Linux-- Centos7用户切换,PAM和提权

一.用户切换与提权

大多数 Linux 服务器并不建议用户直接以 root 用户进行登录。一方面可以大大减少因误操作而导致的破坏,另一方面也降低了特权密码在不安全的网络中被泄露的风险。鉴于这些原因,需要为普通用户提供一种身份切换或权限提升机制,以便在必要的时候执行管理任务。
Linux 系统为我们提供了 su、sudo 两种命令,其中 su 命令主要用来切换用户,而 sudo命令用来提升执行权限,下面分别进行介绍。

默认情况下,任何用户都允许使用 su 命令,从而有机会反复尝试其他用户(如 root)的登录密码,这样带来了安全风险。为了加强 su 命令的使用控制,可以借助于 pam_wheel
认证模块,只允许极个别用户使用 su 命令进行切换。实现过程如下:将授权使用 su 命令的用户添加到 wheel 组,修改/etc/pam.d/su 认证配置以启用 pam_wheel 认证。

2.PAM安全认证

PAM(Pluggable Authentication Modules),是 Linux 系统可插拔认证模块,是一种高效而且灵活便利的用户级别的认证方式,它也是当前 Linux 服务器普遍使用的认证方式 。
PAM 提 供 了 对 所 有 服 务 进 行 认 证 的 中 央 机 制 , 适 用 于 login , 远 程 登 录(telnet,rlogin,fsh,ftp),su 等应用程序中。系统管理员通过 PAM 配置文件来制定不同应用程序的不同认证策略。

我们的PAM认证配置文件就有我们的SU命令

vim /etc/pam.d/su 安全认证su配置

把lisi用户添加到wheel组

三.sudo提权

通过 su 命令可以非常方便地切换为另一个用户,但前提条件是必须知道目标用户的
登录密码。例如,若要从 jerry 用户切换为 root 用户,必须知道 root 用户的密码。对于生
产环境中的 Linux 服务器,每多一个人知道特权密码,其安全风险也就增加一分。
有没有一种折中的办法,既可以让普通用户拥有一部分管理权限,又不需要将 root 用
户的密码告诉他呢?答案是肯定的,使用 sudo 命令就可以提升执行权限。不过,需要由管
理员预先进行授权,指定允许哪些用户以超级用户(或其他普通用户)的身份来执行哪些命
令。


Cmnd_Alias 指令别名
User_Alias 用户别名
Host_Alias 主机别名
vim /etc/sudoers

原文地址:https://blog.51cto.com/14449524/2432775

时间: 2024-10-09 03:34:28

Linux-- Centos7用户切换,PAM和提权的相关文章

linux安全--用户账号--文件系统--用户切换与sudo提权

系统加固(服务器的本地安全) 1 用户账户安全 2 文件系统安全(系统配置文件的安全 服务的配置) 重要的数据文件 挂载的文件系统  mount 文件权限的种类  rwx     suid    sgid   T位     facl ++++++++++++++++++++++++++++++++++++++++++ 阻止普通用户关机: 建一个700文件夹 mkdir -m 700 文件夹名 cd /etc/security/console.spps mv  poweroff reboot ha

Linux命令sudo实现集权(提权)管理,防止超级权限泛滥

sudo小结1.别名要用大写2.使用"\"换行3.使用白名单策略,尽量不要赋予ALL权限(建议先关后开)4.禁止的权限放在最后,允许的权限放在前面,sudoers配置文件的权限匹配时从后到前的5.成员必须是存在的(用户必须存在)6."!"表示禁止权限7.命令.组员.组等,用","分隔开(英文逗号)8.组前面一定要带"%" su命令缺点1.普通用户需要知道root密码,并且切换到root用户下,才能使用root权限(超级权限)2

linux新建用户切换后显示-bash-4.1$

linux新建用户切换后显示-bash-4.1$ 新创建的用户切换的时候出现了:-bash-4.1$ 原因: 网上找了一下说是缺少了一些配置文件 具体的解决办法: cp -a /etc/skel/.   /var/zabbix  ;  -a表示复制隐藏文件    /var/zabbix 是zabbix用户的家目录,具体可以查看/etc/passwd文件. 其实 拷贝.bash_logout   .bash_profile   .bashrc 这三个文件即可.

Linux SUID、SGID、sticky提权

对SUID只需要有个了解就行了,不要瞎设置,否则会影响系统的稳定运行 1.临时提权让不同的组之间可以相互查看别创建的文件[[email protected] ~]# chmod u+s /usr/bin/cat 注:把cat放到/usr/bin/才会运行[[email protected] ~]# ll /usr/bin/cat-rwsr-xr-x. 1 root root 54080 11月 6 2016 /usr/bin/cat[[email protected] ~]# 2.将赋予的SUI

linux下用户切换

su是在用户间切换,可以是从普通用户切换到root用户, [email protected]:~$ suPassword: [email protected]:/home/test# 也可以是从root用户切换到普通用户.如果当前是root用户,那么切换成普通用户test用以下命令:su - test [email protected]:~# su - test[sudo] password for test: [email protected]:~$ 如果要切换回root用户,那么用以下命令:

Linux的用户切换、修改用户的用户名和密码

一.用户切换 "$":普通用户提示符 "#":root用户提示符  1.普通用户到root: 方式一:命令:su然后输入root密码 此种方式只是切换了root身份,但Shell环境仍是普通用户的Shell,pwd命令一下,目录仍然是普通用户的工作目录. 方式二:命令:su -然后输入root密码 此种方式,是连用户和Shell环境一起切换成root身份. 工作目录变成root的工作目录,pwd命令一下,即可看到. 只有切换用户,才不会出现PATH环境变量错误. 可

linux上用户切换

普通用户切换为root用户 1.在终端输入su 2.然后会要求输入root账户的密码(输入密码不显示) 输入密码后姐切换到了root用户 root用户切换为普通用户 只需要在终端输入  su 普通用户名    即可 (本人设置的普通用户为  centos) 原文地址:https://www.cnblogs.com/peng-28/p/12231862.html

linux 普通用户切换成root免密码

[[email protected] ~]# vim /etc/pam.d/su 下面是/etc/pam.d/su文件的内容 1 #%PAM-1.0 2 auth sufficient pam_rootok.so 3 # Uncomment the following line to implicitly trust users in the "wheel" group. 4 #auth sufficient pam_wheel.so trust use_uid 5 # Uncomme

linux添加用户切换后显示-bash4.1$的解决办法

昨晚通过练习发现添加用户后切换用户时发生了-bash4.1$的问题,通过各种对比user.group.rwx等等 最后在sun老师的提点下对比了家目录的隐藏文件,发现如下图结果userb的家目录下没有环境变量的隐藏文件. 于是可以将/etc/skel目录下的隐藏文件拷贝过去解决问题 command: cp -a /etc/skel/. /home/user/userb 结果见下图: 最终问题得到结局. ps:如果添加用户时指定的目录的上级目录不存在会提示创建目录失败.