重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
这篇文章给大家分享的是有关Centos7如何实现账户安全及提权的内容。小编觉得挺实用的,因此分享给大家做个参考,一起跟随小编过来看看吧。
创新互联建站专注为客户提供全方位的互联网综合服务,包含不限于网站制作、网站设计、雁塔网络推广、微信小程序开发、雁塔网络营销、雁塔企业策划、雁塔品牌公关、搜索引擎seo、人物专访、企业宣传片、企业代运营等,从售前售中售后,我们都将竭诚为您服务,您的肯定,是我们大的嘉奖;创新互联建站为所有大学生创业者提供雁塔建站搭建服务,24小时服务热线:13518219792,官方网址:www.cdcxhl.com一.切换用户命令su
su 用户名 切换用户,只是新起一个进程,和之前的进程没有关系,之前进程并没有消失,
su - 用户名 以普通用户的初始环境进行切换普通用户,这么切换,环境变量会重置成普通用户的环境变量。
root切普户不用密码,普户切root需要root密码,这种切换方式一般不使用,不规范。
二.pam_wheel认证
如果任意一个普通用户拿到root密码都可以切换到root用户,是非常危险的。
我们想要让个别用户有权利切换root,而其他用户无权访问root,这时就需要启动pam_wheel认证
(1).查看程序是否支持pam模块
ls /etc/pam.d | grup su
(2).启用pam_wheel认证模块
vim /etc/pam.d/su
(3).将注释去掉,启用功能
(4).查看安全组wheel
(5).新建账户zhangsan
(5).添加用户到安全组中
gpasswd -a zhangsan wheel
三.sudo提权
不让你知道root的密码,还能让你干root才能干的活,前提是要在sudo的配置文件/etc/sudoers里进行授权。/etc/sudoers配置文件的安全级别非常高,root都是只读权限,想去修改sudo的配置文件只能用命令visudo,如果用chmod将它的权限改了,那么整个sudo就不能用了。
总结:sudo申请提权的前提是visudo里要给普户授权了才能申请提权 。如果root授权了就提权成功,每次申请提权都要输普户自己的密码。
sudo -l 看当前用户有什么权限。。第一个ALL是所有ip地址,第二个ALL是所有主机名,一般我们可以不写,第三个ALL是所有命令。如果我们给普户yu授权了所有权限,一般来说root能用的权限普通提权用户也都能用。我们也可设置它只能在某个ip或网段登录,或者设定它只能用哪些命令和不能用哪些命令格式/sbin/* , ! /sbin/reboot , ! /sbin/.......先允许它/sbin/的所有都能用,再用逗号隔开,叹号取反后跟不让他使用的命令。先允许,再拒绝,这就是权限授权规则。在工作中,授权要最小化。
命令visudo 或者 vim /etc/sudoers
记录格式:用户 主机名列表=命令程序列
(1).新建一个用户lisi,确定lisi权限
(2).修改配置文件
visudo
(3).修改权限
格式:lisi localhost=/usr/sbin/useradd
(4).验证lisi用户能否使用useradd命令
sudo useradd wangwu
四.限制终端登录
1.限制root只在安全终端登录
修改安全配置文件vim /etc/securetty
2.限制普通用户登录
建立/etc/nologin 文件即可限制普通用户登录
删除该文件或者重启即可取消限制
感谢各位的阅读!关于“Centos7如何实现账户安全及提权”这篇文章就分享到这里了,希望以上内容可以对大家有一定的帮助,让大家可以学到更多知识,如果觉得文章不错,可以把它分享出去让更多的人看到吧!
另外有需要云服务器可以了解下创新互联cdcxhl.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。