实验案例：基本的系统安全控制

实验环境
某公司新增了一台企业级服务器，已安装运行CentOS7操作系统，由系统运维部、软件开发部、技术服务部共同使用。由于用户数量众多，且使用时间不固定，要求针对账号和登录过程采取基本的安全措施。
需求描述
 允许用户radmin使用su命令进行切换，其他用户一律禁止切换身份。
 授权用户zhangsan管理所有员工的账号，但禁止其修改root用户的信息。
 授权用户lisi能够执行/sbin、/usr/sbin目录下的所有特权命令，不需要密码验证。
 所有的su、sudo操作，必须在系统日志文件中进行记录。
 禁止使用Ctrl+Alt+Del快捷键，禁止root用户从tty5、tty6登录，为GRUB引导菜单设置密码。
推荐步骤
限制使用su命令。
1)修改认证文件/etc/pam.d/su，启用pam_wheel.so认证模块。
2) 将radmin用户加入到wheel组。
3) 验证出了root、radmin以外，其他用户均不能使用su命令进行切换。
设置sudo授权。
1)授权用户zhangsan使用useradd、userdel、passwd、usermod命令，但禁止其执行“passwd root”“usermod * root”操作。
2) 授权lisi用户使用/sbin/、/usr/sbin/命令，添加NOPASSWD,以取消验证。
3) 添加“Defaults logfile”配置行，以启用sudo日志。
4) 分别以zhangsan、lisi用户登录，验证授权的sudo操作，并查看日志。
限制引导及登录过程。
1)禁用Ctrl+Alt+Del快捷键，禁止root用户从tty5、tty6登录。
2) 为GRUB引导菜单设置密码。
3) 重启后进入GRUB菜单界面，验证直接按E键已无法编辑引导参数。
一、限制使用su命令。
1）修改认证文件/etc/pam.d/su，启用pam_wheel.so认证模块。
[root@centos01 ~]# vim /etc/pam.d/su

2）修改配置文件组织wheel组使用su命令。
[root@centos01 ~]# vim /etc/login.defs

3）将radmin用户加入到wheel组。
[root@centos01 ~]# gpasswd -a radmin wheel //未在wheel组中的用户无法使用su命令
4）验证出了root、radmin以外，其他用户均不能使用su命令进行切换。

二、设置sudo授权。
1）授权用户zhangsan使用useradd、userdel、passwd、usermod命令，但禁止其执行
“passwd root”“usermod * root”操作。
[root@centos01 ~]# visudo
zhangsan centos01=/usr/sbin/useradd,/usr/sbin/userdel,/usr/bin/passwd
,/usr/sbin/usermod,!/usr/bin/passwd root,!/usr/sbin/usermod * root
2）授权lisi用户使用/sbin/、/usr/sbin/命令，添加NOPASSWD,以取消验证。
[root@centos01 ~]# visudo
Lisi centos01=NOPASSWD:/sbin/,/usr/sbin/
3）添加“Defaults logfile”配置行，以启用sudo日志。
[root@centos01 ~]# visudo
4）分别以zhangsan、lisi用户登录，验证授权的sudo操作，并查看日志。
用户:zhangsan

用户：lisi,执行命令不会有密码验证

查看日志
[rooot@centos01~]#cat /var/log/sudo.log
三、限制引导及登录过程。

1. 禁用Ctrl+Alt+Del快捷键，禁止root用户从tty5、tty6登录。
   禁用Ctrl+Alt+Del快捷键
   [root@centos01 ~]# systemctl mask ctrl-alt-del.target
   Created symlink from /etc/systemd/system/ctrl-alt-del.target to /dev/null.
   禁止root用户从tty5、tty6登录
   [root@centos01 ~]# vim /etc/securetty
2. 为GRUB引导菜单设置密码。
   [root@centos01 ~]# grub2-mkpasswd-pbkdf2
   [root@centos01 ~]# vim /etc/grub.d/00_header
   [root@centos01 ~]# grub2-mkconfig -o /boot/grub2/grub.cfg
3. 重启后进入GRUB菜单界面，验证直接按E键已无法编辑引导参数。