在某些情況下, 以root使用者身份訪問系統有潛在危險,並可能導致系統和資料損害。我們可以用setuid程式,例如su和sudo解決。
一旦在使用su命令登入root,使用者獲取了系統的絕對管理許可權
只允許特定使用者使用該su命令
#auth required pam_wheel.so use_uid
將使用者新增到名為wheel的特殊管理組
usermod -a -g wheel username
只有/etc/sudoers配置檔案中列出的使用者才可以使用該sudo命令,命令在使用者的 shell中執行,而不是在rootshell中執行。這意味著root可以完全禁用shell。
sudo
ls /root
每個使用該sudo命令的成功身份驗證都會記錄到/var/log/messages,並將的使用者和發出的命令記錄到檔案/var/log/secure中。
要賦予某人完全的管理許可權:
juan all =(all)all #允許juan使用sudo執行任何命令
賦予部分管理許可權
markup`%users all=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom
#允許users組中的成員執行執行的掛載磁碟命令
不需要輸入sudo密碼執行一組命令
cmnd_alias sys_backup = /bin/su - root -c /usr/locale/sbin/sys_backup.sh,/mnt/cdrom
insmsop1 all=(all) nopasswd: sys_backup
sudo將密碼儲存五分鐘的超時時間。在此期間對該命令的任何後續使用都不會提示使用者輸入密碼。新增下面的一行將修改時間
defaults timestamp_timeout=value #value=0,每次sudo都需要輸入密碼
如果某個帳戶遭到入侵,攻擊者可以使用以下sudo管理許可權開啟乙個新的shell:
sudo /bin/bash #繞過/etc/sudoers檔案中指定的超時時間,並且永遠不要求攻擊者sudo再次輸入密碼
centos7執行sudo命令
建立新使用者 adduser test 修改新使用者的密碼 passwd test 新增sudoers檔案可寫許可權 chmod v u w etc sudoers 編輯sudoers檔案有兩種辦法,一種是以root帳號執行visudo,另一種是root帳號執行vi etc sudoers.其實兩者...
linux中su和sudo區別
su切換使用者,切換成root使用者,要輸入root使用者的密碼 su 使用者名稱 sudo 涉及到 etc sudoers檔案 內容如下 user privilege specification root all all all all members of the admin group may...
centos7系統sudo許可權設定
一 1.建立乙個普通使用者,不能擁有刪除許可權 rm root密碼許可權 以及連線root命令 sudo su root 命令 useradd qst 命令 passwd qst 密碼自定義 簡單一點就行 2.修改檔案 etc sudoers 先修改其檔案許可權,使其擁有讀寫許可權 命令 chmod...