Linux的su和sudo;PAM,root远程端口设置

最新推荐文章于 2024-06-09 22:39:49 发布
最新推荐文章于 2024-06-09 22:39:49 发布
阅读量526 收藏 1
点赞数
分类专栏: 笔记 指令 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lv74134/article/details/116869504
版权

1、登录环境变量
vim .bash_profile 修该环境标量的文件
echo $PATH #查看系统环境变量的pash

在这里插入图片描述

vim .bash_profile 
     export  Tmuout=600   #当用户600秒闲置时自动登出
     wq
source  .bash_prpfile      #立即生效

拓展:
/etc/profile:此文件为系统的每个用户设置环境信息,当用户第一次登录时,该文件被执行.
并从/etc/profile.d目录的配置文件中搜集shell的设置.
/etc/bashrc:为每一个运行bash shell的用户执行此文件.当bash shell被打开时,该文件被读取.
~/.bash_profile:每个用户都可使用该文件输入专用于自己使用的shell信息,当用户登录时,该文件仅仅执行一次!默认情况下,他设置一些环境变量,执行用户的.bashrc文件.
~/.bashrc:该文件包含专用于你的bash shell的bash信息,当登录时以及每次打开新的shell时,该文件被读取.
~/.bash_logout:当每次退出系统(退出bash shell)时,执行该文件.
总结
/home/oracle/.bash_profile oracle用户的配置
/etc/skel/.bash_profile 默认配置
/root/.bash_profile root用户的配置

2、su和sudo
su - 用户名 #切换用户
sudo +指令 #在普通用户下,执行一定root的权限操作
/etc/sudoers #sudo的配置文件
但允许用户具有某项操作权限时不直接改这个suders文件,而是通过有提示功能的visudo进行直接修改配置。
在这里插入图片描述

添加用户的lv74134的,具有useradd的 使用权限
在这里插入图片描述
注意大小写和绝对路径

lv74134 ALL=/usr/sbin/useradd

若想要普通用户获取更多的权限,直接写入,用逗号分隔即可
在这里插入图片描述

步骤:1,在root下,visudo ,增加某个用户的操作权限
2,切换到普通用户,然后执行 sudo +指令

3、sudo中的wheel 用户组和user alias 别名
(1)wheel 用户组
将zhangsan等归于用户组z1中

[root@localhost ~]# gpasswd -a zhangsan z1  
正在将用户“zhangsan”加入到“z1”组中

在这里插入图片描述
如图,z1前面%,表示组名。

[root@localhost ~]# su - zhangsan
上一次登录:日 516 15:07:47 CST 2021pts/1[zhangsan@localhost ~]$ sudo useradd wangsan
我们信任您已经从系统管理员那里了解了日常注意事项。
总结起来无外乎这三点:

    #1) 尊重别人的隐私。
    #2) 输入前要先考虑(后果和风险)。
    #3) 权力越大,责任越大。

[sudo] zhangsan 的密码:      #输入zhangsan密码后就可以执行useradd的指令
[zhangsan@localhost ~]$ cat /etc/passwd |tail -2
zhangwu:x:1003:1004::/home/zhangwu:/bin/bash
wangsan:x:1004:1005::/home/wangsan:/bin/bash      #显示成功创建成功
[zhangsan@localhost ~]$

(2)alias 创建别名

visudo 
 User_Alias  LAOSEPI=zhangsi,zhangwu
 Cmnd_Alias COM1=/urs/sbin/useradd 
 LAOSEPI ALL=COM1

在这里插入图片描述

在这里插入图片描述
登录zhangsi可以成功创建用户
在这里插入图片描述
(3)通配符的操作
在这里插入图片描述
(4)自定义sudo的日志路径
在这里插入图片描述

4、PAM认在这里插入图片描述

查看某个程序是否支持PAM认证,可以用ls命令看安全认证模块文件
比如查看su是否支持PAM模块认证
ls /etc/pam.d / grep su
查看su的PAM配置文件:cat /etc/pam.d/su
每一行都是一个独立的认证过程
每一行可以区分为三个字段
认证类型
控制类型
PAM模块及其参数

4.1PAM认证原理
一般遵循的顺序:Service(服务)一PAM(配置文件)→pam_so(自己的模块)
【1】首先要确定哪━项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib64/security下)进行安全认证

【2】用户访问服务器时,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证

【3】不同的应用程序所对应的PAM模块是不同的

4.2PAM安全认证流程
控制类型也称做Control Flags,用于PAM验证类型的返回结果
1.required验证失败时仍然继续,但返回Fail
2.requisite验证失败则立即结束整个验证过程,返回Fail
3.sufficient验证成功则立即返回,不再继续,否则忽略结果并继续
4.optional不用于验证,只显示信息(通常用于session类型)
vim /etc/pam.d/su 、
在这里插入图片描述
修改 /etc/login.defs配置文件
在这里插入图片描述
5、不让root ssh远程连接
编辑ssh的配置文件vim /etc/ssh/sshd_config

