使用者特權管理

2021-09-27 08:34:56 字數 1521 閱讀 9839

限定可以使用su的使用者

linux系統中的普通使用者可以通過su和sudo命令擁有超級使用者許可權。

在預設情況下,任何普通使用者只要知道超級使用者root的密碼,都可以通過su - root變成root許可權,那麼這樣就存在一些安全隱患。

我們可以設定僅有屬於某個組的使用者可以通過su變成root,例如我們限制只有wheel組的使用者可以su成root。

例:建立兩個普通使用者,test1,test2        test1的使用者組為wheel 

編輯vim /etc/pam.d/su檔案 在第一行的位置新增如下內容

auth  required pam_wheel.so group=wheel

驗證普通使用者是否能切換root

通過測試可以看出,只有屬於wheel組的普通使用者才能提權到root,注意這時候root切換到普通使用者也是受限制的了。

配置sudo

相對於使用su - root輸入root密碼的方式擁有root許可權,使用sudo更加方便,例如設定wheel組的使用者直接sudo成root而不需要密碼

執行visudo

%wheel  all=(all)       nopasswd: all

儲存後檢查配置是否正確

visudo -c

關鍵環境變數設定唯讀

通過設定關鍵環境變數為唯讀,可以有效的防止普通使用者階段命令歷史,從而可以更有效的審計普通使用者行為。

通過在/etc/skel/.bashrc和每個使用者的~/.bashrc檔案中新增一下選項來配置關鍵環境變數為唯讀

readonly histfile

readonly histfilesize

readonly histsize

readonly histcmd

readonly histcontrol

readonly histignore

記錄日誌執行的時間戳

預設情況下history每一行開始的數字表示命令的序列號,這樣不利於我們追蹤命令是在什麼時候執行的,特別是在排除故障或者分析入侵事件需要把操作和事件關聯起來的時候

為每一條歷史命令增加時間戳的方法:

使用者介面特權隔離

寫這篇文章源於本人在開發過程中遇到向某個程序傳送訊息失敗而起。在早期的windows作業系統中,在同一使用者下執行的所有程序有著相同的安全等級,擁有相同的許可權。例如,乙個程序可以自由地傳送乙個windows訊息到另外乙個程序的視窗。從windows vista開始,當然也包括windows 7 w...

shell進入特權模式 使用者,特權,全域性模式

了解使用者模式 特權模式和全域性模式 首先我們啟動路由器這是我們發現命令列變為 r1 使用者模式的標誌 現在我們來看一看在使用者模式下我們可以進行哪些操作 r1 exec commands access enable create a temporary access list entry call...

特權使用者訪問管理 如何避免訪問蠕變

好吧,讓我們假設你的活動目錄是簡潔 中等和正確的 它包含你組織內的所有使用者,並且當前他們是被許可的。這種令人高興的狀態要歸功於健全的帳戶管理生命週期。是否達到這點後你就可以止步不前了呢?不是。雖然擁有真實反映組織內有哪些賬號的活動目錄,這讓it系統不斷地變得更好 即使節奏緩慢 但它還沒有好到能確保...