漏洞整改-系统加固-限制用户su

最新推荐文章于 2024-01-27 10:51:31 发布
原创 最新推荐文章于 2024-01-27 10:51:31 发布 · 517 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux

本文详细介绍了如何在Linux系统中限制用户su到root权限,仅允许wheel组或自定义用户组的成员进行权限提升。主要内容包括编辑/etc/pam.d/su和/etc/login.defs配置文件,以及测试验证限制效果。此外,还提供了创建自定义用户组并设定su权限的方法。

限制用户su

禁止普通用户su到root用户,只允许指定的用户su到root用户。(需要root权限)

为禁止普通用户su至root,需要分别修改/etc/pam.d/su和/etc/login.defs两个配置文件。

1、只有wheel组用户能够su

1.1、配置

首先:将用户加入到wheel组(后面会设置只有wheel组的用户才能su到root)

01

02

03

[root@localhost ~]# usermod -G wheel doubles

[root@localhost ~]# id doubles

uid=1002(doubles) gid=1002(doubles) groups=1002(doubles),10(wheel)

去除/etc/pam.d/su文件中如下行的注释:(表示要求用户在wheel组下才能root)

01

02

[root@localhost ~]# vim /etc/pam.d/su

auth required pam_wheel.so use_uid

在/etc/login.defs文件中加入如下配置项:(表示只有wheel组能够su到root)

01

02

[root@localhost ~]# vim /etc/login.defs

SU_WHEEL_ONLY yes

1.2、测试

下面我们切换到普通用户su试一下

01

02

03

04

05

06

07

[root@localhost shellscript]# su dd

[dd@localhost shellscript]$ id

uid=1001(dd) gid=1001(dd) groups=1001(dd)

[dd@localhost shellscript]$ su

Password:

su: Permission denied

[dd@localhost shellscript]$

上面用户dd没有在wheel组下,所以即使输入了正确的密码也不能su,权限限制。而doubles是在wheel组下的,所以下面我们用doubles试一下

01

02

03

04

[root@localhost shellscript]# su doubles

[doubles@localhost shellscript]$ su

Password:

[root@localhost shellscript]#

doubles在wheel组下,成功su到root。

2、自定义用户组能够su

除了wheel组,也可以配置只有指定的组的用户能够su到root。

参考:Permitting or Restricting a User's `su` Access to Privileged Accounts - Red Hat Customer Portal

https://www.cnblogs.com/kevingrace/p/8671964.html

A、创建用户组groupa

01

[root@localhost ~]# groupadd groupa

B、创建/etc/security/su-groupa-access文件,里面指定允许su到的用户

01

02

03

[root@localhost ~]# vim /etc/security/su-groupa-access

doubles

root

这就表示groupa的用户可以su到root和doubles

保证文件权限不是所有人都可以修改的。

01

02

[root@localhost ~]# ll /etc/security/su-groupa-access

-rw-r--r-- 1 root root 13 Sep 8 19:46 /etc/security/su-groupa-access

C、在/etc/pam.d/su下加入下面三行

01

02

03

04

[root@localhost ~]# vim /etc/pam.d/su

auth [success=2 default=ignore] pam_succeed_if.so use_uid user notingroup groupa

auth required pam_wheel.so use_uid group=groupa

auth required pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-groupa-access

