CentOS Aliases安全性提升措施
编辑/etc/aliases文件,删除或注释掉不再需要的别名(如#games: root、#ingres: root等默认无用别名),避免潜在的命令执行风险。修改完成后,必须运行/usr/bin/newaliases命令重建别名数据库,使更改生效。
通过chmod 644 /etc/aliases设置/etc/aliases文件的权限,确保只有系统管理员(root)能读取和修改该文件,防止未授权用户篡改别名配置。
/etc/pam.d/su文件,添加auth required pam_wheel.so use_uid行,限制只有wheel组的用户能使用su命令切换到root,间接控制别名的使用场景;/etc/pam.d/system-auth文件配置PAM规则,进一步限制用户对/etc/aliases文件的修改权限,强化访问控制。alias rm='rm -rf /'这类危险命令);alias ll='ls -la'),防止命令解析错误或被恶意利用;alias rm='rm -i',用于防止误删)。/etc/aliases文件,确认无未经授权的新增或修改(可通过版本控制工具如Git跟踪变更);/var/log/secure),关注/etc/aliases文件的访问和修改记录,及时发现异常活动;auditd等审计工具,记录别名的使用情况,便于追溯潜在的安全事件。rm命令只能由特定用户组使用);firewalld或iptables),限制对服务器的访问,减少未授权用户接触别名的机会;fail2ban等工具限制SSH等服务的非法访问,间接降低别名被滥用的风险。避免在全局配置文件(如/etc/bashrc、/etc/profile)中定义别名,仅在受信任用户的个人配置文件(如~/.bashrc)中设置,防止别名被所有用户继承和使用。