sudo相关配置详解及aide高级入侵检测环境

sudo
su – xiao -c ‘echo $USER’
切换xiao用户执行指令显示用户名xiao
通用的配置文件:/etc/sudoers
实际运用的配置文件:/etc/sudoers.d/
里面文件权限应设为440;根据需要可以一个用户设置一个配置文件便于管理
visudo
默认打开的是/etc/sudoers文件
visudo -f /etc/sudoers.d/mage
用-f指定某个要编辑的文件
export EDITOR=vim
导入一个变量使visudo指令打开文件带颜色
sudo相关配置详解及aide高级入侵检测环境2d7049d308264493aa471d41b2b89294
root 可以在那个主机上 代表那个用户 执行什么操作
user:wang
主机:192.168.30.7
代表用户:root
执行的指令:挂载指令(这里是精确匹配在执行指令时不能少写一个斜杠)
sudo相关配置详解及aide高级入侵检测环境
也可以设置组权限
%组名 ALL=(ALL) ALL
授权组名在任意主机上可代表任何个执行任何操作
通过visudo命令编辑配置文件,具有语法检查功能
visudo –c 检查语法
时间戳文件:
centos6:/var/db/sudo
centos7: /var/run/sudo/ts
日志文件:/var/log/secure
sudo授权的操作信息
/etd/sudoers;/etc/sudoers.d/
配置文件支持的写法:
使用通配符glob:
?:任意单一字符
* :匹配任意长度字符
[wxc]:匹配其中一个字符
[!wxc]:除了这三个字符的其它字符
\x : 转义
[[alpha]] :字母 示例: /bin/ls [[alpha]]*
配置文件规则有两类;
1、别名定义:不是必须的
sudo别名和示例
别名有四种类型:
User_Alias, 用户别名
Runas_Alias, 可代表用户的别名
Host_Alias ,主机别名
Cmnd_Alias,指令别名
别名格式:[A-Z]([A-Z][0-9]_)*
别名定义:
别名的类型 NAME1 = item1, item2, item3 : NAME2 = item4, item5
示例1:
Student ALL=(ALL) ALL
%wheel ALL=(ALL) ALL
.示例2:
student ALL=(root) /sbin/pidof,/sbin/ifconfig
%wheel ALL=(ALL) NOPASSWD: ALL
NOPASSWD 不输口令就可以执行操作
示例3
User_Alias NETADMIN= netuser1,netuser2
Cmnd_Alias NETCMD = /usr/sbin/ip
NETADMIN ALL=(root) NETCMD
示例4
User_Alias SYSADER=wang,mage,%admins
User_Alias DISKADER=tom
Host_Alias SERS=www.magedu.com,172.16.0.0/24
Runas_Alias OP=root
Cmnd_Alias SYDCMD=/bin/chown,/bin/chmod
Cmnd_Alias DSKCMD=/sbin/parted,/sbin/fdisk
SYSADER SERS= SYDCMD,DSKCMD
DISKADER ALL=(OP) DSKCMD
示例x
User_Alias ADMINUSER = adminuser1,adminuser2
Cmnd_Alias ADMINCMD = /usr/sbin/useradd,/usr/sbin/usermod, /usr/bin/passwd [a-zA-Z]*, !/usr/bin/passwd root
ADMINUSER ALL=(root) NOPASSWD:ADMINCMD,PASSWD:/usr/sbin/userdel
示例5
Defaults:wang runas_default=tom
wang ALL=(tom,jerry) ALL
wang在执行sudo指令时不用-u就默认代表tom用户执行指令
示例6
wang 192.168.175.136,192.168.175.138=(root) /usr/sbin/,!/usr/sbin/useradd
示例7
wang ALL=(ALL) /bin/cat /var/log/messages*,! /bin/cat /var/log/messages* *
2、授权规则:必须的
sudo命令
ls -l /usr/bin/sudo
sudo –i –u wang 切换身份需要在配置文件中授权与su – 类似
sudo [-u user] COMMAND
-V 显示版本信息等配置信息
-u (可代表的用户的身份):默认为root 授权自己用()里面的内容即可代表的用户的身份执行后面指令
-l,ll 列出用户在主机上可用的和被禁止的命令
-v 再延长密码有效期限5分钟,更新时间戳
-k 清除时间戳(1970-01-01),下次需要重新输密码
-K 与-k类似,还要删除时间戳文件
-b 在后台执行指令
-p 改变询问密码的提示符号
%c 客户端信息
%s 服务器端信息
%d 服务名
%p 守护进程的PID
%% 表示%
示例:
-p ”password on %h for user %p:”
sudo相关配置详解及aide高级入侵检测环境5c0edae1397549b78e8443c916a62eaa

