理论讲解:系统安全及应用---------------------干货分享整就完事奥利给

最新推荐文章于 2022-06-25 15:13:12 发布
最新推荐文章于 2022-06-25 15:13:12 发布
阅读量742 收藏 2
点赞数 3
分类专栏: 运维 linux 文章标签: 运维 linux
原文来自:https://blog.csdn.net/Hero_V 抖音:Hero
本文链接:https://blog.csdn.net/Hero_V/article/details/107487521
版权
运维 同时被 2 个专栏收录
55 篇文章 1 订阅
订阅专栏
linux
16 篇文章 0 订阅
订阅专栏

系统安全及应用

前言:

学会加强系统账号安全、系统引导和登录安全,理解运用PAM安全应用
废话不多唠 开整
在这里插入图片描述

一 :账号安全基本措施

1.1 系统账号清理

将非登录用户的Shell设为/sbin/nologin
锁定长期不使用的账号 'usermod -L ’
删除无用的账号 ‘userdel -r’
锁定账号文件passwd、shadow,用以控制用户(包括root)无法创建删除修改账户

[root@localhost ~]# chattr +i /etc/passwd /etc/shadow	
'给passwd和shadow加锁+i'
[root@localhost ~]# lsattr /etc/passwd /etc/shadow		
'ls查看attr是否锁定,即查看状态'	
----i----------- /etc/passwd	'锁定'
----i----------- /etc/shadow	'锁定'

+i 进行加锁 -i 解锁

lsattr 查看是否锁定

实操:

[root@localhost ~]# chattr +i /etc/passwd /etc/shadow	'给账号文件加锁'
[root@localhost ~]# lsattr /etc/passwd /etc/shadow		'查看账号文件状态'
----i----------- /etc/passwd
----i----------- /etc/shadow
[root@localhost ~]# id zhangsan		'检查一下测试账号是否存在'
id: zhangsan: no such user		'反馈没有'
[root@localhost ~]# useradd lisi		'创建lisi'
useradd:无法打开 /etc/passwd		'反馈无法打开账号文件去进行修改'
[root@localhost ~]# chattr -i /etc/passwd /etc/shadow		'解锁'
[root@localhost ~]# useradd lisi		'再次创建lisi'
[root@localhost ~]# passwd lisi
更改用户 lisi 的密码 。
新的 密码:
无效的密码: 密码少于 8 个字符
重新输入新的 密码:
passwd:所有的身份验证令牌已经成功更新。	'成功'
[root@localhost ~]# lsattr /etc/passwd /etc/shadow	'此时再查看账号文件状态'
---------------- /etc/passwd
---------------- /etc/shadow
[root@localhost ~]# chattr +i /etc/passwd /etc/shadow	'再次加锁'
[root@localhost ~]# userdel lisi	'删除lisi'
userdel:无法打开 /etc/passwd	'反馈无法删除'
[root@localhost ~]# chattr -i /etc/passwd /etc/shadow	'解锁帐号文件'
[root@localhost ~]# userdel lisi	'再次删除'
[root@localhost ~]# id lisi	'查看lisi'
id: lisi: no such user	'删除成功'
[root@localhost ~]# ls /home	'查看普通用户的家目录'
gsy  lisi		'lisi的家目录还在,因为删除时没有-r递归删除'
[root@localhost ~]# rm -rf /home/lisi	'强制删除'
[root@localhost ~]# ls /home
gsy

1.2 密码安全控制

  • 设置密码有效期
  • 要求用户下次登陆时修改密码
[root@localhost ~]# vim /etc/login.defs	'进入默认配置文件'
......
PASS_MAX_DAYS   99999	'默认设置为99999天'

PASS_MAX_DAYS   30	'可以先修改为30天验证'

修改默认配置文件适用于在修改配置文件保存之后的时间点后的用户创建,这个方法不会修改已创建的用户的密码有效期

[root@localhost ~]# tail -3 /etc/shadow	'查看账号密码文件的后三行'
tcpdump:!!:18192::::::
gsy:$6$4r65p5GBvUZhGlnz$Cs.RsqZdbDij5eQeIxWRi3f4VERzZFsp1TSkgaURI3d0Beafr8TT//iBETmpgEsW//yoHoqfvL9k2BwmGQlx51::0:'99999':7:::		
'用单引号单独标注出来的99999就是gsy用户的密码的有效期'
apache:!!:18213::::::
[root@localhost ~]# useradd lisi	'创建lisi'
正在创建信箱文件: 文件已存在
[root@localhost ~]# passwd lisi		'设置密码'
更改用户 lisi 的密码 。
新的 密码:
无效的密码: 密码少于 8 个字符
重新输入新的 密码:
passwd:所有的身份验证令牌已经成功更新。
[root@localhost ~]# tail -3 /etc/shadow		'查看末尾三行'
gsy:$6$4r65p5GBvUZhGlnz$Cs.RsqZdbDij5eQeIxWRi3f4VERzZFsp1TSkgaURI3d0Beafr8TT//iBETmpgEsW//yoHoqfvL9k2BwmGQlx51::0:99999:7:::
apache:!!:18213::::::
lisi:$6$zpsumHLN$TvYWGP5LO4IVnjMnrEjUqGZeoDr7mtVFMqQ5DRjwTo1X6j5wHvSc7ZlJATPvlH2bFmp3vmZSpnqJ7ZgTL3MSu1:18214:0:'30':7:::
'新创建的lisi的密码有效期为30天'

