su用户切换
Linux安全基线
指的是使Linux各项配置都符合安全要求的基本标准。
- 账号/密码:冗余账号/口令复杂度/wheel组/锁定策略等。
- 授权认证:登录屏显/会话超时/GRUB加密等。
- SSH登录控制:禁root/改端口/密码/密钥验证/隐藏版本等。
- 文件权限:访问控制/无主文件/SUID/SGID/粘滞位/程序权限等。
- 内核参数调优:禁ping/关路由/丢弃伪造包/关重定向等。
su机制介绍
Substitute User,切换/替换用户。
- root切换为任何可登录的用户,无需密码。
- 普通用户切换至其他用户时,需要验证目标用户的登录密码。
- 不指定目标用户时,默认切换为root。
su命令使用
切换到新用户的登录环境
进入新的用户环境:su - 用户名
返回原来的用户:exit
su切换权限的滥用
为防止滥用su切换权限,默认情况下,任何用户都可以使用 su 切换,必要时可以启用wheel组限制(除了root以外,只有加入wheel组的用户才被允许使用 su 切换),其他人使用 su 切换时,会提示拒绝权限。
su操作日志
安全日志: /var/log/secure 文件
记录了用户登录、切换相关的事件消息,查找 su-l 关键词,可以找到与使用 su 切换用户相关的消息。
sudo命令提权
sudo机制介绍
Super Doing,执行管理员授权的命令
- 允许授权用户代替管理员(或其他用户)来完成预先授权的命令。
- 授权用户、授权命令需要提前配置。
- 通过sudo执行命令时,只验证自己的密码(5分钟内不重复验证)。
配置sudo授权
使用 visudo 配置sudo授权
- 格式:用户名 本机可用主机名列表 = (用户身份) 授权命令列表。
- 不指定用户身份时,缺省为root。
sudo基本用法
查看自己的sudo授权
sudo -l
执行管理员已允许提权的命令
sudo 命令行
sudo操作日志
日志审计功能默认不开启,如果需要,可以手动打来sudo操作日志。
检查sudo操作记录
启用sudo操作日志,记录到文件 /var/log/sudo。之后执行一些sudo操作,会记录在此文件中。
su和sudo对比
su用户切换
登录到另一个用户的命令行环境。
验证:目标用户的密码。
用法:su - 目标用户
授权:在openEuler中普通用户不允许使用su命令(拒绝权限)。
配置普通用户的su权限:
- 方法一(推荐):直接把xx用户设置为wheel组的成员,允许这一个用户使用su命令。
- 方法二:由管理员修改/etc/pam.d/su,把“auth require .. .. pam_wheel.so .. ..”这一行开头添加 # 号,允许所有普通用户使用su命令。
跟踪su命令的使用情况:直接查看 /var/log/secure 安全日志(kali系统中对应为 /var/log/auth.log)。
sudo命令提权
以另一个用户操作通常是root的权限来执行当前的命令。
验证:目标当前用户的密码。
用法:sudo 命令行
授权:在openEuler中普通用户不允许使用sudo执行操作(不在/etc/sudoers授权表中)。
配置普通用户的su权限
由管理员使用visudo(修改/etc/sudoers文件)来设置授权策略:
- 用户名 ALL = 命令的列表
- %组名 ALL = 命令的列表
跟踪sudo命令的使用情况
由管理员使用visudo(修改/etc/sudoers文件)来设置日志文件参数:Defaults logfile = /var/log/日志文件名