(1).改端口ssh的端口号
在这里插入图片描述
(2)2.设置toot 不能远程
在这里插入图片描述
6、开关机安全控制调整
【1】BIOS引导设置
将第一引导设备设为当前系统所在硬盘
禁止从其他设备(光盘、U盘、网络)引导系统
将安全级别设为setup,并设置管理员密码
【2】GRUB限制
使用grub2-mkpasswd-pbkdf2生成密钥
修改letc/grub.d/00_header文件中,添加密码记录
生成新的grub.cfg配置文件

6.1设置GRUB密码

grub2-setpassword
Ctrl +x 退出这个grub2界面进系统
grub2-mkpasswd-pbkdf2 生成秘钥

在这里插入图片描述
进入grub菜单需要输入密码
6.2隐藏root用户名

vim /boot/grub2/grub.cfg
在这里插入图片描述
7、终端登录安全控制
限制root只在安全终端登录
安全终端配置/etc/securetty
在这里插入图片描述
7.1.禁止普通用户登录系统
创建/etc/nologin #文件若文件里面什么都不写则默认所有普通用户不能登录,若里面添加用户则只限制文件中的用户

touch /etc/nologin
echo 系统维护 >> /etc/nologin #在文件中可以写入不能登陆系统的原因
8、端口扫描NMAP
一款强大用于网络扫描、安全检测工具

