關(guān)于su命令 　　如果你不想任何人能夠su為root的話,你應(yīng)該編輯/etc/pam.d/su文件，加下面幾行：

　　auth sufficient /lib-
　　/security/pam_rootok-
　　.so debug

　　auth required /lib-
　　/security/pam_wheel-
　　.so group=isd

　　這意味著僅僅isd組的用戶可以su作為root。如果你希望用戶admin能su作為root.就運(yùn)行下面的命令：

　　usermod -g10 admin

　　suid程序也是非常危險(xiǎn)的，這些程序被普通用戶以euid=0（即root）的身份執(zhí)行，只能有少量程序被設(shè)置為suid。用這個(gè)命令列出系統(tǒng)的suid二進(jìn)制程序：

　　suneagle# find / -perm -4000 -print

　　你可以用chmod -s去掉一些不需要程序的suid位。

　　關(guān)于賬戶注銷

　　如果系統(tǒng)管理員在離開系統(tǒng)時(shí)忘了從root注銷，系統(tǒng)應(yīng)該能夠自動(dòng)從shell中注銷。那么，你就需要設(shè)置一個(gè)特殊的 linux 變量“tmout”，用以設(shè)定時(shí)間。 同樣，如果用戶離開機(jī)器時(shí)忘記了注銷賬戶，則可能給系統(tǒng)安全帶來隱患。你可以修改/etc/profile文件，保證賬戶在一段時(shí)間沒有操作后，自動(dòng)從系統(tǒng)注銷。 編輯文件/etc/profile，在“histfilesize=”行的下一行增加如下一行:

　　tmout=600

　　則所有用戶將在10分鐘無操作后自動(dòng)注銷。注意：修改了該參數(shù)后，必須退出并重新登錄root，更改才能生效。

　　關(guān)于系統(tǒng)文件

　　對(duì)于系統(tǒng)中的某些關(guān)鍵性文件如passwd、passwd.old、passwd._、shadow、shadown._、inetd.conf、services和lilo.conf等可修改其屬性，防止意外修改和被普通用戶查看。 如將inetd文件屬性改為600：

　　# chmod 600 /etc/inetd.conf

　　這樣就保證文件的屬主為root，然后還可以將其設(shè)置為不能改變:

　　# chattr +i /etc/inetd.conf

　　這樣，對(duì)該文件的任何改變都將被禁止。 你可能要問：那我自己不是也不能修改了？當(dāng)然，我們可以設(shè)置成只有root重新設(shè)置復(fù)位標(biāo)志后才能進(jìn)行修改:

　　# chattr -i /etc/inetd.conf