用户特权管理

最新推荐文章于 2023-10-18 16:32:06 发布
最新推荐文章于 2023-10-18 16:32:06 发布
阅读量1k 收藏 1
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bjgaocp/article/details/101194993
版权

限定可以使用su的用户

Linux系统中的普通用户可以通过su和sudo命令拥有超级用户权限。

在默认情况下,任何普通用户只要知道超级用户root的密码,都可以通过su - root变成root权限,那么这样就存在一些安全隐患。

我们可以设置仅有属于某个组的用户可以通过su变成root,例如我们限制只有wheel组的用户可以su成root。

例:

创建两个普通用户,test1,test2        test1的用户组为wheel 

useradd test1 -g wheel

useradd test2

编辑vim /etc/pam.d/su文件 在第一行的位置添加如下内容

auth  required pam_wheel.so group=wheel
 

验证普通用户是否能切换root

通过测试可以看出,只有属于wheel组的普通用户才能提权到root,注意这时候root切换到普通用户也是受限制的了。

 

配置sudo

相对于使用su - root输入root密码的方式拥有root权限,使用sudo更加方便,例如设置wheel组的用户直接sudo成root而不需要密码

执行

visudo

%wheel  ALL=(ALL)       NOPASSWD: ALL

保存后检查配置是否正确

visudo -c

 

关键环境变量设置只读

通过设置关键环境变量为只读,可以有效的防止普通用户阶段命令历史,从而可以更有效的审计普通用户行为。

通过在/etc/skel/.bashrc和每个用户的~/.bashrc文件中添加一下选项来配置关键环境变量为只读

readonly HISTFILE
readonly HISTFILESIZE
readonly HISTSIZE
readonly HISTCMD
readonly HISTCONTROL
readonly HISTIGNORE

 

记录日志执行的时间戳

默认情况下history每一行开始的数字表示命令的序列号,这样不利于我们追踪命令是在什么时候执行的,特别是在排除故障或者分析入侵事件需要把操作和事件关联起来的时候

为每一条历史命令增加时间戳的方法:

vim /etc/bashrc

HISTTIMEFORMAT="%Y%m%d %T  "

 

 

 

 

 

 

 

 

 

 

 

 

 

