使用sudo对用户进行权限管理
因为root用户权限太大,一般在实际应用的时候 ,为了避免造成错误泛滥和找不到责任人都需要对使用服务器人员进行权限分配,除了系统管理员外,其他人禁止使用root,但可以通过sudo命令,给自己提权。同时通过日志审计进行监控操作,操作如下:
1.禁止普通用户使用su命令到root
# usermod -g wheel user01 # vim /etc/pam.d/su auth required pam_wheel.so use_uid 去掉#号
2. 修改/bin/su的权限, 取消s位
# ls -ls /bin/su 36 -rwsr-xr-x. 1 root root 34904 Nov 22 23:36 /bin/su # chmod 700 /bin/su $ su -
-bash: /bin/su: Permission denied
3.通过visudo编辑sudosers文件,代码如下:
##################====权限配置====############# User_Alias SUPERMANAGE=%supermanage #超级管理员 Cmnd_Alias ALLUSERS=!/usr/bin/su,!/usr/bin/vim /etc/sudoers,!/usr/bin/vi /etc/sudoers,!/usr/sbin/visudo,!/usr/bin/passwd
manage(属于supermanage组) ALL=(ALL) NOPASSWD: ALL
SUPERMANAGE ALL=(ALL) NOPASSWD: ALLUSERS
4. 日志审计配置
添加到sudoers最后 ######===日志审计==######## Defaults logfile=/var/log/sudo.log #在/etc/sudoers中 local2.debug /var/log/sudo.log#/etc/rsyslog.conf
至此已经配置完成了:运行试试你会发现,普通用户使用su – ,su – root, sudo su -,sudo su – root,都会没有权限,操作其他的命令可以用sudo 提权,如果对权限分得很细的话,可以在sudoers中,进行更细的分配
原创文章,作者:srayban,如若转载,请注明出处:http://www.178linux.com/71906
