禁止根权限

最新推荐文章于 2024-04-22 01:25:32 发布
最新推荐文章于 2024-04-22 01:25:32 发布
阅读量1.5k 收藏
点赞数
分类专栏: linux安全 文章标签: shell 远程登录 ssh command 文本编辑 linux
原贴:http://blog.chinaunix.net/u/13329/showart.php?id=84758

禁止根权限
 
 
1)禁止根权限

4.4.2.1. 禁用根 Shell

要防止用户直接登录为根用户,系统管理员可以在 /etc/passwd 文件中把根帐号的 shell 设置为 /sbin/nologin。这会阻止需要 shell 的命令,如 su 和 ssh 等直接进入根帐号。



重要 不需要使用 shell 的程序,如电子邮件客户或 sudo 命令,仍旧能够进入根帐号。



4.4.2.2. 禁用根登录

要进一步限制对根帐号的使用权限,管理员可以通过编辑 /etc/securetty 文件来禁用控制台的根登录。该文件列举了所有根用户被允许登录的设备。如果该文件不存在,根用户就能通过系统上的各类通信设备,不管是控制台还是原始网络 接口,来登录。这种情况很危险,因为用户可以以根用户身份使用 Telnet 来登录,在网络中明文传送根口令。按照默认设置,红帽企业 Linux 的 /etc/securetty 文件只允许根用户在和机器物理相连的控制台上登录。要阻止根用户登录,键入以下命令来清除该文件的内容:

echo > /etc/securetty

警告 一个空白的 /etc/securetty 文件 不会防止根用户使用 OpenSSH 工具套件来远程登录,因为控制台在验证之前不会被打开。



4.4.2.3. 禁用根的 SSH 登录

要防止根用户通过 SSH 协议登录,编辑 SSH 守护进程的配置文件(/etc/ssh/sshd_config)。把以下一行:

# PermitRootLogin yes改成:

PermitRootLogin no
4.4.2.4. 使用 PAM 禁用根权限

PAM 通过 /lib/security/pam_listfile.so 模块在拒绝特定帐号方面提供了极大的灵活性。这使管理员能够在不准许登录的用户列表上应用该模块。以下的例子显示了该模块在 /etc/pam.d/vsftpd PAM 配置文件中的 vsftpd FTP 服务器上是如何被使用的(如果指令在一行内,那么就 必要使用第一行尾的 / 字符):

auth   required   /lib/security/pam_listfile.so   item=user /sense=deny file=/etc/vsftpd.ftpusers onerr=succeed这告诉 PAM 参考 /etc/vsftpd.ftpusers 文件,并拒绝其中列举的用户使用该服务。管理员可以随意改变这个文件的名称,并为每个服务保存单独的列表,或使用一个单一列表来拒绝到多个服务的使用权 限。

如果管理员想要拒绝到多个服务的使用权限,他也可以在 PAM 配置服务(如 /etc/pam.d/pop 和用于邮件服务的 /etc/pam.d/imap、或用于 SSH 客户的 /etc/pam.d/ssh)中添加相似的一行。

关于 PAM 的详情,请参阅 《红帽企业 Linux 参考指南》的“ 可插入验证模块(PAM)”这一章。


4.4.3. 限制根存取权限

与其完全否定对根帐号的使用,管理员可能只想通过 setuid 程序如 su 或 sudo 等来允许对其的使用。

4.4.3.1. su 命令

键入 su 命令后,用户会被提示输入根口令,经验证后,他就会得到一个根 shell 提示。

通过 su 命令登录后,用户 就成为根用户,并且对系统有绝对的管理权。此外,一旦用户成为根用户,他还可以使用 su 命令来变成系统上的另一个用户而不必输入口令。

因为该程序非常强大,机构内的管理员可能想限制能够使用这个命令的人员。

最简单的方法是把用户添加到一个叫做 wheel 的特殊管理组群。要这么做,以根用户身份键入以下命令:

usermod -G wheel <username>在前面的命令中,把 <username> 替换成被添加到 wheel 组群中的用户名。

下一步,在文本编辑器中打开 su(/etc/pam.d/su)的 PAM 配置文件,删除以下行的注释符号 [#]:

