系统安全及应用——用户切换与提权

最新推荐文章于 2023-04-19 14:10:43 发布
最新推荐文章于 2023-04-19 14:10:43 发布
阅读量112 收藏
点赞数
分类专栏: Linux防护与群集 文章标签: Linux防护与群集
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43973215/article/details/100138941
版权

大多数Linux服务器并不建议用户直接以root用户进行登录。一方面可以大大减少因误操作而导致的破坏,另一方面也降低了特权密码在不安全的网络中被泄露的风险。鉴于这些原因,需要为普
通用户提供一种身份切换或权限提升机制,以便在必要的时候执行管理任务,Linux系统为我们提供了su、sudo 两种命令,其中su命令主要用来切换用户,而sudo命令用来提升执行权限,下面分别进行介绍。
在这里插入图片描述

上述命令操作中,选项”-” 等同于"–login” 或“-1”, 表 示切换用户后进入目标用户的登录Shell环境,若缺少此选项则仅切换身份.不切换用户环境。对于切换为root用户的情况, "root”可 ;以省略。
默认情况下,任何用户都允许使用su命令,从而有机会反复尝试其他用户(如 root)的登录密码,这样带来了安全风险。为了加强su命令的使用控制,可以借助于pam. wheel 认证模块,只允许
极个别用户使用su命令进行切换。实现过程如下:将授权使用su命令的用户添加到wheel组,修改/etc/pam. d/su认证配置以启用pam wheel 认证。
在这里插入图片描述

启用pam. _wheel认证以后,未加入到wheel组内的其他用户将无法使用su命令,尝试进行切换时将提示“拒绝权限”,从而将切换用户的权限控制在最小范围内。
在这里插入图片描述

注意;
使用sU命令切换用户的操作将会记录到安全日志/var/log/secure文件中.可以根据需要进行查看。

2.sudo命令一提升执行权限

通过su命令可以非常方便地切换为另一个用户,但前提条件是必须知道目标用户的登录密码。例如,若要从jerry用户切换为root用户,必须知道root用户的密码。对于生产环境中的Linux服务
器,每多一个人知道特权密码,其安全风险也就增加一-分。那么,有没有-种折中的办法,既可以让普通用户拥有一部分管理权限,又不需要将root用户的密码告诉他呢?答案是肯定的,使sudo命令就可以提升执行权限。不过,需要由管理员预先进行授权,指定允许哪些用户以超级用户(或其他普通用户) 的身份来执行哪些命令。

在配置文件/etc/sudoers 中添加授权
sudo机制的配置文件为/etc/sudoers,文件的默认权限为440,需使用专门的visudo工具进行编辑。虽然也可以用vi进行编辑,但保存时必须执行” :W!”命令来强制操作,否则系统将提示为只读文件而拒绝保存。配置文件/etc/sudoers中,授权记录的基 本配置格式如下所示。
在这里插入图片描述

授权配置主要包括用户、主机、命令三个部分,即授权哪些人在哪些主机上执行哪些命令。各部分的具体含义如下。
在这里插入图片描述

典型的sudo配置记录中,每行对应- -个用户或组的sudo授权配置。例如,若要授权用户jerry能够执行ifconfig 命令来修改IP地址,而wheel组的用户无需验证密码即可执行任何命令,可以执行以下操作。
在这里插入图片描述

当使用相同授权的用户较多,或者授权的命令较多时,可以采用集中定义的别名。用户、主机、命令部分都可以定义为别名(必须为大写),分别通过关键字User. Alias. Host Alias. Cmnd_ Alias 进行设置,例如,以下操作通过别名方式来添加授权记录,允许用户jerry. tom. tsengyia 在主机smtp.pop中执行rpm、yum命令。
在这里插入图片描述

sudo配置记录的命令部分允许使用通配符" * ”、 取反符号“ !”, 当 需要授权某个目录下的所有命令或取消其中个别命令时特别有用。例如,若要授权用户syrianer可以执行/sbin/目录下除ifconfig.route以外的其他所有命令程序,可以执行以下操作。

[ root@localhost ~] # visudo

syriane rlocalhost=/sbin/, !/sbin/ifconfig, ! /sbin/route

默认情况下,通过sudo方式执行的操作并不记录。若要启用sudo日志记录以备管理员查看,应在/etc/sudoers文件中增加"Defaults logfile" 设置。
在这里插入图片描述

