Linux最小化限制权限技巧

最新推荐文章于 2024-05-26 09:44:50 发布
最新推荐文章于 2024-05-26 09:44:50 发布
阅读量1.4k 收藏
点赞数
分类专栏: 实战秘籍
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bigwood99/article/details/108089096
版权
本文介绍了如何在Linux环境中,遵循最小权限原则,为特定用户授予仅能查看和编辑审计日志文件的权限,而避免赋予过多的root权限。通过创建脚本并配置sudoers文件,实现用户仅能通过脚本访问和修改审计日志 `/var/log/audit/audit.log`,以此降低安全风险。
摘要由CSDN通过智能技术生成

最近忙的晕头转向,文章写得也乱。今天整理下思路。

开通最少的服务,给与用户最小的权限。这条安全法则几乎应该是人人皆知。能做到的有多少,那就不知道了。

不过,在安全要求越来越高的时代,学会给用户设置最小化权限,可能对你完成公司给与的越来越严苛的要求大有帮助。

下面只是借助一个例子讲一个思路,抛砖引玉。

案例要求:

        给linux系统开通一个账户用于审计。审计用户可以查看审计日志内容,编辑审计日志(修改或删除数据),暂停或开启审计服务。审计日志文件:/var/log/audit/audit.log,改文件属主和组为root,其他用户不可访问。审计服务管理脚本:/etc/init.d/auditd

如上图所示,普通用户对日志文件无法访问。root用户可以访问。

如果想授权给一个普通用户读取和编辑这个文件的权限。我们知道,可以在sudoers内设置该用户以root身份执行vim权限。

这样用户可以通过“sudo vim /var/log/audit/audit.log”方式,以root身份编辑改文件。

但是可带来一个问题,这个用户可以用root身份使用vim命令编辑任何文件。这权利太大了。这不符合控制权限控制风险的初衷。

那么该怎么办呢?

