实验案例:基本的系统安全控制

需求描述

  • 仅允许用户radmin使用su命令

  • 允许用户zhangsan通过sudo方式管理员工账号

  • 允许用户lisi通过sudo方式执行特权命令

  • 记录su、sudo操作,并进行简单的系统安全设置

实现思路

  • 通过pam_wheel.so模块限制su命令的使用

  • 通过visudo配置sudo授权、启用日志

  • 禁用重启热键、设置GRUB加密、终端登录限制等


ramdin用户添加到wheel

222144514.png


修改/etc/pam.d/su文件,把上面这一行的注释删除

222144905.png

222144173.png


不允许su的用户会提示密码错误,允许su的用户输入密码就能切换用户了

Linux系统安全基础应用(二) -- 实践部分_第1张图片


lisi没用使用密码就能查看sudo –l

Linux系统安全基础应用(二) -- 实践部分_第2张图片

Linux系统安全基础应用(二) -- 实践部分_第3张图片


zhangsan用户需要验证密码才能查看sudo –l

Linux系统安全基础应用(二) -- 实践部分_第4张图片


使用zhangsan用户添加用户.修改密码,删除用户都没问题

Linux系统安全基础应用(二) -- 实践部分_第5张图片


但是不能修改root的密码

222148452.png


日志文件记录了zhangsan用户的操作

Linux系统安全基础应用(二) -- 实践部分_第6张图片


redhat 6.3和redhat 5略有不同. 6.3禁止ctrl+alt+delete热键需要在/etc/init/control-alt-delete.conf文件中,start on改为stop on

222152158.png

Linux系统安全基础应用(二) -- 实践部分_第7张图片


为了方便复制.把加密的内容输入到一个文件中

Linux系统安全基础应用(二) -- 实践部分_第8张图片


title前加入password –md5 配置项

222153549.png

222153213.png


启动Linux进入grub菜单时,无法按e获取编辑权限,需要先按p输入正确的密码才可以编辑指定的引导参数

Linux系统安全基础应用(二) -- 实践部分_第9张图片

Linux系统安全基础应用(二) -- 实践部分_第10张图片


修改登录信息

222156345.png

222156211.png

222156266.png

222156315.png


red hat 6.3 要修改TTY的话.要在/etc/sysconfig/init这个文件里面修改.

222156401.png


只开启了tty3tty5

222157811.png

Linux系统安全基础应用(二) -- 实践部分_第11张图片