2)通过sudo执行特权命令
对于已获得授权的用户,通过sudo方式执行特权命令时,只需要将正常的命令行作为sudo 命令的参数即可。由于特权命令程序通常位于/sbin. /usr/sbin等目录下, 普通用户执行时应使用绝对路径。以下操作验证了使用sudo方式执行命令的过程。
在这里插入图片描述

在当前会话过程中,第一次通过 sudo执行命令时,必须以用户自己的密码(不是root 用户或其他用户的密码)进行验证。此后再次通过sudo执行命令时,只要与前一次sudo操作的间隔时间不超过5min(分),则不再重复验证。若要查看用户自己获得哪些sudo授权,可以执行‘sudo-I” 命令.未授权的用户将会得到"maynot run sudo” 的提示,已授权的用户则可以看到自己的sudo配置.
在这里插入图片描述

用户syrianer 可以在该主机.上运行以下命令
(root) /sbin/ (root) ! /sbin/ifconfig, (root) ! / sbin/ route
如果已经启用sudo日志,则可以从/var/log/sudo 文件中看到用户的sudo 操作记录。
在这里插入图片描述

错过我为了遇见谁
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
用户如何
cmdd_的博客
07-31 1006
文章目录1. 用户概述2. 用户的工作环境相关文件3. su命令切换用户4. sudo用户5. sudo设置组6. sudo设置案例 1. 用户概述 1. su 使用普通用户登录,然后执行su命令切换到root用户 优点:简单 缺点:需要知道root密码 2. sudo 使用普通用户管理,当需要使用root的限的时候,进行 优点:安全、方便 缺点:复杂 shell的分类及执行的过程 交互式shell #终端操作 输入一条指令,需要等待系统的
用户切换
看清所以看轻
08-29 233
大多数Linux服务器并不建议用户直接以root用户进行登录。一方面可以大大减少因误操作而导致的破坏,另一方面也降低了特密码在不安全的网络中被泄露的风险。鉴于这些原因,需要为普 通用户供一种身份切换升机制,以便在必要的时候执行管理任务,Linux系统为我们供了su、sudo 两种命令,其中su命令主要用来切换用户,而sudo命令用来升执行限,下面分别进行介绍。 上述命令操作中,...
Linux用户切换
chanxi4688的博客
08-28 428
大多数Linux服务器并不建议用户直接以root用户进行登录。一方面可以大大减少因失误操作而导致的破坏,另一方面也降低了特密码在不安全的网络中被泄露的风险。鉴于这些原因,需要为普通用户供一种身份切换升机制,以使在必要的时候执行管理任务。 Linux系统供了su sudo二种命令,其中su命令用来切换用户,sudo命令用来限。 PAM 在su命令之前,需要先了解pam,Linux...
企业系统及数据安全一体化解决方案
11-21
为了有效的解决以上问题,更好的高“在线数据的高可用性”和“在线应用的高可用性”以及网络数据的安全性,为此我们为用户构建“在线部分——双机容错热备份系统”解决“在线数据的高可用性”和“在线应用的高可用...
2011年全国电子信息技术与应用学术会议论文集
01-03
基于电子商务的信息安全技术与应用⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯纪威(538) Data Acquisition and Processing of Electronic Compass for Mobile Robot Autonomous Navigation⋯...
From Android Studio——基于第三方SDK:Face++平台的面部识别,用户通过自拍完成注册、登录。.zip
最新发布
05-11
Android是一种基于Linux内核(不包含GNU组件)的自由及开放源代码的移动操作系统,主要应用于移动设备,如智能手机和平板电脑。该系统最初由安迪·鲁宾开发,后被Google公司收购并注资,随后与多家硬件制造商、软件...
常见网络安全设备简介.pptx
06-08
常见应用安全产品——入侵防御系统(IPS) 入侵防御系统串联部署和旁路部署在网络中 常见网络安全设备简介全文共30页,当前为第10页。 常见应用安全产品——web应用防火墙(WAF) WAF:是以网站或应用系统为核心的...
用户————限管理】
zj631455878的博客
12-03 1481
用户————限管理linux用户管理用户基本概述什么是用户为什么需要用户用户有哪些分类查询用户的ID信息用户相关配置文件passwd文件shadow文件用户相关命令添加用户useradd添加用户范例修改用户usermod修改用户范例删除用户userdel删除用户范例设定密码passwd交互式设定密码非交互式设定密码linux用户组管理什么是用户组组有几种类别组相关的配置文件group文件gshadow文件用户组相关的命令添加组groupadd修改组groupmod删除组groupdel普通用户如何
