系统安全——账号安全切换（su命令，sudo提权）

使用su命令切换用户
用途及用法
用途：Substitute User，切换用户
格式:su - 目标用户（“-”切换时，完整切换到用户家目录下 ，无“-”，还在切换时候的目录）
密码验证：
root–>任意用户，不验证密码
普通用户–>其他用户，验证目标用户的密码

su命令的安全隐患
PAM认证模块，叫做可插拔式的认证模块。一项重要的功能就是为了加强su命令的使用控制，可以借助于PAM认证模块，只允许极个别用户使用su命令进行切换。PAM提供了对所有服务进行认证的中央机制，适用于login，远程登录（telnet,rlogin,fsh,ftp）,su等应用程序中，系统管理员通过PAM配置文件来制定不同应用程序的不同认证策略。

PAM认证原理：
PAM认证一般遵循的顺序：service（服务）–>PAM（配置文件）–>pam_*.so（模块表示功能）
/etc/pam.d 配置文件
/etc/security 认证文件

ls /etc/pam.d | grep su查看PAM模块认证

下面简单的介绍四种常见认证类型：
　　（1）认证管理（authentication management）接受用户名和密码，进而对该用户的密码进行认证
　　（2）账户管理（account management）检查账户是否被允许登录系统，账号是否已经过期，账号的登录是否有时间段的限制等
　　（3）密码管理（password management）主要是用来修改用户的密码
　　（4）会话管理（session management）主要是提供对会话的管理和记账（accounting）

那么控制类型也可以称做Control Flags，用于PAM验证类型的返回结果，具体有以下四种：

（1）required验证失败时仍然继续验证，但返回Fail

（2）requisite验证失败则立即结束整个验证过程，返回Fail

（3）sufficient验证成功则立即返回，不再继续，否则忽略结果并继续

（4）optional不用于验证，只是显示信息（通常用于session类型）
　　
　　
PAM安全认证流程（PAM验证流程图）

具体操作方法：
~] #vim /etc/pam.d/su
添加一行或者放行注释
auth required pam_wheel.so use_uid


gpasswd -a zhangsan wheel 将zhangsan加入到wheel组中
vim /etc/group 查看wheel组信息


利用zhangsan用户和lisi用户的验证wheel认证模块

使用sudo机制提升权限
sudo命令的用途及用法
用途：以其他用户身份（如root）执行授权的命令
用法：sudo授权命令

visudo或者vim /etc/sudoers
格式：用户 主机名列表=命令程序列表
%表示组，！表示否，*通配符

zhangsan属于whell，wangwu不属于wheel
因配置中wheel拥有所有权限，所以不加限制的zhangsan可以使用所有权限
ifconfig ens33 192.168.154.128 修改IP地址（sudo表示机制提权，加不加都不影响）

wangwu没权限修改不了IP地址

visudo 进入配置文件
wangwu localhonst=/sbin/ifconfig 用户 主机名列表=命令程序列表（直接在空行添加权限设置）

使用sudo提权修改IP地址
sudo ifconfig ens33 192.128.154.165