22. 用户身份切换&用户的特殊 shell与 PAM模块

最新推荐文章于 2021-11-30 19:09:46 发布
最新推荐文章于 2021-11-30 19:09:46 发布
阅读量422 收藏
点赞数
分类专栏: Linux 文章标签: class 
su [-lm] [-c 命令] [username]
参数:
    - :若单纯使用 - ,如 "su -",代表使用 login-shell 的变量文件读取方式来登录系统;若用户名没加,则表示 root 身份
    -l : 与 - 类似,但后面需要加欲切换的用户账号,也是login-shell方式
    -m : -m 与 -p 是一样的,表示使用目前的环境设置,而不读取新用户的配置文件
    -c : 仅进行一次命令,所以 -c 后面可以加上命令

这里写图片描述
这里写图片描述

这里写图片描述

sudo 可以让你以其他身份只想命令(通常是 root),仅/etc/sudoers 内的用户才能执行 sudo 这个命令。

sudo [-b] [-u 新用户账号]
参数:
    -b:将后续的命令让系统自行执行,而不与目前的shell产生影响
    -u:后面可以接欲切换的用户,若无此项则代表切换身份为root

这里写图片描述

sudo 默认仅有 root 能使用,sudo 执行流程:

 1. 当用户执行sudo 时,系统于/etc/sudoers 文件中查找该用户是否有执行 sudo 的权限
 2. 若用户有执行sudo 的权限后,便让用户输入自己的密码来确认
 3. 若密码输入成功,便开始sudo 后面的命令
 4. 若欲切换的身份与执行者身份相同,也不需要输入密码
visudo 和 /etc/sudoers

这里写图片描述

账号名称 登陆者的来源主机名=(可切换的身份)  可执行的命令
root    ALL = (ALL)                   ALL<==这是默认值

1.用户账号:系统的哪个账号可以使用sudo 命令,默认为root
2.登陆者的来源主机名:这个账号由哪台主机连接到本Linux 主机,意思是这个账号可能由哪一台网络主机连接过来,这个设置值可以指定客户端机器。默认root可来自任何一台网络主机。
3.可切换的身份:这个账号可以切换成什么身份来执行后续的命令,默认root可以切换为任何人
4.可执行命令:这个命令请务必使用绝对路径编写

这里写图片描述

myuser1   ALL=(root)  /usr/bin/passwd  //要使用绝对路径
                      !/use/bin/passwd  // !不可执行的意思

这里写图片描述

特殊的 shell ,/sbin/nologn

所谓的无法登陆是指,这个用户无法使用bash 或者其他shell来登录系统

PAM 模块

PAM(Pluggable Authentication Modules 嵌入式模块),可以说是一套应用程序编程接口(API),
它提供了一连串的验证机制,只要用户将严重阶段的需求告知 PAM 后,PAM 就能够汇报用户验证的结果(成功或者失败)。
PAM 模块设置语法
PAM通过一个与程序相同文件名的配置文件来进行一连串的认证需求分析。
当你执行 passwd 时,流程如下:

 1. 用户开始执行/usr/bin/passwd 这程序,并输入密码
 2. passwd 调用 PAM 模块进行验证
 3. PAM 模块会到 /etc/pam.d 中寻找与程序(passwd)同名的配置文件
 4. 依据/etc/pam.d/passwd 内的设置,引用相关的PAM模块逐步进行验证分析
 5. 将验证结果回传给 passwd 程序
 6. passwd 程序会根据PAM回传的信息决定下一个操作

这里写图片描述

include 表示调用后面的文件来作为这个类别的验证,所以,上述的每一行都要重复调用
 /etc/pam.d/system-auth 那个文件来验证。


验证类型(Type):
auth:
authentication(认证)的缩写,所以这种类型主要用来检验用户的身份验证,
这种类型通常需要密码来检验的,所以后续接的模块是用来检验用户的身份。

account:
账号则大部分是在进行authorization(授权),这种类型则主要在检验用户是否具有正确的权限,
举例来说,当你使用一个过期的密码来登录时,就无法登陆了

session:
session 是会话期间的意思,所以session管理的就是用户在这次登录(或者使用这个命令)期间PAM所给予的环境设置。
在这个类型通常用于记录用户登录与注销时间信息。例如,如果你经常使用su或者sudo命令,
那么应该可以在/var/log/secure 里面发现很多关于PAM说明,而记载的数据是"session open,session close"

passwd :
passwd 就是密码。所以这种类型主要用于提供验证的修订工作,举例来说,就是修改密码

这4个验证类型通常是有顺序的。不过也有例外就是了。会有顺序的原因是,我们总是得要先验证身份(auth)后,
系统才能够通过用户的身份给予适当的授权 与权限设置(account),而且登录与注销期间的环境才需要设置,
也才需要记录登录与注销的信息(session)。如果要在运行期间修改密码,才给予passwd的类型。