Kay_ly
关注
Linux中pam模块
ring__wang的博客
04-19 3191
Linux中pam模块前言一、密码设置及登陆控制二、 pam_tally2.so三、 pam_wheel.so 前言 PAM使用配置/etc/pam.d/下的文件,来管理对程序的认证方式.应用程序 调用相应的配置文件,从而调用本地的认证模块.模块放置在/lib/security下,以加载动态库的形式进,像我们使用su命令时,系统会提示你输入root用户的密码.这就是su命令通过调用PAM模块实现的。 一、密码设置及登陆控制 密码设置及登陆控制文件位置:/etc/pam.d/system-auth 示例文
账号安全控制与sudo授权命令(详细)
愿你成为自己喜欢的模样,不抱怨,不将就,有自由,有光芒!
12-01 2859
文章目录一、账号安全控制1、系统账号清理2、密码安全控制使用su命令切换用户linux中的PAM安全认证PAM 认证原理: 一、账号安全控制 1、系统账号清理 ●将非登陆用户的Shell设为/sbin/nologin或者/bin/falsh usermod -s /sbin/nologin 用户名 ●锁定长期不使用的账号 usermod -L 用户名 锁定用户账户 passwd -l 用户名 锁定用户密码 passwd -S 用户名 查看
系统安全及应用
gcc001224的博客
04-08 5618
一、账号安全基本措施 1.系统账号清理 将非登录用户的Shell设为/sbin/nologin usermod -s /sbin/nologin 用户名 锁定长期不使用的账号 usermod -L用户名 passwd -l用户名 (锁定用户) usermod -U用户名 passwd -u用户名 (解锁) passwd -S 用户名 (查看用户状况) 删除无用的账号 userdel[-r]用户名 锁定账号文件passwd、shadow chattr +i /et...
LINUX账户权限设置-禁止普通用户使用su命令切换至root用户
m0_54128733的博客
05-15 4184
命令登录为root用户,也就是说你不是wheel组成员,那就没有root身上任何的特权。这时候我们从root模式切换到普通用户是可以正常进行,但是从普通用户切换至root模式就会失败,显示“拒绝权限”在Linux中为了更进一步加强系统的安全性,建立了一个管理员的组wheel,只允许这个组的用户来执行。输入【su+用户名】命令可以正常进行普通用户root模式的切换。【这个命令的意思是:禁止非wheel组内的用户切换到root模式】可以在普通用户下输入sudo su命令,进入root模式。
linux禁止普通用户suroot用户
weixin_34205076的博客
10-12 343
问题:在linux操作系统中,如何限定其它的普通用户登陆到root下? 解决方法:在默认的情况下,普通用户通过su -命令输入了正确的root密码,就可以登陆到root用户下,对系统进行管理和配置。为了加强系统的完全性,使用linux特殊的用户组wheel,来实现这个功能,只有加入到wheel组,才可以使用su切换到root用户下。redhat与cen...
AIX 系统安全基线 安全加固操作
it知识分享 free for nothing..
11-20 816
AIX 系统基线安全加固操作
linux服务器基线加固、安全漏扫工具(绿盟...)扫出来的系统漏洞
swindy博客
12-05 3475
以下脚本主要是修复漏扫工具扫出来的一些系统漏洞 例如:密码强度策略、默认密码有效期、ssh配置加固… 生产环境服务器为Centos7系列、在执行基线加固脚本后、重新对该服务器进行再次漏扫、已消除绝大部分检查项目 #!/bin/bash ### Hardening Script for CentOS7 Servers. ##定义变量### BACKUP=$(date +%F:%T) services_to_disable="chargen-dgram chargen-stream daytime-dgra
跟我学,你的服务器够安全吗?第四篇----tomcat安全篇
zhumengyisheng的博客
12-10 3473
跟我学,你的服务器安全吗?是不是有黑客入侵啊?服务又瘫痪了?本节讲述互联网基础服务之一tomcat的安全配置问题和相关的漏洞恢复,一定要尽可能配置好,不要等事后攻击发生了追悔,言之晚矣
麒麟操作系统常见问题答疑
最新发布
a123560mh的博客
01-27 5251
Docker runc容器逃逸漏洞(CVE-2021-30465) 补丁包:https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/Packages/docker-runc-1.0.0.rc3-203.p02.ky10.aarch64.rpm。备注:先确保原先有没开启vnc进程,有的话先杀掉vnc进程,删掉/tmp/目录下.X11-unix、.X1-lock这两个文件,删掉/root/.vnc目录,然后再执行以下命令。
移动安全新策略:NIST SP800-22B在移动安全中的应用分析
