2021-05-11

最新推荐文章于 2023-04-13 21:35:18 发布
最新推荐文章于 2023-04-13 21:35:18 发布
阅读量569 收藏
点赞数
分类专栏: 笔记 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56665516/article/details/116645327
版权

一,限制使用su命令
1.修改配置认证文件/etc/pam.d/su, 启用 pam——wheel.so认证模块
[root@centos ~]# head -3 /etc/pam.d/su
#%PAM-1.0
auth sufficient pam_rootok.so
2.将admin用户加入到wheel组
[root@centos ~]# useradd radmin
[root@centos ~]# gpasswd -a radmin wheel
正在将用户“radmin”加入到“wheel”组中
[root@centos ~]# grep wheel /etc/group
wheel❌10:radmin

3.验证除了root.remdin以外 其他用户均不能使用su用户进行切换
[root@centos ~]# su radmin
[radmin@centos root]$ su
密码:
二,设置sudo授权
1.授权用户zhangsan使用useradd userdel passwd usermod命令 但禁止执行“passwd root ” “usermod * root”操作
[root@centos ~]# gpasswd -a zhangsan wheel
正在将用户“zhangsan”加入到“wheel”组中
[root@centos ~]# su zhangsan
[zhangsan@centos root]$ sudo useradd lisi

2.授权lisi用户使用/sbin/*、/usr/sbin/命令,添加NOPASSWD以取消验证
[root@centos01 ~]# useradd lisi
[root@centos01 ~]# passwd lisi
lisi centos01=NOPASSWD:/sbin/,/usr/sbin/
添加Defaults logfile配置行以启用sudo日志
[root@centos01 ~]# vim /etc/sudoers
Defaults logfile = “/var/log/sudo”

3.限制引导及登录过程
禁用ctrl+alt+del快捷键禁止root用户从tty5,tty6登录

1.禁用ctrl+alt+del快捷键
[root@centos ~]# cat /etc/inittab
[root@centos01 ~]# systemctl mask ctrl+alt+del.target
Created symlink from /etc/systemd/system/ctrl\x2balt\x2bdel.target to /dev/null.

2.重新加载服务
[root@centos01 ~]# systemctl daemon-reload

3.限制用户登录tty5、6终端登录
[root@centos01 ~]# vim /etc/securetty
#tty5
#tty6

4.为GRUB引导菜单设置密码
[root@centos01 ~]# grub2-mkpasswd-pbkdf2
输入口令:
Reenter password:
PBKDF2 hash of your password is grub.pbkdf2.sha512.10000.11264A99B4CB3A367DE30B32785A575F61FA2982AB88C9398BD77190CB9404AE32A8A5CE9B6C0C19183ABFC07A95670F42ABA145533D51C5708767D01B154B91.F8D7A903D67E0B75425345523568A74C54096FE1F51B5E9E994D38A4ADE6A9A4FFFABB9AAB73595223F22E9B99ECD44F81E8D6943CB5A7F7E3E8D602116872C8备份引导菜单
[root@centos01 ~]# cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak
[root@centos01 ~]# cp /etc/grub.d/00_header /etc/grub.d/00_header.bak

.修改grub引导菜单加载密码
[root@centos01 ~]# vim /etc/grub.d/00_header
cat <<EOF

set superusers=“root”
password_pbkdf2 root grub.pbkdf2.sha512.10000.11264A99B4CB3A367DE30B32785A575F61FA2982AB88C9398BD77190CB9404AE32A8A5CE9B6C0C19183ABFC07A95670F42ABA145533D51C5708767D01B154B91.F8D7A903D67E0B75425345523568A74C54096FE1F51B5E9E994D38A4ADE6A9A4FFFABB9AAB73595223F22E9B99ECD44F81E8D6943CB5A7F7E3E8D602116872C8EOF

