禁止根权限

最新推荐文章于 2024-03-21 22:05:41 发布
转载 最新推荐文章于 2024-03-21 22:05:41 发布 · 1.6k 阅读 · 0
文章标签:

#shell #远程登录 #ssh #command #文本编辑 #linux

本文介绍了如何在Linux系统中禁用根用户权限,包括禁用根shell、SSH登录及使用PAM进行权限管理等方法。此外,还介绍了如何通过su和sudo命令限制用户对根权限的访问。
原贴:http://blog.chinaunix.net/u/13329/showart.php?id=84758

禁止根权限
 
 
1)禁止根权限

4.4.2.1. 禁用根 Shell

要防止用户直接登录为根用户,系统管理员可以在 /etc/passwd 文件中把根帐号的 shell 设置为 /sbin/nologin。这会阻止需要 shell 的命令,如 su 和 ssh 等直接进入根帐号。



重要 不需要使用 shell 的程序,如电子邮件客户或 sudo 命令,仍旧能够进入根帐号。



4.4.2.2. 禁用根登录

要进一步限制对根帐号的使用权限,管理员可以通过编辑 /etc/securetty 文件来禁用控制台的根登录。该文件列举了所有根用户被允许登录的设备。如果该文件不存在,根用户就能通过系统上的各类通信设备,不管是控制台还是原始网络 接口,来登录。这种情况很危险,因为用户可以以根用户身份使用 Telnet 来登录,在网络中明文传送根口令。按照默认设置,红帽企业 Linux 的 /etc/securetty 文件只允许根用户在和机器物理相连的控制台上登录。要阻止根用户登录,键入以下命令来清除该文件的内容:

echo > /etc/securetty

警告 一个空白的 /etc/securetty 文件 不会防止根用户使用 OpenSSH 工具套件来远程登录,因为控制台在验证之前不会被打开。



4.4.2.3. 禁用根的 SSH 登录

要防止根用户通过 SSH 协议登录,编辑 SSH 守护进程的配置文件(/etc/ssh/sshd_config)。把以下一行:

# PermitRootLogin yes改成:

PermitRootLogin no
4.4.2.4. 使用 PAM 禁用根权限

PAM 通过 /lib/security/pam_listfile.so 模块在拒绝特定帐号方面提供了极大的灵活性。这使管理员能够在不准许登录的用户列表上应用该模块。以下的例子显示了该模块在 /etc/pam.d/vsftpd PAM 配置文件中的 vsftpd FTP 服务器上是如何被使用的(如果指令在一行内,那么就 必要使用第一行尾的 / 字符):

auth   required   /lib/security/pam_listfile.so   item=user /sense=deny file=/etc/vsftpd.ftpusers onerr=succeed这告诉 PAM 参考 /etc/vsftpd.ftpusers 文件,并拒绝其中列举的用户使用该服务。管理员可以随意改变这个文件的名称,并为每个服务保存单独的列表,或使用一个单一列表来拒绝到多个服务的使用权 限。

如果管理员想要拒绝到多个服务的使用权限,他也可以在 PAM 配置服务(如 /etc/pam.d/pop 和用于邮件服务的 /etc/pam.d/imap、或用于 SSH 客户的 /etc/pam.d/ssh)中添加相似的一行。

关于 PAM 的详情,请参阅 《红帽企业 Linux 参考指南》的“ 可插入验证模块(PAM)”这一章。


4.4.3. 限制根存取权限

与其完全否定对根帐号的使用,管理员可能只想通过 setuid 程序如 su 或 sudo 等来允许对其的使用。

4.4.3.1. su 命令

键入 su 命令后,用户会被提示输入根口令,经验证后,他就会得到一个根 shell 提示。

通过 su 命令登录后,用户 就成为根用户,并且对系统有绝对的管理权。此外,一旦用户成为根用户,他还可以使用 su 命令来变成系统上的另一个用户而不必输入口令。

因为该程序非常强大,机构内的管理员可能想限制能够使用这个命令的人员。

最简单的方法是把用户添加到一个叫做 wheel 的特殊管理组群。要这么做,以根用户身份键入以下命令:

usermod -G wheel <username>在前面的命令中,把 <username> 替换成被添加到 wheel 组群中的用户名。

下一步,在文本编辑器中打开 su(/etc/pam.d/su)的 PAM 配置文件,删除以下行的注释符号 [#]:

auth  required /lib/security/pam_wheel.so use_uid这么做会只允许管理性组群 wheel 使用该程序。



注记 根用户是默认的 wheel 组群成员。



4.4.3.2. sudo 命令

sudo 命令提供了另一种授予用户管理权限的方法。当可信任的用户在管理命令前加一个 sudo 命令,这个用户就会被提示输入 他自己的口令。验证后,假定这个命令被准许执行,它就会以根用户身份执行。

sudo 命令的基本格式如下:

sudo <command>在上面的例子中, <command> 应该被替换为通常保留给根用户使用的命令,如 mount。



重要 sudo 命令的用户应该在离开他们的机器前特别留意一下自己是否已经退出,因为这些用户可以在五分钟之内再次使用这个命令而不必输入口令。该设置可以通过修改配置文件 /etc/sudoers 来改变。


sudo 命令提供了高度的灵活性。例如,只有列举在 /etc/sudoers 配置文件中的用户被允许使用 sudo 命令,并且命令是在 用户的而不是根的 shell 中被执行。这意味着根 shell 可以被完全禁用,如 第 4.4.2.1 节所示。

sudo 命令还提供了完整的审核渠道。每次成功的验证都被记录在 /var/log/messages 文件中,所使用的命令以及使用者的用户名被记录在/var/log/secure 文件中。

sudo 命令的另一个优越性是,管理员可以根据需要给不同的用户以不同的命令使用权限。

想编辑 sudo 配置文件 /etc/sudoers 的管理员应该使用 visudo 命令。

要给某人以完全的管理权限,键入 visudo,然后在用户特权规定部分添加和以下相似的一行:

juan ALL=(ALL) ALL这个例子表明,用户 juan 可以在任何主机上使用 sudo 来执行任何命令。

以下的例子显示了 sudo 配置方面的可伸缩性:

%users  localhost=/sbin/shutdown -h now这个例子表明,只要是从控制台使用,任何用户都可以使用 /sbin/shutdown -h now 命令。

sudoers 的说明书页中有一个该文件选项的详细列表。
创建于: 2006-03-13 20:08:18,修改于: 2006-03-13 20:08:18,已浏览107次,有评论0条
 
