linux安全设置:限制su、sudo切换root用户权限设置,su\sudo使用,SSH远程连接密钥登录

最新推荐文章于 2024-04-16 09:21:41 发布
最新推荐文章于 2024-04-16 09:21:41 发布
阅读量6.6k 收藏 19
点赞数 3
分类专栏: linux 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43178138/article/details/110456515
版权

目录

限制su命令切换到root用户

限制su命令切换到root用户

不希望所有用户都可以通过su命令切换身份,

启用pam_wheel认证模块

vim /etc/pam.d/su


取消注释以强制用户成为组root的成员才能使用“su”。

如果您想使用默认“root”以外的组,也可以在这行的末尾添加“group=foo”(但这可能会有拒绝“root”用户的副作用,除非她是“foo”的成员或前面明确允许的,例如“SU_WHEEL_ONLY"). (替换来自登录名.defs)

去掉这一行的#

这样执行su命令的用户都将受到限制,只有root组中的成员才有权限执行su命令。


如果想让某个组中的成员有su root的权限,可以像上图这样改,这样ubuntu组中的成员都有权限执行su命令。

当不属于root用户组、ubuntu用户组的成员使用su命令切换到root时会被拒绝,即使输入了正确的root密码。

限制非root用户修改密码

设置其他用户不能使用sudo passwd root修改root密码
root~# visudo 或者 vim /etc/sudoers

像上图这样给那么多ALL=(ALL:ALL) ALL权限是非常危险的行为
意味着这些用户都能轻松通过sudo passwd root修改root的密码

主机=(用户:用户组) 命令

ALL=(ALL:ALL) ALL 的意思就是被授权的用户,在所有的主机、获取所有用户|用户组的身份、使用所有的sudo命令。

限制权限可以像下图这样修改:

一般来说允许的sudo命令设置的越准确越安全,就是具体需要哪些命令,ALL=要的命令,而不是直接授权所有。
设置免密并且禁止某操作:ALL=NOPASSWD:ALL,!/usr/bin/passwd root

/etc/sudoers文件
这是一个只读文件,可以用vim /etc/sudoers来修改并且使用:wq!退出,不过更推荐root权限下使用visudo命令来打开这个文件,退出保存的时候还能检测是否有格式错误。

这个文件里可以授权用户,也可以授权用户组,以%开头的是用户组
这个文件其实可以设置的东西有很多,这里就不说了。

su、sudo、sudo su

su命令的主要作用是让你可以在已登录的会话中切换到另外一个用户

su命令经常被用于切换到超级用户或root用户,同样也可以切换到任意用户。

su root 需要输入root用户密码,别的也一样。

su root切换用户后仍然保持原用户的环境
如果使用su - root,则是创建一个新的环境(由root用户~/.bashrc文件所设置的环境),相当于使用root用户正常登录(从登录屏幕登录)。

sudo命令需要输入当前用户的密码,当然可以像上面设置的那样设置NOPASSWD来免密切换root。

就安全而言,sudo命令更好,不需要共享root的密码。

两个命令之间的另外一个区别是其默认行为。
sudo命令只允许使用提升的权限运行单个命令,而su命令会启动一个新的shell,同时允许使用root权限允许尽可能多的命令,直到明确退出登录。

尽管sudo是以目标用户(默认root)的身份执行命令,但是会使用sudoers所配置的用户名来记录是谁执行命令。而su命令是无法直接跟踪记录用户切换到root用户之后执行了什么操作

当你使用sudo su的时候,不用输入密码就可以获得root权限

最后还是建议可以不启用root账户,其实sudo su已经够用

服务器安全

为了系统安全,禁用root用户是最安全的。
并且ssh登录不再使用密码,而是使用密钥来直接远程登录。
sshd提供的另外一种安全登录方式。
需要在本地生成密钥对,然后把密钥对中的公钥传到服务器。

本地安全的话就一直回车回车就行。
然后会在上面所说的目录里生成公钥和私钥。

复制公钥的内容到服务器上,cd 隐藏目录 cd .ssh 目录, 然后nano回车,加上复制的公钥,
ctrl X退出,Y保存,回车
然后指定用户、ssh链接设置里绑上私钥

