合理运用su和sudo命令以保证系统用户安全

最新推荐文章于 2022-08-16 10:45:47 发布
最新推荐文章于 2022-08-16 10:45:47 发布
阅读量556 收藏
点赞数
分类专栏: Linux&Uinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012953265/article/details/38292605
版权

Linux系统为我们提供了su、sudo两种用户权限管理机制,其中su主要是用来切换用户,而sudo用户来提升执行权限。下面分别进行详细讲解。

一、su命令——切换用户

使用su命令,可以切换为指定的另一个用户,从而具有该用户的所有权限。当然,切换时需要目标用户的密码进行验证(从root切换为其他用户时列外)

例如:当普通用户切换root身份时,需要输入root的密码。

163534235.jpg

上述命令操作中,选项“-”等同于“--login”或“-l”,表示切换后进入目标用户的登录shell环境,若缺少此选项则仅切换身份,不切换用户环境。

默认情况下,任何用户都允许使用su命令,从而有机会反复尝试其他用户的登录密码,带来安全风险。为了加强su命令的使用控制,可以借助于pam_wheel认证模块,只允许极个别用户使用su命令进行切换。实现过程如下:

1、将需要使用su命令的用户加入wheel组

164222174.jpg

2、修改配置文件/etc/pam.d/su、启用pam_sheel认证。

vim /etc/pam.d/su

auth    required    pam_wheel.so use_uid

......//省略部分内容

3、此时user用户就可以使用su命令了,而其他没有加入wheel组的用户就不可以使用su命令。


二、sudo命令——提升权限

使用sudo命令可以使某些用户具有一些特殊的权限,而这个用户不需要知道管理员的密码,不过,这需要有管理员预先进行授权,指定允许那些用户以管理员的身份来执行那些命令。

sudo命令的配置文件在/etc/sudoers中,需要向这个配置文件中添加指定用户的指定权限,此用户才能执行这些权限,可以使用visudo命令或vim等命令进行编辑。(注意:使用vim进行编辑时需要加!强制保存)

配置文件/etc/sudoers中,授权记录的基本配置格式如下所示。

user    MACHING=COMMANDS

主要包括用户、主机、命令三个部分,即那些用户从那些主机执行那些命令。

用户(user):授权的用户名,或采用“%组名”的形式表示一个组。

主机(MACHING):使用此配置文件的主机名,一般设为localhost。

命令(COMMABDS):允许授权的用户通过sudo方式执行的命令,需要填写命令程序的完整路径,多个命令之间使用逗号“,”隔开。

1、修改/etc/sudores配置文件给指定用户授权

列如:授权用户user具有执行ifconfig命令的权限。

[root@lcoalhost /]#visudo

......//省略部分内容

user    localhost=/sbin/ifconfig

2、使用别名定义的方式给多个用户授权

当使用相同授权的用户较多时,或者授权的命令较多时,可以采用集中定义别名。用户、主机、命令部分都可以定义别名(别名必须大写),分别通过关键字User_Alias、Host_Alias、Cmnd_Alias来进行设置。

如下:设置允许用户user1、user2、user3在主机localhost执行rpm、yum等命令

[root@lcoalhost /]#visudo

......//省略部分内容

User_Alias    USERS=user1,user2,user3

Cmnd_Alias    PKGTOOLS=/bin/rpm,/usr/bin/yum

USERS        localhost=PKGTOOLS

在给用户授权时,命令部分可以使用通配符“*”和取反符号“!”,当需要授权某个目录下的所有命令,取消其中个别命令时特别有用。

3、为sudo启用日志记录功能

默认情况下,通过sudo方式执行的操作并不记录。若要启用sudo日志记录功能,应在/etc/sudores文件中增加“Defaults logfile”选项。

如下:添加sudo日志记录功能

[root@lcoalhost /]#visudo

......//省略部分内容

Defaults logfile=“/var/log/sudo”

4、用户通过sudo命令执行授权命令

对于已获得授权的用户,通过sudo方式执行特权命令时,只需要将正常的命令行作为sudo命令的参数即可。如下:user用户执行ifconfig命令

172203577.jpg

首次执行sudo命令需要输入当前用户的密码,有效期是5分钟,也就是输入密码后5分钟内没有使用sudo密码,那么下次执行sudo命令时又会提示输入密码。

若不希望用户执行sudo命令时输入密码,可以修改配置文件/etc/sudores如下:

[root@lcoalhost /]#visudo

......//省略部分内容

user    localhost=NOPASSWD:/sbin/ifconfig

此时在使用user用户执行ifconfig命令时就不在提示输入密码了。

若要查看当前用户以获得哪些sudo授权命令时,可是执行“sudo -l”命令。




本文出自 “邓奇的Blog” 博客,请务必保留此出处http://dengqi.blog.51cto.com/5685776/1260039

数据恢复_邓奇
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
susudo命令---用法介绍及配置
qq_42671642的博客
02-25 847
su命令su 用户名 :切换用户 exit :退出当前用户,返回到之前的用户 su root || su - || su - root :切换到root用户,三者均可 su -c “命令用户名 :切换到某用户,执行某命令,并返回当前用户 sudo命令: 使用场景:处于普通用户但需要使用root权限进行操作。 常用命令sudo command -u username :以指定...
网络安全系列之十三 Linux中susudo安全设置
weixin_34061482的博客
10-27 105
1. 限制使用su命令用户Linux系统中的root用户权限过大,所以在实际使用中一般都是以普通用户的身份登录,当需要时可以切换到root用户身份。切换用户身份使用su命令。但是我们可能并不希望所有用户都能切换到root身份,而是只想指定某个用户可以切换,比如只允许zhangsan用户使用su命令切换身份。要限制使用su命令用户,需要进行两个方面的设置。首先需要启用pam_wheel认证模块,...
利用sudo安全管理系统
weixin_34239592的博客
08-19 66
我们都知道在实际生产环境中一定不可随便使用管理员权限登录的,哪我们一旦使用到管理员权限时该怎么办?? 有人会说使用su命令呀,直接切换不就行了嘛。这位友人你说的不错,但是如果你线下有上百上千台服务器需要你管理你该怎么办啊?又有人会说让别人帮助你啊,话虽如此但是这位友人不要忘记哦这样需要你将管理员密码告诉他们或给他们赋予管理员的权限,这样的后果你是懂得的!!这时又有人说了...
su以及sudo安全
weixin_33973600的博客
08-23 257
一、su主要是用来切换用户身份的,但是为了服务器的安全防止有人破解用户密码。我们可以禁用一些用户su命令使用权限:1.将允许的用户放入wheel组中gpasswd -a test1 wheel2.修改配置文件/etc/pam.d/su加入如下行auth sufficient /lib/security/pam_rootok.so debug  auth required /...
susudo的区别与使用.doc
10-07
但是,使用 su 命令时需要注意一些安全问题,并且需要合理地使用 su 命令以避免一些安全风险。 知识点: 1. su 命令的使用方式 su 命令可以直接使用,也可以与其他命令组合使用。例如,可以使用 su - root 切换到 ...
Linux下普通用户sudo su给自己加root权限的方法
09-15
### Linux下普通用户sudo su给自己加root权限的方法 在Linux系统中,权限管理是非常重要的一个环节,它确保...在实际操作中,合理使用这些命令能够帮助你更高效、更安全地管理Linux系统。希望这篇文章对你有所帮助!
linux用户和组命令实例分析【切换、添加用户、权限控制等】
09-14
在Linux操作系统中,用户和...理解并合理运用权限控制,对于保障系统安全至关重要。在日常操作中,务必谨慎处理涉及root权限的操作,防止误操作导致的安全问题。同时,定期检查用户和组设置,确保符合系统的安全策略。
php中执行系统命令的方法
12-19
最后,如果您需要以特定用户权限(如ROOT权限)执行命令,可以结合`sudo`或`su`命令,但这需要谨慎操作,因为提升权限可能导致更大的安全风险。 总之,PHP中的`exec()`函数是连接PHP代码与操作系统的一个强大工具,...
Laravel开发-sudo-su
08-27
这个包的使用可以帮助开发者在不改变当前用户身份的情况下,以特定用户的角色执行命令或访问特定资源,增强了应用的安全性和灵活性。 在开发过程中,有时我们需要模拟不同的用户角色来测试应用程序的功能,例如管理...
用户切换身份——susudo
qq_41034175的博客
11-05 558