对已存在的用户的密码有效期设置命令是

[root@localhost ~]# chage -M 时间 用户名

[root@localhost ~]# chage -M 99999 lisi	
'设置lisi密码的有效期为99999'
[root@localhost ~]# tail -3 /etc/shadow	'查看'
gsy:$6$4r65p5GBvUZhGlnz$Cs.RsqZdbDij5eQeIxWRi3f4VERzZFsp1TSkgaURI3d0Beafr8TT//iBETmpgEsW//yoHoqfvL9k2BwmGQlx51::0:99999:7:::
apache:!!:18213::::::
lisi:$6$zpsumHLN$TvYWGP5LO4IVnjMnrEjUqGZeoDr7mtVFMqQ5DRjwTo1X6j5wHvSc7ZlJATPvlH2bFmp3vmZSpnqJ7ZgTL3MSu1:18214:0:'99999':7:::

密码有效期设置

1.已创建的用户如何设置:chage -M 30

2.未创建的用户如何设置:使用vim编辑器去 /etc/longin.defs文件

login.defs 登录的默认文件

把/etc/login.defs中的有效期恢复为默认日期

#是注释符号,行首有#代表不会执行


# Please note that the parameters in this configuration file control the
# behavior of the tools from the shadow-utils component. None of these
# tools uses the PAM mechanism, and the utilities that use PAM (such as the
# passwd command) should therefore be configured elsewhere. Refer to
# /etc/pam.d/system-auth for more information.
#

# *REQUIRED*
#   Directory where mailboxes reside, _or_ name of file, relative to the
#   home directory.  If you _do_ define both, MAIL_DIR takes precedence.
#   QMAIL_DIR is for Qmail
#
#QMAIL_DIR      Maildir
MAIL_DIR        /var/spool/mail
#MAIL_FILE      .mail

# Password aging controls:
#
#       PASS_MAX_DAYS   Maximum number of days a password may be used.
#       PASS_MIN_DAYS   Minimum number of days allowed between password changes.
#       PASS_MIN_LEN    Minimum acceptable password length.
#       PASS_WARN_AGE   Number of days warning given before a password expires.
#
PASS_MAX_DAYS   99999
PASS_MIN_DAYS   0
PASS_MIN_LEN    5
PASS_WARN_AGE   7

#
# Min/max values for automatic uid selection in useradd
#
UID_MIN                  1000
UID_MAX                 60000

:wq 	'保存退出'     


[root@localhost ~]# chage --help
用法:chage [选项] 登录

选项:
  -d, --lastday 最近日期        将最近一次密码设置时间设为“最近日期”
  -E, --expiredate 过期日期     将帐户过期时间设为“过期日期”
  -h, --help                    显示此帮助信息并推出
  -I, --inactive INACITVE       过期 INACTIVE 天数后,设定密码为失效状态
  -l, --list                    显示帐户年龄信息
  -m, --mindays 最小天数        将两次改变密码之间相距的最小天数设为“最小天数”
  -M, --maxdays 最大天数        将两次改变密码之间相距的最大天数设为“最大天数”
  -R, --root CHROOT_DIR         chroot 到的目录
  -W, --warndays 警告天数       将过期警告天数设为“警告天数”

实操

[root@localhost ~]# chage -d 0 lisi	'代表下一次登陆时及时修改密码'
[root@localhost etc]# su lisi	'不带-,会切换用户,不会切换目录'
[lisi@localhost etc]$ exit
[root@localhost etc]# su - lisi	'带- ,不仅切换用户,还会切换到用户的家目录'
上一次登录:四 1114 14:00:17 CST 2019pts/0[lisi@localhost ~]$ exit
[root@localhost lisi]# su gsy	'切换到同级别用户去登录lisi'
[gsy@localhost lisi]$ su lisi
密码:
您需要立即更改密码(root 强制)
为 lisi 更改 STRESS 密码。
(当前)UNIX 密码:	'就是当前密码'
新的 密码:
无效的密码: 密码与原来的太相似
新的 密码:
无效的密码: 密码与原来的太相似
新的 密码:
无效的密码: 密码与原来的太相似

su: 已经超出服务重试的最多次数
[gsy@localhost lisi]$

chage -d 0 用户名 下次登陆时及时修改密码(修改的密码不允许连续数字、连续字母,可以为zxc196!@)

