某公司新增了一台企業級伺服器,已安裝運作RHEL6作業系統,由系統運維部,軟體開發部,技術服務部共同使用,由于使用者數量衆多,且使用時間不固定,要求針對帳号和登入過程采取基本的安全措施。
拓撲: 需求描述:? 允許使用者radmin使用su指令進行切換,其他使用者一律禁止切換身份
? 授權使用者zhangsan管理所有員工的帳号,但禁止其修改root使用者的資訊
? 授權使用者lisi能夠執行/sbin、/usr/sbin目錄下的所有特權指令,不需要密碼驗證
? 所有的su、sudo操作,必須在系統日志檔案中進行記錄
? 禁止使用ctrl+alt+delete快捷鍵,隻開放tty3、tty5終端,為grub引導菜單設定密碼
實驗步驟1. 限制使用su指令
1)修改認證檔案/etc/pam.d/su,啟用pam_wheel.so認證子產品(删除第六行的注釋)
2)将radmin使用者加入到wheel組
3)驗證除root、radmin以外,其他使用均不能使用su指令進行切換
2. 設定sudo授權
1)授權使用者zhangsan使用useradd、userdel、passwd、usermod指令,但禁止執行“passwd root”,“usermod * root”操作
2)授權liis使用者使用/sbin/*、/usr/sbin/*指令,添加NOPASSWD,以取消驗證
3)添加”Defaults logfile”配置行,以啟用sudo日志
4)分别以zhangsan、lisi使用者登入,驗證授權的sudo操作,并檢視日志
使用者zhangsan:
使用者lisi:執行指令不會有密碼驗證
檢視日志
3. 限制引導及登入過程
1)禁用ctrl+alt+del快捷鍵,禁用tty1,tty2,tty4,tty6四個終端
禁用ctrl+alt+del快捷鍵
禁用tty1,tty2,tty4,tty6四個終端
2)在grub.conf檔案中的第一個title行之前添加密碼配置
3)重新開機後進入GRUB菜單界面,驗證直接按e鍵已無法編輯引導參數,需要輸入密碼
總結:1. 使用su指令,可以切換為其他使用者身份,并擁有該使用者的所有權限。切換時以目标使用者的密碼進行驗證
2. 使用sudo指令,可以以其他使用者的權限執行已授權的指令,初次執行時以使用者自己的密碼進行驗證
3. 通過為GRUB菜單設定密碼,可以防止未經授權的修改
4. 對于遠端管理的linux伺服器,可以減少開發的本地終端數量
5. John the Ripper是一款密碼破解工具,可以用來檢測系統帳号的密碼安全性
6. NMAP是一款端口掃描類工具,可用來檢查目标主機,網絡所開放的端口/服務等資訊
轉載于:https://blog.51cto.com/liuqicheng/1874409