2. 程式人生 > >Linux下的Root許可權控制

Linux下的Root許可權控制

阿新 發佈:2019-02-02
Linux是當前比較流行的網路伺服器作業系統,它繼承了UNIX系統安全、穩定、高效等優點。在Linux系統中Root擁有最高許可權,正因如此攻擊者往往以獲取Root許可權為目標。作為管理員如何有效地對Root進行有效管理呢?本文將從許可權控制的角度,提供幾個安全技巧。

  演示環境

  Red Hat Enterprise Linux 5

  1、遠端登入

  我們知道在RHEL系統中,預設是允許Root使用者直接遠端登入的。假若攻擊者獲取了Root的密碼,然後進行遠端登入,那整個伺服器就淪陷了。因此,我們要做好Root的許可權限制,拒絕其遠端登入。這樣,就算攻擊者獲取了Root密碼,也不能通過遠端登入控制伺服器。限制Root遠端登入的方法有很多種,筆者向大家推薦兩種。

  (1)SSH限制

  我們知道SSH是Linux系統中用於遠端維護管理的一個服務,類似於Windows系統中的Telnet或者遠端桌面3389。通過SSH限制Root遠端登入,我們需要做的就是修改SSH的配置檔案。找/etc/ssh/sshd_config檔案,在其中新增PermitRootLogin no。需要注意的是Linux系統是大小寫敏感的,不要輸錯。輸入完畢後,儲存並退出,然後輸入命令service sshd restart重啟SSH服務使修改生效。這樣當通過Root遠端連線Linux伺服器時,就會拒絕連線。(圖1)

SSH限制

  (2)PAM認證

  我們還可以使用PAM認證模組來拒絕Root使用者直接登入系統,可通過下面的操作來實現。開啟/etc/pam.d/sshd檔案,在第一行加入auth required /lib/security/pam_listfile.so item=user sense=deny file=/etc/sshduser onerr=succeed這條語句。其含義是,在登入時認證帳戶和密碼是否有效,只有認證通過才能登入系統,否則結束認證拒絕登入。它的認證模組是/lib/security/pam_listfile.so,認證的使用者是使用者(user),當然也可以是組(group),認證的方式是拒絕(deny),認證檔案是/etc/sshduser,檔名及目錄隨意,如果認證成功就返回(succeed)。(圖2)

PAM認證

  然後我們建立一個認證檔案,可以在終端中執行命令echo "root" > /etc/sshduser來建立,當然我們也可以使用vi開啟sshduser檔案來加入使用者。需要說明的是,當有多個使用者時,每個使用者佔用一行。新增完成後,再使用Root直接登入伺服器就可以看到登入被拒絕了。(圖3)

PAM認證

  2、su限制

  我們知道在Linux系統中有個su命令,利用該命令只要知道Root使用者的密碼,預設情況下任何人都可以切換到Root使用者中進行操作。例如,一個屬於users組的普通使用者gslw可以通過su命令切換到Root使用者中。(圖4)

su限制

  因此,我們需要對SU進行限制,只允許特定組的使用者才能SU到Root使用者。使用的方法還是通過PAM認證模組來實現。我們先前控制ssh服務,是使用/etc/pam.d/sshd檔案,當然控制使用者使用su命令就需要對

  /etc/pam.d/su檔案進行修改。直接開啟該檔案進行修改,或者在終端命令視窗輸入命令vi /etc/pam.d/su,然後去掉其中#auth required pam_wheel.so use_uid的註釋即可。(圖5)

su限制

  其含義是,使用pam_wheel.so檔案來檢查當前使用者的UID,如果不是whell組的使用者就直接拒絕。現在我們通過gslw使用者登入系統,然後su到Root可以看到被拒絕。當然,要使其可以su到Root需要將其加入了wheel組才可以。(圖6)

su限制

  3、Root分權

  大家知道,由於Root具有最高的許可權,經常用root使用者來管理系統,會給系統帶來一定的安全隱患。比如,一條無意識輸入的破壞性的命令有可能會給系統帶來毀滅性的打擊。另外,如果系統被植入了嗅探工具,如果用root登入會造成root口令被竊取。因此我們要消減Root的許可權,可以讓其它使用者來完成Root的一些工作,避免過多地使用Root使用者。

  如何為Root分權,要根據伺服器的性質來確定。比如一個Linux平臺的apache伺服器,作為管理員經常使用的命令應該是諸如/usr/local/apache2/bin/apachect1 start/stop/restart這樣的是啟動/重啟/停止伺服器的命令。我們可以為此建立一個使用者gslw來管理apache伺服器,我們知道普通使用者是沒有許可權來啟動apache伺服器的。這裡要用到sudo命令,通過它為gslw使用者加入擴充套件許可權使其可以管理apache伺服器。

  利用Vi或者直接進入/etc/pam.d開啟sudo檔案,然後在其中新增一行gslw ALL=(ALL) /usr/local/apache2/bin/apachectl命令就可以了。該命令分成四個欄位,依次為使用者名稱、作用物件、以誰的身份執行以及執行的命令。當然,我們也可以加入gslw localhost=(root) /usr/local/apache2/bin/apachectl start,這樣過濾更嚴格一些。最後儲存退出後,使用gslw使用者登入系統就可以執行/usr/local/apache2/bin/apachectl start命令了。上面只是舉例,大家可以根據自己的需要在sudo檔案中新增相應的命令列。不過,需要說明的是命令一定要嚴格過濾,不要賦權過大。(圖7)