这里给出一种方法,限制用户只能编辑指定文件。

在allenle用户家目录下(当然在其他allenle可以

了解本专栏 订阅专栏 解锁全文 超级会员免费看
乐大师
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
限制root用户远程登录方法汇集
cuiyifang的专栏
02-27 1619
限制 root 远程登录的目的,不言而语啦,下面是几种方法:     方法一: 可以通过修改/etc/ssh/sshd_config文件,将其中的PermitRootLogin改成no,然后重新启动ssh服务就 可以了。/etc/rc.d/sshd restart   方法二:在/etc/default/login 文件,增加一行设置命令:   CONSOLE = /dev/tty01
Linux用户与最小权限原则解析
09-15
主要为大家解析了Linux用户与最小权限原则,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Linux里用户权限能低到什么程度
最新发布
怀揣梦想,一颗执着于技术的心从未磨灭,内心住着一颗顽强的小强时刻提醒自己层层突破自我,同时也成就他人
05-26 415
使用useradd命令添加用户时,可以通过-g和-G选项指定用户的基本组和附加组,从而限制用户的访问权限。根据最小权限原则,应该根据实际需要设置文件权限,确保只有需要访问文件的用户才能获得相应的权限。通过合理设置用户种类、UID、文件权限、sudo权限等,可以确保系统的安全性和稳定性。:UID范围通常是1000+(在某些发行版中可能是500+),这类用户的权限受到基本权限限制,也受到管理员的限制。在Linux系统中,用户权限可以低至非常有限的程度,具体取决于系统管理员如何配置和设置。
Linux用户与“最小权限”原则
weixin_34365417的博客
10-07 515
作者:Vamei 出处:http://www.cnblogs.com/vamei 欢迎转载,也请保留这段声明。谢谢!   Linux的用户在登录(login)之后,就带有一个用户身份(user ID, UID)和一个组身份(group ID, GID)。在Linux文件管理背景知识中,我们又看到,每个文件又有九位的权限说明,用来指明该文件允许哪些用户执行哪些操作(读、写或者执行)。 (参考L...
Linux下如何让程序以管理员权限运行
热门推荐
jian8182的博客
05-20 1万+
管理员权限就是最大权利的意思,啥事儿都能干!呵呵,是在Linux系统下哈,比如:删除系统文件。 ~$ #sudo su
linux网站目录最小权限分配-linux读写执行权限区别
科比不来it
07-19 1393
网站文件最小权限设置方法: 1、假如web服务器是apache,那么用户访问web页面的时候,就是通过apache服务(httpd)的所有者的身份进行访问,所以要将 apache也就是httpd服务的所有者和所有组设为apache或者自定用户,不要用root,这个一般安装的时候就会有默认设置。 2、网站程序的所有者不要和apache服务的所有者一样,如果一样就相当于给了普通访问者对web文件的
Linux 服务器安全技巧
09-15
5. **限制用户权限**:遵循最小权限原则,为每个用户分配执行其职责所需的最小权限。避免用户获得不必要的系统访问权限,这可以通过细粒度的权限控制和用户组管理来实现。 6. **启用防火墙**:使用iptables或ufw等...
Linux权限模糊化执行的程序名和参数,避开基于execve系统调用监控的命令日志.zip
04-29
在生产环境中,应当遵循最小权限原则,限制用户执行可能有害的操作,并通过严格的审计和监控来保障系统的安全性。 了解这些技术有助于增强对系统安全的防御能力,理解攻击者可能使用的手段,从而采取相应的预防措施...
linux运维手册学习笔记
01-31
- **安装流程:** 包括设置语言和地区、安装引导加载程序、选择安装类型(图形界面/最小化安装)等步骤。 - **图形界面安装:** 适合新手用户,全程可视化操作界面,易于理解。 - **文本模式安装:** 更适用于高级...
Linux环境下把控根帐号权限各种形式的实现.pdf
09-06
文章"Linux环境下把控根帐号权限各种形式的实现"探讨了如何在保持系统安全性的同时,实现对根账号权限的精细化控制。 首先,文章提到了两种主要的方法来平衡根账号的使用和系统管理需求。一种方法是通过"su–root...
linux基线检查脚本.rar
04-08
这个RAR压缩包中包含的脚本可能是基于bash或者其他解释器编写的,目的是按照特定的Linux配置基线进行自动化检查。基线通常涵盖了一系列最佳实践,确保系统遵循安全策略,避免潜在风险。 在Linux配置基线文档中,...
linux权限 目录文件权限最小化,13-权限
weixin_34501374的博客
05-03 510
权限(报错提示:permission denied权限拒绝错误)rwx含义r是否可读w是否可写 writex是否可以运行 execute(执行命令或脚本)权限计算r ---4w --2x ---1- ---0如何知道你对某个文件的权限确认是哪个用户,以及与文件/目录的关系(主人,家人,陌生人) 再看权限修改权限chmod参数-R递归修改权限chmod 755 /ol...
linux权限最小化分级,vim可视化&Linux系统安全最小化原则& su & sudo
weixin_36215736的博客
04-29 546
一、vim在可视化模式下编辑crl+v,会变成-- VISUAL BLOCK --,然后用上下左右键去选中.多行注释:ESC进入命令行模式;Ctrl+v进入VISUAL BLOCK模式上下左右键调整需要注释多少行;Shift+i即大写I或s进入插入模式,输入注释的符号,比如#;再按两下ESC键,这时就可完成多行注释,命令行模式下,输入:首行号,尾行号s/^/字符/g,实现批量插入字符.如:2,7s...
mysql权限最小化规则_Windows服务器下权限最小化原则的思考
weixin_29584723的博客
02-08 648
我在安装网站程序的过程中,遇到了一些文件和文件夹权限设置的问题,下面记录下我的一些经验和收集的权限的四个特性,及权限管理的四个原则MySQL,MSSQL,程序文件夹 的权限最小化,降权处理。一般情况下,将数据库服务安装到非系统盘,删除其他权限,只保留System和Administrators权限,为MySQL设置独立账户,MSSQL安装过程中选择低权限的内置账户(例如network service...
最小的权限+最少的服务=最大的安全
zimuxin的专栏
08-15 1779
所以,无论是配置任何服务器,我们都必须把不用的服务关闭、把系统权限设 置到最小话, 这样才能保证服务器最大的安全。 下面是 CentOS 服务器安全设置, 供大家参考。      转载请注明出处及原文链接   一、注释掉系统不需要的用户和用户组       注意:不建议直接删除,当你需要某个用户时,自己重新添加会很麻烦。      cp  /etc/
linux 新建用户最小权限,Linux 用户权限设置
weixin_39536010的博客
04-28 1676
Linux系统权限Linux系统默认root用户为系统最高权限创建用户/用户组可通过操作命令的方式为系统增加用户/用户组增加用户组: groupadd groupName增加用户: useradd userName可以指定组的方式增加用户 :useradd -g groupName userName为用户设置密码:passwd userName------------------以上操作,类似于在...
数据安全管理之权限管理
武天旭的博客
06-19 2142
权限管理的安全措施有:【权限最小化】、【账号分离】、【账号不共享】、【权限审批】、【权限注销】、【权限审计】、【操作日志留存】、【权限统一管理】、【权限监控告警】
怎么降低linux权限,怎么修改Linux文件的一般权限
weixin_35417122的博客
04-30 1714
chgrp : 改变档案所属群组chown : 改变档案拥有者chmod : 改变档案的权限, SUID, SGID, SBIT等等的特性1. 改变所属群组, chgrp[root@www ~]# chgrp [-R] dirname/filename ...选项与参数:-R :进行递归(recursive)的持续变更,亦即连同次目录下的所有档案、目录都更新成为这个群组之意。常常用在变更某...
Oracle数据库11g在Linux 5上的安装教程
安装过程包括准备硬件、下载OEL5的安装介质、启动安装过程、选择合适的安装类型(例如,最小化安装或服务器安装),以及配置网络、时区和root用户的密码等。这部分也涵盖了磁盘分区和文件系统的设置,这是确保顺利...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

乐大师

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值