1.3 命令历史限制

  • 减少记录的命令条数
[root@localhost lisi]# vim /etc/profile	'进入/etc/profile'
HOSTNAME=`/usr/bin/hostname 2>/dev/null`
HISTSIZE=1000	'默认为1000,可以修改为200,减少历史命令缓存'
  • 注销时自动清空命令历史
[root@localhost /]# vim ~/.bash_logout	
'进入root家目录~中的注销变量文件去配置'

# ~/.bash_logout
history -c	'增加'
clear	'增加'

[root@localhost /]# source ~/.bash_logout	
'使配置文件生效'
~

1.4 终端自动注销

  • 闲置600s后自动注销
[root@localhost /]# vim ~/.bash_profile	'编辑root家目录的环境变量'
# .bash_profile

# Get the aliases and functions
if [ -f ~/.bashrc ]; then
        . ~/.bashrc
fi
'export TIMOUT=600'		'单引号不含,此处为增加项,超过600s会自动注销'
# User specific environment and startup programs

PATH=$PATH:$HOME/bin

export PATH

注销时间不要太快,不然不好修改回来

二 : 使用su命令切换用户

2.1 用途及用法

  • 用途: Substitute User, 切换用户
    格式:
[root@localhost /]# su - 目标用户
用法:
 su [选项] [-] [USER [参数]...]

将有效用户 id 和组 id 更改为 USER 的 id。
单个 - 视为 -l。如果未指定 USER,将假定为 root。

选项:
 -m, -p, --preserve-environment  不重置环境变量
 -g, --group <>             指定主组
 -G, --supp-group <>        指定一个辅助组

 -, -l, --login                  使 shell 成为登录 shell
 -c, --command <命令>            使用 -c 向 shell 传递一条命令
 --session-command <命令>        使用 -c 向 shell 传递一条命令
                                 而不创建新会话
 -f, --fast                      向shell 传递 -f 选项(csh 或 tcsh)
 -s, --shell <shell>/etc/shells 允许,则运行 shell

 -h, --help     显示此帮助并退出
 -V, --version  输出版本信息并退出

2.2 密码验证

  • root切换到任意用户,不用验证密码
  • 普通用户切换到其他用户,需要验证目标用户的密码
[root@localhost /]# su - gsy	'带-选项标识将使用目标用户的登录shell环境'
上一次登录:四 1114 14:16:48 CST 2019pts/0[gsy@localhost ~]$ su - root
密码:
上一次登录:四 1114 14:28:57 CST 2019pts/0[root@localhost ~]# whoami
root
[root@localhost ~]#

2.3 限制使用su命令的用户

  • 将允许使用su命令的用户加入wheel组,在wheel组内的用户才可以使用su切换用户命令
[root@localhost ~]# id gsy
uid=1000(gsy) gid=1000(gsy)=1000(gsy)
[root@localhost ~]# cat /etc/group | grep wheel
wheel:x:10:  
[root@localhost ~]# cat /etc/gshadow | grep wheel
wheel:::
[root@localhost ~]# gpasswd -a gsy wheel
正在将用户“gsy”加入到“wheel”组中
[root@localhost ~]# id gsy
uid=1000(gsy) gid=1000(gsy)=1000(gsy),10(wheel)
[root@localhost ~]# cat /etc/group | grep wheel
wheel:x:10:gsy
[root@localhost ~]# cat /etc/gshadow | grep wheel
wheel:::gsy
  • 启用pam_wheel认证模块
[root@localhost ~]# vim /etc/pam.d/su
%PAM-1.0
auth            sufficient      pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth           sufficient      pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
#auth           required        pam_wheel.so use_uid	'把#删掉即可启用'
auth            substack        system-auth
auth            include         postlogin
account         sufficient      pam_succeed_if.so uid = 0 use_uid quiet
account         include         system-auth
password        include         system-auth
session         include         system-auth
session         include         postlogin
session         optional        pam_xauth.so
记得wq保存退出

pam.su需要手动开启,在没有开启的时候,是默认所有用户都可以使用su去切换到别的用户,即使不在wheel中的用户也可以使用su

[root@localhost pam.d]# id gsy	'查看gsy在哪组'
uid=1000(gsy) gid=1000(gsy)=1000(gsy),10(wheel)
[root@localhost pam.d]# id lisi	'查看lisi在哪组'
uid=1001(lisi) gid=1001(lisi)=1001(lisi)
[root@localhost pam.d]# id root	'查看root,不在wheel'
uid=0(root) gid=0(root)=0(root)
[root@localhost pam.d]# su gsy	'直接切换到普通用户'
[gsy@localhost pam.d]$ su lisi	'切换同级别用户'
密码:
[lisi@localhost pam.d]$ su gsy	'lisi切换到gsy'
密码:
su: 拒绝权限	'su拒绝权限'
[lisi@localhost pam.d]$ su root	'lisi切换root'
密码:
su: 拒绝权限
[lisi@localhost pam.d]$ exit	'返回上个用户'
exit
[gsy@localhost pam.d]$ exit	'返回上个用户'
exit
[root@localhost pam.d]# gpasswd -a lisi wheel	'把lisi加入到wheel组'
正在将用户“lisi”加入到“wheel”组中
[root@localhost pam.d]# su lisi
[lisi@localhost pam.d]$ su gsy	'再次切换到gsy'
密码:
[gsy@localhost pam.d]$ 	'切换成功'

