Linux给普通用户提权

给普通用户提权

1.切换用户的方式:
Linux给普通用户提权_第1张图片
切换用户格式: su - 用户名
注:root→任意用户,不验证密码
普通用户→其他用户,验证目标用户的密码
限制使用su命令的用户:
PAM安全认证(可插拔式认证模块):vi /etc/pam.d/su
Linux给普通用户提权_第2张图片
2.修改配置文件
(1)别名规则的定义格式:
AliasType
NAME = item1, item2, …

或者
AliasType NAME = item1, item2, item3 :
NAME = item4, item5

其中:
AliasType是指别名类型,包括四种:HostAlias、UserAlias、RunasAlias和Cmnd_Alias。NAME就是别名;
注:NAME的命名是包含大写字母、下划线以及数字,但必须以一个大写字母开头。
①:Host_Alias
定义主机别名的例子如下:
Host_Alias HT1=localhost,ztg,192.168.0.0/24
主机别名是HT1,“=”号右边是成员。
Host_Alias HT1=localhost,ztguang,192.168.10.0/24:HT2=ztg2,ztg3
定义了两个主机别名HT1和HT2,别名之间用“:”号隔开。
②:User_Alias
用户别名,别名成员可以是用户,用户组(前面要加%号)。
User_Alias ADMIN=ztg,ztguang
定义用户别名ADMIN,有两个成员ztg和ztguang,这两个成员要在系统中确实存在。
③:Runas_Alias
用来定义runas别名,这个别名是指sudo允许切换到的用户;
Runas_Alias RUN_AS = root
定义runas别名RUN_AS,有一个成员root。
④:Cmnd_Alias
定义命令的别名,这些命令必须是系统存在的文件,要用绝对路径,文件名可以用通配符表示。
Cmnd_Alias SERVICES = /sbin/service,/sbin/chkconfig
(2) sudo配置文件/etc/sudoers
(vi /etc/sudoers等同于visudo)
授权规则的定义格式:
①:授权规则的定义格式:
授权用户 主机=命令动作
②: 授权用户 主机=[(切换到哪些用户或用户组)] [是否需要密码验证] 命令1,[(切换到哪些用户或用户组)] [是否需要密码验证] [命令2],[(切换到哪些用户或用户组)] [是否需要密码验证] [命令3]

这三个要素缺一不可,但在动作之前也可以指定切换到特定用户下,在这里指定切换的用户要用( )号括起来,如果不需要密码直接运行命令的,应该加NOPASSWD:参数,但这些可以省略。

配置sudo授权:
记录格式: 用户/用户组 主机名列表 = 命令程序列表
实例:使用户u1能够有权限挂载/dev/sr0到/media目录下
Linux给普通用户提权_第3张图片/etc/sudoers.d下的文件:
u1 ALL=(ALL) /bin/mount /dev/sr0 /media

Linux给普通用户提权_第4张图片

你可能感兴趣的:(Linux给普通用户提权)