Hadoop集群安装 无法检测根权限 解决
jbx9292HAHAHA
12-09 985
Hadoop 集群安装
Ubuntu16.04 搭建FTP服务器,设置用户权限为只许上传、禁止下载和删除
HPC&Geophysics攻城狮
11-21 6379
最近导师给了一项任务:在组内某台服务器上创建一个子用户,可以用在windows端用ssh连接到该用户做运算,也允许windows端的用户上传数据,但是禁止向win端下载数据,也禁止删除文件。 开始以为很简单,在Ubuntu系统上分设一个子用户,然后设定该用户的特定文件夹读写权限即可。但是,操作起来发现“图样图森破”,不是那么回事,设定文件夹权限不能实现导师的要求。顿感捉鸡,于是乎寻求优快云的助...
配置文件设置匿名用户禁止登陆
12-13
配置文件设置匿名用户禁止登陆 附源码 文档 希望能帮助到你
修改配置文件内容的shell
周自信的技术博客
03-24 1370
#!/bin/sh function updateConfigLine() { confFile=$1 lineKey=$2 lineValue=$3 if [ -z $1 -o -z $2 -o -z $3 ]; then echo "parameters not match function:updateConfigLine()" exit 1 fi count=`grep $lineK
Linux系统中的权限管理
weixin_46927961的博客
03-21 4340
注意:"当文件权限列表开启,不要用ls -l 的方式来读取文件的权限”o: #other 既不是拥有者也不是拥有组成员的其他用户的通称。拥有者 > 特殊指定用户 > 权限多的组 >权限少的组 > 其他。当设定完毕文件的acl列表之后用chmod缩小了文件拥有组的权力。g: #group 文件拥有组, ls -l 看到的第六列信息。u: #user 文件的拥有者,ls -l 看到的第五列信息。从安全角度讲系统共享的资源越少,开放的权力越小系统安全性越高。文件的属性被叫做文件的元数据(meta data)
linux中系统用户禁用shell访问,只允许ftp访问的配置
书山有路勤为径,学海无涯苦作舟
02-07 645
默认情况下,在创建用户时,如果未明确指定,该用户将具有对服务器的 SSH 访问权限。要禁用 shell 访问,我们将创建一个新的。shell,它会简单地打印一条消息,告诉用户他们的帐户仅限于 FTP 访问。
SFTP用户创建,禁止普通用户登录,并有权限访问自己的目录
03-07
SFTP用户创建,禁止普通用户登录,并有权限访问自己的目录 本文将详细介绍如何创建SFTP用户,禁止普通用户登录,并赋予用户访问自己的目录权限的操作步骤和相关知识点。 一、创建用户、目录和赋权 在 Linux 系统...
解决VSFTPd 530和500错误:登录失败与匿名目录权限问题
这两个错误分别与用户身份验证失败和匿名用户的目录权限设置不当有关。 530 Login incorrect 错误通常意味着用户尝试登录FTP服务器时提供的用户名或密码不正确。要解决这个问题,首先检查配置文件 `/etc/vsftpd....
版本管理:Subversion Edge:权限设定示例
知行合一 止于至善
09-01 2036
Subversion Edge提供了内置的六种权限控制,而在项目实际使用的时候如何进行,这篇文章结合示例进行说明。
Web应用安全:IIS禁止目录列出配置.docx
06-18
[](图5 禁止目录浏览权限后的攻击结果) **如何禁止目录列出** 要防止目录遍历攻击,应关闭目录浏览功能。在IIS管理器中,找到目标网站,双击"目录浏览",然后在右侧属性窗口中取消选中"启用目录浏览"。这样,即使...
如何在CentOS7上禁用或关闭SELinux
热门推荐
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
02-09 3万+
介绍SELinux 是内置于 Linux 内核中的强制访问控制 (MAC) 执行器。它限制了可能对系统构成威胁的个别服务的权限。没有 SELinux 的 CentOS 系统依赖于其所有特权...
类型的访问权限 - 示例 1
桂云帆的博客
04-11 131
类型授予访问权限后,您可使用拒绝规则对访问权限进行进一步优化。为所有需要访问树中任意类型的用户授予类型的权限。对于用户或组不应具有访问权限的子类。组对类型的读取权限的规则。该授予稍后会应用至所有子类型。要实现此情景,有两种方案:首先,我们来了解第一种方案。型,创建相应的显式拒绝权限以限制对其进行访问。组中的所有用户将可以访问所有类型。,也会拒绝对所有子类型的访问。子类型的读取权限的规则。子类型的读取权限的规则。类型的读取权限的规则。子类型的读取权限的规则。
禁止用户通过shell登录
hhhzua的专栏
08-24 4849
1、usermod -s /bin/false username 用户会无法登录,并且不会有任何提示 2、usermod -s /usr/sbin/nologin username 用户会无法登录,但是给出提示语
Linux下对文件权限的理解
须知少日拏云志,曾许人间第一流。
12-31 1236
