Sudo程序允许一般用户经过组态设定后，以用户自己的密码再登录一次，取得超级用户的权限，但只能执行有限的几个指令。例如，应用sudo后，可以让管理磁带备份的管理人员每天按时登录到系统中，取得超级用户权限去执行文档备份工作，但却没有特权去作其他只有超级用户才能作的工作。

　　Sudo不但限制了用户的权限，而且还将每次使用sudo所执行的指令记录下来，不管该指令的执行是成功还是失败。在大型企业中，有时候有许多人同时管理Linux系统的各个不同部分，每个管理人员都有用sudo授权给某些用户超级用户权限的能力，从sudo的日志中，可以追踪到谁做了什么以及改动了系统的哪些部分。

　　值得注意的是，sudo并不能限制所有的用户行为，尤其是当某些简单的指令没有设置限定时，就有可能被黑客滥用。例如，一般用来显示文件内容的/etc/cat指令，如果有了超级用户的权限，黑客就可以用它修改或删除一些重要的文件。

　　第9招：追踪黑客的踪迹

　　当你仔细设定了各种与Linux相关的组态，并且安装了必要的安全防护工具之后，Linux操作系统的安全性的确大为提高，但是却并不能保证防止那些艺高人胆大的网络黑客的入侵。

　　在平时，网络管理人员要经常提高警惕，随时注意各种可疑状况，并且按时检查各种系统日志文件，包括一般信息日志、网络连接日志、文件传输日志以及用户登录日志等。在检查这些日志时，要注意是否有不合常理的时间记载。例如：

　　·正常用户在半夜三更登录;

　　·不正常的日志记录，比如日志只记录了一半就切断了，或者整个日志文件被删除了;

　　·用户从陌生的网址进入系统;

　　·因密码错误或用户账号错误被摈弃在外的日志记录，尤其是那些一再连续尝试进入失败，但却有一定模式的试错法;

　　·非法使用或不正当使用超级用户权限su的指令;

　　·重新开机或重新启动各项服务的记录。

　　第10招：共同防御，确保安全

　　从计算机安全的角度看，世界上没有绝对密不透风、百分之百安全的计算机系统，Linux系统也不例外。采用以上的安全守则，虽然可以使Linux系统的安全性大大提高，使顺手牵羊型的黑客和电脑玩家不能轻易闯入，但却不一定能阻挡那些身怀绝技的武林高手，因此，企业用户还需要借助防火墙等其他安全工具，共同防御黑客入侵，才能确保系统万无一失。

　　Linux安全设置笔记

　　[日期：2007-11-12] 来源：Linux公社 作者：Linuxidc

　　Linux下用户组安全设置

　　chmod o-r /etc/passwd //让其他用户得不到passwd里的信息

　　chmod o-r /etc/group //让其他用户得不到group里的信息

　　chgrp apache /etc/passwd /etc/group //把passwd与group改为apache组

　　权限设置

　　cd /

　　chmod o-r *

　　cd /usr

　　chmod o-r *

　　cd /var

　　chmod o-r *

　　chmod go-r /etc/httpd/conf

　　chmod go-rx /etc/rc.d/init.d

　　chmod o-r /etc/rc.d/init.d/* //去掉几个目录的列权限

　　chmod go-rx /usr/bin/gcc

　　chmod go-rx /usr/bin/g++

　　chmod go-rx /usr/include //去掉glibc的其他用户的权限

(责任编辑：)