提权
su提权
- openEuler对su的使用进行了限制
- 只有用户被加入到了wheel组中,才可以使用su命令
- gpasswd -a 用户 wheel
- id 用户,查看是否加入到组中
- su - 用户 切换用户,输入对方的密码
取消wheel组限制
- vim /etc/pam.d/su
- 找到第21行 auth required 注释掉
分页查看安全日志
- less /var/log/secure
- /su-l 搜索su相关的操作
sudo命令提权
- 普通用户默认情况下无法使用sudo,需要root用户进行授权
- visudo:编辑sudo配置文件
- 用户名 允许使用sudo命令的主机=sudo提权后可以取得的用户权限 执行的命令
- %用户组名 允许使用sudo命令的主机=sudo提权后可以取得的用户权限 执行的命令
例如: - zhangsan localhost=root /usr/sbin/ifconfig
// zhangsan在本机上使用sudo命令提权后可以提取到root用户的权限,在运行sudo命令时,只能使用ifconfig命令 - zy ALL=ALL // 提权后可以获得所有权限
- sudo 要执行的命令
对用户进行提权
查看sudo提权
- sudo -l
查看日志
- 将sudo形成日志进行记录,方便溯源
- 默认不会记录,需手动指定日志位置
- visudo
- Defaults logfile=/var/log/sudo(名称可以随便起)
- 之后所执行的sudo命令都会被记录下来
su与sudo区别
su
- su:切换用户
- 用户需要被加入到wheel组中才可以使用su,或者注释掉wheel组限制,所有用户都可以使用su切换
- su切换用户时,需要输入目标用户的密码
- su会自动记录日志,/var/log/secure 安全日志文件
sudo
- sudo:使用超级用户身份执行命令
- 需要在visudo的配置文件中进行授权,用户才能使用sudo命令
- sudo需要输入自己的密码
- sudo需要visudo命令添加配置才能记录日志
- Defaults logfile=日志文件的文职/日志文件名