sudo相關配置詳解及aide高級入侵檢測環境

xchlinux ? ? Linux筆記
sudo
su – xiao -c ‘echo $USER’
切換xiao用戶執行指令顯示用戶名xiao
通用的配置文件:/etc/sudoers
實際運用的配置文件:/etc/sudoers.d/
里面文件權限應設為440;根據需要可以一個用戶設置一個配置文件便于管理
visudo
默認打開的是/etc/sudoers文件
visudo -f /etc/sudoers.d/mage
用-f指定某個要編輯的文件
export EDITOR=vim
導入一個變量使visudo指令打開文件帶顏色
sudo相關配置詳解及aide高級入侵檢測環境2d7049d308264493aa471d41b2b89294
root 可以在那個主機上 代表那個用戶 執行什么操作
user:wang
主機:192.168.30.7
代表用戶:root
執行的指令:掛載指令(這里是精確匹配在執行指令時不能少寫一個斜杠)
sudo相關配置詳解及aide高級入侵檢測環境
也可以設置組權限
%組名 ALL=(ALL) ALL
授權組名在任意主機上可代表任何個執行任何操作
通過visudo命令編輯配置文件,具有語法檢查功能
visudo –c 檢查語法
時間戳文件:
centos6:/var/db/sudo
centos7: /var/run/sudo/ts
日志文件:/var/log/secure
sudo授權的操作信息
/etd/sudoers;/etc/sudoers.d/
配置文件支持的寫法:
使用通配符glob:
?:任意單一字符
* :匹配任意長度字符
[wxc]:匹配其中一個字符
[!wxc]:除了這三個字符的其它字符
\x : 轉義
[[alpha]] :字母 示例: /bin/ls [[alpha]]*
配置文件規則有兩類;
1、別名定義:不是必須的
sudo別名和示例
別名有四種類型:
User_Alias, 用戶別名
Runas_Alias, 可代表用戶的別名
Host_Alias ,主機別名
Cmnd_Alias,指令別名
別名格式:[A-Z]([A-Z][0-9]_)*
別名定義:
別名的類型 NAME1 = item1, item2, item3 : NAME2 = item4, item5
示例1:
Student ALL=(ALL) ALL
%wheel ALL=(ALL) ALL
.示例2:
student ALL=(root) /sbin/pidof,/sbin/ifconfig
%wheel ALL=(ALL) NOPASSWD: ALL
NOPASSWD 不輸口令就可以執行操作
示例3
User_Alias NETADMIN= netuser1,netuser2
Cmnd_Alias NETCMD = /usr/sbin/ip
NETADMIN ALL=(root) NETCMD
示例4
User_Alias SYSADER=wang,mage,%admins
User_Alias DISKADER=tom
Host_Alias SERS=www.magedu.com,172.16.0.0/24
Runas_Alias OP=root
Cmnd_Alias SYDCMD=/bin/chown,/bin/chmod
Cmnd_Alias DSKCMD=/sbin/parted,/sbin/fdisk
SYSADER SERS= SYDCMD,DSKCMD
DISKADER ALL=(OP) DSKCMD
示例x
User_Alias ADMINUSER = adminuser1,adminuser2
Cmnd_Alias ADMINCMD = /usr/sbin/useradd,/usr/sbin/usermod, /usr/bin/passwd [a-zA-Z]*, !/usr/bin/passwd root
ADMINUSER ALL=(root) NOPASSWD:ADMINCMD,PASSWD:/usr/sbin/userdel
示例5
Defaults:wang runas_default=tom
wang ALL=(tom,jerry) ALL
wang在執行sudo指令時不用-u就默認代表tom用戶執行指令
示例6
wang 192.168.175.136,192.168.175.138=(root) /usr/sbin/,!/usr/sbin/useradd
?示例7
wang ALL=(ALL) /bin/cat /var/log/messages*,! /bin/cat /var/log/messages* *
2、授權規則:必須的
sudo命令
ls -l /usr/bin/sudo
sudo –i –u wang 切換身份需要在配置文件中授權與su – 類似
sudo [-u user] COMMAND
-V 顯示版本信息等配置信息
-u (可代表的用戶的身份):默認為root 授權自己用()里面的內容即可代表的用戶的身份執行后面指令
-l,ll 列出用戶在主機上可用的和被禁止的命令
-v 再延長密碼有效期限5分鐘,更新時間戳
-k 清除時間戳(1970-01-01),下次需要重新輸密碼
-K 與-k類似,還要刪除時間戳文件
-b 在后臺執行指令
-p 改變詢問密碼的提示符號
%c 客戶端信息
%s 服務器端信息
%d 服務名
%p 守護進程的PID
%% 表示%
示例:
-p ”password on %h for user %p:”
sudo相關配置詳解及aide高級入侵檢測環境5c0edae1397549b78e8443c916a62eaa
sudo相關配置詳解及aide高級入侵檢測環境
wang ALL=(ALL) sudoedit
授權wang擁有編輯/etc/sudoers文件
AIDE
高級入侵檢測環境)是一個入侵檢測工具,主要用途是檢查文件的完整性,審計計算機上的那些文件被更改過了。
安裝
yum install aide
修改配置文件
/var/log/aide
監控日志文件
vim /etc/aide.conf (指定對哪些文件進行檢測)
/test/chameleon R /bin/ps R+a /usr/bin/crontab R+a
R=p+i+n+u+g+s+m+c+md5
權限+索引節點+鏈接數+用戶+組+大小+最后一次修改時間+創建時間+md5校驗值
NORMAL = R+rmd60+sha256
監控文件格式寫法:
/etc/ NORMAL
!/etc/mtab
監控/etc/目錄下所有文件監控項為NORMAL
“!”表示忽略/etc/mtab這個文件的檢查
編輯好監控文件后生成數據庫文件用來做對比用
/usr/local/bin/aide –init
aide –init
首次生成檢查數據庫不用改名;如果/var/lib/aide目錄時已經有了aide.db.gz文件時;再用指令生的文件名字為aide.db.new.gz;這時就要改名了:
cd /var/lib/aide
mv aide.db.new.gz aide.db.gz
安全起見把數據庫文件放到別的電腦上
檢測: /usr/local/bin/aide –check
aide –check
依據aide.dlb.gz 文件跟現有文件對比看是否檢查項有改變
修改安監控文件可以更新數據庫
aide –update
AIDE(Advanced Intrusion Detection Environment)
?高級入侵檢測環境)是一個入侵檢測工具,主要用途是檢查文件的完整性,審計計算機上的那些文件被更改過了。
?AIDE能夠構造一個指定文件的數據庫,它使用aide.conf作為其配置文件。AIDE數據庫能夠保存文件的各種屬性,包括:權限(permission)、索引節點序號(inode number)、所屬用戶(user)、所屬用戶組(group)、文件大小、最后修改時間(mtime)、創建時間(ctime)、最后訪問時間(atime)、增加的大小以及連接數。AIDE還能夠使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每個文件的校驗碼或散列號.
?這個數據庫不應該保存那些經常變動的文件信息,例如:日志文件、郵件、/proc文件系統、用戶起始目錄以及臨時目錄.

