su切换用户和sudo用户提权

1 篇文章 0 订阅

su切换的基本用法:

Substitute User,切换用户

  • 快速切换为指定的其他用户
  • 普通用户执行时,需要验证目标用户的口令
  • root执行时,无需验证口令

命令格式

  • 用法一:su [-] 目标用户
  • 用法二:su [-] -c “命令” 目标用户

su和su -的区别:

  • su:只是切换成了目标用户,shell环境仍然为root的shell,通过pwd可以查看切换用户后的工作目录
  • su - :用户身份和shell环境一起切换为目标用户
[root@client10 ~]# useradd jim
[root@client10 ~]# echo 123456 |passwd --stdin jim
更改用户 jim 的密码 。
passwd:所有的身份验证令牌已经成功更新。
[root@client10 ~]# su jim
[jim@client10 root]$ pwd
/root
[jim@client10 root]$ mkdir /root/lxx
mkdir: 无法创建目录"/root/lxx": 权限不够
[jim@client10 root]$ su -c "mkdir /root/lxx" root
密码:
###############################################################3
[jim@client10 root]$ exit
exit
[root@client10 ~]# su - jim
上一次登录:一 6月  3 21:49:48 CST 2019pts/0 上
[jim@client10 ~]$ pwd
/home/jim
[jim@client10 ~]$ ls
[jim@client10 ~]$ mkdir /root/lxc
mkdir: 无法创建目录"/root/lxc": 权限不够
[jim@client10 ~]$ su -c "mkdir /root/lxc" root
密码:
[jim@client10 ~]$ exit
登出
[root@client10 ~]# ls
lxc lxx 

通过安全日志/var/log/secure查看记录的su切换使用情况

sudo提权的基本用法

Super or another Do,超级执行

  • 管理员预先为用户设置执行许可
  • 被授权用户有权执行授权命令,验证自己的口令

命令格式

  • 用法一:sudo 特权命令
  • 用法二:sudo [-u 目标用户] 特权命令

查看当前用户的sudo授权:

sudo -l

sudo配置文件: /etc/sudoers

[root@client10 ~]# grep 'wheel' /etc/sudoers
## Allows people in group wheel to run all commands
%wheel	ALL=(ALL)	ALL		//默认wheel组用户拥有所有权限,一般需注释掉该行
# %wheel	ALL=(ALL)	NOPASSWD: ALL
[root@client10 ~]# vim /etc/sudoers
[root@client10 ~]# useradd tom
[root@client10 ~]# echo 123456 |passwd --stdin jim
[root@client10 ~]# usermod -G wheel tom		//将tom添加到wheel组,使其拥有完全权限
[root@client10 ~]# id tom
uid=1001(tom) gid=1001(tom) 组=1001(tom),10(wheel)
[root@room9pc01 ~]# ssh tom@192.168.4.10
[tom@client10 ~]$ sudo -l
用户 tom 可以在 client10 上运行以下命令:
    (ALL) ALL
[tom@client10 ~]$ sudo yum -y install httpd

配置sudo授权格式:

  • 普通用户 主机名列表=命令列表(使用命令的绝对路径)
  • 普通用户 主机名列表=NOPASSWD:命令列表(使用命令的绝对路径) //免密执行sudo命令
  • %用户组名 主机名列表=命令列表(使用命令的绝对路径)
  • %用户组名 主机名列表=NOPASSWD:命令列表(使用命令的绝对路径) //免密执行sudo命令
[root@client10 ~]# useradd json
[root@client10 ~]# echo 123456 |passwd --stdin json
[root@client10 ~]# vim /etc/sudoers
 root    ALL=(ALL)       ALL
 json    localhost,client10=/usr/bin/rpm, /usr/bin/yum, /usr/bin/systemctl * httpd, /usr/bin/vim /etc/httpd/conf/httpd.conf		//配置json用户的sudo授权命令
[root@room9pc01 ~]# ssh json@192.168.4.10
[json@client10 ~]$ sudo -l
用户 json 可以在 client10 上运行以下命令:
    (root) /usr/bin/rpm, /usr/bin/yum, /usr/bin/systemctl * httpd, /usr/bin/vim /etc/httpd/conf/httpd.conf
[json@client10 ~]$ sudo systemctl start httpd		//需要输入json用户密码    
[json@client10 ~]$ sudo vim /etc/httpd/conf/httpd.conf
[json@client10 ~]$ sudo vim /etc/hosts
对不起,用户 json 无权以 root 的身份在 client10 上执行 /bin/vim /etc/hosts。

[root@client10 ~]# vim /etc/sudoers
 root    ALL=(ALL)       ALL
 json    localhost,client10=NOPASSWD:/usr/bin/rpm, /usr/bin/yum, /usr/bin/systemctl * httpd, /usr/bin/vim /etc/httpd/conf/httpd.conf		//配置json用户免密执行sudo授权命令
 [json@client10 ~]$ sudo vim /etc/httpd/conf/httpd.conf		//不需要输入json用户密码
########################################################################
[root@client10 ~]# for i in jim tom json
> do
>   gpasswd -a $i devops &> /dev/null
> done					//将用户jim、tom、json添加到devops组
[root@client10 ~]# cat /etc/group |grep devops
devops:x:1009:jim,tom,json
[root@client10 ~]# vim /etc/sudoers
%devops localhost,client10=NOPASSWD:/usr/bin/rpm, /usr/bin/yum, /usr/bin/systemctl * httpd, /usr/bin/vim /etc/httpd/conf/httpd.conf		//配置devops组用户免密执行sudo授权命令
[root@room9pc01 ~]# ssh tom@192.168.4.10
[tom@client10 ~]$ sudo vim /etc/httpd/conf/httpd.conf		//不需要输入tom用户密码

sudo别名设置

  • 提高可重用性,易读性
  • 简化配置、使记录更有条理
[root@client10 ~]# vim /etc/sudoers
User_Alias USERS=tom,jim,json			//用户、主机和命令别名名称必须大写
Host_Alias MYHOST=localhost,client10
Cmnd_Alias MYCMD=/usr/bin/rpm, /usr/bin/yum, /usr/bin/systemctl * httpd, /usr/bin/vim /etc/httpd/conf/httpd.conf

USERS MYHOST=NOPASSWD:MYCMD

修改全局配置,启用日志:/var/log/sudo,记录sudo提权使用情况

[root@client10 ~]# vim /etc/sudoers
#添加以下内容
Defaults logfile="/var/log/sudo"
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值