2.4 查看su操作记录

  • 安全日志文件; /var/log/secure
[root@localhost /]# cd /var/log
[root@localhost log]# ls
anaconda  dmesg               lastlog   qemu-ga            sssd                    wtmp            yum.log
audit     dmesg.old           libvirt   rhsm               tallylog                Xorg.0.log
boot.log  firewalld           maillog   sa                 tuned                   Xorg.0.log.old
btmp      gdm                 messages  samba              vmware-vgauthsvc.log.0  Xorg.1.log
chrony    glusterfs           ntpstats  'secure'             vmware-vmsvc.log        Xorg.1.log.old
cron      grubby_prune_debug  pluto     speech-dispatcher  vmware-vmusr.log        Xorg.2.log
cups      httpd               ppp       spooler            wpa_supplicant.log      Xorg.9.log

三 : Liunx中的PAM安全认证

3.1 su命令的安全隐患

  • su命令的安全隐患
    默认情况下,任何用户都允许使用su命令,从而恶意用户有机会反复尝试其他用户(如root)的登录密码,带来安全风险
    为了加强su命令的使用控制,可以借助于PAM认证模块,只允许极个别用户使用su命令进行切换
    PAM(Pluggable Authentication Modules)可拔插式认证模块,它是一种高效而且灵活便利的用户级别的认证方式,也是当前Linux服务器普遍使用的认证方式

3.2 PAM认证原理

  • PAM认证一般遵循的顺序:Service(服务)>PAM(配置文件)>pam_*.so
    PAM认证首先要确定哪一项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib/security下)进行安全认证
    用户访问服务器的时候,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证
    不同的应用程序所对应的PAM模块也是不同的
    .so 为结尾的就是模块文件

3.3 PAM认证的构成

  • 查看某个程序是否支持PAM认证,可以用ls命令进行查看/etc/pam.d,然后管道符号检索想要查询的程序;例如查看su是否支持PAM模块认证
    ls /etc/pam.d | grep su
    查看su的PAM配置文件:cat /etc/pam.d/su
    每一行都是独立的认证过程
    每一行可以区分为三个字段
    认证类型
    控制类型
    PAM模块及其参数

3.4 PAM安全认证流程

  • 控制类型也可以乘坐Control Flags,用于PAM验证类型的返回结果
    1.required验证失败时仍然继续,但返回Fail
    2.requisite验证失败则立即结束整个验证过程,返回fail(最重要的一步)
    3.sufficient验证成功则立即返回,不再继续,否则忽略结果并继续
    4.optional不用于验证,只显示信息(通常用session类型)

四 : 使用sudo机制提升权限

4.1 su命令的缺点

默认情况下,任何用户都允许使用su命令,从而恶意用户有机会反复尝试其他用户(如root)的登录密码,带来安全风险

4.2 sudo命令的用途及用法

用途:以其他用户身份(如root)执行授权的命令
用法:sudo 授权命令

4.3 配置sudo授权

visudo命令 或者 vim /etc/sudoers
记录格式: 用户 主机名列表 = 命令程序列表

[root@localhost log]# visudo
......
用户	主机名列表 = 命令程序列表
%wheel	ALL = NOPASSWD:ALL
jerry	localhost = /sbin/ifconfig
syrianer	localhost = /sbin/*,!/sbin/ifconfig,!/sbin/route
'可以使用通配符号*和取反符号!'
Cmnd_Alias	PKGTOOLS = /bin/rpm,/usr/bin/yum
mike	localhost = PKGTOOLS

备注:

可以使用通配符号*和取反符号!

