系统安全——账号安全切换(su命令,sudo提权)

使用su命令切换用户
用途及用法
用途:Substitute User,切换用户
格式:su - 目标用户(“-”切换时,完整切换到用户家目录下 ,无“-”,还在切换时候的目录)
密码验证:
root–>任意用户,不验证密码
普通用户–>其他用户,验证目标用户的密码
系统安全——账号安全切换(su命令,sudo提权)_第1张图片
su命令的安全隐患
PAM认证模块,叫做可插拔式的认证模块。一项重要的功能就是为了加强su命令的使用控制,可以借助于PAM认证模块,只允许极个别用户使用su命令进行切换。PAM提供了对所有服务进行认证的中央机制,适用于login,远程登录(telnet,rlogin,fsh,ftp),su等应用程序中,系统管理员通过PAM配置文件来制定不同应用程序的不同认证策略。

PAM认证原理:
PAM认证一般遵循的顺序:service(服务)–>PAM(配置文件)–>pam_*.so(模块表示功能)
/etc/pam.d 配置文件
/etc/security 认证文件

ls /etc/pam.d | grep su查看PAM模块认证

下面简单的介绍四种常见认证类型:
  (1)认证管理(authentication management)接受用户名和密码,进而对该用户的密码进行认证
  (2)账户管理(account management)检查账户是否被允许登录系统,账号是否已经过期,账号的登录是否有时间段的限制等
  (3)密码管理(password management)主要是用来修改用户的密码
  (4)会话管理(session management)主要是提供对会话的管理和记账(accounting)

那么控制类型也可以称做Control Flags,用于PAM验证类型的返回结果,具体有以下四种:

(1)required验证失败时仍然继续验证,但返回Fail

(2)requisite验证失败则立即结束整个验证过程,返回Fail

(3)sufficient验证成功则立即返回,不再继续,否则忽略结果并继续

(4)optional不用于验证,只是显示信息(通常用于session类型)
  
  
PAM安全认证流程(PAM验证流程图)
系统安全——账号安全切换(su命令,sudo提权)_第2张图片

具体操作方法:
~] #vim /etc/pam.d/su
添加一行或者放行注释
auth required pam_wheel.so use_uid
在这里插入图片描述
系统安全——账号安全切换(su命令,sudo提权)_第3张图片
gpasswd -a zhangsan wheel 将zhangsan加入到wheel组中
vim /etc/group 查看wheel组信息
在这里插入图片描述
系统安全——账号安全切换(su命令,sudo提权)_第4张图片
利用zhangsan用户和lisi用户的验证wheel认证模块
系统安全——账号安全切换(su命令,sudo提权)_第5张图片
使用sudo机制提升权限
sudo命令的用途及用法
用途:以其他用户身份(如root)执行授权的命令
用法:sudo授权命令

visudo或者vim /etc/sudoers
格式:用户 主机名列表=命令程序列表
%表示组,!表示否,*通配符

zhangsan属于whell,wangwu不属于wheel
因配置中wheel拥有所有权限,所以不加限制的zhangsan可以使用所有权限
ifconfig ens33 192.168.154.128 修改IP地址(sudo表示机制提权,加不加都不影响)
系统安全——账号安全切换(su命令,sudo提权)_第6张图片
wangwu没权限修改不了IP地址
系统安全——账号安全切换(su命令,sudo提权)_第7张图片
visudo 进入配置文件
wangwu localhonst=/sbin/ifconfig 用户 主机名列表=命令程序列表(直接在空行添加权限设置)
系统安全——账号安全切换(su命令,sudo提权)_第8张图片
使用sudo提权修改IP地址
sudo ifconfig ens33 192.128.154.165
系统安全——账号安全切换(su命令,sudo提权)_第9张图片

你可能感兴趣的:(系统安全——账号安全切换(su命令,sudo提权))