基本的系统其安全控制小实操 | 仅允许|特殊权限 | sudo操作日志 | GRUB菜单引导密码

实验环境:
企业新增了一台企业级服务器,已经安装Centos7操作系统,因为用户数量多,时间不固定,对账号和登陆过程采用基本的安全措施
需求:

基本的系统其安全控制

  • 1.仅允许用户使用radmin使用su命令
  • 2.允许用户zhansan通过sudo 方式管理员工账号
  • 3.允许用户lisi通过sudo方式执行特权命令
  • 4.记录su.sudo操作,并进行简单的系统安全设置
  • 5.为GRUB引导菜单启动密码限制

1.仅允许用户使用radmin使用su命令

►添加radmin,test,test1
►进入vi /etc/pam.d/su 设置
►测试效果
基本的系统其安全控制小实操 | 仅允许|特殊权限 | sudo操作日志 | GRUB菜单引导密码_第1张图片

2.允许用户zhansan通过sudo 方式管理员工账号

►创建zhangsan
基本的系统其安全控制小实操 | 仅允许|特殊权限 | sudo操作日志 | GRUB菜单引导密码_第2张图片

►给zhangsan赋予账号管理权限
去 vi /etc/sudoers 或者visudo
User_Alias USERS=zhangsan
Host_Alias HOSTS=localhost
Cmnd_Alias CMNDS=/usr/sbin/useradd,/usr/bin/passwd
USERS HOSTS=CMNDS

基本的系统其安全控制小实操 | 仅允许|特殊权限 | sudo操作日志 | GRUB菜单引导密码_第3张图片
►切换zhangsan账号测试
基本的系统其安全控制小实操 | 仅允许|特殊权限 | sudo操作日志 | GRUB菜单引导密码_第4张图片
►切换到其他普通账户测试,不成功
基本的系统其安全控制小实操 | 仅允许|特殊权限 | sudo操作日志 | GRUB菜单引导密码_第5张图片

3.允许用户lisi通过sudo方式执行特权命令

►创建lisi账户
基本的系统其安全控制小实操 | 仅允许|特殊权限 | sudo操作日志 | GRUB菜单引导密码_第6张图片

►赋予lisi 所有权限(root权限)
基本的系统其安全控制小实操 | 仅允许|特殊权限 | sudo操作日志 | GRUB菜单引导密码_第7张图片
►执行命令 sudo + 你要执行的命令 就是lisid 执行特权命令的方法,畅通无阻

基本的系统其安全控制小实操 | 仅允许|特殊权限 | sudo操作日志 | GRUB菜单引导密码_第8张图片
基本的系统其安全控制小实操 | 仅允许|特殊权限 | sudo操作日志 | GRUB菜单引导密码_第9张图片

4.记录su.sudo操作,并进行简单的系统安全设置

►进入visudo (我用的lisi账号)
►Defaults logfile = /var/log/sudo
在这里插入图片描述
►查看var/log 是否有sudo 文件出现
在这里插入图片描述

5.为GRUB引导菜单启动密码限制

►生成root密钥:grub2-mkpasswd-pbkdf2
在这里插入图片描述

►进入vim /etc/grub.d/00_header
在这里插入图片描述

►cat < set superusers=“root”
passwdword_pbkdf2 root grub.pbkdf2
EOF

基本的系统其安全控制小实操 | 仅允许|特殊权限 | sudo操作日志 | GRUB菜单引导密码_第10张图片
►重置 引导菜单文件:grub2-mkconfig -o /boot/grub2/grub.cfg
基本的系统其安全控制小实操 | 仅允许|特殊权限 | sudo操作日志 | GRUB菜单引导密码_第11张图片
基本的系统其安全控制小实操 | 仅允许|特殊权限 | sudo操作日志 | GRUB菜单引导密码_第12张图片

你可能感兴趣的:(linux)