6.生成grub引导菜单
[root@centos01 ~]# grub2-mkconfig -o /boot/grub2/grub.cfg

Generating grub configuration file …
Found linux image: /boot/vmlinuz-3.10.0-693.el7.x86_64
Found initrd image: /boot/initramfs-3.10.0-693.el7.x86_64.img
Found linux image: /boot/vmlinuz-0-rescue-7c3b239e3c254776a1b0604a08bfd864
Found initrd image: /boot/initramfs-0-rescue-7c3b239e3c254776a1b0604a08bfd864.img

樊佳洺
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
/etc/pam.d/su内容详解
weixin_53389944的博客
04-28 453
以下为系统默认配置。
账号安全控制与sudo授权命令(详细)
愿你成为自己喜欢的模样,不抱怨,不将就,有自由,有光芒!
12-01 2627
文章目录一、账号安全控制1、系统账号清理2、密码安全控制使用su命令切换用户linux中的PAM安全认证PAM 认证原理: 一、账号安全控制 1、系统账号清理 ●将非登陆用户的Shell设为/sbin/nologin或者/bin/falsh usermod -s /sbin/nologin 用户名 ●锁定长期不使用的账号 usermod -L 用户名 锁定用户账户 passwd -l 用户名 锁定用户密码 passwd -S 用户名 查看
系统安全及应用
m0_56629272的博客
05-08 238
一,限制使用su命令 1.修改配置认证文件/etc/pam.d/su, 启用 pam——wheel.so认证模块 2.将admin用户加入到wheel组 3.验证除了root.remdin以外 其他用户均不能使用su用户进行切换 二,设置sudo授权 1.授权用户zhangsan使用useradd userdel passwd usermod命令 但禁止执行“passwd root ” “usermod * root”操作 2.授权lisi用户使用/sbin/*、/usr/sbin/命令,添加NOP
Linux权限维持(三)
pingan233的博客
02-23 383
根据原理我们可以知道配置文件的核心是pam配置中的pam_rootok.so,所以只需包含这句话就可以实现后门功能,而且默认的配置文件中除了su,还有其他的可利用的配置文件。,只要PAM配置文件中包含此配置即可SSH任意密码登陆,实践表明,可成功利用的PAM配置文件除了su还有chsh、chfn。通过软连接的方式,实质上PAM认证是通过软连接的文件名(如:/tmp/su,/home/su)在。,所以我们可以在找不到其他的可以进行软连接的文件时,自己创建一个包含。都可以,只要文件位置有su文件。
Linux——系统安全及应用(账号安全、su命令、PAM认证、sudo命令、开关机安全机制、系统弱口令检测、NMAP)
Axic123的博客
04-13 970
换句话说,只有当对应于应用程序的所有带required标记的模块全部成功后,该程序才能通过鉴别。同时,如果任何带required标记的模块出现了错误,PAM并不立刻将错误消息返回给应用程序,而是在所有此类型模块都调用完毕后才将错误消息返回调用他的程序。反正说白了,就是必须将所有的此类型模块都执行一次,其中任何一个模块验证出错,验证都会继续进行,并在执行完成之后才返回错误信息。
linux切换root免密码,linux 普通用户切换成root免密码的实现
weixin_42521949的博客
04-30 1037
[root@ok ~]# vim /etc/pam.d/su下面是/etc/pam.d/su文件的内容#%PAM-1.0auth sufficient pam_rootok.so# Uncomment the following line to implicitly trust users in the "wheel" group.#auth sufficient pa...
2021-05-18
weixin_44911178的博客
05-18 487
uipath自带OCR识别图片内容,判断文件类型对文件做筛选(发票、文件) 场景描述: 文件夹中包含多种类型的文件,例如包含增值税普票、增值税专票、火车票、打车票、行程单等多种单据,但是文件都在内网环境下(不能连接访问公网),只能在内网做文件识别或筛选。 解决方案: 1.首先在内网环境下利用uipath自带的OCR对文件做初步筛选,过滤掉敏感文件, 2.将需要的文件拿到外网环境下利用外网接口(百度AI识别、阿里AI识别)做进一步识别,对识别后的内容做数据处理整理。 Uipath解决方案: ..
