linux安全--用户账号--文件系统--用户切换与sudo提权

系统加固(服务器的本地安全)

1 用户账户安全

2 文件系统安全(系统配置文件的安全 服务的配置)

重要的数据文件

挂载的文件系统  mount

文件权限的种类  rwx     suid    sgid   T位     facl

++++++++++++++++++++++++++++++++++++++++++

阻止普通用户关机: 建一个700文件夹 mkdir -m 700 文件夹名

cd /etc/security/console.spps

mv  poweroff reboot halt 等拷贝到新建的目录下 普通用户就无法关机

++++++++++++++++++++++++++++++++++++++++++

创建用户并指定有效期   useradd -e 2016-04-30 tom

查看用户密码有效期 chage -l tom

添加用户登陆默认配置文件 /etc/login.defs

清除用户密码  passwd -d tom

+++++++++++++++++++++++++++++++++++++++++++++++++

mount  [-t  文件系统类型]  [ -o  挂载选项 ]   设备   系统目录

defaults 默认挂载  (man   mount    /defaults)

/etc/fstab   系统启动时自动挂载哪些设备

mount      -t  文件系统类型 -o noexec.nosuid  /dev/sdc1    /disk   noexec表示此挂在目录无exec权限,nosuid表示去除root拥有的权限

实验:

vim  a.sh

rm  -rf  /*

:wq

cp   a.sh   /disk/

chmod +x  /disk/a.sh

cd /disk

./a.sh      因为/disk无exec权限 所以脚本有执行权限也无法执行

++++++++++++++++++++++++++++++++++++

给文件加a或者i(或者=)属性(i不可变 a仅可追加)

lsattr    /etc/resolv.conf  #查看文件的属性

chattr +a或+i 文件名   锁定保护文件

chattr -a或-i  文件名   解锁保护的文件

++++++++++++++++++++++++++++++++++++++++++

给grub加密

加密grup

title  xxxxxxxx

引导 (启动系统)/boot/grub/grub.conf

/etc/grub.conf

加密明文密码  /boot/grub/grub.conf   title上边一行 加password 1234567

加密密文加密  生成密码:grub-md-crypt  复制生成到密码   放在title上下边一行 password  --md5 ***(生成到密码)

++++++++++++++++++++++++++++++++++++++++++++

停用Ctrl+Alt+Del热键配置

/etc/init/control-alt-delete.conf

#start on control-alt-delete  注销掉

立即禁止普通用户登录     touch    /etc/nologin  普通用户就不能登录系统

++++++++++++++++++++++++++++++

删除以下文件内容或者修改防止外部入侵和查看:

/etc/issue      使用于本地登录(提示内核,系统版本信息)

/etc/issue.net  远程登录(提示内核,系统版本信息)

+++++++++++++++++++++++++++++

登录系统之前最后要加载的文件(执行各种脚本或命令都可以)    /etc/rc.local

++++++++++++++++++++++++++++++

允许启用哪些tty终端

配置文件 /etc/sysconfig/init   (默认23行)

ACTIVE_CONSOLES=/dev/tty[1-6]  修改此配置

只允许root从指定的几个终端登录

配置文件    /etc/securetty

++++++++++++++++++++++++++++++++++

查看当前登录账户  whoami

用户切换  su 用户名 或 su - 用户名

su   -   用户名   -c   "命令"   不切换用户的情况下用指定用户执行命令(需要知道指定用户密码)

su  -  oracle  -c   ".. ../bin/lsnrctl  start"

su  -  oracle  -c ".. ../bin/dbstart  $ORACLE_HOME"

su   -  root   -c   "touch /tmp/test.txt"

查看 su切换的使用情况

cat    /var/log/secure

++++++++++++++++++++++++++++++++++++++++++++++++++

提取  sudo

/etc/sudoers  配置文件 (快捷打开文件的命令 visudo )

给普通用户提权:sudo

sudo -l 查看自己的udo授权

sudo -u zhangsan mkdir /tmp/haha  在另外用户以用户zhangsan的权限新建一个文件夹

sudo /sbin/ifconfig eth0:1 1.1.1.1   切换到用户,执行sudo命令

举例:/%名(表示组)

用户     主机列表=命令列表

root    ALL=(ALL)       ALL   允许root在所有主机运行所有命令

root    ALL=(ALL)     NOPASSWD: ALL    允许root在所有主机不用输入密码运行所有命令

mike    localhost,svr=/sbin/*,!/sbin/ifconfig eth0   允许mike以root权限执行/sbin/下的所有命令,但是禁止修改eth0网卡的参数

mike  localhost,localdomain=/sbin/*   允许mike在localdomain主机以root权限执行/sbin/下的所有命令

mike  localhost,localdomain=/sbin/ifconfig 允许mike在localdomain主机执行/sbin/下的ifconfig一个命令

sudo别名设置 (简化操作

User_Alias HAHAZU须大写)=tom,mike,jim  用户别名

Host_Alias SERVER=mail,svr,pc205   主机别名

Cmnd_Alias MINGLING=/bin/rpm,/usr/bin/yum 命令别名

HAHAZU SERVER=MINGLING

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

修改全局配置,启用日志

Defaults  logfile="/var/log/sudo"  再次sudo后就产生了日志文件

时间: 2024-10-09 16:58:34

linux安全--用户账号--文件系统--用户切换与sudo提权的相关文章

sudo提权实战讲解 对用户对组的权限配置分析

Linux是多用户多任务的操作系统, 共享该系统的用户往往不只一个.出于安全性考虑, 有必要通过useradd创建一些非root用户, 只让它们拥有不完全的权限; 如有必要,再来提升权限执行. sudo就是来解决这个需求的: 这些非root用户不需要知道root的密码,就可以提权到root,执行一些root才能执行的命令. 用公式讲解/etc/sudoers的内容sudo的权限控制可以在/etc/sudoers文件中查看到. 如果想要控制某个用户(或某个组用户)只能执行root权限中的一部分命令