在这里插入图片描述

在这里插入图片描述
9、6关于reboot的快捷件
存放目录 /usr/lib/systemd/system
在这里插入图片描述
若不想用直接删掉硬链接即可

遙遙背影暖暖流星
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
树莓派4B配置usb摄像头RTSP推流
qq_43591363的博客
08-06 1万+
树莓派4B配置usb摄像头RTSP/RTMP/HTTP推流 文章目录树莓派4B配置usb摄像头RTSP/RTMP/HTTP推流树莓派编译安装FFmpeg(添H.264硬件编解码器支持)说明准备工作一. 下载x264源码并编译安装 x264二、下载源码编译安装ffmpeg三、上述过程中遇到的错误树莓派中搭建RTSP服务器 树莓派编译安装FFmpeg(添H.264硬件编解码器支持) 说明 FFmpeg是一套开源的音视频编解码库,有非常强大的功能,包括视频采集功能、视频格式转换等。众所周知视频编解码是一个
系统安全及应用
ver_mouth__的博客
04-07 5042
一:账号安全控制 1.1系统账号清理 将非登录用户的shell设为/sbin/nologin 锁定长期不使用的账号 删除无用的账号 锁定账号文件passwd,shadow 锁定账号文件passwd无法创建新用户,可以修改已有用户的密码 锁定账号文件shadow无法创建新用户也不可以更改已有用户的密码 1.2密码安全控制 设置密码有效期 要求用户下次登录时修改密码 chage -M日期用户 【设置用户密码有效期】 chage -E xxxx...
linux访问认证类-PAM模块学习1-附ssh
最新发布
weixin_44364942的博客
06-09 866
一、PAM 1.不是一个应用程序,是一种认证框架,为各类应用程序(如:ssh、telnet、ftp、su)提供认证服务;例如ssh服务需要对用户的身份、特征(是普通用户还是root用户),用户的密码是否正确、是否过期,进行验证时就可以调用PAM模块;有了PAM模块,开发人员不再需要针对一个程序单独开发用户认证功能,直接调用PAM模块即可。 2.SSH服务本身具备基础的用户验证机制(在/etc/ssh/sshd_config文件中实现远程登录时,对于用户、密码等属性的限制),但并不丰富,易被攻击,
Linux禁止非WHEEL用户使用SU命令
热门推荐
PrudentWoo 的个人空间
10-01 2万+
通常情况下,一般用户通过执行“su -”命令、输入正确的root密码,可以登录为root用户来对系统进行管理员级别的配置。        但是,为了更进一步强系统的安全性,有必要建立一个管理员的 组,只允许这个组的用户来执行“su -”命令登录为root用户,而让其他组的用户即使执行“su -”、输入了正确的root密码,也无法登录为root用户。在UNIX和Linux下,这个组的名称通常为“
在/etc/pam.d/su下做免密登录
2201_76119904的博客
06-30 272
以上两条命令,可以使user1,user3都可以免密登录到user2。添以上两条命令,可以使user1免密登录到user2。在 pam_rootok.so下添如下信息。
linux系统安全(二)su命令及系统安全
weixin_56667320的博客
05-17 2705
文章目录一、切换用户-su命令1、用途及格式2、susu 目标及su - 目标用户的区别3、密码验证二、为普通用户添超级权限1、三种方法1.1、sudo命令1.1.1、概念1.1.2、配置1.2、visudo命令1.2.1、概念1.2.2、配置1.3、wheel组2、添用户方法2.1、使用别名增用户:Alias2.2、通配符增用户2.3、实例3、常用选项三、PAM安全认证1、概念2、PAM认证的构成3、修改端口号 一、切换用户-su命令 1、用途及格式 用途:用于切换用户 su - 目标用户
Linux禁止普通用户suroot的解决方法
01-20
为禁止普通用户suroot,需要分别修改/etc/pam.d/su和/etc/login.defs两个配置文件。 二、详细配置 (1)去除/etc/pam.d/su文件中如下行的注释: #auth required pam_wheel.so use_uid (2)在/etc/login.defs文件中...
Linux中应用susudo.pdf
09-06
本文主要探讨了两个用于权限提升的命令:`su`和`sudo`,它们在Linux运维工作中扮演着重要的角色。 `su`命令,全称“switch user”,允许用户切换到另一个用户的身份,特别是切换到具有最高权限的`root`用户。默认...
Linux禁止普通用户suroot的解决-禁止普通用户suroot,简洁可靠
12-01
总结起来,保护Linux系统的安全性不仅在于禁止普通用户直接切换到root,还需要结合其他安全策略,如限制SSH登录、定期更新系统和软件、设置强壮的密码策略以及监控系统日志。通过上述方法,我们可以创建一个更安全...
linux禁止普通用户切换至root用户的实例讲解
09-15
本文将详细介绍如何在Linux中禁止普通用户切换至root用户,通过控制权限访问模块(PAM)和登录定义文件来实现这一目标。 首先,让我们回顾一下Linux中的用户和用户组管理命令: 1. **添用户**:使用`useradd`...
Linux如何防止任何人使用su命令成为root.docx
09-26
然而,为了系统的安全性和权限管理,有时需要限制其他用户使用`su`命令切换到root用户。`su`命令通常用于普通用户获取root权限执行特定操作。以下是防止任何人使用`su`命令成为root的方法,以及对Linux系统的一些...
linux中的PAM介绍
07-29
这是一篇介绍linux中的PAM的文章,我想学LINUX的人都想看到这样的东东!!
Linux PAM Program/弹出获得root权限对话框
Linux Job
11-17 555
什么也不要说,先来一个程序吧。 /* 注意要和你的系统一致redhat是这样/etc/pam.d/check_user auth required /lib/security/pam_unix_auth.so account required /lib/security/pam_unix_acct.so 1.如果需要出现密码弹出框还需要在添 /etc/security/c...
Linux下telnet允许root用户登录
weixin_34306676的博客
11-09 2040
默认情况下,linux不允许root用户以telnet方式登录linux主机,若要允许root用户登录,可采取以下3种方法之一: 1、修改login文件 RedHat中对于远程登录的限制体现在/etc/pam.d/login文件中,如果把限制的内容注销掉,那么限制将不起作用。 #%PAM-1.0 auth [user_unknown=ignore s...
查看进程使用端口号及结束进程 使用命令 sudo netstat -ntlp,可以查看到目前系统网络服务器的运行情况,然后使用 sudo kill -9 pid,结束进程。
PHP程序员 - muzihao2014
09-26 4426
查看进程使用端口号及结束进程 使用命令 sudo netstat -ntlp,可以查看到目前系统网络服务器的运行情况,然后使用 sudo kill -9 pid,结束进程。
live-server设置80端口需要sudo权限
gwdgwd123的博客
09-05 2688
package.json中配置 "scripts": { "build": "npm run build:dev", "build:dev": "gulp", "build:test": "npm install && npm run clean:dist && cross-env NODE_ENV=t
linux端口号与PID的互相查询
Diligent_ten的博客
03-17 861
linux端口号与PID的互相查询 最近用linux在玩Tomcat,启动的时候总是会报错(8080/8009/8005) 于是整理了一下网上零乱的查看PID和端口命令,以备记录。 1.由端口号查询PID号 首先myeclipse报错的时候会提示:“8009端口被占用”,那么你不得不依据此端口去查看该端口下运行的哪些进程 使用命令来查看当前系统下所运行的所有端口情况:sudo net...
linux中 etc pam,PAM 教程:二、Linux-PAM 的配置文件
weixin_42509766的博客
05-16 1787
本系列讲解了 Linux-PAM 的工作机制和配置方式,并利用几个 Linux-PAM 模块做一些有趣的小实验。附录中介绍了一些常用的 Linux-PAM 模块。本文的目标读者是期望了解 PAM 认证机制的 Linux 用户或者系统管理员。如果您是开发人员,希望编写一个使用 PAM 认证的应用程序,或者是为 PAM 写插件的开发人员,本文的内容可能并不能满足您的需求,请参阅《Linux-PAM应用...
pam验证和sudo介绍及操作
xyype的博客
12-16 1063
pam多条件验证 pamlinux可植入式的验证模块 作用:通过多个模块对相应的程序进行多条件验证 ​ 不是所有的程序都支持pam,一般用于像ssh,login,vsftd等程序 [root@localhost ~]# /etc/pam.d 配置文件(相当于门) [root@localhost ~]# /etc/pam.d/login中常见的选项 requisite...
怎么查看Linux系统是否禁用了 su - root 命令
07-08
要查看 Linux 系统是否禁用了 su - root 命令,可以按照以下步骤进行...请注意,这只是一种检查方法,不同的 Linux 发行版可能会有不同的配置文件和设置。如果你对系统配置不确定,建议查阅相关文档或咨询系统管理员。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值