Linux——Centos7用户切换,PAM和提权

　　

　　

<强>一。用户切换与提权

　　

大多数Linux服务器并不建议用户直接以根用户进行登录。一方面可以大大减少因误操作而导致的破坏,另一方面也降低了特权密码在不安全的网络中被泄露的风险。鉴于这些原因,需要为普通用户提供一种身份切换或权限提升机制,以便在必要的时候执行管理任务。
Linux系统为我们提供了苏,sudo两种命令,其中苏命令主要用来切换用户,而sudo命令用来提升执行权限,下面分别进行介绍。

　　

　　

默认情况下,任何用户都允许使用苏命令,从而有机会反复尝试其他用户(如根)的登录密码,这样带来了安全风险。为了加苏强命令的使用控制,可以借助于pam_wheel
认证模块,只允许极个别用户使用苏命令进行切换。实现过程如下:将授权使用苏命令的用户添加到车轮组,修改/etc/pam。d/苏认证配置以启用pam_wheel认证。

　　

　　

<强> 2.帕姆安全认证

　　

PAM(可插入身份验证模块)是Linux系统可插拔认证模块,是一种高效而且灵活便利的用户级别的认证方式,它也是当前Linux服务器普遍使用的认证方式。
PAM提供了对所有服务进行认证的中央机制,适用于登录,远程登录(telnet,远程登录命令,fsh、ftp)、苏等应用程序中。系统管理员通过PAM配置文件来制定不同应用程序的不同认证策略。

　　

　　

<强>我们的PAM认证配置文件就有我们的苏命令

　　

　　

　　

vim/etc/pam.苏苏d/安全认证配置

　　 　　

　　

　　

<强>把lisi用户添加到车轮组

　　

<>强三.sudo提权

　　

通过苏命令可以非常方便地切换为另一个用户,但前提条件是必须知道目标用户的
登录密码。例如,若要从杰瑞用户切换为根用户,必须知道根用户的密码。对于生
产环境中Linux的服务器,每多一个人知道特权密码,其安全风险也就增加一分。
有没有一种折中的办法,既可以让普通用户拥有一部分管理权限,又不需要将根用
户的密码告诉他呢?答案是肯定的,使用sudo命令就可以提升执行权限。不过,需要由管
理员预先进行授权,指定允许哪些用户以超级用户(或其他普通用户)的身份来执行哪些命
令。

　　

　　

　　

　　

Cmnd_Alias指令别名
User_Alias用户别名
Host_Alias主机别名
vim/etc/sudoers

　　 　　

Linux——Centos7用户切换,PAM和提权