这样就可以不通过密码进行SSH远程连接了。
再修改sshd_config文件,
#禁用密码登录

PasswordAuthentication no

#启用密钥验证

RSAAuthentication yes
PubkeyAuthentication yes

#指定公钥数据库文件

AuthorsizedKeysFile .ssh/authorized_keys

重启SSH服务之前建议多保留一个会话,万一有问题。

fhzmWJ
关注
  • 3
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
Linux 账号密码安全susudo登录控制
段小宝的博客
04-23 1731
目录前言一、账号安全控制1.1 系统账号清理1.1.1 禁止用户登录系统1.1.2 锁定用户账号1.1.3 清空用户密码,删除无用的账号1.1.4 锁定账号文件 chattr二、使用步骤 前言 wheel 用户组介绍 用户和组基本命令 一、账号安全控制 1.1 系统账号清理  系统账号信息和系统密码信息分别在 /etc/passwd 和 /etc/shadow 中,新增用户信息就是在这两个文件中末尾加一行。  比如我用 useradd zhangsan、passwd zhangsan 123456 创建.
漏洞整改-系统加固-限制用户su
Kay_ly的博客
09-27 245
除了wheel组,也可以配置只有指定的组的用户能够suroot。A、创建用户组groupa01B、创建/etc/security/su-groupa-access文件,里面指定允许su到的用户010203doublesroot这就表示groupa的用户可以suroot和doubles保证文件权限不是所有人都可以修改的。0102C、在/etc/pam.d/su下加入下面三行01020304。
ubuntu18.04用户权限管理(su /sudo su
GY-赵的博客
04-28 2798
实验室用户增多,服务器上账户凌乱,sudo权限已经管不住了,为此特意学习了一下账户管理 1. 限制普通用户通过su 登录root账户 使用root账户进行管理 cd /etc/pam.d cp su su.backup vim su 把红线标注的地方注释去掉,可以查看上边的说明,去掉注释后,除非用户属于root组才可以使用su,或者可以在这一行后边添加 group=foo,这样foo组的成员可以使用su命令,但是有副作用。 验证: 2. 限制普通用户通过sudo su 登录root账户 vi
Linux用户和权限、su、exit、sudo
weixin_55843921的博客
01-02 416
切换root用户,执行visudo命令,会自动通过vi编辑器打开: /etc/sudoers。切换用户后,可以通过exit命令退回上一个用户,也可以使用快捷键:ctrl+d。参数:用户名,表示要切换的用户,用户名也可以省略,省略表示切换root。不是所有用户都有权利使用sudo,我们要为普通用户配置sudo认证。通过sudo命令可以为普通命令授权,临时以root身份执行。-符号可选,表示是否在切换用户后加载环境变量,建议带上。使用root切换到其他用户,无需密码可以直接切换。形式:sudo 其他命令。
susudo命令(概念+运用)
最新发布
qq_70756940的博客
04-16 1111
首先超级用户将普通用户的名字、可以执行的特定命令、按照哪种用户或用户组的身份执行等信息,登记在特殊的文件中(通常是/etc/sudoers),即完成对该用户的授权(此时该用户称为“sudoer”);在一般用户需要取得特殊权限时,其可在命令前加上“sudo”,此时sudo将会询问该用户自己的密码(以确认终端机前的是该用户本人),回答后系统即会将该命令的进程以超级用户的权限运行。2、允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,如halt,reboot,su等等。
linux限制su管理员命令的使用
qq_17576885的博客
12-29 1546
说明 限制用户使用su命令变更为其他用户,防止不当的角色切换。 检查方法 1)在终端中输入命令: [test@localhost ~]$ more /etc/pam.d/su 2)检查以下行: auth required pam_wheel.so 是否被注释,是否有添加参数 修改建议 1)限制使用su命令的用户组,使用vim编辑pam.d的关于su安全配置文件 [test@localhost ~]$ sudo vim /etc/pam.d/su 2)添加或修改以下内容: auth .
linux centos 系统登陆安全ssh配置 (用户建立,sudosu的用法)
sun_itbest的博客
03-02 672
3.系统登陆安全ssh配置 授权用户登陆与sudo设定 路径 /etc/sudoers <user list> <host list> = <operator list> <tag list> <command list> operator list用户组 tag list 是否输入密码 commend list命令列表 hostlist operatolist taglist 参数可省略 常见配置 建立用户 useradd i
给普通用户修改密码的权限,但是不能修改root的密码。
weixin_43739688的博客
11-21 4202
今天做作业碰到一个巨坑。给我为难的要死要活的。所以在此做个记录。 题目:给oldboy用户授权以root身份执行ls,touch,passwd命令,但是禁止修改root用户密码 一开始我的错误解答: [root@Sloth ~]# visudo oldboy ALL=(ALL) /bin/ls, /bin/touch, /usr/bin/passwd, !/usr/bin/passw...
Linux禁止普通用户使用su 切换root 用户(并且禁止root ssh登录
junmuzi的专栏
03-08 1万+
1.第一种方法:可以使用ninja 这个软件,指定哪些用户可以使用su 2.第二种方法:使用linux  特殊的用户组wheel   在一般情况下,一般用户通过执行“su -”命令、输入正确的root密码,可以登录root用户来对系统进行管理员级别的配置。   但是,为了更进一步加强系统安全性,有必要建立一个管理员的 组,只允许这个组的用户来执行“su -”命令登录root用户,而让
