visudo限制普通用户的特权操作sudo

最新推荐文章于 2024-09-08 13:23:57 发布
最新推荐文章于 2024-09-08 13:23:57 发布
阅读量1k 收藏
点赞数
分类专栏: Linux

原文地址:http://blog.youkuaiyun.com/u014132720/article/details/53008911


在ubuntu系统中,一般常用sudo命令来临时获得root权限执行一些特权命令。这很方便,但是也有一个问题: 普通用户可以通过sudo命令完成用户的增删和密码的更改,甚至是对root用户的密码更改!!! 
如:

xxx@yyy$:sudo passwd root
Input the new UNIX pass word:

这样,就可以直接越过root直接修改root 的密码。这是非常危险的。

解决方法

在这里可以通过 /etc/sudoers 文件限制

$:sudo visudo

注意,这命令在最后修改sudoers文件中,也要加以限制,否则还可以通过这个命令恢复。

在这个文件中修改默认的以下两行:

%admin ALL=(ALL) ALL
%sudo ALL=(ALL) ALL

为以下:

%admin ALL=/usr/sbin/*,/sbin/*,/usr/bin/*,!/usr/bin/passwd,!/usr/sbin/visudo,!/usr/sbin/useradd,!/usr/sbin/userdel
%sudo  ALL=/usr/sbin/*,/sbin/*,/usr/bin/*,!/usr/bin/passwd,!/usr/sbin/visudo,!/usr/sbin/useradd,!/usr/sbin/userdel