auth  required /lib/security/pam_wheel.so use_uid这么做会只允许管理性组群 wheel 使用该程序。



注记 根用户是默认的 wheel 组群成员。



4.4.3.2. sudo 命令

sudo 命令提供了另一种授予用户管理权限的方法。当可信任的用户在管理命令前加一个 sudo 命令,这个用户就会被提示输入 他自己的口令。验证后,假定这个命令被准许执行,它就会以根用户身份执行。

sudo 命令的基本格式如下:

sudo <command>在上面的例子中, <command> 应该被替换为通常保留给根用户使用的命令,如 mount。



重要 sudo 命令的用户应该在离开他们的机器前特别留意一下自己是否已经退出,因为这些用户可以在五分钟之内再次使用这个命令而不必输入口令。该设置可以通过修改配置文件 /etc/sudoers 来改变。


sudo 命令提供了高度的灵活性。例如,只有列举在 /etc/sudoers 配置文件中的用户被允许使用 sudo 命令,并且命令是在 用户的而不是根的 shell 中被执行。这意味着根 shell 可以被完全禁用,如 第 4.4.2.1 节所示。

sudo 命令还提供了完整的审核渠道。每次成功的验证都被记录在 /var/log/messages 文件中,所使用的命令以及使用者的用户名被记录在/var/log/secure 文件中。

sudo 命令的另一个优越性是,管理员可以根据需要给不同的用户以不同的命令使用权限。

想编辑 sudo 配置文件 /etc/sudoers 的管理员应该使用 visudo 命令。

要给某人以完全的管理权限,键入 visudo,然后在用户特权规定部分添加和以下相似的一行:

juan ALL=(ALL) ALL这个例子表明,用户 juan 可以在任何主机上使用 sudo 来执行任何命令。

以下的例子显示了 sudo 配置方面的可伸缩性:

%users  localhost=/sbin/shutdown -h now这个例子表明,只要是从控制台使用,任何用户都可以使用 /sbin/shutdown -h now 命令。

sudoers 的说明书页中有一个该文件选项的详细列表。
创建于: 2006-03-13 20:08:18,修改于: 2006-03-13 20:08:18,已浏览107次,有评论0条
 
