实验环境:
企业新增了一台企业级服务器,已经安装Centos7操作系统,因为用户数量多,时间不固定,对账号和登陆过程采用基本的安全措施
需求:
基本的系统其安全控制
1.仅允许用户使用radmin使用su命令
►添加radmin,test,test1
►进入vi /etc/pam.d/su 设置
►测试效果
2.允许用户zhansan通过sudo 方式管理员工账号
►创建zhangsan
►给zhangsan赋予账号管理权限
去 vi /etc/sudoers 或者visudo
User_Alias USERS=zhangsan
Host_Alias HOSTS=localhost
Cmnd_Alias CMNDS=/usr/sbin/useradd,/usr/bin/passwd
USERS HOSTS=CMNDS
►切换zhangsan账号测试
►切换到其他普通账户测试,不成功
3.允许用户lisi通过sudo方式执行特权命令
►创建lisi账户
►赋予lisi 所有权限(root权限)
►执行命令 sudo + 你要执行的命令 就是lisid 执行特权命令的方法,畅通无阻
4.记录su.sudo操作,并进行简单的系统安全设置
►进入visudo (我用的lisi账号)
►Defaults logfile = /var/log/sudo
►查看var/log 是否有sudo 文件出现
5.为GRUB引导菜单启动密码限制
►生成root密钥:grub2-mkpasswd-pbkdf2
►进入vim /etc/grub.d/00_header
►cat <<EOT
set superusers=“root”
passwdword_pbkdf2 root grub.pbkdf2
EOF
►重置 引导菜单文件:grub2-mkconfig -o /boot/grub2/grub.cfg