bjgaocp
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sambaCircles:特权管理CIFS和用户-samba
05-01
sambaCircles=============================== 该项目旨在成为处理samba共享存储单元(CIFS)和ldap组以及被允许在此文件共享中写入或读取的用户的有用方法,它包括Web界面,命令实用程序和文件统计信息库。...
SAP 用户管理和安全控制
05-23
为了实现这一点,系统管理员需要正确地配置角色和特权,确保用户只能访问其被授权的资源。 SAP 用户管理和安全控制是 SAP 系统中的一种重要机制,旨在控制用户对数据库对象的访问权限,并执行特定的操作权限。通过...
特权账号管理系统
最新发布
zyx_13579的博客
10-18 316
特权账号管理系统PAM,在网络安全、数据安全、信息安全中起到重要作用,为金融、政府、企业、医疗、能源、教育、烟草等保驾护航。
特权访问管理(PAM)指南(下)
yuzijiang11111的博客
04-12 2362
特权访问管理(PAM)的概念与身份和访问管理(IAM)相关性较高,两者对于企业也都非常重要。本文主要探讨网络设备特权访问管理的重要性和策略部署,包括与云目录平台的集成。
para学习(二)——特权账号管理软件
fmk1023的博客
11-12 537
特权账号管理软件 传统运维模式运维量大,运维复杂。 传统运维模式安全隐患大、 难以定位账号实际责任人、内部权限滥用、机密数据被盗用。 运维人员做什么? 追溯的保障和事故分析的依据 防止内部误操作和权限滥用 防止身份冒用和复用 人员和资产的管理 集中的账号管理 运维用户、设备、账号、集中管理 设备账号分权分域管理 建立人与账号间的对应视图 基于账号对人的生命周期管理 账号的流程支持 账号申请...
守卫数据中心命门的胡桃夹子-特权账号管理平台
weixin_34416754的博客
12-04 214
2018年11月末,某国际知名酒店集团爆出从2014年开始就有hacker潜伏在其网络系统中,并一直在尝试盗取其客户信息,一时间业界震动,更令人不安的事,这种情况不止一家,有业内安全专家声称:这不是个例,目前各个行业的相关系统都面临风险。早在2018年9月在伦敦举办的2018 Gartner安全与风险管理峰会上,Gartner分析师提出首席信息安全官们应该关注的十大安全项目中,排行第一位的就是特权...
一文详解特权访问管理(PAM)
分享 GPU 管理与大模型推理相关技术实践
08-16 810
特权访问是指用户的访问级别,需要更多权限,并且比普通用户具有更多更高的访问级别。这是一种分层模型,定义了用户在有组织的环境中活动范围。例如,与具有较低访问级别的普通用户相比,某些操作系统的 root 用户或者管理员具有特权访问权限。管理员不仅可以不受限制地访问系统目录,还可以添加和删除用户,或者修改系统文件等。...
AIX 系统及 Oracle 数据库用户权限管理
05-09
- **系统特权管理与控制**:Oracle提供了80多种系统特权,包括建立表空间、建立用户等。 - **角色的管理**:角色是一组相关特权的集合,用于简化权限管理。Oracle预定义了多个角色,如CONNECT、RESOURCE、DBA等。 #...
特权账号管理实施与咨询经验谈
weixin_33872660的博客
09-20 704
一、特权账号管理系统实施需要配合问题1.好的实施方案必须是深度切合企业现状的 好的实施方案应该从一开始就做详尽的调研和设计,而不是在实施后才慢慢的修修补补。特权账号管理涉及企业历史管理问题、岗位互斥问题、监管要求问题等,只有在做了深度评估和调研后才能设计出最贴合客户需求的实施方案。2.安全管控工具无法脱离管理流程而健康运行 一个...
特权账号管理系统是什么?是堡垒机吗?
行云管家
10-13 897
最近不少小伙伴都在问,特权账号管理系统是什么?是堡垒机吗?两者是一样吗?今天我们大家来一起简单聊聊吧!
数据安全线条上的特权账号管理
weixin_33907511的博客
01-08 147
随着欧盟的《通用数据保护条例》(General Data Protection Regulation,简称GDPR),以及中国的《网络安全法》和《个人信息保护法(草案)》等法律法规的颁布及实施,企业开始重视数据安全及数据管理规则,各种数据安全技术开始被广泛应用,而这些技术的核心在于从源头上对数据库进行加密保护,但忽略了一个最关键的问题:加密的方式,仍然限制不了权限控制范围内特权账号的使用。 特权账...
特权帐户和会话管理_管理五个常见的特权身份管理方案
cuyi7076的博客
07-09 819
总览 对于所有企业而言,保护其机密信息不受外部黑客攻击非常重要。 保护企业资源免受内部人员的滥用和疏忽(例如使用弱密码或共享密码)也同样重要。 内部安全事件通常发生是因为访问这些资源的身份(帐户)和密码没有得到很好的保护或根本没有受到保护。 IBM Security Privileged Identity Manager提供了特权身份的受控共享和自动登录。 它提供: 集中管理,安全访...
运维账号管理规范
蜗牛酥的博客
10-15 1710
1.如若发现现网设备密码仍然为默认密码或密码安全度较低,需向客户相关负责人提出修改密码的建议,更换为高强度密码
CyberArk被评为2021年Gartner特权访问管理魔力象限的领导者
美国商业资讯的博客
07-27 364
马萨诸塞州纽顿和以色列佩塔提科瓦--(美国商业资讯)--CyberArk (NASDAQ: CYBR)今天宣布,公司被评为2021年Gartner特权访问管理(PAM)魔力象限的“领导者”(Leader)1。这是CyberArk在执行力和愿景完整度方面连续第三次获得最高评价。 过去一年里,CyberArk在产品创新方面取得了重大进展,使各种规模的全球组织得以更轻松地采取安全至上的方法来保护数量和类型均不断增长的各种身份——无论这些身份在何处出现——云端、整个DevOps工作流程以及贯穿于日益脆弱的供应
[Linux]:环境变量
leap的博客
12-22 783
什么是环境变量环境变量一般是值在操作系统用来指定操作系统运行环境中的一些参数,如:临时文件的位置和系统文件的位置等等。在操作系统中用户可以通过修改环境变量的方式来对自己的运行环境进行配置。 如Linux系统中: 在我的/home/lzh/code/Cplusplus下有一个通过GCC编译好的a.out的文件,一般我们可以通过./a.out和a.out的绝对路劲来执行a.out文件,那如果我们
linux权限管理机制
lc_uplooking的博客
07-16 514
以此为例,当我们进入文件夹后,打出“ll“时会打印出来这样一段,里面包含的信息有,权限,大小,创建时间。今天学到的时他的三组用户的三种权限管理,深刻感觉到linux创建者的脑洞的强大!!! 图片当中的-rwxrw-rw-rw- 表示的是三组用户的权限在linux中用三个八进制数表示 4 读权限 2 写权限 1 执行权限 修改权限时可以直接以数字来修改,或者命令 2 sudo ch...
linux如何进入su超级用户,Linux下普通用户用sudo su给自己加root权限的方法
weixin_39861823的博客
04-28 2594
首先:sudo这个命令就是给后面的命令加上root权限(sudo=superuser do),su这个命令是switch user,切换用户,你sudo su这个命令的意思是用root的权限来切换到()用户。你根本没有指定用户,当然切换不过去你要切换到root,那就是su root,然后输入root的密码,你要让自己成为有执行sudo权限的人,那就要修改sudoer-list,在命令行里敲sudo...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值