chinalinuxzend
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hadoop集群安装 无法检测权限 解决
jbx9292HAHAHA
12-09 878
Hadoop 集群安装
HP-UNIX常用命令
袈裟本无清净,红尘不染性空。幽幽古刹千年钟,都是痴人说梦
07-01 1765
hp-ux常用命令 ********************************** 查看内存 /usr/contrib/bin/machinfo | more*************dmesg**************#dmesg|more      显示 记忆体 cpu     外设(i/o介面卡,磁片设备etc.)   root,swap,dump设备分配资讯注:dmesg...
letv-hosts:禁止手机电视主持人
03-25
主机 禁止手机电视主持人 自己的adguard加网上找的地址整合了这个主机,希望对你有用。可能会有遗漏,可以帮我补充 使用这个主机的后果:你的手机将无法正常使用乐视自带的服务,包括登陆账号,找回手机,查看系统在线壁纸,乐视账号同步之类的。 使用方法:1.保证你的手机有root,有supersu,magisk之类的管理工具。【如果没有可以在网上搜索你的手机型号+ root】 2.使用管理器【有RE管理器,EX管理器,FX管理器都行】,进入系统目录文件夹获取root权限后依次打开“系统文件夹” ---“ etc文件夹”- 【如果你看完不知道我在说什么,google搜索关键字“安卓手机修改hosts文件”】 3.清除有广告应用的缓存,在设置-应用管理-“找到你需要清理缓存的应用文件”-存储空间-清除数据或清除缓存 4.建议不要使用系统自带的浏览器,广告多。可以使用chrome浏览器,通过浏
Automatic_horse:免费共享,禁止商用
04-03
自动化赛马娘 小栗帽(脚本) 简介 本脚本可以实现半自主化刷金币,从第一年的首日,到第三年的有马纪念,全程只需要暂停四次手动加技能点。目前本脚本已稳定通过10次育成测试。 配置要求 PC端和模拟器端均需要下载按键精灵手机助手才能使用脚本 模拟器使用雷电模拟器,设置中开,设置设置为华为p30p ,授予按键精灵超级权限,并调整至1080×1920的分辨率 小栗帽必须觉醒3(解锁大胃王金回),推荐先行跑法除非支援卡稳定给金回,否则十分容易翻车 一定要关掉育成中所有可以被关闭的弹窗提示(治疗,外出,休息,出道站比赛),并二倍速且跳过设置为第二个选项 按键精灵(安卓版)下载地址: ://res.91anjian.com/Mobile/apk/MobileAnJian3.3.8.apk 按键精灵手机助手下载地址: ://res.91anjian.com/Mobile/exe/MobileAnji
sudo-block:禁止用户以root权限运行您的应用
05-12
须多块 禁止用户以root权限运行您的应用 安装 $ npm install sudo-block 用法 import sudoBlock from 'sudo-block' ; sudoBlock ( ) ; 原料药 sudoBlock(消息吗?) 当使用权限运行包含此功能的文件时,它将退出并显示错误消息,告诉用户如何解决问题,因此他们不必使用sudo运行它。 信息 类型: string 自定义消息。
详解Linux系统中设置SFTP服务用户目录权限的方法
01-20
前言 在工作或者学习的时候,我们常常会遇到这样的需求,限制一个Linux用户,让他只能在指定的目录下进行添加、修改、删除操作,并且只能使用sftp登录服务器,不能用ssh操作。这些可以通过配置sftp服务实现。 方法如下 提供sftp服务的有vsftpd和internal-sftp,这里用的是系统自带的internal-sftp,操作步骤如下: 1.创建新用户ui,禁止ssh登录,不创建家目录 useradd -s /sbin/nologin -M www 2.设置用户密码 passwd www 3.创建用户的目录,用户就只能在此目录下活动 mkdir /home/www 4.设置目录
Web应用安全:IIS禁止目录列出配置.docx
06-18
IIS禁止目录列出配置 摘 要:通过本节介绍,让学生了解如何配置IIS目录浏览权限。 关键词:IIS;目录 一、目录遍历攻击 1、基础信息 目录遍历(路径遍历)是由于Web服务器或者Web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以是Web目录以外的文件),甚至执行系统命令。该漏洞常常出现在文件读取或者展示图片等对文件读取交互的功能块。 二、IIS目录浏览权限 1、Windows server 2016中的IIS服务器搭建 在windows server 2016中,可以在“服务器管理器”中的“添加角色和功能”中安装IIS组件。 图1 服务管理器 在接下来弹出的界面中,可以选择安装的服务,可以据自己的需要安装,在角色服务这一栏中,可以选择全部安装,避免以后缺少某种服务而反回来重新安装的情况。 图2 IIS安装过程 2、IIS网站目录 在“IIS管理器”中,我们可以找到“目录浏览”选项,通过是否启用该选项,我们便可以选择是否开启目录浏览权限。 图3 目录浏览权限设置 3、目录列出
如何在CentOS7上禁用或关闭SELinux
热门推荐
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
