Linux--Centos7用户切换,PAM和提权-创新互联

Linux-- Centos7用户切换,PAM和提权

新民网站制作公司哪家好,找创新互联!从网页设计、网站建设、微信开发、APP开发、响应式网站设计等网站项目制作,到程序开发,运营维护。创新互联成立于2013年到现在10年的时间,我们拥有了丰富的建站经验和运维经验,来保证我们的工作的顺利进行。专注于网站建设就选创新互联

一.用户切换与提权

大多数 Linux 服务器并不建议用户直接以 root 用户进行登录。一方面可以大大减少因误操作而导致的破坏,另一方面也降低了特权密码在不安全的网络中被泄露的风险。鉴于这些原因,需要为普通用户提供一种身份切换或权限提升机制,以便在必要的时候执行管理任务。
Linux 系统为我们提供了 su、sudo 两种命令,其中 su 命令主要用来切换用户,而 sudo命令用来提升执行权限,下面分别进行介绍。

Linux-- Centos7用户切换,PAM和提权

默认情况下,任何用户都允许使用 su 命令,从而有机会反复尝试其他用户(如 root)的登录密码,这样带来了安全风险。为了加强 su 命令的使用控制,可以借助于 pam_wheel
认证模块,只允许极个别用户使用 su 命令进行切换。实现过程如下:将授权使用 su 命令的用户添加到 wheel 组,修改/etc/pam.d/su 认证配置以启用 pam_wheel 认证。

Linux-- Centos7用户切换,PAM和提权

2.PAM安全认证

PAM(Pluggable Authentication Modules),是 Linux 系统可插拔认证模块,是一种高效而且灵活便利的用户级别的认证方式,它也是当前 Linux 服务器普遍使用的认证方式 。
PAM 提 供 了 对 所 有 服 务 进 行 认 证 的 中 央 机 制 , 适 用 于 login , 远 程 登 录(telnet,rlogin,fsh,ftp),su 等应用程序中。系统管理员通过 PAM 配置文件来制定不同应用程序的不同认证策略。

Linux-- Centos7用户切换,PAM和提权Linux-- Centos7用户切换,PAM和提权

我们的PAM认证配置文件就有我们的SU命令

Linux-- Centos7用户切换,PAM和提权

vim /etc/pam.d/su 安全认证su配置

Linux-- Centos7用户切换,PAM和提权

Linux-- Centos7用户切换,PAM和提权

把lisi用户添加到wheel组
Linux-- Centos7用户切换,PAM和提权

三.sudo提权

通过 su 命令可以非常方便地切换为另一个用户,但前提条件是必须知道目标用户的
登录密码。例如,若要从 jerry 用户切换为 root 用户,必须知道 root 用户的密码。对于生
产环境中的 Linux 服务器,每多一个人知道特权密码,其安全风险也就增加一分。
有没有一种折中的办法,既可以让普通用户拥有一部分管理权限,又不需要将 root 用
户的密码告诉他呢?答案是肯定的,使用 sudo 命令就可以提升执行权限。不过,需要由管
理员预先进行授权,指定允许哪些用户以超级用户(或其他普通用户)的身份来执行哪些命
令。

Linux-- Centos7用户切换,PAM和提权
Linux-- Centos7用户切换,PAM和提权Linux-- Centos7用户切换,PAM和提权

Linux-- Centos7用户切换,PAM和提权

Cmnd_Alias 指令别名
User_Alias 用户别名
Host_Alias 主机别名
vim /etc/sudoers

Linux-- Centos7用户切换,PAM和提权

另外有需要云服务器可以了解下创新互联cdcxhl.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


网站栏目:Linux--Centos7用户切换,PAM和提权-创新互联
当前地址:http://csdahua.cn/article/deeddi.html
扫二维码与项目经理沟通

我们在微信上24小时期待你的声音

解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流