!... # 摘要 随着移动设备在日常生活和工作中的广泛使用,其安全问题引起了广泛关注。...其次,分析了该标准在移动安全评估、应用加固以及网络配置方面的实践应用。通过案例研究,本文详细阐述了NIST SP
linux安全设置:限制susudo切换root用户权限设置,su\sudo使用,SSH远程连接密钥登录
fhzmWJ的博客
12-02 8683
1. 限制su命令切换到root用户 不希望所有用户都可以通过su命令切换身份, 启用pam_wheel认证模块 vim /etc/pam.d/su 取消注释以强制用户成为组根的成员 才能使用“su”。如果您想使用默认“root”以外的组,也可以在这行的末尾添加“group=foo”(但这可能会有拒绝“root用户的副作用,除非她是“foo”的成员或前面明确允许的,例如“SU_WHEEL_ONLY"). (替换来自登录名.defs) 去掉这一行的# 这样执行su命令的用户都将受到限制,只有root
如何限制用户su,设置sudo命令权限
chunlin
05-12 4408
linux系统创建的所有用户都可以默认su - root。 下面介绍怎么限制普通用户su 一. 限制普通用户su 1. 添加wheel组 一般来说,系统会创建一个wheel组,如果没有,groupadd创建一个即可 [sudoer1@host ~]$ grep wheel /etc/group wheel:x:10: 2. 将用户添加到wheel用户组 [root@host ~]# usermod -G wheel test1 [root@host ~]# id test1 uid=1009(test1)
Linux禁止普通用户使用su 切换到root 用户(并且禁止root ssh登录)
热门推荐
junmuzi的专栏
03-08 1万+
1.第一种方法:可以使用ninja 这个软件,指定哪些用户可以使用su 2.第二种方法:使用linux  特殊的用户组wheel   在一般情况下,一般用户通过执行“su -”命令、输入正确的root密码,可以登录为root用户来对系统进行管理员级别的配置。   但是,为了更进一步加强系统的安全性,有必要建立一个管理员的 组,只允许这个组的用户来执行“su -”命令登录为root用户,而让
Linux系统禁止普通用户suroot用户的方法
My Notes
01-15 1万+
禁止普通用户suroot用户的方法: 1. 只允许wheel组用户root可以使用suroot # usermod -g wheel user01 # vim /etc/pam.d/su auth           required        pam_wheel.so use_uid 2. 修改/bin/su的权限, 取消s位, 这种方法最直接、简单 # ls -ls /
Linux限制用户使用特权-限制su
bigwood99的博客
07-01 1268
Linux下,允许普通用户通过su命令切换到root身份进行操作。 相对于直接使用root登录操作,这钟方法要安全些。但仍存在安全隐患。 缩小特权使用用户的范围,无疑是更安全的做法。
限制linux 用户使用su命令转化root权限
weixin_33850015的博客
01-13 238
一、禁止非whell组用户切换到root   1、 修改/etc/pam.d/su配置   代码如下:   [root@db01 ~]# vi /etc/pam.d/su ← 打开这个配置文件   #auth required /lib/security/$ISA/pam_wheel.so use_uid ← 找到此行,去掉行首的“#”2、 修改/etc/login....
限制从一般用户使用su登录为root
尝试坚持
10-05 3688
<br /><br />通过一般用户登录为root用户<br /><br />  因为root用户系统具有全权的操作权限,为了避免一些失误的操作,建议在一般情况下,以一般用户登录系统,必要的时候需要root操作权限时,再通过“su -”命令来登录为root用户进行操作。<br />[centospub@sample ~]$ ← 提示符为“$”,说明当前状态为一般用户centospub登录在系统中<br /><br />[centospub@sample ~]$ su - ← 输入登录为root用户的命令<
限制su命令与sudo机制提升 nmap和控制台命令netstat
LBP20001204的博客
07-19 1285
安全控制 网络扫描NMAP和控制台命令Netstat
linux限制su管理员命令的使用
qq_17576885的博客
12-29 1922
说明 限制用户使用su命令变更为其他用户,防止不当的角色切换。 检查方法 1)在终端中输入命令: [test@localhost ~]$ more /etc/pam.d/su 2)检查以下行: auth required pam_wheel.so 是否被注释,是否有添加参数 修改建议 1)限制可使用su命令的用户组,使用vim编辑pam.d的关于su的安全配置文件 [test@localhost ~]$ sudo vim /etc/pam.d/su 2)添加或修改以下内容: auth .
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值