互聯網安全之sudo使用指南

馬行空 ? ? Linux干貨, 系統運維

一、前言

sudo是什么?

sudo是系統管理指令;由于root用戶權限過大,在實際生產過程中很少使用root用戶直接登錄系統,而是使用普通用戶登錄系統;但是如果普通用戶要對系統進行日常維護操作時需要su到root用戶,為了提高安全性,可以使用sudo授權某一用戶在某一主機以某一用戶身份運行某些命令;從而減少root用戶密碼知曉人,提高系統安全性。

 

sudo的優勢:

①授權指定用戶在指定的主機上運行指定的管理命令;

②詳細記錄用戶基于sudo執行的命令相關的日志信息;

③”檢票系統”:時效性認證,用戶第一次執行sudo命令時會要求輸入密碼來驗證用戶身份,成功后用戶會獲得一個有固定存活時長的”令牌”(令牌默認存活時長為5分鐘)

 

 

二、sudo相關參數

sudo的授權文件:/etc/sudoers,只有管理員能夠編輯

1、實現sudo授權的方法

①使用vim打開編輯:

可以實現文本著色,但是不能檢測語法錯誤,不建議使用

②visudo:專用的sudoers文本編輯工具

配置完成后能夠檢測提示語法錯誤,建議使用此編輯工具進行/etc/sudoers進行編輯

幫助文檔:man visudo;man visudoers

 

2、sudo授權格式:授權某用戶在某主機上以某用戶的身份運行指定的管理命令

WHO ? ? HOST=(WHOM) ? ? COMMAND

1.png

別名定義:別名必須使用全大寫字符

WHO別名定義:

User_Alias ? NAME = item1,item2,item3,….

item:可以是用戶名,%組名,#UID,$#GID,User_Alias

HOST別名定義:

Host_Alias ?NAME = item1,item2,item3,….

item:可以是hostname,ip,network,Host_Alias

WHOM別名定義:

Runas_Alias ?NAME = item1,item2,item3,….

item:可以是用戶名,%組名,#UID,$#GID,User_Alias

COMMANDb別名定義:

Cmnd_Alias ?NAME = item1,item2,item3,…..

item:可以是命令,目錄(目錄下的所有命令),”sudoedit”,Cmnd_Alias

 

3、常用的標簽

PASSWD: 執行操作時,需要輸入密碼,來驗證用戶身份

NOPASSWD: 執行操作時,無需輸入密碼,不能確定用戶身份

 

4、sudo常用的命令參數

-l: 查看當前用戶可執行的sudo命令

-k:清除”令牌”

-b COMMAND:在后臺運行指定的命令COMMAND

-e /path/to/somefile: 修改指定的文件

-u USERNAME COMMAND: 以指定用戶的身份運行指定的命令COMMAND

 

 

三、配置舉例

1、授權cnetos用戶具有添加用戶的權限

2.png

使用centos用戶登錄測試: ? ? ?3.png

2、別名定義以及調用

4.png

測試;centos用戶登錄測試指定的相關命令:?5.png

6.png?7.png

3、防止授權用戶修改密碼修改root用戶的密碼?8.png

 

原創文章,作者:馬行空,如若轉載,請注明出處:http://www.www58058.com/5302

(3)
馬行空馬行空
上一篇 2015-06-23 09:55
下一篇 2015-06-23 10:01

相關推薦

  • Linux基礎之加密通訊過程詳解

    加密通訊過程詳解 第一階段 客戶端->服務器端 向服務器聲明自己的加密通訊協議版本,ssl或者tls 支持的加密算法 支持的壓縮算法 第二階段 服務器端->客戶端 向客戶端確認使用的加密通訊協議版本 確認的加密方法 確認壓縮方法 服務器端證書 第三階段 客戶端->服務器端 客戶端驗證服務器端證書 發證機構 證書完整性 證書持有者 證書有效期…

    2017-09-16

  • 用keepalived高可用nginx

    單主模型 環境四個虛擬機 upstream server:node1:172.16.100.6 ? ? ? ? CeotOS 6 upstream server:node3:172.16.100.69 ? ? ? ? CeotOS 7 節點1:172.16.100.67 ? ? ? ? ? ? ? ? ? ? ? ?CeotOS 7 節點2:node2:17…

    2017-10-15

  • 軟鏈接和硬鏈接及兩者之間的不同

    在 Linux 上被分成兩個部分:用戶數據 (user data) 與元數據 (metadata)。用戶數據,即文件數據塊 (data block),數據塊是記錄文件真實內容的地方;而元數據則是文件的附加屬性,如文件大小、創建時間、所有者等信息。在 Linux 中,元數據中的 inode 號(inode 是文件元數據的一部分但其并不包含文件名,inode 號…

    Linux干貨 2016-12-05

  • 磁盤管理:raid和lvm練習

    本文通過以下習題,鞏固所學raid和lvm知識: 20160829         1、創建一個可用空間為1G的RAID1設備,文件系統為ext4,有一個空閑盤,開機可自動掛載至/backup目錄       &nbsp…

    Linux干貨 2016-09-05

  • 構建私有CA

    構建私有CA 我們采用openssl這個軟件來實現 所有首先我們來看下該軟件的配置文件 實現環境 centos 7.2 [root@redhat7 ~]# rpm -qc openssl  //可以看到該命令沒有任何輸出,我們可以思考該軟件包還存在其他的支包 [root@redhat7 ~…

    Linux干貨 2016-09-28

  • N25 – Week 4 blog

    第四周博客作業了,感覺前面的有好多都忘掉了,但是沒有時間補以前的啊……好郁悶,幸好今天周五,明天又是圣誕節,從馬云爸爸買了一顆圣誕樹,今晚回家裝上 1. 復制/etc/skel目錄為/home/tuser1,要求/home/tuser1及其內部文件的屬組和其他用戶均沒有任何訪問權限 [root@dhcp-10-129-6-166&nb…

    Linux干貨 2016-12-20
欧美性久久久久