mac使用Shell(终端)SSH连接远程服务器的方法
09-14
SSH提供了一种安全的远程登录方式,使得用户可以在本地计算机上控制远程服务器。以下是详细步骤及一些附加知识: ### 前提条件 在尝试连接之前,确保你有以下信息: 1. 远程服务器的IP地址 2. SSH服务使用的端口号...
Mac通过不同终端SSH连接远程服务器的讲解
09-15
2. 输入`sudo su -`,这将切换root用户权限,以便执行更高级的操作。系统会提示你输入管理员密码。 3. 使用SSH命令连接到远程服务器,格式如下: ``` ssh -p 端口号 用户名@ip ``` 例如:`ssh -p 22 userkunyu...
Ubuntu 允许root用户登录.docx
10-14
本文将详细介绍 Ubuntu 中 root 用户的登录机制,包括如何允许 root 用户登录、如何设置自动登录、如何使用 SSH 登录远程服务器等。 一、Ubuntu 中 root 用户的登录机制 在 Ubuntu 中,root 用户默认是被锁定的,...
C++基础(用户权限、VI操作、Linux服务器搭建)
09-11
Linux中,可以使用`whoami`命令查看当前用户,`su`或`sudo`命令切换到其他用户,尤其是root用户,以执行管理员级别的任务。同时,创建和管理用户及工作组也是日常运维的一部分,使用`adduser`或`useradd`命令创建...
Ubuntu 允许root用户登录.pdf
10-14
Ubuntu root 用户登录设置 Ubuntu 作为一款流行的 Linux 发行版,默认情况下不允许 root 用户直接登录,这是为了提高系统安全性。然而,对于开发者和服务器管理员来说,这种设置可能会带来一些不便。下面将详细...
linux系统安全(二)su命令及系统安全
weixin_56667320的博客
05-17 2690
文章目录一、切换用户-su命令1、用途及格式2、susu 目标及su - 目标用户的区别3、密码验证二、为普通用户添加超级权限1、三种方法1.1、sudo命令1.1.1、概念1.1.2、配置1.2、visudo命令1.2.1、概念1.2.2、配置1.3、wheel组2、添加用户方法2.1、使用别名增加用户:Alias2.2、通配符增加用户2.3、实例3、常用选项三、PAM安全认证1、概念2、PAM认证的构成3、修改端口号 一、切换用户-su命令 1、用途及格式 用途:用于切换用户 su - 目标用户
su - root报错问题记录
weixin_53389944的博客
03-31 2359
原来只有root用户可以执行su这条命令,+s后其他用户都可享有文件属主的权限。通过chown将文件属主调整为root,这样其他用户即可以root权限操作该文件。参数 s:在文件执行时把进程的属主或组ID置为该文件的文件属主。使用chmod命令赋权:chmod +s /bin/su
Linux 普通用户su root 权限的开启和禁止
热门推荐
迷逝
05-19 1万+
Linux禁止或允许普通用户suroot linux系统为了限制权限,有时候需要禁止普通用户suroot用户 为禁止普通用户suroot,需要分别修改/etc/pam.d/su和/etc/login.defs两个配置文件。 一、实验环境 [root@t2 pam.d]# cat /etc/redhat-release CentOS Linux release 7.2.1511 (Core) [root@t2 pam.d]# uname -a Linux t2 3.10.0-514.el7
2021-08-16 sudo时候提示xxx is not in the sudoers file. This incident will be reported.
海月汐辰
08-16 689
一、linux sudo时候提示xxx is not in the sudoers file. This incident will be reported. 二、解决方法就是在/etc/sudoers文件里给该用户添加权限。 1、编辑sudoers文件 vi /etc/sudoers 找到这行 root ALL=(ALL) ALL,在他下面添加xxx ALL=(ALL) ALL (这里的xxx是你的用户名) 2、这里说下你可以sudoers添加下面四行...
如何解决普通用户无法suroot用户的问题?
Zhang Sir的科学园地
09-10 1万+
问题描述: 普通用户切换root用户时,密码输入正确仍然报密码错误。   问题解决: 1.1 检查/etc目录下passwd的权限 [root@dev /]# ll/etc/passwd -rw-r--r--. 1 root root 1975 5月  27 06:04/etc/passwd 如果普通用户不能读请改成644权限 [root@dev /]# chmod 644 /e...
Linux设置普通用户xxx具有root权限
03-28
不建议将普通用户直接设置root用户,因为这会增加系统被攻击的风险。相反,可以通过sudo工具为普通用户授予root权限,让其在需要时暂时获得root权限,完成需要的操作后又回到普通用户身份。 以下是在Linux系统中为普通用户授权sudo权限的步骤: 1. 使用root用户登录系统,或者使用已经拥有sudo权限的用户登录。 2. 打开终端,输入以下命令来安装sudo工具: ``` sudo apt-get install sudo ``` 3. 创建一个普通用户,例如“xxx”,并将其添加到sudo组中: ``` sudo adduser xxx sudo usermod -aG sudo xxx ``` 4. 重新登录“xxx”用户,然后输入以下命令来测试sudo权限是否生效: ``` sudo ls /root/ ``` 如果命令执行成功,说明“xxx”用户已经获得了root权限。 需要注意的是,虽然sudo可以让普通用户临时获得root权限,但也需要合理使用,避免给系统带来不必要的安全风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值