su命令 sudo命令 限制root遠程登錄
su命令
[root@lizhipeng01 ~]# su - -c "touch /tmp/lizhipeng.111" lizhipeng 在root用戶下以lizhipeng用戶的身份創建文件
[root@lizhipeng01 ~]# ls -lt /tmp/ |head
總用量 8
-rw-rw-r--. 1 lizhipeng lizhipeng 0 12月 24 07:34 lizhipeng.111
-rw-r--r--. 1 root root 0 12月 21 04:07 yum.log
-rwxrwxrwx. 1 lzp lzp 35 12月 20 06:46 lizp
-rw-r--r--. 2 root root 16 12月 18 06:58 1.txt.bak
drwxr-xr-x. 3 root root 33 12月 18 06:08 lzp
-rw-r--r--. 1 root root 0 12月 18 05:54 ls2
drwxr-xr-x. 2 root root 6 12月 18 05:20 lizhipenglinux
drwxr-xr-x. 2 root root 6 12月 17 04:56 test
drwxr-xr-x. 2 root root 6 12月 10 05:18 split_dir
[root@lizhipeng01 ~]# id lizhipeng
uid=1000(lizhipeng) gid=1000(lizhipeng) 組=1000(lizhipeng),1005(grp2),1006(user2)
[root@lizhipeng01 ~]# su - user5 切換到user5出現異常
上一次登錄:日 12月 24 07:39:51 CST 2017pts/0 上
su: 警告:無法更改到 /home/user5 目錄: 沒有那個文件或目錄
-bash-4.2$ pwd
/root
[root@lizhipeng01 ~]# mkdir /home/user5 創建家目錄
[root@lizhipeng01 ~]# chown user5:user5 /home/user5/
[root@lizhipeng01 ~]# su - user5
上一次登錄:日 12月 24 21:31:45 CST 2017pts/0 上
-bash-4.2$ pwd 仍然不對,原因是缺少相應的配置文件
/home/user5
-bash-4.2$ ls -la
總用量 4
drwxr-xr-x. 2 user5 user5 6 12月 24 21:33 .
drwxr-xr-x. 10 root root 4096 12月 24 21:33 ..
-bash-4.2$ 登出
[root@lizhipeng01 ~]# su - lzp
上一次登錄:三 12月 20 05:26:51 CST 2017pts/1 上
[lzp@lizhipeng01 ~]$ ls -la
總用量 24
drwx------. 2 lzp lzp 94 12月 20 07:57 .
drwxr-xr-x. 10 root root 4096 12月 24 21:33 ..
-rw-------. 1 lzp lzp 154 12月 20 07:57 .bash_history
-rw-r--r--. 1 lzp lzp 18 3月 6 2015 .bash_logout
-rw-r--r--. 1 lzp lzp 193 3月 6 2015 .bash_profile
-rw-r--r--. 1 lzp lzp 231 3月 6 2015 .bashrc
-rw-------. 1 lzp lzp 616 12月 20 06:43 .viminfo
[root@lizhipeng01 ~]# ls /etc/skel/
[root@lizhipeng01 ~]# ls -la /etc/skel/
總用量 24
drwxr-xr-x. 2 root root 59 11月 26 21:00 .
drwxr-xr-x. 75 root root 8192 12月 24 21:27 ..
-rw-r--r--. 1 root root 18 3月 6 2015 .bash_logout
-rw-r--r--. 1 root root 193 3月 6 2015 .bash_profile
-rw-r--r--. 1 root root 231 3月 6 2015 .bashrc
[root@lizhipeng01 ~]# cp /etc/skel/.bash* /home/user5/ 解決方法就是把/etc/skel/裏面的文件cp到相應的目錄,並改變文件的所屬主與所屬組
[root@lizhipeng01 ~]# chown -R user5:user5 !$
chown -R user5:user5 /home/user5/
[root@lizhipeng01 ~]# su - user5
上一次登錄:日 12月 24 21:34:07 CST 2017pts/0 上
[user5@lizhipeng01 ~]$
sudo命令
默認情況下,只有root用戶能使用sudo命令,普通用戶想要使用sudo,是需要root預先設定。可以使用visudo命令編輯相關的配置文件/etc/sudoers。如果沒有sudo這個命令,使用命令yum install -y sudo安裝。
允許root用戶在任何地方執行任何命令
添加用戶lizhipeng,應該絕對路徑加空格
添加的不對
[root@lizhipeng01 ~]# chmod u-s /bin/ls 去除set_uid
[root@lizhipeng01 ~]# su - lizhipeng
上一次登錄:日 12月 24 22:29:41 CST 2017pts/0 上
[lizhipeng@lizhipeng01 ~]$ ls /root/
111 234 a.txt dir3 test4 testc.txt 學習計劃安排.txt
123 2.txt.bak bb dir4 test5 Thinking_In_Java(中文版_第四版).pdf
1_hard.txt anaconda-ks.cfg dir2 split_dir testb.txt yum.log
[lizhipeng@lizhipeng01 ~]$ 登出
[root@lizhipeng01 ~]# ls -l /usr/bin/ls
-rwxr-sr-x. 1 root root 117616 6月 10 2014 /usr/bin/ls
[root@lizhipeng01 ~]# chmod g-s /usr/bin/ls 去除set_gid
[root@lizhipeng01 ~]# su - lizhipeng
上一次登錄:日 12月 24 22:30:33 CST 2017pts/0 上
[lizhipeng@lizhipeng01 ~]$ ls /root/
ls: 無法打開目錄/root/: 權限不夠
第一次需要密碼
第二次不需要密碼
增加用戶user5,不需要使用密碼。驗證NOPASSWD的作用
[root@lizhipeng01 ~]# su - user5
上一次登錄:日 12月 24 21:40:46 CST 2017pts/0 上
[user5@lizhipeng01 ~]$ ls /root/
ls: 無法打開目錄/root/: 權限不夠
[user5@lizhipeng01 ~]$ sudo ls /root/
111 234 a.txt dir3 test4 testc.txt 學習計劃安排.txt
123 2.txt.bak bb dir4 test5 Thinking_In_Java(中文版_第四版).pdf
1_hard.txt anaconda-ks.cfg dir2 split_dir testb.txt yum.log
添加命令的別名
[root@lizhipeng01 ~]# su - lizhipeng
上一次登錄:日 12月 24 22:52:39 CST 2017pts/0 上
[lizhipeng@lizhipeng01 ~]$ sudo ls /root/
[sudo] password for lizhipeng:
111 234 a.txt dir3 test4 testc.txt 學習計劃安排.txt
123 2.txt.bak bb dir4 test5 Thinking_In_Java(中文版_第四版).pdf
1_hard.txt anaconda-ks.cfg dir2 split_dir testb.txt yum.log
限制root遠程登錄
不孕育root用戶遠程登錄,用戶使用sudo命令切換到root用戶時不需要輸入root用戶密碼,即root用戶密碼保密。
思想就是使用su命令時不需要輸入密碼
創建用戶
[root@lizhipeng01 ~]# vi /etc/ssh/sshd_config 修改配置文件
限制root遠程登錄
[root@lizhipeng01 ~]# systemctl restart sshd.service 重啟服務
普通用戶登錄驗證。
su命令 sudo命令 限制root遠程登錄