su命令相关 1.su是最简单的身份切换命令,可以进行任意身份的切换。 2. su 非root切换成root,但是很多原来的变量不会改变,可以通过env | grep '用户名'查看环境变量 3. su - 命令 使用login shell的方式切换何曾root,也就是彻底切换成root用户sudo命令相关 相比于su命令需要新切换的用户的密码,sudo执行时只需要输入自己的密码 系...
susudo命令详解
weixin_30918633的博客
02-23 242
我们知道,在Linux下对很多文件进行修改都需要有root(管理员)权限,比如对/ect/profile等文件的修改。很多情况下,我们在进行开发的时候都是使用普通用户进行登录的,尤其在进行一些环境变量的配置工作时,常常需要对一些文件进行修改。那么我们如何获取管理员权限呢? ​ 一般来说,有两种方法。一是:利用su命令切换到root用户,在root用户下对那些文件进行修改,完成相关配置工作...
系统安全——susudo-网络扫描
bpb_cx的博客
07-09 643
虽然说linux系统安全,高效,稳定,但如果平时不注意安全优化,也不会安全。本次将介绍账户安全,系统引导和登录的安全,以及弱口令检测,网络扫描工具的使用。一、对长期不使用或不确定的账户进行删除和锁定锁定:usermod -L zhangsan查看:passwd -S zhangsan解锁: usermod -U zhangsan如果服务器中的账号已经固定,不在更改,还可以对文件进行锁定如下:cha...
sudosu的区别及使用
m0_51527921的博客
08-16 1042
比如我们平时使用admin用户登陆,突然有一天公司来了新运维人员,需要添加一个新的账户,admin用户没有权限,需要使用到root的权限。这时我想临时使用下root的权限,添加完用户,再回到admin账户,这时就可以使用susu用户间切换就很方便了。:普通用户切换到其它任何用户都需要密码验证,超级权限用户root向普通或虚拟用户切换不需要密码。...
深入理解 sudosu 之间的区别
热门推荐
【小石头的茅坑】
07-28 41万+
su su命令的主要作用是让你可以在已登录的会话中切换到另外一个用户。换句话说,这个工具可以让你在不登出当前用户的情况下登录为另外一个用户su命令经常被用于切换到超级用户或 root 用户(因为在命令行下工作,经常需要 root 权限),但是 - 正如前面所提到的 - su 命令也可以用于切换到任意非 root 用户。 如何使用su命令切换到 root 用户,如下: 不带命令行参数的 su 命令 如上,su命令要求输入的密码是 root 用户的密码。所以,一般su命令需要...
linux基础命令之:susudo用户切换命令的使用
BabyFish13
04-22 1万+
1、su 的用法 通过su可以在用户之间切换,如果超级权限用户root向普通或虚拟用户切换不需要密码,而普通用户切换到其它任何用户都需要密码验证。 su [OPTION选项参数] [用户] 语  法:su [-flmp][--help][--version][-][-c ][-s ][用户帐号] [root@localhost babyfish]# su --h Usage:
Linux基础之系统安全及应用(susudo
ljj的学习笔记
12-05 1842
目录 一、账号安全基本措施 1、系统账号清理 在/etc/pam.d/su文件里设置禁止用户使用su命令 vim /etc/pam.d/su auth sufficient pam_rootok.so … #auth required pam_wheel.so use_uid … a)以上两行是默认状态(即开启第一行,注释第二行),这种状态下是允许所有用户间使用su命令进行切换的。 b)两行都注释也是运行所有用户都能使用su命令,但root下使用su切换到其他普通用户需要输入密码;如果第一行不注释,则roo
susudo的区别与使用
华为云官方博客
08-31 5629
一.使用su命令临时切换用户身份 1、su 的适用条件和威力 su命令就是切换用户的工具,怎么理解呢?比如我们以普通用户beinan登录的,但要添加用户任务,执行useradd ,beinan用户没有这个权限,而这个权限恰恰由root所拥有。解决办法无法有两个,一是退出beinan用户,重新以root用户登录,但这种办法并不是最好的;二是我们没有必要退出beinan用户,可以用su来...
Ubuntu怎么用sudosu命令以自建用户执行命令pwd
最新发布
04-01
2. 使用su命令: 2.1 执行以下命令以切换到testuser用户: ``` su testuser ``` 输入testuser的密码以确认身份验证。 2.2 然后,运行pwd命令以查看当前所在目录: ``` pwd ``` 请注意,sudo命令需要您的管理员...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值