CentOS--su和sudo
su命令
1 | su - root |
一旦在使用su命令登录root,用户获取了系统的绝对管理权限
只允许特定用户使用该su命令
要做到这一点,编辑插入式验证模块为(PAM)配置文件/etc/pam.d/su 在文本编辑器中打开该文件,取消注释:
1 | #auth required pam_wheel.so use_uid |
将用户添加到名为wheel的特殊管理组
1 | usermod -a -G wheel username |
sudo命令
只有/etc/sudoers配置文件中列出的用户才可以使用该sudo命令,命令在用户的 shell中执行,而不是在rootshell中执行。这意味着root可以完全禁用shell。
1 | sudo ls /root |
每个使用该sudo命令的成功身份验证都会记录到/var/log/messages,并将的用户和发出的命令记录到文件/var/log/secure中。
/var/log/secure
1 | cat /var/log/secure #查看记录 |
如果需要额外的日志记录,请使用该pam_tty_audit模块为指定用户启用TTY审计,方法是将以下行添加到/etc/pam.d/system-auth文件中:
1 | session required pam_tty_audit.so disable=pattern enable=pattern |
其中pattern表示逗号分隔的用户列表,以下配置将启用root用户的TTY审计,并禁用所有其他用户
1 | session required pam_tty_audit.so disable=* enable=root |
权限管理
要赋予某人完全的管理权限:
用visudo命令编辑/etc/sudoers
1 | gabe ALL =(ALL)ALL #允许gabe使用sudo执行任何命令 |
赋予部分管理权限
1 | %users ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom #允许users组中的成员执行执行的挂载磁盘命令 |
不需要输入sudo密码执行一组命令
1 | Cmnd_Alias SYS_BACKUP = /bin/su - root -c /usr/locale/sbin/sys_backup.sh,/mnt/cdrom |
配置sudo记录密码的时间
sudo将密码保存五分钟的超时时间。在此期间对该命令的任何后续使用都不会提示用户输入密码。添加下面的一行将修改时间
1 | Defaults timestamp_timeout=value #value=0,每次sudo都需要输入密码 |
如果某个帐户遭到入侵,攻击者可以使用以下sudo管理权限打开一个新的shell:
1 | sudo /bin/bash #绕过/etc/sudoers文件中指定的超时时间,并且永远不要求攻击者sudo再次输入密码 |