码。在Windows中,用户右击这个应用程序选择“runas”,或者像在Unix中一样在命令提示符中键入“runas”。
提高的访问权限仅仅允许用来运行特定的应用。一旦用户运行超过特定范围的程序,他就会失去他们被赋予的提高的权限。
不过,sudo和runas两者有一个关键的不同之处。Sudo能够通过/etc/sudoers配置文件进行具体的配置。而runas不能在同样的程度上进行具体的定制。使用runas的危险在于恶意的用户能获得系统上任意应用程序的访问权,从而完全控制机器。
另一方面,sudo能够设定只允许特定的用户进行某些特定的任务,甚至加以限制。任何想使用sudo的用户必须被添加进sudoers配置文件,然后将特定的权限在靠近他们名字的地方注明。
但是使用sudo也有两个需要注意的地方。Sudoers配置文件应该用一个叫做visudo的工具编辑,它会检查语法,并防止不同的管理员覆盖彼此对文件所作的更改。另一个需要注意的地方,是确保在sudoers中没有赋予用户进入所有应用、不受限制的管理权限。那就类似给与了用户完全的管理权限。如果用户有恶意的用途,就等于敞开大门。
Symark Software公司提供了一个叫做PowerBroker的商业产品,可以保护授予root权限的安全性。