用户与主机名列表间用制表符隔开,=号左右有空格,命令程序列表中若是有两个及以上命令,命令与命令之间用逗号隔开,

命令程序要写绝对路径,用which查看为准

主机名用hostname查看

百分号开头代表组

localhost 指本地主机名

!/sbin/ifconfig 除了/sbin/ifconfig

cmnd_alias 命令别名 PKGTOOLS (中文意包装水池) 别名,相当于把相关的命令编排到一个组内,可以用于主机名列表处=别名

类似别名还包括user_Alias、Host_Alias

[root@localhost gsy]# id gsy	'查看gsy的id'
uid=1000(gsy) gid=1000(gsy)=1000(gsy)
[root@localhost gsy]# id lisi	'查看lisi的id'
id: lisi: no such user	'没有lisi'
[root@localhost gsy]# useradd lisi	'创建测试用户lisi'
[root@localhost gsy]# passwd lisi
更改用户 lisi 的密码 。
新的 密码:
无效的密码: 密码未通过字典检查 - 它没有包含足够的不同字符
重新输入新的 密码:
passwd:所有的身份验证令牌已经成功更新。
[root@localhost gsy]# id lisi	'查看lisi的id'
uid=1001(lisi) gid=1001(lisi)=1001(lisi)
[root@localhost gsy]# ifconfig '以修改ip地址为例,先查看ip地址'
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.139.153  netmask 255.255.255.0  broadcast 192.168.139.255
        inet6 fe80::413b:c9ad:e0e:1afc  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:d6:c0:8a  txqueuelen 1000  (Ethernet)
        RX packets 741  bytes 574698 (561.2 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 332  bytes 31777 (31.0 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
[root@localhost gsy]# su lisi

[lisi@localhost gsy]$ ifconfig ens33 10.10.10.10	'先正常的输入修改ip地址命令'
SIOCSIFADDR: 不允许的操作
SIOCSIFFLAGS: 不允许的操作	'反馈无法执行,没有权限'
[lisi@localhost gsy]$ sudo ifconfig ens33 10.10.10.10	'sudo提权执行'

我们信任您已经从系统管理员那里了解了日常注意事项。
总结起来无外乎这三点:

    #1) 尊重别人的隐私。
    #2) 输入前要先考虑(后果和风险)。
    #3) 权力越大,责任越大。

[sudo] lisi 的密码:	
lisi 不在 sudoers 文件中。此事将被报告。	'反馈说lisi不再sudoers文件,后面会去查看这个文件'
[lisi@localhost gsy]$ cd /	
[lisi@localhost /]$ sudo -l	'查看sudo权限'
[sudo] lisi 的密码:
对不起,用户 lisi 不能在 localhost 上运行 sudo。	'显示lsii不可以使用sudo'
[lisi@localhost /]$ su root
密码:
[root@localhost /]# gpasswd -a lisi wheel	'把lisi加入wheel组内'
正在将用户“lisi”加入到“wheel”组中
[root@localhost /]# id lisi
uid=1001(lisi) gid=1001(lisi)=1001(lisi),10(wheel)
[root@localhost /]# su lisi
[lisi@localhost /]$ ifconfig ens33 10.10.10.10
SIOCSIFADDR: 不允许的操作
SIOCSIFFLAGS: 不允许的操作
[lisi@localhost /]$ sudo ifconfig ens33 10.10.10.10

我们信任您已经从系统管理员那里了解了日常注意事项。
总结起来无外乎这三点:

    #1) 尊重别人的隐私。
    #2) 输入前要先考虑(后果和风险)。
    #3) 权力越大,责任越大。

[sudo] lisi 的密码:
SIOCSIFADDR: 文件已存在
[lisi@localhost /]$ ifconfig
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.10.10.10  netmask 255.0.0.0  broadcast 10.255.255.255
        inet6 fe80::413b:c9ad:e0e:1afc  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:d6:c0:8a  txqueuelen 1000  (Ethernet)
        RX packets 2581  bytes 697151 (680.8 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 525  bytes 50661 (49.4 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

[lisi@localhost /]$ sudo -l
[sudo] lisi 的密码:
匹配 %2$s 上 %1$s 的默认条目:
    !visiblepw, always_set_home, match_group_by_gid, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
    env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
    secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin

用户 lisi 可以在 localhost 上运行以下命令:
    (ALL) ALL

这个时候查询一下sudoers文件;即/etc/sudoers,使用lisi去vim /etc/sudoers会提示权限不足,需要su到root再去vim

[root@localhost /]# grep -v "^#" /etc/sudoers >> 1.txt	
'这个命令是把/etc/sudoers中有效指令输入到1.txt中'
[root@localhost /]# cat 1.txt
Defaults   !visiblepw

Defaults    always_set_home
Defaults    match_group_by_gid

Defaults    env_reset
Defaults    env_keep =  "COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS"
Defaults    env_keep += "MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE"
Defaults    env_keep += "LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES"
Defaults    env_keep += "LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE"
Defaults    env_keep += "LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY"


Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin

root	ALL=(ALL) 	ALL


%wheel	ALL=(ALL)	ALL	'在wheel组内的用户可以在所有主机执行所有操作'

[root@localhost /]# vim /etc/sudoers	'vim进入配置文件'

## Allow root to run any commands anywhere 
root    ALL=(ALL)       ALL

## Allows members of the 'sys' group to run networking, software, 
## service management apps and more.
# %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS

