系统管理员和有些用户需要用管理员权限执行一些任务。用ROOT用户访问系统潜在的危险很大,有可能导致系统和数据大范围的破坏。本章介绍通过su和sudo获取超级权限。这些工具允许指定的用户以ROOT身份实施更高级别的系统操作。
更详细的介绍请参考《Red Hat Enterprise Linux 7 Security Guide》。
5.1 su命令
当用户执行su命令时,将被提示输入root用户的密码,验证通过后将给于root的shell。
一旦用su命令切换后,当前用户就是root,对系统拥有绝对的管理权限。注意,这个权限仍受SELinux限制。一旦用户变成了root,将可以使用su命令切换成任何有效的用户,且不需要任何密码。
由于功能强大,管理员可能想限制使用这个命令的人。最简单的方法之一就是把这些用户加到wheel组里:
usermod -G wheel username
你可以用users设置工具操作:
1.按下super键,出现Activies Overview然后按下Enter键,Users工具就出来了。
2.点击解锁按钮,输入管理员密码。
3.点击用户图标,在右边将显示用户的配置。
4.修改账户类型:从标准改为管理员,这样用户就加到wheel组了。
增加到wheel组后,用户就可以使用su命令了。修改PAM配置文件/etc/padm.d/su,删除下面这行最前面的#号:
#auth required pam_wheel.so use_uid
意思是,只有wheel组里的用户才能用su命令。
5.2 sudo命令
sudo命令提供另外给用户管理员权限的一种方式。当受信任的用户执行sudo命令时,他们将被提示属于他们自己的密码而不是root密码。然后,被授权管理员权限了。
sudo command
上面的command要换成具体要用的命令,如mount等。
sudo命令有更多的灵活性。比如只允许在/etc/sudoers里允许的用户使用sudo命令,而且只能在用户的shell中使用,而不是在root的shell里使用。
这么做的意思是,root的shell将彻底关闭。
每次sudo成功后都会把sudo的命令记录在/var/log/messages里,使用人和使用的的命令记录在/var/log/secure里。如果需要额外的登陆,用pam_tty_audit模块启用tty监控,在/etc/pam.d/system-auto文件里增加一行:
session required pam_tty_audit.so disable=pattern enable=pattern
pattern要用逗号分隔的的用户账号代替。比如,下面的配置将启用对ROOT用户的TTY监控,并且不对其它用户不监控:
session required pam_tty_audit.so disable=* enable=root
使用sudo的另一个优点是,管理员可以为让不同的用户对不同的命令拥有不同权限。
管理员如果要修改sudo的配置文件/etc/sudoers,应该使用visudo命令。
如果要给某个用户管理员权限,输入visudo命令,并增加以下权限信息:
juan ALL=(ALL) ALL
意思是,juan可以在本地使用sudo,可以执行任何命令。
下面的例子显示sudo权限管理的粒度:
%users localhost=/sbin/shutdown -h now
表示任何用户都可以在控制台执行/sbin/shutdown -h now命令。
sudoers的手册里有更详细的介绍。
重要:
当使用sudo时有一些潜在的风险。你可以通过修改/etc/sudoers文件来避免(用visudo修改)。当/etc/sudoers文件内容是默认内容时,在wheel组里的所有用户都可以使用root的所有权限。
默认情况下,sudo操作者的密码在5分钟之内有效,5分钟之内不会再次提示输入密码。如果用户离开电脑没有锁定,将有可能会被黑客利用。可以通过修改配置的方式调整这个时间(修改/etc/sudoers文件):
Defaults timestamp_timeout=value
value是按分钟计的,设置为0时,每次都需要密码。
如果sudo使用者的账号密码比较弱,攻击者可以使用sudo打开新的拥有超级权限的shell
sudo /bin/bash
这样将给予攻击者无限时间的超级管理员权限,即忽略了在/etc/sudoers文件里指定的过期时间,这个会话关闭前将不需要验证密码。
5.3 其它信息
297
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
