一.用户切换-su
Substitute User
su - [账户名称]
su - [账户名称] -c '命令'
1.切换用户
- [root@proxy ~]#useradd jjh
- [root@proxy ~]#su - jjh //root切普通用户不需要输入密码
- [jjh@proxy ~]$ whoami
- jjh
- [jjh@proxy ~]$ su - //切换账户,默认切换为root账户
- 密码: //输入root的密码
- [root@proxy ~]# whoami //确认结果
- root
2.切换用户并执行命令
- [root@proxy ~]# su - jjh -c "touch /tmp/test.txt" //管理员切换普通用户并创建文件
- [root@proxy ~]# ll /tmp/test.txt
- [root@proxy ~]#su - jjh
- [jjh@proxy ~]$su - -c "systemctl restart sshd" //以管理员重启服务,需要密码
- 密码:
- ● sshd.service - OpenSSH server daemon
- Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled)
- active: active (running) since 五 2018-01-19 08:59:40 CST; 1 months 4 days ago
3.查看su切换的使用情况
可以通过查看日志来查看哪些用户使用了su命令登录root账户
[root@web1 ~]#cat /var/log/secure
...........
Oct 14 14:24:14 web1 su: pam_unix(su-l:session): session opened for user jjh by root(uid=0)
Oct 14 14:24:17 web1 su: pam_unix(su-l:session): session closed for user jjh
二、越权操作-sudo
Supter of another do 超级执行
sudo 命令 #通过sudo执行命令
sudo -l #查看可执行命令
修改sudo文件的两种方式:
visudo
vim /etc/sudoers
赋权格式:
找到/etc/sudoers的92好(命令行下输入set nu显示行号),可以看到有一条关于root的配置
root ALL=(ALL) ALL
格式: 用户 权限=(以何种身份执行) [执行的命令]
ALL里包括root,所以一般ALL=(ALL)即可,执行命令必须是绝对路径的命令,如useradd实际上是执行/usr/sbin/useradd
1.允许softadm管理系统服务的权限
1)修改/etc/sudoers配置
修改/etc/sudoers可以直接使用vim编辑该文件,或使用visudo命令修改该文件。
为用户授予相关脚本的执行权限,允许通过systemctl工具来管理系统服务。
- [root@proxy ~]# useradd jjh
- [root@proxy ~]# vim /etc/sudoers //修改文件后,需要使用wq强制保存
- .. ..
- jjh ALL=(ALL) /usr/bin/systemctl
- //授权softadm以root身份执行systemctl命令(ALL包括root)
2)切换为softadm用户,并验证sudo执行权限
- [root@proxy ~]# su - jjh
- [jjh@proxy ~]$ sudo -l //查看权限
- … …
- [sudo] password for jjh: //输入softadm的口令
- (ALL) /usr/bin/systemctl
- [jjh@proxy ~]$ systemctl start httpd //不用sudo时启动服务失败
- Authentication is required
- .. ..
- [jjh@proxy ~]$ sudo systemctl restart httpd //通过sudo启动服务成功
2.允许普通用户通过sudo方式添加/删除/修改除root以外的用户账号
1)修改/etc/sudoers配置
为用户授予用户管理相关命令的执行权限,我们可以使用通配符匹配useradd,userdel等前几个字符相似的命令.!代表取反,禁用某项命令的执行权.我们在做越权操作的时候不希望威胁到root用户,所以需要禁用对root的执行权
- [root@proxy ~]# useradd jjh //添加用户
- [root@proxy ~]# which useradd //查看执行命令的实际脚本
- /usr/sbin/useradd
- [root@proxy ~]# vim /etc/sudoers
- .. ..
- useradm ALL=(ALL) /usr/bin/passwd,!/usr/bin/passwd root,/usr/sbin/user*,!/usr/sbin/user* root
2)切换为普通用户,验证sudo权限
可以通过sudo方式来添加/删除/修改普通用户:
- [root@proxy ~]# su - jjh
- [jjh@proxy ~]$ sudo -l //用户useradm可以在该主机上运行以下命令:
- .. ..
- (root) /usr/bin/passwd, !/usr/bin/passwd root, /usr/sbin/user*,
- !/usr/sbin/user* * root
- [jjh@proxy ~]$ sudo useradd newuser01 //可以添加用户
- [jjh@proxy ~]$ sudo passwd newuser01 //可以修改普通用户的口令
- 更改用户 jjh 的密码 。
- 新的 密码:
- 重新输入新的 密码:
- passwd: 所有的身份验证令牌已经成功更新。
但是不能修改root用户的密码(你可以试着将取反的操作取消,试试能不能改root的密码):
- [useradm@proxy ~]$ sudo passwd root
- 对不起,用户 useradm 无权以 root 的身份在 localhost 上
- 执行 /usr/bin/passwd root。
3.允许wheel组成员以特权执行所有命令
此案例用来展示sudo的便利性及设置不当带来的危险性,生产环境下慎用。
- [root@proxy ~]# vim /etc/sudoers //98行
- .. ..
- %wheel ALL=(ALL) ALL
- [root@proxy ~]# usermod -a -G wheel jjh
- [root@proxy ~]#su - jjh
- [jjh@proxy ~]$ sudo -l
- .. ..
- 用户 jjh 可以在该主机上运行以下命令:
- (root) /bin/*
4.为sudo机制启用日志记录,以便跟踪sudo执行操作
1)修改/etc/sudoers配置,添加日志设置
- [root@proxy ~]# visudo
- Defaults logfile="/var/log/sudo"
- .. ..
2)以root(默认有所有权限)执行sudo操作
- [root@proxy ~]# su - jjh
- [jjh@proxy ~]$ sudo -l
- [jjh@proxy ~]$ sudo -l //查看授权的sudo操作
- [softadm@proxy ~]# sudo systemctl status httpd //查看授权的sudo操作
3)确认日志记录已生效
- [root@proxy ~]# tail /var/log/sudo
- .. ..
- May 16 22:14:49 : root : TTY=pts/1 ; PWD=/root ; USER=root ; COMMAND=list
- Feb 22 22:35:43 : softadm : TTY=pts/11 ; PWD=/home/softadm ; USER=root ;
- COMMAND=/bin/systemctl status httpd