## Allows people in group wheel to run all commands
%wheel  ALL=(ALL)       ALL		'这个命令,上面是解释'

## Same thing without a password
# %wheel        ALL=(ALL)       NOPASSWD: ALL

可以在/etc/sudoers 中手动配置一个条目

[root@localhost /]# which ifconfig	'先which查找到命令的绝对路径'
/usr/sbin/ifconfig
[root@localhost /]# hostname	'查看hostname'
localhost.localdomain
[root@localhost /]# vim /etc/sudoers
## Allow root to run any commands anywhere 
root    ALL=(ALL)       ALL
lisi    localhost = /usr/sbin/ifconfig	'新加入这一行'
## Allows members of the 'sys' group to run networking, software, 
## service management apps and more.
# %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS

## Allows people in group wheel to run all commands
%wheel  ALL=(ALL)       ALL
:wq! 保存
[root@localhost /]# gpasswd -d lisi wheel	'把lisi从wheel删除'
正在将用户“lisi”从“wheel”组中删除
[root@localhost /]# id lisi
uid=1001(lisi) gid=1001(lisi)=1001(lisi)
[root@localhost /]# su lisi	'切换lisi'
[lisi@localhost /]$ ifconfig ens33 13.13.13.13i	'直接使用命令'	
SIOCSIFADDR: 不允许的操作
SIOCSIFFLAGS: 不允许的操作
[lisi@localhost /]$ sudo ifconfig ens33 13.13.13.13	'加上sudo'
[sudo] lisi 的密码:
[lisi@localhost /]$ ifconfig	'查看ens33配置,发现已修改'
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 13.13.13.13  netmask 255.0.0.0  broadcast 13.255.255.255
        inet6 fe80::413b:c9ad:e0e:1afc  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:d6:c0:8a  txqueuelen 1000  (Ethernet)
        RX packets 4927  bytes 874213 (853.7 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 812  bytes 95433 (93.1 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
[lisi@localhost /]$ sudo -l	'再次查看sudo的权限'
匹配 %2$s 上 %1$s 的默认条目:
    !visiblepw, always_set_home, match_group_by_gid, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
    env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
    secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin

用户 lisi 可以在 localhost 上运行以下命令:
    (root) /usr/sbin/ifconfig	'可用权限'
[lisi@localhost /]$

4.4 查看sudo操作记录

需启用Defaults logfile配置
默认日志文件: /var/log/sudo

[root@localhost ~]# visudo	'或者 vim /etc/sudoers也可以'

......
## Allow root to run any commands anywhere
root    ALL=(ALL)       ALL
lisi    localhost = /usr/sbin/ifconfig
Defaults        logfile = "/var/log/sudo"	'输入设置'
## Allows members of the 'sys' group to run networking, software,

在启用默认配置文件/var/log/sudo后进行的sduo操作都会在此文件内记录

[root@localhost ~]# cat /var/log/sudo	
Nov 14 19:24:15 : lisi : TTY=pts/1 ; PWD=/home/lisi ; USER=root ;
    COMMAND=/sbin/ifconfig ens33 14.14.14.14
Nov 14 19:25:00 : lisi : TTY=pts/1 ; PWD=/home/lisi ; USER=root ; COMMAND=list
Nov 14 19:28:28 : lisi : TTY=pts/1 ; PWD=/home/lisi ; USER=root ;
    COMMAND=/sbin/ifconfig ens33 15.15.15.15

输入错误的用户或密码就会退出去,正确则会安全进入

五 : 开关机安全控制

5.1 调整BIOS引导设置

将第一引导设备设为当前系统所在硬盘
禁止从其他设备(光盘、U盘、网络)引导系统
将安全级别设为isetup,并设置管理员密码
备注:禁止从其他设备引导系统操作,感觉若是出现忘记root密码就可能无法从光驱去修改,所以还是谨慎操作

5.2 GRUB限制

使用grub2-mkpasswd-pbkdf2生成密钥
修改/etc/grub.d/00_header文件中,添加密码记录
生成新的grub.cfg配置文件
pbkdf2 是一种算法

使用方向键来改变选择。按“e”来编辑选择的项目,或“c”作为命令提示符。所选条目将在4s中自动启动
在这里插入图片描述
按e的界面
在这里插入图片描述
按c的界面
在这里插入图片描述
直接就可以进入编辑,可以对其进行设置密码,以保证安全性

设置grub密码步骤:

[root@localhost ~]# cd /boot/grub2	'切换到内核/boot/grub2目录'
[root@localhost grub2]# ls	'查看'
device.map  fonts  grub.cfg  grubenv  i386-pc  locale
[root@localhost grub2]# cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak	'做操作前先把配置文件备份一份,防止做错无法恢复'
[root@localhost grub2]# ls	'查看'
device.map  fonts  grub.cfg  'grub.cfg.bak'  grubenv  i386-pc  locale	'备份配置文件成功'
[root@localhost grub2]# cd /etc/grub.d/		'切换到配置/etc/grub.d目录'
[root@localhost grub.d]# ls	'查看'
00_header  01_users  20_linux_xen     30_os-prober  41_custom
00_tuned   10_linux  20_ppc_terminfo  40_custom     README
[root@localhost grub.d]# cp /etc/grub.d/00_header /etc/grub.d/00_header.bak	
'把grub的头部文件备份'
[root@localhost grub.d]# ls
00_header      00_tuned  10_linux      20_ppc_terminfo  40_custom  README
00_header.bak  01_users  20_linux_xen  30_os-prober     41_custom
[root@localhost grub.d]# grub2-mkpasswd-pbkdf2	'使用mkpasswd-pbkdf2算法去加密密码'
输入口令:	'输入要设置的密码'
Reenter password: 
PBKDF2 hash of your password is 	grub.pbkdf2.sha512.10000.0A69A269813E2E719399E15405F9006F0370B5812D9912FCC8E3F10E565AA70202B1B509594A592F399B6F96240E6E6572D6F9CEC1E0F032962A315D97E61E90.7291C86820FB883DC5D1339D991292DED755221AEAA381AF70232A7223CCA6AAE4039D3DDEA9E9400613894B6BA29D81FD1B72386285B7A534CFDA0CAD881AC7	'grub.pbkdf2.sha512往后是密码,复制粘贴'
[root@localhost grub.d]# vim /etc/grub.d/00_header

if [ "x${GRUB_BADRAM}" != "x" ] ; then
  echo "badram ${GRUB_BADRAM}"
fi
cat << EOF			'从这开始编辑'
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.0A69A269813E2E719399E15405F9006F0370B5812D9912FCC8E3F10E565AA70202B1B509594A592F399B6F96240E6E6572D6F9CEC1E0F032962A315D97E61E90.7291C86820FB883DC5D1339D991292DED755221AEAA381AF70232A7223CCA6AAE4039D3DDEA9E9400613894B6BA29D81FD1B72386285B7A534CFDA0CAD881AC7
EOF
:wq 
[root@localhost grub.d]# grub2-mkconfig -o /boot/grub2/grub.cfg	'重新输出配置文件'
Generating grub configuration file ...
Found linux image: /boot/vmlinuz-3.10.0-693.el7.x86_64
Found initrd image: /boot/initramfs-3.10.0-693.el7.x86_64.img
Found linux image: /boot/vmlinuz-0-rescue-33c124456fa34c50a98483245dfea58d
Found initrd image: /boot/initramfs-0-rescue-33c124456fa34c50a98483245dfea58d.img
done
[root@localhost grub.d]# 
[root@localhost grub.d]# init 6	'重启'

