溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
大多數 Linux 服務器并不建議用戶直接以 root 用戶進行登錄。一方面可以大大減少因誤操作而導致的破壞,另一方面也降低了特權密碼在不安全的網絡中被泄露的風險。鑒于這些原因,需要為普通用戶提供一種身份切換或權限提升機制,以便在必要的時候執行管理任務。
Linux 系統為我們提供了 su、sudo 兩種命令,其中 su 命令主要用來切換用戶,而 sudo命令用來提升執行權限,下面分別進行介紹。
默認情況下,任何用戶都允許使用 su 命令,從而有機會反復嘗試其他用戶(如 root)的登錄密碼,這樣帶來了安全風險。為了加強 su 命令的使用控制,可以借助于 pam_wheel
認證模塊,只允許極個別用戶使用 su 命令進行切換。實現過程如下:將授權使用 su 命令的用戶添加到 wheel 組,修改/etc/pam.d/su 認證配置以啟用 pam_wheel 認證。
PAM(Pluggable Authentication Modules),是 Linux 系統可插拔認證模塊,是一種高效而且靈活便利的用戶級別的認證方式,它也是當前 Linux 服務器普遍使用的認證方式 。
PAM 提 供 了 對 所 有 服 務 進 行 認 證 的 中 央 機 制 , 適 用 于 login , 遠 程 登 錄(telnet,rlogin,fsh,ftp),su 等應用程序中。系統管理員通過 PAM 配置文件來制定不同應用程序的不同認證策略。
我們的PAM認證配置文件就有我們的SU命令
vim /etc/pam.d/su 安全認證su配置
把lisi用戶添加到wheel組
通過 su 命令可以非常方便地切換為另一個用戶,但前提條件是必須知道目標用戶的
登錄密碼。例如,若要從 jerry 用戶切換為 root 用戶,必須知道 root 用戶的密碼。對于生
產環境中的 Linux 服務器,每多一個人知道特權密碼,其安全風險也就增加一分。
有沒有一種折中的辦法,既可以讓普通用戶擁有一部分管理權限,又不需要將 root 用
戶的密碼告訴他呢?答案是肯定的,使用 sudo 命令就可以提升執行權限。不過,需要由管
理員預先進行授權,指定允許哪些用戶以超級用戶(或其他普通用戶)的身份來執行哪些命
令。
Cmnd_Alias 指令別名
User_Alias 用戶別名
Host_Alias 主機別名
vim /etc/sudoers
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
