www.nhipsongcongnghe.net
Như vậy, chỉ có những người có đǎng ký là thành viên của nhóm wheel mới có
quyền "su" thành root. Để cho phép một người dùng có quyền này, người quản trị
chỉ việc gán account của người này vào nhóm wheel (qua file /etc/group)
9.9. Hạn chế các thông tin ghi bởi bash shell
Thông thường, tất cả các lệnh được thực hiện tại dấu nhắc shell của các account
đều được ghi vào file ".bash_history" nằm trong thư mục cá nhân của các
account. Điều này cũng gây nên những nguy hiểm tiềm ẩn, đặc biệt với những
ứng dụng đòi hỏi phải gõ các thông mật như mật khẩu trên dòng lệnh. Người
quản trị nên hạn chế nguy cơ này dựa trên 2 biến môi trường HISTFILESIZE và
HISTSIZE: Biến môi trường HISTFILESIZE xác định số lệnh (gõ tại dấu nhắc shell)
sẽ được lưu lại cho lần truy nhập sau, còn biến môi trường HISTSIZE xác định số
lệnh sẽ được ghi nhớ trong phiên làm việc hiện thời. Ta có thể giảm giá trị của
HISTSIZE và đặt bằng 0 giá trị HISTFILESIZE để giảm tối đa những nguy hiểm đã
nêu trên.
Để thực hiện việc này, chỉ cần đơn giản thay đổi giá trị hai biến này trong file
/etc/profile như sau:
HISTFILESIZE=0
HISTSIZE=20
Như vậy, tại phiên làm việc hiện thời, shell chỉ ghi nhớ 20 lệnh gần nhất, đồng
thời không ghi lại các lệnh người dùng đã gõ khi người dùng thoát ra khỏi shell.
10.10. Cấm nhòm ngó tới những file script khởi động Linux
Khi khởi động Linux, các file script được đặt tại thư mục /etc/rc.d/init.d sẽ được
thực hiện. Để tránh những sự tò mò không cần thiết, người quản trị nên hạn chế
quyền truy xuất tới những file này chỉ cho account root bằng lệnh sau:
# chmod -R 700 /etc/rc.d/init.d/*
11.11. Xoá bỏ những chương trình SUID/SGID không sử dụng
Thông thường, những ứng dụng được thực hiện dưới quyền của account gọi thực
hiện ứng dụng. Tuy nhiên, Unix và Linux sử dụng một kỹ thuật đặc biệt cho phép
một số chương trình thực hiện dưới quyền của người quản lý chương trình (chứ
