下载文档
/etc/pam.d/s认证配置以启用pam_wheel认证。
修改配置文件支持允许wheel组使用su
将bob用户加入到wheel组中
查看wheel组中是否拥有bob用户
启用pam_wheel认证以后,未加入到wheel组内的其他用户将无法使用su命令,尝试进行切换时将提示“拒绝权限”,从而将切换用户的权限控制在最小范围内。
如图所示:
上图切换失败,拒绝权限的原因就是我们没有把用户张三加入到wheel组中,所以拒绝张三用户使用su命令。
使用su命令切换用户的操作将会记录到安全日志/var/log/secure文件中,可以根据需要进行查看。
2.sudo命令——提升执行权限
通过su命令可以非常方便地切换为另一个用户,但前提条件是必须知道目标用户的登录密码。
例如,若要从Bob用户切换为root用户,必须知道root用户的密码。对于生产环境中的Linu__服务器,每多一个人知道特权密码,其安全风险也就增加一分。
那么,有没有一种折中的办法,既可以让普通用户拥有一部分管理权限,又不需要将root用户的密码告诉他呢?答案是肯定的,使用sudo命令就可以提升执行权限。不过,需要由管理员预先进行授权,指定允许哪些用户以超级用户(或其他普通用户)的身份来执行哪些命令。
1)在配置文件/etc/sudoers中添加授权
sudo机制的配置文件为/etc/sudoers,文件的默认权限为440,保存时必须执行:wq!”命令来强制操作,否则系统将提示为只读文件而拒绝保存。
配置文件/etc/sudoers中,授权记录的基本配置格式如下所示:
user MACHINE=COMMANDS
授权配置主要包括用户、主机、命令三个部分,即授权哪些人在哪些主机上执行哪些命令。
各部分的具体含义如下。
用户(user):直接授权指定的用户名,或采用“%组名”的形式(授权一个组的所有用户)。
主机(MACHINE):使用此配置文件的主机名称。此部分主要是方便在多个主机间共用同一份sudoers文件,一般设为localhost或者实际的主机名即可。
命令(COMMANDS):允许授权的用户通过sudo方式执行的特权命令,需填写命令程序的完整路径,多个命令之间以逗号”,”进行分隔。
典型的sudo配置记录中,每行对应一个用户或组的sudo授权配置。例如,若要授权用户bob能够执行reboot来重启虚拟机,而wheel组的用户无需验证密码即可执行任何命令,可以执行以下操作:
因为是只读文件,所以必须wq! 强制保存退出
sudo配置记录的命令部分允许使用通配符“__”、取反符号“!”,当需要授权某个目录下的所有命令或取消其中个别命令时特别有用。例如,若要授权用户syrianer可以执行/sbin/目录下除ifconfig以外的其他所有命令程序,可以执行以下操作
默认情况下,通过sudo方式执行的操作并不记录。若要启用sudo日志记录以备管理员查看,应在/etc/sudoers 文件中增加“Defaultslogfile”设置。
2)通过sudo执行特权命令
对于已获得授权的用户,通过sudo方式执行特权命令时,只需要将正常的命令行作为sudo命令的参数即可。由于特权命令程序通常位于/sbin、/usr/sbin等目录下,普通用户执行时应使用绝对路径。以下操作验证了使用sudo方式执行命令的过程。
若要查看用户自己获得哪些sudo授权,可以执行“sudo-l”命令。未授权的用户将会得到“may not runsudo”的提示,已授权的用户则可以看到自己的sudo配置。
如果已经启用sudo日志,则可以从/var/log/sudo文件中看到用户的sudo操作记录。
三,系统引导和登录控制
在互联网环境中,大部分服务器是通过远程登录的方式来进行管理的,而本地引导和终端登录过程往往容易被忽视,从而留下安全隐患。特别是当服务器所在的机房环境缺乏严格、安全的管控制度时,如何防止其他用户的非授权介入就成为必须重视的问题。
开关机安全控制
对于服务器主机,其物理环境的安全防护是非常重要的,不仅要保持机箱完好、机柜锁闭,还要严格控制机房的人员进出、硬件设备的现场接触等过程。在开关机安全控制方面,除了要做好物理安全防护以外,还要做好系统本身的一些安全措施。
1.调整BIOS引导设置
(1)将第一优先引导设备(First Boot Device)设为当前系统所在磁盘。
(2)禁止从其他设备(如光盘、U盘、网络等)引导系统,对应的项设为“Disabled"。
(3)将BlOS的安全级别改为“setup”,并设置好管理密码,以防止未授权的修改。
2.禁止Ctrl+Alt+Del快捷键重启
快捷键重启功能为服务器的本地维护提供了方便,但对于多终端登录的Linu__服务器,禁用此功能是比较安全的选择。在CentOS7中,执行cat/etc/inittab命令可以得知Ctrl+Alt+Del快捷键功能由/usr/lib/systemd/system/ctrl-alt-del.target文件进行设置。查看/usr/lib/systemd/system/ctrl-alt-del.target文件发现,ctrl-alt-del.target是reboot.target文件的软链接文件。
在不影响reboot.target文件的前提下执行以下命令即可禁用Ctrl+Alt+Del快捷键功能。
使用微信扫码付款