Linux(RHEL5)系統安全常規優化(2)
Linux系統安全優化之使用sudo提升執行權限
1./etc/sudoers配置文件---------visudo
sudo命令提供一種機制,只需要預先在/etc/sudoers配置文件中進行授權,即可以允許特定用戶以超級用戶(或其他普通用戶)的身份執行命令,而該用戶不需知道root用戶的密碼(或其他用戶)的密碼。常見語法格式如下:
user MACHINE=COMMANDS
user: 授權指定用戶
MACHINE主機: 授權用戶可以在哪些主機上使用
COMMANDS命令:授權用戶通過sudo調用的命令,多個命令用 , 分隔
/etc/sudoers文件配置中的用戶、主機、命令三個部分均為可以自定義別名進行代替,格式如下
- User_Alias OPERATORS=jerry, tom, tsengyia
- Host_Alias MAILSERVERS=smtp , pop
- Cmnd_Alias SOFTWARE=/bin/rpm , /usr/bin/yum
2.使用sudo執行命令
sudo -l :查看當前用過被授權使用的sudo命令
sudo -k :清除timestamp時間戳標記,再次使用sudo命令時需要重新驗證密碼
sudo -v :重新更新時間戳(必要時系統會再次詢問用戶密碼)
案例說明:因系統管理工作繁重,需要將用戶賬號管理工作交給專門管理組成員負責設立組賬號 managers ,授權組內的各個成員用戶可以添加、刪除、更改用戶賬號
(1) 建立管理組賬戶 managers
# groupadd managers
(2) 將管理員賬號,如wang加入managers組
# gpasswd -M wang.nan managers
(3) 配置sudo文件,針對managers組開放useradd 、 userdel 等用戶管理命令的權限
- # visudo
- Cmns_Alias USERADM = /usr/sbin/useradd , /usr/sbin/userdel , /usr/sbin/usermod
- %managers localhost = USERADM
(4) 使用wang賬號登錄,驗證是否可以刪除他、添加用戶
- # su - wang
- # whoami
- # sudo -l
- # sudo /usr/sbin/useradd user1
- # sudo /usr/sbin/usermod -p “ “ user1
- # sudo /usr/sbin/userdel -r user1
Linux系統安全優化中使用sudo提升執行權限的配置就向大家介紹完了,希望大家已經掌握。
【編輯推薦】