在这里插入图片描述
按e或c
在这里插入图片描述
在这里插入图片描述
输入错误的用户或密码就会退出去,正确则会安全进入

Hero_V
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
图解GPT-2,满满干货完整版
03-15
今年,我们看到了机器学习在许多场景的广泛应用。OpenAI GPT-2(https://openai.com/blog/better-language-models/)表现出了令人印象深刻的能力,它能够写出连贯而充满激情的文章,这超出了我们当前对语言模型的预期...
Linux切换root用户,user 不在 sudoers 文件中。此事将被报告
进击的小白
01-12 3255
现象 切换root用户时失败 [test1@xxx /]$ sudo root 我们信任您已经从系统管理员那里了解了日常注意事项。 总结起来无外乎这三点: #1) 尊重别人的隐私。 #2) 输入前要先考虑(后果和风险)。 #3) 权力越大,责任越大。 [sudo] test1 的密码: test1 不在 sudoers 文件中。此事将被报告。 原因 因为linux系统中对管理员权限sudo操作进行了控制,防止一般用户进行sudo操作,因此需要对管理员权限用户进行管理,
账号与密码安全
fangandpu的博客
09-24 2184
一、 一、系统的安全隐患 世界上没有绝对安全的系统,即使是普遍认为稳定的Linux系统,在管理和安全方面也存在不足之处。我们期望让系统尽量在承担低风险的情况下工作,这就要加强对系统安全的管理。 防御措施:让系统只能硬盘启动,给予一定的权限让root用户不在随意的修改密码,定时管理查看服务器内用户账户与权限设置,定时查看日志任务,购买防火墙抵御外来攻击。 1.1 系统账号清理与管理 将非登录用户的...
Linux权限管理(4)sudo权限
weixin_33918114的博客
06-10 2137
学习 sudo 权限前,先了解一下当用户第一次使用sudo权限时CentOS的系统提示 我们信任您已经从系统管理员那里了解了日常注意事项。总结起来无外乎这三点: #1) 尊重别人的隐私。 #2) 输入前要先考虑(后果和风险)。 #3) 权力越大,责任越大。 sudo权限的作用是:使普通用户可以临时以 root 用户的身份和权...
linux常见问题01
qq_43071699的博客
01-11 284
linux使用常见的问题: 第一次修改linux管理员密码 ┌──(consola㉿10)-[~/桌面] └─$ apt install fcitx 1 ⨯ E: 无法打开锁文件 /var/lib/dpkg/lock-frontend - open (13: 权限不够) E: 无法获取 dpkg 前端锁 (/var/lib/dpkg/lock-frontend),请查看您是否正以 root 用户运行?
系统安全应用理论理论
buliang4422的博客
08-27 607
一、账号安全控制 二、系统引导和登录控制 三、弱口令检测 四、端口扫描—NMAP 一、账号安全基本措施 1.系统账号清理 将非登录用户的shell设为/sbin/nologin 锁定长期不使用的账号 删除无用账号 锁定账号文件passwd、shadow2.文件进行加锁、解锁及查看命令 chattr +i /etc/passwd /etc/shadow chattr +i /etc/...
mysql-proxy读写分离.docx
最新发布
10-08
公司运维手册,mysql-proxy读写分离,废话不多说,上干货
mysql-proxy安装部署.docx
10-08
公司运维手册,mysql-proxy安装部署,废话不多说,上干货
Mac-GanhuoTool:Mac 端的干货上传小工具
06-05
Mac-GanhuoToolMac 端的干货上传小工具
Dcat-admin自定义页面干货
08-16
自定义页面控制器、接口、js、css、模板、放置目录及书写规则
计算机系统安全安全模型理论
12-20
后续还有,需要的私发。
[linux]十一、sudo命令的详细使用方法和ACL的基本命令讲解
热门推荐
m0_48638643的博客
03-18 1万+
本部分主要介绍了sudo这个命令的使用方法和sudo的日志文件,以及使用sudo去执行命令的时候怎么才能够免密码执行、设置ACL和两种ACL类型
权限管理之文件权限
yikenaoguazi的博客
11-25 562
day97一.文件权限管理之基本权限1.基本权限介绍2.设置权限3.权限对文件or目录的意义二.文件权限管理之特殊权限1.SUID2.SGID3.SBIT三.文件权限管理之chattrChattr命令语法lsattr命令语法四.权限管理之su,sudosu切换用户与sudo提权(1).介绍1、su切换用户身份2、sudo提取部分管理员权限(2).su切换用户1.储备知识(3)sudo提权(4)配置(5)sudo实例 一.文件权限管理之基本权限 1.基本权限介绍 基本权限类型 权限的归属 属主 u
huazi用户没有权限使用sudo命令以root身份执行命令 解决方法
live801的博客
09-25 4216
问题来源: 我们使用sudo命令,让huazi用户使用root身份执行命令时报错:   我们信任您已经从系统管理员那里了解了日常注意事项。 总结起来无外乎这三点:     #1) 尊重别人的隐私。     #2) 输入前要先考虑(后果和风险)。     #3) 权力越大,责任越大。 [sudo] huazi 的密码: huazi 不在 sudoers 文件中。此事将被报告。 可
谁值得您信任?
zgqtxwd的专栏
05-01 320
<!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--><script type="text/javascript"
Kali安装后配置
qq_61614649的博客
06-25 3150
kali系统安装后的配置
三周第三次课(4月4日)
choubaokan9414的博客
04-04 118
3.7 su命令 3.8 sudo命令 3.9 限制root远程登录 3.7su命令 su:切换用户 用法:su [-] 用户名 [root@localhost ~]# whoami root [root@localhost ~]# su kun1 ##切换ku...
Linux操作系统
日常记录
08-16 700
Linux操作系统 操作系统 操作系统(Operating System)是应用程序运行的基础支持环境 操作系统作用是管理和控制计算机系统的硬件与软件资源 Intel x86架构上常见的操作系统:Windows、Linux、Unix… PS:有种特殊的Linux支持arm架构,称为arm Linux,与标准Linux不兼容,本次学习基于Intel x86的标准LinuxLinux操作系统 Linux是开源的基于Intel x86架构的类Unix多用户操作系统 Linux是目前最主要的服务器端操作
解决Linux系统下,出现“不在sudoers文件中,此事将被报告”的问题
江湖行骗老中医
04-01 1万+
使用sudo mkdir software,提示XXX 不在 sudoers 文件中。此事将被报告。是因为当前操作用户的权限不足,而root用户只有在权限分配及系统设置时才会使用,而root用户的密码也不可能公开。普通用户执行到系统程序时,需要临时提升权限,sudo就是我们常用的命令,仅需要输入当前用户密码,便可以完成权限的临时提升。 1.切换到root用户权限,输入命令:"su root",回...
方法触发wx-open-launch-weapp 跳转
08-27
- *1* [h5跳转小程序、短信跳转小程序<wx-open-launch-weapp>干货满满](https://blog.csdn.net/Angelheca/article/details/125444337)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值