02-09 3万+
介绍SELinux 是内置于 Linux 内核中的强制访问控制 (MAC) 执行器。它限制了可能对系统构成威胁的个别服务的权限。没有 SELinux 的 CentOS 系统依赖于其所有特权...
linux中系统用户禁用shell访问,只允许ftp访问的配置
书山有路勤为径,学海无涯苦作舟
02-07 427
默认情况下,在创建用户时,如果未明确指定,该用户将具有对服务器的 SSH 访问权限。要禁用 shell 访问,我们将创建一个新的。shell,它会简单地打印一条消息,告诉用户他们的帐户仅限于 FTP 访问。
类型的访问权限 - 示例 1
桂云帆的博客
04-11 54
类型授予访问权限后,您可使用拒绝规则对访问权限进行进一步优化。为所有需要访问树中任意类型的用户授予类型的权限。对于用户或组不应具有访问权限的子类。组对类型的读取权限的规则。该授予稍后会应用至所有子类型。要实现此情景,有两种方案:首先,我们来了解第一种方案。型,创建相应的显式拒绝权限以限制对其进行访问。组中的所有用户将可以访问所有类型。,也会拒绝对所有子类型的访问。子类型的读取权限的规则。子类型的读取权限的规则。类型的读取权限的规则。子类型的读取权限的规则。
root权限
顺其自然~专栏
03-02 1990
root权限,系统权限的一种,也叫权限,与SYSTEM权限可以理解成一个概念,但高于Administrator权限,root是Linux和Unix系统中的超级管理员用户账户,该帐户拥有整个系统至高无上的权力,所有对象他都可以操作。获得root权限之后就意味着已经获得了系统的最高权限,这时候你可以对系统中的任何文件(包括系统文件)执行所有增、删、改、查的操作。手机root权限是andriod的使用最高权限,获取了root权限,可以轻松的对手机刷机备份还原卸载系统文件等重要操作。
CDH的安装和使用
12-08
开源的hadoop生态圈的安装和维护很难,通过cloudera公司的cdh来管理,但是对于CDH的安装对于初学者总会存在一定的困难,本文档详细介绍CDH的离线安装和使用
配置文件设置匿名用户禁止登陆
12-13
配置文件设置匿名用户禁止登陆 附源码 文档 希望能帮助到你
Bat学习笔记大全
weixin_30471561的博客
03-17 3251
基础部分:======================================================================一、基础语法: 1.批处理文件是一个“.bat”结尾的文本文件,这个文件的每一行都是一条DOS命令。可以使用任何文本文件编辑工具创建和修改。 2.批处理是一种简单的程序,可以用 if 和 goto 来控制流程,也可以使用 for...
Linux】——权限详解
weixin_69519040的博客
10-30 1799
Linux权限,详细解释了权限是什么,权限产生的原因,以及权限如何使用。一篇文章即可搞懂linux权限
Linux Shell脚本_禁用selinux
Gblfy_Blog
04-08 1648
2. 禁用selinux ① 脚本编写 sed -i '/SELINUX/{s/permissive/disabled/}' /etc/selinux/config ②脚本说明 #流编辑器 sed #写入或者修改 -i #区配关键字 /SELINUX #将/etc/selinux/config文件中值为permissive替换为disabled /permissive/disabled/ /et...
Linux进入root权限的两种方法
m0_67402026的博客
08-20 2万+
:输入sudo passwd root,再输入用户密码,接下来会让你设置root密码,并再次确认。接下来输入su,再输入刚刚设置的root密码就可以进入root了。):使用root权限而不是直接进入,sudo +
网络安全之反弹Shell
小飞的博客
04-12 1642
在网络安全和渗透测试领域,“正向Shell”(Forward Shell)和"反向Shell"(Reverse Shell)是两种常用的技术手段,用于建立远程访问目标计算机的会话。这两种技术都可以让攻击者在成功渗透目标系统后执行命令,但它们在建立连接的方式上有所不同。
VulnHub靶机 DC-7 打靶 渗透详细流程
最新发布
rumil的博客
04-22 713
主机发现—端口扫描—目录爆破发现后台—服务探测—白盒测试(源码当中找配置文件)—ssh远程登录—邮件信息—找到备份文件脚本—发现脚本当中的drush命令—修改后台密码—进入后台—寻找可代码执行或getshell地方—drupal8不允许执行命令(模块)—下载新的插件—getshell—反弹shell—追加反弹命令—提权即可。由于我们上一步骤已经得到了backups.sh脚本属主为root,属组为www-data,所以我们将反弹shell命令添加到脚本当中,等待执行脚本反弹shell即可得到root权限
nginx在哪里配置403权限
09-05
例如,可以通过以下配置来设置对目录路径的403权限: location / { deny all; error_page 403 /403.html; } 上述配置中,deny all表示拒绝访问所有请求,error_page 403 /403.html则设置403权限的错误页面。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值