跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 11.1 管理:安全服务 Oracle Solaris 11.1 Information Library (简体中文) |
缺省情况下,root 角色会被分配给初始用户,并且不能直接登录到本地系统或远程登录到任何 Oracle Solaris 系统。
sulog 文件列出了切换用户 (su) 命令的每次使用情况,而不仅仅包括用于从用户切换到 root 的 su 尝试。
开始之前
您必须承担 root 角色。有关更多信息,请参见如何使用指定给您的管理权限。
# more /var/adm/sulog SU 12/20 16:26 + pts/0 stacey-root SU 12/21 10:59 + pts/0 stacey-root SU 01/12 11:11 + pts/0 root-rimmer SU 01/12 14:56 + pts/0 jdoe-root SU 01/12 14:57 + pts/0 jdoe-root
这些项显示以下信息:
缺省情况下,通过 /etc/default/su 文件中的以下项启用此文件中的 su 日志记录:
SULOG=/var/adm/sulog
故障排除
包含 ??? 的项表示无法识别 su 命令的控制终端。通常,在显示桌面之前对 su 命令的系统调用包括 ???,如 SU 10/10 08:08 + ??? root-root 中所示。在用户启动桌面会话后,ttynam 命令会将控制终端的值返回至 sulog: SU 10/10 10:10 + pts/3 jdoe-root。
类似如下的项表示未在命令行中调用 su 命令:SU 10/10 10:20 + ??? root-oracle。Trusted Extensions 用户可能已使用 GUI 切换到 oracle 角色。
此方法可立即检测访问本地系统的 root 用户尝试。
开始之前
您必须承担 root 角色。有关更多信息,请参见如何使用指定给您的管理权限。
CONSOLE=/dev/console
缺省情况下,控制台设备设置为 /dev/console。使用此设置,root 可以登录到控制台。root 无法远程登录。
在远程系统上,尝试以 root 用户身份登录。
mach2 % ssh -l root mach1 Password: <Type root password of mach1> Password: Password: Permission denied (gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive).
在缺省配置中,root 是一个角色,而角色无法登录。此外,在缺省配置中,ssh 协议阻止 root 用户登录。
缺省情况下,会通过 SYSLOG 实用程序在控制台上显示试图成为 root 的尝试。
% su - Password: <Type root password> #
将在终端控制台上显示一条消息。
Sep 7 13:22:57 mach1 su: 'su root' succeeded for jdoe on /dev/pts/6
示例 3-5 记录 root 用户访问尝试
在此示例中,SYSLOG 不会记录 root 尝试。因此,管理员将通过删除 /etc/default/su 文件中的 #CONSOLE=/dev/console 项的注释来记录这些尝试。
# CONSOLE determines whether attempts to su to root should be logged # to the named device # CONSOLE=/dev/console
当用户尝试成为 root 用户时,将在终端控制台上显示该尝试。
SU 09/07 16:38 + pts/8 jdoe-root
故障排除
当 /etc/default/login 文件包含缺省 CONSOLE 项时,要从远程系统成为 root,用户必须先使用其用户名登录。使用其用户名记录后,用户则可以使用 su 命令称为 root 用户。
如果控制台显示类似于 Last login: Wed Sep 7 15:13:11 2011 from mach2 的项,则说明已将系统配置为允许远程 root 登录。要阻止远程 root 访问,请将 /etc/default/login 文件中的 #CONSOLE=/dev/console 项更改为 CONSOLE=/dev/console。要使 ssh 协议恢复为缺省值,请参见 sshd_config(4) 手册页。