第二个字段:验证的控制标志(control flag):即验证通过的标准

required :
此验证成功则带有success标志,若失败则带有 failure的标志,但不论成功或者失败都会继续后续的验证流程。
由于后续的验证流程可以继续进行,因此相当有利于数据的登录日志,这也是 PAM 最经常使用 required 的原因。


requisite:
若验证失败立刻回报原程序 failure 标志,并终止后续的验证流程。若验证成功则带有 success 
的标志并继续后续的验证流程。这个项目与 required 最大的区别就在于失败的时候还要不要继续验证下去。
由于 requisite 是失败就终止,因此失败时所产生的 PAM 信息就无法通过后续的模块来记录了。


sufficient:
若验证成功立刻回传 success 给原程序,并终止后续的验证流程。若验证失败则带有 failure 
标志并继续后续的验证流程。与 requisite 相反。


optional:
这个模块控件目的大多是在显示信息而已,并不是在验证方面。
enlyhua
关注
专栏目录
linux 以某个用户执行,Linux下以其他用户运行程序
weixin_31833795的博客
04-28 4059
#1:runuser命令runuser命令使用一个替代的用户或者组ID运行一个Shell。这个命令仅在root用户时有用。仅以会话PAM钩子运行,并且没有密码提示。如果用一个非root用户,并且该用户没有权限设置user ID,这个命令将会因为程序没有setuid而失败。因runuser不会运行认证和账户PAM钩子,它比su更底层。语法:runuser -l userNameHere -c 'co...
linux su命令免密,使用PAM模块实现普通用户之间su免密切换
weixin_39926016的博客
04-29 1261
这里将告诉您使用PAM模块实现普通用户之间su免密切换,教程操作步骤:参考自:Allow user1 to “su - user2” without password/d/file/shujuku/adcwslioblr需求:在user1用户下执行: su - user2 免密登录。我的实验系统版本:CentOS Linux release 7方法:# vim /etc/pam.d/su#在pam...
Linux系统安全与应用
IvyXYW的博客
12-03 1582
一、账号安全基本措施 1.1 系统账号清理 1.1.1 将非登录用户Shell设为/sbin/nologin usermod -s /sbin/nologin 用户名 解除时用 usermod -s /bin/bash 用户名 1.1.2 锁定长期不使用的账号 usermod -L 用户名 passwd -l 用户名 (查看用户的状态是否被锁 passwd -S 用户名) 解锁用:passwd -u 用户 usermod -U
php的pam验证模块的安装
yuzhangqiu的专栏
03-10 3228
1.        pecl上有一个用于php的pam验证模块,提供了两个php接口函数:bool pam_auth(string $username, string $password [,string &$error ]) bool pam_chpass(string $username, string $oldpassword,string $newpassword [,
【鸟哥的linux私房菜-学习笔记】帐号管理,ACL,PAM用户通信
jiange_zh的博客
11-07 989
账号管理  -新增与移除使用者: useradd, useradd 参考档, passwd, chage, usermod, userdel-用户功能:finger, chfn, chsh, id-新增与移除群组:groupadd, groupmod, groupdel, gpasswd 群组管理员主机的细部权限规划:ACLACL 是 Access Control List 的缩写,主要的目的是在提
linux修改su的PAM配置文件,PAM禁止root用户登录,限制普通su切换
weixin_39574869的博客
04-28 1300
系统环境是CentOS 6.4, 介绍下PAM(Pluggable Authentication Modules)在ssh服务上的简单配置过程。必须先添加普通用户,并属于wheel组,保证有除root之外的其它用户能登录到系统 !!!!!!!useradd -g wheel adminpasswd admin1 禁止root登录vim /etc/ssh/sshd_config添加 UsePAM y...
Linux账号安全控制与PAM认证模块
ShiXiao0121的博客
11-30 6208
这里写目录标题一、账号安全控制1.1、系统账号清理①、将非登录用户Shell设为/sbin/nologin②、锁定长期不使用的账号④、解锁账号⑤、删除无用的账号⑥、锁定账号文件 passwd、shadow1.2、密码安全控制①、设置密码有效期**②、要求用户下次登录时修改密码③、命令历史限制④、终端自动注销⑤、切换用户:su⑥、限制使用su命令切换用户二、PAM认证模块 一、账号安全控制 1.1、系统账号清理 ①、将非登录用户Shell设为/sbin/nologin usermod -s /sbin/n
linux 普通用户切换成root免密码的实现
09-15
在本文中,我们将关注与用户切换(root)相关的配置。 1. 打开 `/etc/pam.d/su` 文件: 这是Linux系统中处理用户切换到其他用户的配置文件,包括切换到root。你可以使用文本编辑器如`vim`来编辑它。 ```bash [root@...
linux禁止普通用户切换至root用户的实例讲解
09-15
本文将详细介绍如何在Linux中禁止普通用户切换至root用户,通过控制权限访问模块PAM)和登录定义文件来实现这一目标。 首先,让我们回顾一下Linux中的用户用户组管理命令: 1. **添加用户**:使用`useradd`...
