用户切换与提权

Linux服务器在实际操作中并不建议直接使用root进行登录,因为root的权限最高,一旦失误造成的破坏也是巨大的,因此我们还要限制别的用户随意切换到root用户。因此我们要为普通用户提供一种身份切换或权限提升机制,以便必要的工作时的需要。这里Linux系统为我们提供了su与sudo两种命令。
1、su命令
在未进行设置之前我们每个用户再知道所要切换的对象的密码时都可以自由切换。

但是这样的话所有用户都可以使用su命令,反复尝试别的用户的登录密码,包括root用户。因此存在着巨大的安全隐患,因此我们可以使用pam_wheel认证模块加大对su命令的限制力度,使得只用wheel组的用户可以使用su命令进行切换。

进入/etc/pam.d/su文件的文本编辑模式后,将pam_wheel的认证模块进行开启。

使用命令vim /etc/group对已有组进行查看,此时wheel组已经存在了,而且已经把默认把fan用户添加进了wheel组。

对用户所属组发现可以知道我们此时fan用户是属于wheel的,而lisi用户并不属于wheel组,之后我们在让两个使用su命令进行用户切换,实验结果我们可以得知属于wheel组的用户可以使用su命令进行用户切换,反之则不能切换。

2、sudo命令
查看所有可以登录终端的用户,其中fan用户属于wheel组,之后进入文件/etc/sudoers查看可以得知wheel组的用户类似于root用户拥有所有权限。


我们的lisi用户并不属于wheel用户,此时我们使用lisi用户对系统的IP地址进行修改,但是我们发现使用lisi用户并不能对其进行修改。

之后我们在切换属于wheel组的fan用户进行ip地址的修改,发现fan用户拥有对IP地址修改的权限并可以对其修改。

但我们如果有些不属于wheel组但又必要的工作需要我们拥有一些管理员的权限,这就需要我们使用命令visudo进入该文件手动进行配置了。

这时我们的lisi用户就已经拥有对ip进行修改的权限了。

原文地址:https://blog.51cto.com/14449528/2432956

时间: 2024-10-10 02:41:38

用户切换与提权的相关文章

Linux通过su、sudo命令实现用户切换、提权

概述 大多数Linux服务器并不建议用户直接以root用户进行登录.一方面可以大大减少因误操作而导致的破坏,另一方面也降低了特权密码在不安全的网络中被泄露的风险.鉴于这些原因,需要为普通用户提供一种身份切换或权限或权限提升机制,以便在必要的时候执行管理任务.此时就需要借助Linux为我们提供的su.sudo两种命令来提升执行权限. 提权配置的三种方式 1.针对用户 2.针对组 3.针对用户.组.命令的别名 实验目标 1.熟悉su.sudo的用法,熟练使用sudoers相关的配置 2.体验用户切换

账号安全控制之用户切换与提权(二)

1.su命令--切换用户限制su命令切换root用户的权限首先修该/etc/pas.m/su配置文件,启用pam_wheel认证 实现个别用户切换,将授权使用su命令的用户怎加到wheel组命令:gpasswd -a 用户名 wheel 验证: sudo提权1.在配置文件/etc/sudoers中增加授权,使用visudo工具进行编辑.2.授权记录的基本格式如下user MACCHINE=COMMANDS 实验验证:1.使用jj账号设置ip地址下图可以得出不在wheel组里面的用户不能使用sud

Linux用户切换与提权

大多数Linux服务器并不建议用户直接以root用户进行登录.一方面可以大大减少因失误操作而导致的破坏,另一方面也降低了特权密码在不安全的网络中被泄露的风险.鉴于这些原因,需要为普通用户提供一种身份切换或权限提升机制,以使在必要的时候执行管理任务. Linux系统提供了su sudo二种命令,其中su命令用来切换用户,sudo命令用来提升权限. PAM 在su命令之前,需要先了解pam,Linux系统使用su命令存在安全隐患,默认情况下,任何用户都容许使用su命令,从而有机会反复尝试其他用户的登

Linux-- Centos7用户切换,PAM和提权

一.用户切换与提权 大多数 Linux 服务器并不建议用户直接以 root 用户进行登录.一方面可以大大减少因误操作而导致的破坏,另一方面也降低了特权密码在不安全的网络中被泄露的风险.鉴于这些原因,需要为普通用户提供一种身份切换或权限提升机制,以便在必要的时候执行管理任务.Linux 系统为我们提供了 su.sudo 两种命令,其中 su 命令主要用来切换用户,而 sudo命令用来提升执行权限,下面分别进行介绍. 默认情况下,任何用户都允许使用 su 命令,从而有机会反复尝试其他用户(如 roo

Linux基本安全措施、加强系统账号密码安全、系统引导和登录安全、用户切换、su、sudo、grub菜单

1. 基本安全措施 1.1系统账号清理 在Linux系统中,除了用户手动创建的以外,还包括随系统或程序安装过程中生成的其他大量用户,除了超级用户root外,其他大量账号只是用来维护系统运作.启动或保持服务进程,一般是不允许登录的,因此也成为非登录用户. 常见的非登录用户有:bin.adm.lp.mail.nobody.mysql.dbus.ftp.gdm.haldaemon等.为了确保系统安全,这些用户的登录Shell通常是/sbin/nologin,表示禁止终端登录,应确保不被人改动. 各种非

MySQL启动项提权

关于MySQL的启动项提权,听其名知其意.就是将一段 VBS脚本导入到  C:\Documents and Settings\All Users\「开始」菜单\程序\启动 下,如果管理员重启了服务器,那么就会自动调用该脚本,并执行其中的用户添加及提权命令! 这里有两种思路: 1. 如果  C:\Documents and Settings\All Users\「开始」菜单\程序\启动 目录存在可读写的权限,那么我们可以直接将 VBS 提权脚本上传到该目录下! VBS 提权脚本代码如下: setw

提权系列(一)----Windows Service 服务器提权初识与exp提权,mysql提权

一.初识提权 很多时候我们入侵一个网站的时候,想要的是得到这个服务器的权限,也就是admin权限,但是一般默认得到的是普通用的地权限,权限很小,所以就要通过其他手段,提升自己的权限. 提权是将服务器的普通用户提升为管理员用户的一种操作,提权常常用于辅助旁注攻击. 下面我们来了解下window的权限(来自百度百科): Windows 提供了非常细致的权限控制项,能够精确定制用户对资源的访问控制能力,大多数的权限从其名称上就可以基本了解其所能实现的内容. " 权限"(Permission)

windows提权

PsExec at Process_Injector sc psexec 当前用户是jh提权之后 *at命令提权(适用于xp,2003) at 15:05 /interact cmd sc 创建服务(打开cmd命令窗口的服务) sc Create systemcmd binPath= "cmd /K start" type= own type= interact 启动服务刚才创建的服务 sc start systemcmd process_injector 列出当前的所有进程 pinj

CTF-内核漏洞提权

1. 内核漏洞提权 查看发行版本: cat /etc/issue cat /etc/*-release 查看内核版本: uname -a 寻找内核溢出代码: searchspoit 发行版本 内核版本 上传内核溢出代码,编译执行 gcc xxx.c -o exploit chmod +x exploit ./exploit 2. 明文root密码提取 大多linux系统的密码都和/etc/passwd和/etc/shadow这两个配置文件相关 passwd里储存了用户,shadow里是密码的ha