sudo相关配置详解及aide高级入侵检测环境
wang ALL=(ALL) sudoedit
授权wang拥有编辑/etc/sudoers文件
AIDE
高级入侵检测环境)是一个入侵检测工具,主要用途是检查文件的完整性,审计计算机上的那些文件被更改过了。
安装
yum install aide
修改配置文件
/var/log/aide
监控日志文件
vim /etc/aide.conf (指定对哪些文件进行检测)
/test/chameleon R /bin/ps R+a /usr/bin/crontab R+a
R=p+i+n+u+g+s+m+c+md5
权限+索引节点+链接数+用户+组+大小+最后一次修改时间+创建时间+md5校验值
NORMAL = R+rmd60+sha256
监控文件格式写法:
/etc/ NORMAL
!/etc/mtab
监控/etc/目录下所有文件监控项为NORMAL
“!”表示忽略/etc/mtab这个文件的检查
编辑好监控文件后生成数据库文件用来做对比用
/usr/local/bin/aide –init
aide –init
首次生成检查数据库不用改名;如果/var/lib/aide目录时已经有了aide.db.gz文件时;再用指令生的文件名字为aide.db.new.gz;这时就要改名了:
cd /var/lib/aide
mv aide.db.new.gz aide.db.gz
安全起见把数据库文件放到别的电脑上
检测: /usr/local/bin/aide –check
aide –check
依据aide.dlb.gz 文件跟现有文件对比看是否检查项有改变
修改安监控文件可以更新数据库
aide –update
AIDE(Advanced Intrusion Detection Environment)
•高级入侵检测环境)是一个入侵检测工具,主要用途是检查文件的完整性,审计计算机上的那些文件被更改过了。
•AIDE能够构造一个指定文件的数据库,它使用aide.conf作为其配置文件。AIDE数据库能够保存文件的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文件大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小以及连接数。AIDE还能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文件的校验码或散列号.
•这个数据库不应该保存那些经常变动的文件信息,例如:日志文件、邮件、/proc文件系统、用户起始目录以及临时目录.

本文来自投稿,不代表Linux运维部落立场,如若转载,请注明出处:http://www.178linux.com/100173

(0)
xchlinuxxchlinux
上一篇 2018-06-03
下一篇 2018-06-03

相关推荐

  • TCP/IP协议

    无线网络标准 IEEE 802.3 802.11a/b/g/n/ac 物理层,数据链路层data link layer   以太网是工作在物理层和数据链路层上 单工,双工(物理层概念) 单工:单向传输数据    (广播,收音机) 双工:双向传输数据 全双工:同时双向       (手机) 半双工:轮流双向     (对讲机)   Hub集…

    Linux笔记 2018-06-24
  • linux ACL访问控制列表

    1.ACL介绍 Linux 下用户对文件的操作权限有 r-读, w-写, x-可执行三种,而对linux 下的文件而言,用户身份分为:所有者, 所属组, 其它人, 且文件的所有者,所属组都只能是一个,所以在对文件分配用户的使用权限时,只能对这三种身份进行分配rwx 权限.Linux 主要作为服务器系统使用,用户众多.所以在实际使用场景中,这三种身份并不能很好…

    Linux笔记 2018-04-08
  • N31第二周作业

    本周(6.25–7.1)第2周 1、Linux上的文件管理类命令都有哪些,其常用的使用方法及其相关示例演示。 目录管理类命令:cd pwd ls mkdir rmdir tree cd:change directory cd [/PATH/TO/SOMEDIR] cd:切换回家目录 注意:bash中,~表示家目录 cd~:切换回自己的家目录 cd…

    Linux笔记 2018-07-02
  • N31第六周作业

    本周(7.23–7.29)第六周 1、简述osi七层模型和TCP/IP五层模型 OSI 七层模型 1、应用层:OSI 参考模型中最靠近用户的一层,为计算机用户提供应用接口,也为用户直接提供各种网络服务。我们常见应用层的网络服务协议有:HTTP,HTTPS,FTP,POP3、SMTP等。 2、表示层:提供各种用于应用层数据的编码和转换功能,确保一个…

    Linux笔记 2018-08-01
  • 网络通信安全基础、openssl、openssh

    数据安全分为: 保密性:数据保密性、隐私性 完整性:数据完整性、系统完整性 可用性:数据有效性   安全攻击分为: 被动攻击:窃听 主动攻击:伪装、重放、消息篡改、拒绝服务   安全机制: 加密、数字签名、访问控制、数据完整性、认证交换机制、流量填充、路由控制、公证   安全服务: 认证: 访问控制: 数据保密性:连接、无连接、…

    Linux笔记 2017-12-06
  • 文本处理工具sed

    sed:是行编辑器是一款流编辑器,是一门语言,;比grep强大,不光能看还能改,你值得拥有。地址定界:对第几行进行操作不给地址:对全文处理单地址#指定的行,$最后一行/字符,正则/:被此处模式匹配到的每一行地址范围:#,#:第几行到第几行#,+#:从第#行往后加#行(包括#,)/a字符串/,/b字符串/:从a匹配到b(如果找不到b就会从a打印到最后一行)#,…

    2018-04-19