Ubuntu无法sudo提权,报当前用户不在sudoers文件中错误

Ubuntu安装后默认root不能登陆系统,密码也是随机生成,其他用户使用root权限,可以使用sudo提权,前提是该用户在/etc/sudoers配置列表中. 但是有时用户名从/etc/sudoers被意外删除了,sudo不能用了,root又不知道root密码(之前没有改过或者忘记了),如果想修改/etc/sudoers也不可能了,进入了一个死循环. 但可以如下面的方法解决: 1.重启按shift键,进入Ubuntu高级模式,选择一个recovery mode进入,出现一个9个选项的菜单,如果

Linux/Ubuntu sudo提权不输入密码

前言 在写自动化打包脚本的过程中,zip打包时需要用到sudo权限,但是每次输入密码太过麻烦,因此这里介绍一下sudo提权不需要输入密码的方法. 修改/etc/sudoers 假设我们当前的用户是"wzy",则需要在/etc/sudoers文件中增加如下语句: # No Password for wzy wzy ALL=(ALL)NOPASSWD:ALL google了一些答案,很多竟然直接是对admin组进行NOPASSWD设定,这样确实太危险了,我认为更应该针对特殊需求的用户单独设

系统安全应用(文件加解锁、清除历史命令巧方法、sudo提权等),全程演练

今天和大家一起来探讨系统安全应用的演练,精彩的部分现在开始: 一.系统账号加锁.解锁演练 1.首先在linux远程控制xshell上查看passwd.shadow文件状态,及为未加锁状态2.第二,输入加锁命令,再次查看,显示已加锁状态3.此时我们重新输入命令建立一个用户wangwu,打开passwd中,没有wangwu的账号信息.TIP:即加锁状态下无法添加.删除用户,也无法更改登陆密码等账号信息. 二.密码安全控制操练 1.在远程终端上修改密码有效期,进入配置文件.2.将密码最长有效期改为30

2019-10-16,sudo提权漏洞(CVE-2019-14287)实现

sudo是linux系统命令,让普通账号以root身份执行某些命令,比如,安装软件,查看某些配置文件,关机,重启等,如果普通用户需要使用sudo需要修改配置文件,/etc/sudoers,将sudo使用权限赋予该用户 sudo提权漏洞,是一个安全策略绕过问题,去执行某些敏感的命令,cve编号是CVE-2019-14287,影响版本是 sudo版本<1.8.28 漏洞复现1,查看sudo版本,命令sudo -V 2,修改配置文件,vim /etc/sudoers, root ALL(ALL:ALL

10.16Maccms后门分析、Sudo提权漏洞(CVE-2019-14287)复现

Maccms后门分析 maccms网站基于php+mysql的系统,易用性.功能良好等优点,用途范围广 打开源码,extend\Qcloud\Sms\Sms.php.extend\upyun\src\Upyun\Api\Format.php是两个后门(Sms.php和Format.php是后门木马 二者代码相同) <?php error_reporting(E_ERROR);//报错 @ini_set('display_errors','Off'); @ini_set('max_executio

sudo 提权漏洞(CVE-2019-14287)复现 (10.16 第二十二天)

sudo是Linux系统命令,让普通账号以root身份去执行某些命令,比,安装软件.查看某些配置文件.关机.重启等操作,如果普通账号需要使用sudo需要修改配置文件/etc/sudoers,将sudo使用权赋予该账号 sudo提权漏洞是一个安全策略绕过问题,去执行某些敏感的命令,CVE编号是CVE-2019-14287,影响的版本是:<1.8.28 漏洞复现过程 1.查看版本:sudo -V 2.修改配置文件:vim/etc/sudoers在root ALL=(ALL:ALL)ALL 下面添加一

linux系统命令学习系列-用户切换命令su,sudo

先复习一下上节内容: 用户组添加groupadd 用户组修改groupmod 用户组删除groupdel 作业创建一个id为501的组group1,然后改成group2, 同时id变为502,最后删除这个组,命令分别如下: groupadd –g 501 group1 groupmod –g 502 –n group2 group1 groupdel group2 这一节,我们来说一下用户切换相关命令 为什么要进行用户切换? 在操作过程中需要使用特定的用户进行特定的操作,多数情况下是因为权限,比

linux下添加新用户,切换用户登录

如何在linux下添加用户?以及成功退出用户登录?以及切换用户登录? 步骤如下: 命令行输入 adduser 用户名(如:lanp) 回车,(注意:此处linux不会显示任何信息出来); 接着输入 passwd 用户名 回车: 提示你输入新的密码,以及密码输入后的确认密码:(注意,在你输入密码时,linux是不会显示的) 出现身份验证令牌已经成功更新,表示用户以及创建成功: 退出用户登录,直接 logout 回车即可; root切换到普通用户,用命令su 用户名(su即switch user切换