gmall2020-mock-db-2021-11-14.jar
06-26
gmall2020-mock-db-2021-11-14.jar
2021-05-11雨流计数法的matlab代码实现,三点法四点法修正版.pdf
最新发布
03-25
2021-05-11雨流计数法的matlab代码实现,三点法四点法修正版.pdf
2021-05《升维阅读》.pdf
07-23
2021-05《升维阅读》
Mitsubishi_FX5U_32M_PLC 2021-05-11.zip
05-11
《深入理解三菱FX5U-32M PLC与PC通讯技术》 在现代工业自动化领域,PLC(可编程逻辑控制器)是不可或缺的关键设备。三菱的FX5U系列PLC以其稳定性和强大的功能赢得了广大用户的青睐。本文将深入探讨如何通过PC端的MX...
APToolV7200(2021-02-01)
12-13
APTool-UMPTooV7200 是一款专门用于量产chipsbank主控U盘的工具。这款工具的主要功能是对U盘进行量产操作,也就是通过制作U盘固件,将U盘的物理存储芯片的空间划分为分区,赋予U盘可读写和存储的功能。...
linux整理笔记之十二:PAM认证模块
weixin_34146410的博客
02-07 288
:PAM认证模块 Pluggable Authentication Modules for Linux 可插拨认证模块当用户访问服务器,服务程序将请求发送到PAM模块,PAM模块根据服务名称在/etc/pam.d目录下选择一个对应的服务文件,最后根据服务文件的内容选择具体的PAM模块进行处理。 通过ldd查看服务程序在编译时是否使用了libpam.so,决定服务程序是否支...
linux权限维持
qq_44704184的博客
07-08 2117
linux权限维持
10.系统安全及应用
weixin_61269220的博客
06-05 1150
将非登陆用户的Shell设为 /sbin/noiogin锁定长期不使用的账号删除无用的账号锁定账号文件 passwd,shadow账号锁定:解锁账号:删除无用账号:如果服务器中的用户账号已经固定,不再进行更改,还可以采取锁定账号配置文件的方 法使用 chattr 命令,分别结合“+i”“-i”选项来锁定、解锁文件,使用 lsattr 命令可以查看文 件锁定情况参数:+i:锁定文件-i:解锁文件lsattr:查看为锁定的状态锁定文件:锁定后只可以看,其他操作都不允许[外链图片转存失败,源站可能有防盗链机制,建
Linux常用的可插拔认证模块(PAM)pam_limits.so、pam_rootok.so和pam_userdb.so的详解
weixin_33845477的博客
09-05 4439
pam_limits.so模块:pam_limits.so模块的主要功能是限制用户会话过程中对各种系统资源的使用情况。缺省情况下该模块的配置文件是/etc/security/limits.conf。而该配置文件的基本格式实际上是由4个字段组成的表,其中具体限制的内容包括:Domaintypeitem...
逗号分隔的多个数据,每个数据项由#分隔的四个小项构成。 # 第一个为题号;第二个为时间;第三个为操作类型,可能的取值:12、11、10--读题,空值-作答;第四个为科目。 data = '''1#2021-05-18 14:31:55##初级会计实务,2#2021-05-18 14:31:57#12#初级会计实务,2#2021-05-18 14:32:08##初级会计实务,3#2021-05-18 14:32:09#12#初级会计实务,4#2021-05-18 14:32:34#12#初级会计实务,4#2021-05-18 14:32:45##初级会计实务,5#2021-05-18 14:32:46#12#初级会计实务,5#2021-05-18 14:32:57##初级会计实务,6#2021-05-18 14:33:00#12#初级会计实务,7#2021-05-18 14:33:44#12#初级会计实务,7#2021-05-18 14:34:42##初级会计实务,8#2021-05-18 14:34:43#12
06-10
data = '''1#2021-05-18 14:31:55##初级会计实务,2#2021-05-18 14:31:57#12#初级会计实务,2#2021-05-18 14:32:08##初级会计实务,3#2021-05-18 14:32:09#12#初级会计实务,4#2021-05-18 14:32:34#12#初级会计实务,4#...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值