本文來自投稿,不代表Linux運維部落立場,如若轉載,請注明出處:http://www.www58058.com/100173

(0)
xchlinuxxchlinux
上一篇 2018-06-03
下一篇 2018-06-03

相關推薦

  • 不忘初心,方得始終(五十三)

    周志

    Linux筆記 2018-05-20

  • 計算機原理與Linux基礎

    計算機的組成及功能 1、其實計算機的組織分為內部設備和外部設備, 內部設備: ? ? ? ? CPU:運算器、寄存器、緩存 ? ? ? ? 存儲器:內存,RAM(Random Access Memory) ? ? ? ? 控制器:控制器是整個計算機系統的控制中心,它指揮計算機各部分協調地工作,保證計算機按照預先規定的目標和步驟有條不紊地進行操作及處理。 外部…

    Linux筆記 2018-05-13

  • 進程和計劃任務

    進程間的狀態轉化、以及與進程相關的配置命令和文件;作業管理和任務計劃

    2018-05-04

  • Linux第四周作業

    1、復制/etc/skel目錄為/home/tuser1,要求/home/tuser1及其內部文件的屬組和其它用戶均沒有任何訪問權限。 ]# cp -r /etc/skel /home/tuser1 ]# chmod -R go= /home/tuser1 2、編輯/etc/group文件,添加組hadoop。 ]# echo “hadoop:x…

    2018-07-09

  • 腳本編程基礎環境設置

    ?程序:指令+數據?程序編程風格:過程式:以指令為中心,數據服務于指令對象式:以數據為中心,指令服務于數據?shell程序:提供了編程能力,解釋執行 ?計算機:運行二進制指令?編程語言:低級:匯編高級:編譯:高級語言–>編譯器–>目標代碼java,C#解釋:高級語言–>解釋器–>機器代碼…

    Linux筆記 2018-04-15

  • 生產環境中數據文件刪除,空間不釋放問題

    首先數據文件刪除文件系統空間不釋放的問題不只出現在Linux平臺,所有平臺都可能有這樣的問題。這里只是在Linux平臺做一些測試,其他平臺類似;其次只有將數據文件存放在文件系統中才會有此類問題??臻g沒有釋放我們可能是通過df命令確認的,當我們用du去掃描目錄的大小可能會發現df和du兩個命令看到的空間使用情況是不同的,可能差別很大,找了一些文檔,解決了這個問題;寫這篇博客,希望跟大家分享一下。

    2018-05-18
欧美性久久久久