1、设置安全路径这是用于每个使用sudo运行的命令的路径,它有两个重要性:
在系统管理员不信任sudo用户具有安全的PATH环境变量时使用要分离“根路径”和“用户路径“要设置它,请添加行:
Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin"
2、在TTY用户登录会话上启用sudo
要启用从真实tty调用sudo,而不是通过cron或cgi-bin脚本等方法调用,请添加以下行:
Defaults requiretty
3、运行Sudo命令使用pty
有些时候,攻击者可以使用sudo运行恶意程序(例如病毒或恶意软件),这将再次分叉保留在用户的终端设备上的后台进程,即使在主程序已经完成执行时。
为了避免这种情况,您可以将sudo配置为仅使用use_pty参数从psuedo-pty运行其他命令,无论I /O日志是否已打开,如下所示:
Defaults use_pty1
4、创建Sudo日志文件
默认情况下,sudo日志通过syslog(3)。但是,要指定自定义日志文件,请使用logfile参数,如:
Defaults logfile="/var/log/sudo.log"
要在自定义日志文件中记录主机名和四位数年份,请分别使用log_host和log_year参数,如下所示:
Defaults log_host, log_year, logfile="/var/log/sudo.log"
5、增加sudo密码尝试限制
参数passwd_tries用于指定用户尝试输入密码的次数。 默认值为3:
Defaults passwd_tries=5