Linux——账号安全、su切换用户PAM认证模块、sudo提权、开关机安全控制
weixin_51613313的博客
12-03 979
系统安全与运行一、账号安全1.1 系统账号清理1.1.1 禁止账号登录系统1.1.2 锁定长期不使用的账号1.1.3 删除无用的账号1.1.4 锁定账号文件1.1.5 清除用户的密码1.2 密码安全控制1.2.1 修改用户账号密码有效期1.2.2 设定用户账号失效期 一、账号安全 1.1 系统账号清理 1.1.1 禁止账号登录系统 将非登录用户Shell设为/sbin/nologin usermod -s /sbin/nologin 用户名 示例:禁止“lisi”用户登录 1.1.2 锁定长期不使用
奶奶常说账号安全控制与PAM认证模块及sudo授权命令学不会不许睡觉(一)
DZYSHOW的博客
08-20 766
系统安全及应用引言一.账号安全基本措施1.系统账号清理①将非登录用户Shell设为/sbin/nologin②锁定长期不使用的账号③删除无用的账号④清空一个账号密码⑤锁定账号文件passwd、shadow2.密码安全控制①chage -M适用于已有用户②设置密码有效期③强制下次登陆更换密码3.命令历史限制4.终端自动注销二.SU命令切换用户1. 用途及用法2.密码验证3.限制使用su命令的用户三.Linux中的PAM安全认证1. su命令的安全隐患2.PAM(Pluggable Authenticatio
Linux笔记 No.22---(Linux - PAM)
weixin_45880055的博客
11-11 2060
在Linux中执行有些程序时,这些程序在执行前首先要对启动它的用户进行认证,符合一定的要求之后才允许执行,例如login, su等。在Linux中进行身份或是状态的验证程序是由PAM来进行的,PAM(Pluggable Authentication Modules)可动态加载验证模块,因为可以按需要动态的对验证的内容进行变更,所以可以大大提高验证的灵活性。 可插拔身份认证模块(Pluggable Authentication Module,PAM)是一套共享库,使本地系统管理员可以灵活选择程序的认证方式。主
Linux下两个远程登陆用户如何共享同一个登陆shell
gracioushe的专栏
02-27 1817
Linux下两个远程登陆用户如何共享同一个登陆shell,以实现远程教育或远程协助在Linux下,有一个基于expect的工具:kibitz可以实现两个登陆用户(可以是同一个用户,例如root但是通过不通的终端登陆的)。因此首先要保证linux安装有tcl和expect两个rpm包。安装完以后就会发现系统已经有kibitz这个命令了:[root@mail root]# whereis kibitzkibitz: /usr/bin/kibitz /usr/share/man/man1/kibitz.1.gz首
基于java的校园美食交流系统设计与实现.docx
09-19
基于java的校园美食交流系统设计与实现.docx
#_ssm_126_mysql_实习支教中小学学校信息管理系统_.zip
09-19
均包含代码,文章,部分项目包含ppt
基于python的酒店评论中文情感分析系统源码+设计文档+数据集.zip
最新发布
09-19
基于python的酒店评论中文情感分析系统源码+设计文档+数据集.zip基于python的酒店评论中文情感分析系统源码+设计文档+数据集.zip基于python的酒店评论中文情感分析系统源码+设计文档+数据集.zip 个人大四的毕业设计、课程设计、作业、经导师指导并认可通过的高分设计项目,评审平均分达96.5分。主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者,也可作为课程设计、期末大作业。 [资源说明] 不懂运行,下载完可以私聊问,可远程教学 该资源内项目源码是个人的毕设或者课设、作业,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96.5分,放心下载使用! 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),供学习参考。
ASP.NET公交车管理系统的实现与设计(源代码+论文).zip
09-19
1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 、4下载使用后,可先查看README.md或论文文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。 5、资源来自互联网采集,如有侵权,私聊博主删除。 6、可私信博主看论文后选择购买源代码。 1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合;、下载 4使用后,可先查看README.md或论文文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。 5、资源来自互联网采集,如有侵权,私聊博主删除。 6、可私信博主看论文后选择购买源代码。 1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合;、 4下载使用后,可先查看README.md或论文文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。 5、资源来自互联网采集,如有侵权,私聊博主删除。 6、可私信博主看论文后选择购买源代码。
CentOS limits.conf详解:PAM模块与系统限制配置
本文是一篇深入解析Linux系统中limits.conf文件的文章,特别关注于CentOS...本文不仅介绍了limits.conf文件的基本操作,还深入探讨了其与PAM模块和systemd的关系,对于理解和管理Linux系统资源限制提供了详细的指导。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值