禁止root使用者ssh登入
vim /etc/ssh/sshd_config
usedns no
permitrootlogin no
#addressfamily inet
#syslogfacility authpriv
#passwordauthentication yes
service sshd restart
一、使用者許可權集中管理
1、設計2個組
2、模擬建立使用者角色
建立1個開發,1個運維,密碼統一是123456
groupadd -g 998 kf
groupadd -g 999 yw
for name in kf yw
douseradd -g $name $name
echo "123456" | passwd --stdin $name
done
tail -3 /etc/passwd
3、定義命令和命令地路徑。命令一定要使用絕對路徑,避免其他目錄的同名命令被執行,造成安全隱患 ,因此使用的時候也是使用絕對路徑!
二、使用者行為日誌審計管理
sudo配合syslog服務,進行日誌審計(資訊量少)
1、配置/etc/sudoers
rpm -qa|egrep "sudo|rsyslog"
#defaults@server log_host,logfile=/var/log/sudo.log #配置日誌紀錄到主機server的/var/log/sudo.log檔案
#配置日誌紀錄到/var/log/sudo.log檔案
echo "defaults logfile=/var/log/sudo.log" >>/etc/sudoers
tail -l /etc/sudoers
visudo -c #檢查sudoers檔案語法
2、配置系統日誌/etc/rsyslog.conf
#在/etc/rsyslog.conf中增加裝置local2,列印級別是debug,將我們執行的命令通過rsyslog記錄到/var/log/sudo.log中
echo "local2.debug /var/log/sudo.log" >>/etc/rsyslog.conf
#檢視配置結果
tail -l /etc/rsyslog.conf
#重啟服務
/etc/init.d/rsyslog restart
#檢視是否生成,許可權600,確保只有root能看
ll /var/log/sudo.log
切換使用者測試
三、記錄登入使用者的資料
/var/log/useraudit.log檔案記錄登入使用者的時間,**ip,以及在系統中執行了什麼命令。
#vi /etc/profile
在最後新增下面內容:
export history_file=/var/log/useraudit.log
export prompt_command=' >> $history_file'
然後執行命令:
touch /var/log/useraudit.log
chmod 777 /var/log/useraudit.log
chattr +a /var/log/useraudit.log
##讓普通使用者具備sudo功能
vi /etc/sudoers
usera all=(all) all
vim /etc/inittab #修改啟動級別
chkconfig iptables --list
chkconfig iptables stop
使用者許可權集中管理方案
1 需求 最小化 1 安裝軟體最小化。2 目錄許可權最小化。3 使用者許可權最小化。4 程式執行許可權最小化 那麼,如何解決多個系統管理員都能管理系統而不讓超級許可權氾濫的需求呢?這就需要sudo管理來替代和結合su命令來完成這樣苛刻且必要的企業伺服器使用者管理需求。2 實現 針對公司不同部門,根據...
linux許可權集中管理和行為日誌審計
useradd g u c s d g m d改變預設屬性 userdel r usermod groupadd groupdel passwd stdin chage 修改密碼過期屬性的 l e su c 執行完退回來 sudo 普通使用者可以擁有root的許可權 visudo newgrp id...
使用者行為日誌概述
什麼是使用者行為日誌呢?其實也叫做使用者行為軌跡,流量日誌等。簡單來說,就是使用者每次訪問 產生的行為資料 訪問,瀏覽,搜尋,點選等 基本上,只要你訪問了任何乙個 該 都會有你的行為記錄。當然,日誌也是乙個很大的概念,任何程式都有可能輸出日誌 作業系統核心 各種應用伺服器等等。日誌的內容 規模和用途...