上述修改的目的就是,限制用户组admin,sudo禁止使用命令passwd,visudo,useradd,userdel等命令。


centos系统中为用户添加、删除和修改sudo权限
JimmyOrigin的博客
02-20 1747
一、通过别名创建visudo [root@study ~]# visudo <==注意是 root 身份 User_Alias ADMPW = jimmy1,jimmy2 Cmnd_Alias ADMPWCOM = !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd *, /bin/docker ADMPW ALL=(root) ADMPWCOM 注: 1、!/usr/bin/passwd *:限制sudo修改任何人的帐号秘密
Linux提权-02 sudo提权
weixin_45626840的博客
01-19 853
执行权限继承:当用户执行sudo后面跟随的命令时,这个命令会继承sudo的权限。在这种情况下,虽然用户是普通用户,但由于sudo在以root用户的身份执行,随后的命令则也可以在root权限下运行。设置setuid权限:sudo程序本身被设置了setuid属性,这意味着当任何用户执行这个程序时,它会以程序拥有者(通常是root)的权限运行。权限配置不当,如果这些可执行文件本身又可以调用其他可执行文件,或者可以更改系统的一些配置选项,就可以达到提权的目的。
13. 集权而制- su命令sudo,限制远程登入
weixin_33785108的博客
12-28 128
三周第三次课(12月27日) 3.7 su命令 3.8 sudo命令 3.9 限制root远程登录 一 su命令 su 的用法: su [OPTION选项参数] [用户] 通过su可以在用户之间切换,如果超级权限用户root向普通或虚拟用户切换不需要密码,什么是权力?这就是!而普通用户切换到其它任何用户都需要密码验证;   -, -l, ——login 登录并改变到所切换的用户环境;   [r...
sudo 限制普通用户权限
weixin_33754065的博客
04-09 2512
限制用户sudo所能执行的命令 linux是多用户多任务的分时操作系统,共享该系统的用户往往不只一个。 但由于root账户密码的敏感性和root账号的无限制权限, 有必要通过useradd创建一些普通用户, 只让他们拥有不完全的权限; 如有必要,再来申请执行一些root权限的指令。sudo就是来解决这个需求的。sudo命令的执行流程是: 当前用户转换到root, 然后以root身份执行命令, 执行...
visudo普通用户添加sudoer超级权限
yjk13703623757的博客
04-29 1611
https://blog.youkuaiyun.com/xundh/article/details/46233817
限制su命令sudo机制提升 nmap和控制台命令netstat
LBP20001204的博客
07-19 1194
安全控制 网络扫描NMAP和控制台命令Netstat
把用户加入sudo
最新发布
03-31
最后,需要提醒安全注意事项,比如限制sudo权限的必要性,避免普通用户拥有过多权限。可能还要提到备份sudoers文件,以防配置错误时可以恢复。</think>### 一、操作原理与必要性 **sudo 机制本质**:通过 `/etc/...
Linux——账号安全、su切换用户、PAM认证模块、sudo提权、开关机安全控制
weixin_51613313的博客
12-03 1078
系统安全与运行一、账号安全1.1 系统账号清理1.1.1 禁止账号登录系统1.1.2 锁定长期不使用的账号1.1.3 删除无用的账号1.1.4 锁定账号文件1.1.5 清除用户的密码1.2 密码安全控制1.2.1 修改用户账号密码有效期1.2.2 设定用户账号失效期 一、账号安全 1.1 系统账号清理 1.1.1 禁止账号登录系统 将非登录用户的Shell设为/sbin/nologin usermod -s /sbin/nologin 用户名 示例:禁止“lisi”用户登录 1.1.2 锁定长期不使用
Linux系统安全(用户、账号、密码)及应用管理及网络扫描(sudo、chage、chattr,nmap、chage)
wulimingde的博客
11-03 761
Linux系统安全及应用一、基本安全措施1、系统账号管理2、密码安全管理3、命令历史、自动注销 一、基本安全措施 1、系统账号管理 常见的非登录用户账号包括 bin、daemon、adm、lp、mail 等。为了确保系统安全,这些用户账号的登录 Shell 通常是/sbin/nologin,表示禁止终端登录,应确保不被人为改动。 [root@localhost ~]# grep "/sbin/nologin$" /etc/passwd bin:x:1:1:bin:/bin:/sbin/nologin d
Linux用户配置sudo权限(visudo)的方法
01-20
sudo的工作过程如下: 1,当用户执行sudo时,系统会主动寻找/etc/sudoers文件,判断该用户是否有执行sudo的权限 2,确认用户具有可执行sudo的权限后,让用户输入用户自己的密码确认 3,若密码输入成功,则开始执行sudo后续的命令 4,root执行sudo时不需要输入密码(eudoers文件中有配置root ALL=(ALL) ALL这样一条规则) 5,若欲切换的身份与执行者的身份相同,也不需要输入密码 visudo使用vi打开/etc/sudoers文件,但是在保存退出时,visudo会检查内部语法,避免用户输入错误信息 visudo需要root权限 [hadoop@l
linux为用户设置sudo权限,Linux:使用visudo设置用户sudo权限
weixin_39966644的博客
04-28 701
visudo我们可以修改/etc/sudoers文件来设置用户的sudo权限,修改/etc/sudoers一定要使用visudo命令,它可以让我们比较安全的修改此文件visudo有以下特性:锁定文件避免多个同时编辑检查语法的完整性检查解析错误,以避免用户错误输入使用root的权限直接执行visudo,打开suders文件$visudo注意:这里不需要输入shduers文件的路径,默认为/etc/...
linux管理sudo管理员权限
qq_17576885的博客
12-29 1861
说明 限制用户使用sudo权限,防止用户对系统做出破坏性更改或恶意提权操作。 检查方法 1)在终端中输入命令: [test@localhost ~]$ sudo visudo 2)查找未被“#”注释掉的部分,是否存在类似于: root ALL=(ALL) ALL 字段,有即为定义的sudo用户;如存在类似于 %wheel ALL=(ALL) ALL 字段,即为定义wheel组为sudo用户组。 修改建议 1)使用visudo命令检查可执行sudu命令的用户、用户组、主机、命令 2)设置的格式为: 用户或用.
全网最全visudosudo命令详解
广阔天地,大有作为
09-08 938
通过sudo命令,我们可以把某些超级用户权限,分类有针对性授权给指定的普通用户,并且普通用户不需要知道root密码就可以使用得到的授权来管理。**允许使用的主机:**可以填写ALL表示不限制来源的主机,亦可填写如192.168.10.0/24这样的网段限制来源地址,使得只有从允许网段登录时才能使用sudo命令。**可执行命令的列表:**可以填写ALL表示不限制命令,亦可填写如/usr/bin/cat这样的文件名称来限制命令列表,多个命令文件之间用逗号(,)间隔。//li 用户可以进行su命令切换;
visudo(8) command
Dablelv 的博客专栏。
10-27 3242
visudo 安全地编辑 sudoers 文件sudoers 文件的默认权限是 440,即默认无法修改;通过 visudo 可以在不更改 sudoers 文件权限的情况下,直接修改 sudoers 文件;默认编辑 /etc/sudoers 文件。注意:需要超级用户权限。
sudovisudo的超细用法说明
weixin_34130269的博客
07-26 877
1 sudovisudo1.1 基本说明使用su命令切换用户身份虽然简单,但是,也有一些致命的缺点:(1) 普通用户必须知道root密码才可以切换到root,这样root密码就泄漏了。(2) 使用su命令切换身份,无法对切换后的身份做精细的控制,拿到超级权限的人可以为所欲为。甚至可以改掉root密码,让真正的管理员无法再拥有root权限。通过sudo命令,我...
Linux中如何禁止普通用户使用su命令
永远在学习Linux之路上
10-29 1475
使用bob用户验证一下。系统应返回如下错误消息 "Sorry, user bob is not allowed to execute '/bin/su - user01' as root on localhost.localdomain."还可以禁用用户组的 su 访问权限。若要切换到 root 帐户,用户必须具有 root 密码。在此示例中,用户正在切换到 root 帐户。默认情况下,所有用户都可以使用 su 命令。禁用普通用户的 su 访问权限,首先,备份以下。命令打开sudoers配置文件
密码管理.用户授权(visudo)及文件权限
asufeiya的博客
07-12 2958
#####用户认证信息#### /etc/shadows ##记录用户认证信息 westos:!!:17895:0:99999: 7: : : [1] [2] [3] [4] [5] [6][7][8] [9] 此文件一共有九列: 【1】 westos 用户名称 【2】 !! 用户密码: 用户的加密字符串,默认用的加密方式为sh...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值