我们使用sudo命令的时候,会需要输入密码,这个密码输入的是我们普通用户的密码。这是因为由于某些操作,操作系统对我们是十分信任的。当我们使用普通用户的时候,想要短暂的提升权限,但是又不想使用root用户,这时候就需要用到。,就可以做到短暂提权。当然,使用sudo是需要一定操作的。文件和文件目录的所有者所在的组的用户,所属组:g---Group。文件和文件目录的所有者,拥有者:u---User。其它用户:o---Others。可以省略),此时系统会提示输入。,普通用户的命令提示符是。超级用户的命令提示符是。
Linux】——权限详解
weixin_69519040的博客
10-30 2068
Linux权限,详细解释了权限是什么,权限产生的原因,以及权限如何使用。一篇文章即可搞懂linux权限
root权限
顺其自然~专栏
03-02 3197
root权限,系统权限的一种,也叫根权限,与SYSTEM权限可以理解成一个概念,但高于Administrator权限,root是Linux和Unix系统中的超级管理员用户账户,该帐户拥有整个系统至高无上的权力,所有对象他都可以操作。获得root权限之后就意味着已经获得了系统的最高权限,这时候你可以对系统中的任何文件(包括系统文件)执行所有增、删、改、查的操作。手机root权限是andriod的使用最高权限,获取了root权限,可以轻松的对手机刷机备份还原卸载系统文件等重要操作。
Linux Shell脚本_禁用selinux
Gblfy_Blog
04-08 1897
2. 禁用selinux ① 脚本编写 sed -i '/SELINUX/{s/permissive/disabled/}' /etc/selinux/config ②脚本说明 #流编辑器 sed #写入或者修改 -i #区配关键字 /SELINUX #将/etc/selinux/config文件中值为permissive替换为disabled /permissive/disabled/ /et...
Linux进入root权限的两种方法
m0_67402026的博客
08-20 2万+
:输入sudo passwd root,再输入用户密码,接下来会让你设置root密码,并再次确认。接下来输入su,再输入刚刚设置的root密码就可以进入root了。):使用root权限而不是直接进入,sudo +
Linux目录权限修改的解决方法
perfects110的博客
07-10 8238
     在Linux下,将目录的权限修改为 -777后,出现问题:       1)ssh无法登陆;       2)网络无法连接;       3)可视化桌面死机;       4)各种命令无法使用等。     解决方案:       1)通过单用户模式,获得root权限,修改目录权限为755;       2)  通过Ctrl+Alt + F1进入命名行,修改目录权限为755。...
linux 解锁目录权限
最新发布
06-17
### 在Linux中获取目录权限的方法 在Linux系统中,目录(`/`)的访问和控制通常需要管理员权限(即root权限)。以下是实现这一目标的具体方法: #### 1. 使用`sudo`命令 如果用户具有`sudo`权限,则可以通过`sudo`命令以超级用户身份执行特定操作。例如,要编辑目录下的文件,可以运行以下命令: ```bash sudo nano /example_file ``` 此命令将允许用户以root权限编辑指定文件[^1]。 #### 2. 切换到root用户 在某些Linux发行版中,可以直接切换到root用户。使用以下命令: ```bash su - ``` 输入root用户的密码后,即可获得完整的root权限。需要注意的是,直接以root用户登录可能带来安全风险,因此建议仅在必要时使用此方法[^4]。 #### 3. 配置`sudoers`文件 如果没有`sudo`权限,但有权限修改`/etc/sudoers`文件,可以通过添加当前用户到`sudoers`列表来授予自己root权限。使用`visudo`命令编辑该文件: ```bash visudo ``` 在文件中添加如下行: ```plaintext username ALL=(ALL:ALL) ALL ``` 保存并退出后,用户即可使用`sudo`命令获取root权限[^1]。 #### 4. 修改文件权限 如果只需要对目录下的某个文件或目录进行访问,可以临时更改其权限。例如: ```bash sudo chmod 755 /path/to/file ``` 这将赋予其他用户读取和执行权限。完成后,记得恢复原始权限以确保系统安全性[^3]。 #### 5. 使用SFTP锁定目录 对于远程管理场景,可以通过配置SFTP服务限制用户只能访问特定目录,并且禁止通过SSH登录服务器。具体步骤包括设置chroot环境以及禁用shell访问。例如,在`/etc/ssh/sshd_config`中添加以下内容: ```plaintext Match User sftpuser ChrootDirectory /sftp/home ForceCommand internal-sftp AllowTcpForwarding no X11Forwarding no ``` 重启SSH服务后,用户`sftpuser`将被限制在其主目录内[^4]。 ### 注意事项 - 获取root权限应谨慎操作,避免因误操作导致系统不稳定或数据丢失。 - 对于生产环境中的服务器,推荐使用最小权限原则,尽量减少不必要的root权限分配。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值