需求描述:
1.允许用户人admin使用su命令进行切换,其他用户一律禁止切换身份。
2.授权用户zhangsan管理所有员工的账号,但禁止其修改root用户的信息。
3.授权用户lisi能够执行/sbin、/usr/sbin/目录下的所有特权命令,不需要密码验证。
4.所有的su,sudo操作,必须在系统日志中进行记录。
5.禁止使用Ctrl+Alt+Del快捷键,禁止root用户从tty5,tty6登录,为GRUB引导菜单设置密码。
操作如下:
1.允许用户人admin使用su命令进行切换,其他用户一律禁止切换身份。
1)添加admin用户: useradd admin
2)为admin设置密码: passwd admin
3)修改认证文件/etc/pam.d/su ,启用pam_wheel.so模块:vim /etc/pam.d/su
在里面加入auth required pam_wheel.so use_uid
4)把admin用户加入到whell组里: gpasswd -a admin wheel
5)验证接受admin用户: su - admin
6)随便在创建个用户验证拒绝其他用户:su - usr
2.授权用户zhangsan管理所有员工的账号,但禁止其修改root用户的信息。
1)创建用户zhangsan并添加密码:useradd zhangsan
2)将zhangsan用户添加到whell组里: gpasswd -a zhangsan wheel
3)修改visudo: visudo
添加 :zhangsan test2=/usr/sbin/useradd,/usr/sbin/userdel,/usr/sbin/usermod,/usr/bin/passwd,!/usr/bin/passwd root ,!/usr/sbin/usermod root
4)测试锁定test密码:
3.授权用户lisi能够执行/sbin、/usr/sbin/目录下的所有特权命令,不需要密码验证。
1.创建用户lisi并添加密码:useradd lisi
2)将lisi用户添加到whell组里: gpasswd -a lisi wheel
3修改sudo配置文件 : vim /etc/sudoers
4)随便验证usr/sbin/里的命令
4.所有的su,sudo操作,必须在系统日志中进行记录。
1)配置visudo: visudo
在末尾添加:Defaults logfile=/var/log/sudo
2)测试:tail /var/log/sudo
5.禁止使用Ctrl+Alt+Del快捷键,禁止root用户从tty5,tty6登录,为GRUB引导菜单设置密码。
1)禁用Ctrl+Alt+Del快捷键:systemctl mask ctrl-alt-del.target
2)重新加载: systemctl daemon-reload
3)生成grub引导菜单密码: systemctl daemon-reload 
4) 备份引导菜单: cp /boot/grub2/grub.cfg /boot/grub.cfg.bak
5)备份引导菜单: cp /etc/grub.d/00_header /etc/grub.d/00_header.bak
6)修改grub引导菜单: vim /etc/grub.d/00_header
7)重新生成引导菜单: grub2-mkconfig -o /boot/grub2/grub.cfg
8)限制终端登录禁止root用户从tty5,tty6登录: vim /etc/securetty
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