用户限的管理与
eagle_xiaoyang的博客
08-03 464
用户限的管理与用户限的管理:示:力越大,责任越大环境变量的设置:1、 bash shell 配置文件PS: 如果全局配置和个人配置产生冲突,以个人配置为准。2、登陆系统后,环境变量配置文件的应用顺序PS: 验证使用echo在每行添加一个输出即可3、登录式和非登录式的区别体现sudo 的方式:一、利用系统内自定义的设置二、自己设置一个分组(真实组)注意:查看自己的限用sudo -l限的分类与更改:1、限的查看、分类 特殊:root有绝对的限,不受影响。2、更改限的方式:chmod参考
第三章:Linux用户管理 - 3.5 sudo普通用户
qq_21696621的博客
06-26 262
以下两种方法都可以讲普通用升为root用户 (1)使用su切换用户 [alice@localhost~]$ useradd u1 -bash: /usr/sbin/useradd:限不够 [alice@localhost~]$ su - # 切换到root用户 password: [root@localhost~]# useradd u1 # 成功创建 (2)以root身份授普通...
怎么高计算机用户限,在USER用户升自已的
ぃ妖气ぅ的博客
06-23 1976
不少上班族都会碰到这样的烦恼,网管关闭了电脑的超级用户限,除了工作外什么也干不了,上网、聊天都不行,好无聊哦。别着急,今天听雨就教你怎么在USER帐户下升自已的限,说白了,就是将自已的USER用户变成管理员用户。首先看一下自已的用户限,在桌面上右击“我的电脑”,在右键菜单中选“管理”,打开计算机管理对话框,在对话框的左栏中依次双击“本地用户和组”、“用户”,再看右边窗口中就有自已的用户名了...
用户(基础)
qq_52416076的博客
04-19 143
wheel ALL=(ALL) NOPASSWD:ALL ##允许wheel用户组中的用户在不输入该用户的密码的情况下使用所有命令。切换身份时可以退出 exit (没有密码不可以破解,但若管理员可以摸到他的服务器,也是可以破解的。临时用sudo把限命令行打出 # sudo useradd +新建用户名。若用$ su root 结果一样(不推荐)当普通用户需要执行特殊指令时,使用su切换到超管身份。1、使用普通登录服务器。切换对方身份时,需要对方密码。
【内网渗透】——
haoaaao的博客
07-26 718
Linux--系统安全应用 理论详解+实验(账号安全,用户安全与,PAM安全认证,系统引导和登录安全,密码安全,端口扫描)
weixin_47151643的博客
06-23 739
系统安全应用 文章目录系统安全应用一:账户安全控制1.1系统账号清理1.2锁定账户跟解锁账户1.3.密码安全控制1.4历史命令,自动注销1.5注销是自动清空命令历史**1.6终端自动注销**二:使用SU命令切换用户2.2密码验证2.3限制使用su命令的用户2.启用pam _wheel认证模块三:Linux中的PAM安全认证**3.1:su命令的安全隐患****3.3:PAM认证的构成****3.4PAM安全认证流程**四.使用sudo机制限4.1su命令命令缺点4.2sudo命令的用途方法4.3配
selinux + sudo +ssh +passwd
lemontree1945的博客
04-18 1627
TopNSD SECURITY DAY01案例1:Linux基本防护措施案例2:使用sudo分配管理限案例3:高SSH服务安全案例4:SELinux安全防护1 案例1:Linux基本防护措施1.1 问题本案例要求练习Linux系统的基本防护措施,完成以下任务:修改用户zhangsan的账号属性,设置为2019-12-31日失效(禁止登录)临时锁定用户lisi的账户,使其无法登录,验证效果后解除...
Linux切换用户
m0_57056301的博客
07-30 136
文章目录 前言 一、sudo管理方案 1.直接授 2.添加一个用户属于wheel组 二、给予小限 1.先查命令全路径 2.visudo配置命令(全路径,用逗号分割),注意在oldgirl开始的授上改 3.然后以oldgirl身份执行 前言 只把root密码留给少数核心管理人员,其他管理员就使用普通用户管理. [oldboy@oldboy ~]$ cd /etc [oldboy@oldboy etc]$ touch oldboy.txt touch: ...
嵌入式系统设计与应用——基于arm cottex-a8和linux答案
07-05
嵌入式系统设计与应用是指在特定应用领域中,使用嵌入式处理器和相关硬件资源,结合嵌入式操作系统和软件开发工具,设计和开发满足特定需求的嵌入式系统。 ARM Cortex-A8是一款高性能的嵌入式处理器,广泛应用于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值