Linux(RHEL5)系統(tǒng)安全常規(guī)優(yōu)化(2)
Linux系統(tǒng)安全優(yōu)化之使用sudo提升執(zhí)行權(quán)限
1./etc/sudoers配置文件---------visudo
sudo命令提供一種機制,只需要預(yù)先在/etc/sudoers配置文件中進行授權(quán),即可以允許特定用戶以超級用戶(或其他普通用戶)的身份執(zhí)行命令,而該用戶不需知道root用戶的密碼(或其他用戶)的密碼。常見語法格式如下:
user MACHINE=COMMANDS
user: 授權(quán)指定用戶
MACHINE主機: 授權(quán)用戶可以在哪些主機上使用
COMMANDS命令:授權(quán)用戶通過sudo調(diào)用的命令,多個命令用 , 分隔
/etc/sudoers文件配置中的用戶、主機、命令三個部分均為可以自定義別名進行代替,格式如下
- User_Alias OPERATORS=jerry, tom, tsengyia
- Host_Alias MAILSERVERS=smtp , pop
- Cmnd_Alias SOFTWARE=/bin/rpm , /usr/bin/yum
2.使用sudo執(zhí)行命令
sudo -l :查看當前用過被授權(quán)使用的sudo命令
sudo -k :清除timestamp時間戳標記,再次使用sudo命令時需要重新驗證密碼
sudo -v :重新更新時間戳(必要時系統(tǒng)會再次詢問用戶密碼)
案例說明:因系統(tǒng)管理工作繁重,需要將用戶賬號管理工作交給專門管理組成員負責(zé)設(shè)立組賬號 managers ,授權(quán)組內(nèi)的各個成員用戶可以添加、刪除、更改用戶賬號
(1) 建立管理組賬戶 managers
# groupadd managers
(2) 將管理員賬號,如wang加入managers組
# gpasswd -M wang.nan managers
(3) 配置sudo文件,針對managers組開放useradd 、 userdel 等用戶管理命令的權(quán)限
- # visudo
- Cmns_Alias USERADM = /usr/sbin/useradd , /usr/sbin/userdel , /usr/sbin/usermod
- %managers localhost = USERADM
(4) 使用wang賬號登錄,驗證是否可以刪除他、添加用戶
- # su - wang
- # whoami
- # sudo -l
- # sudo /usr/sbin/useradd user1
- # sudo /usr/sbin/usermod -p “ “ user1
- # sudo /usr/sbin/userdel -r user1
Linux系統(tǒng)安全優(yōu)化中使用sudo提升執(zhí)行權(quán)限的配置就向大家介紹完了,希望大家已經(jīng)掌握。
【編輯推薦】