Root分權

  總結:Linux下的許可權控制是非常嚴格的,但也非常靈活,我們可以根據自己的安全需求進行佈防。當然,關於Root許可權的控制策略和方法還有很多,希望本文提供的思路對大家有所幫助。

相關推薦

LinuxRoot許可權控制

Linux是當前比較流行的網路伺服器作業系統,它繼承了UNIX系統安全、穩定、高效等優點。在Linux系統中Root擁有最高許可權,正因如此攻擊者往往以獲取Root許可權為目標。作為管理員如何有效地對Root進行有效管理呢?本文將從許可權控制的角度,提供幾個安全技巧。   

解決Linux root使用者刪除檔案提示:Operation not permitted

問題描述 用最高許可權rm檔案,居然報錯Operation not permitted。檢視許可權也沒有問題。可想而知有可能檔案被保護了。用命令lsattr檢查一下就知道。 [[email protected] root]# lsattr a.txt   ---i---------- a.

Linux管理員許可權獲取(su和sudo的區別)

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

Linux使用者許可權管理和防火牆配置

1、Linux使用者許可權管理 1.1、修改密碼 (1)如果是root超級使用者: passwd 使用者名稱 //修改該使用者密碼 passwd -l 使用者名稱 //鎖定該使用者,-l:lock passwd -u 使用者名稱 //解禁該使用者,-u:unlock (2)如果是

Linux ACL訪問許可權控制詳解

在普通許可權中,Linux使用者對檔案只有三種身份,就是屬主、屬組和其他人;每種使用者身份擁有讀(read)、寫(write)和執行(execute)三種許可權。但是在實際工作中,這三種身份實在是不夠用,我們舉個例子來看看。 圖 1 ACL許可權簡介 圖 1 的根目錄中有一個 /projec

Ubunturoot許可權賬戶切換與密碼重置

問題:新安裝的Ubuntu系統,無法切換或者登入到root。 Ubuntu下想獲取root許可權,方法有二: 一、在需執行命令前+subo,臨時獲取root許可權 $ sudo apt-get update 二、允許su到root 通過切換命令想切換到root

linux寫驅動控制gpio的方法

arm linux下寫驅動控制gpio時,有兩種方法: 1. 用ioremap()得到暫存器的地址,然後用iowrite32()或writel()函式寫暫存器控制gpio 1)查datashee

Linux檔案許可權管理

檔案許可權 1.檔案屬性的檢視 ls -l filename 2.檔案所有人所有組的管理 chown username file|dir chgrp groupname file|dir chown -R username dir /更改目錄本身及裡

vmware中windows和linux共享目錄在linux許可權問題

通過vmware tools,在linux(ubuntu)虛擬機器中共享使用windows目錄時,預設許可權是777,有時會造成不便。可以通過以下操作改變掛載目錄並更改預設檔案許可權: sudo vim /etc/vmware-tools/services.sh (若發行版

linux檔案許可權更改

檔案許可權 #####1.檔案屬性的檢視 ls -l filename -|rw-r--r--.|1| root| root|   46 |Oct  1 05:03 |filename — —————————  —  ————  ————    ——  ———————

ubuntu系統root許可權的切換

普通使用者切換到root使用者 首先重置root密碼 輸入 sudo passwd root 然後根據提示一步一步來。 (密碼是隱藏的。) 輸入su,然後按照提示輸入相應的root密碼,就可登入到root許可權下。 進入到root後會發現後面變成了井號

LinuxMongoDB許可權管理

2. 在我們使用的關係型資料庫中,一般都是含有許可權控制的,也就是說配置什麼使用者訪問什麼資料庫,什麼資料表,什麼使用者可以對錶進行增刪改,什麼使用者可以對錶進行讀取等等都是可以配置,那麼MongoDB作為一個非關係型資料庫的典型,它其實也是可以配置的,而掌握MongoDB的許可權我們只需要簡單理解下面幾點,

Linux 程序許可權分析

在linux下,關於檔案許可權,大部分人接觸比較多,也比較熟悉瞭解.但是對程序許可權一般知之甚少。本文總結一下linux系統下程序許可權問題和現象。 需要強調的是,本文是linux系統下討論,因為linux和unix有很多不同的地方,並且各個不同的unix系統也有很

Linuxroot許可權

root 許可權,系統許可權的一種,與 SYSTEM 許可權可以理解成一個概念,但高於 Administrator 許可權。root 是 Linux 和 UNIX 系統中的超級管理員使用者帳戶,該帳戶擁

Linux許可權簡介

抄自:https://blog.csdn.net/mydsyc/article/details/42079927 一、UNIX下關於檔案許可權的表示方法和解析 UNIX下關於檔案許可權的表示方法和解析 SUID 是 Set User ID, SGID 是 Set Group ID的意

linux使用者許可權修改

網上找來一篇關於linux許可權修改方式文章,對於我腦子記性不好的人有非常大的幫助 1. 更改檔案擁有者  命令 : chown [-cfhvR] [--help] [--version] user[:group] file...  功能 : 更改檔案或者資料夾的擁有者

linux目錄許可權檢視與修改以及檔案和目錄訪問許可權設定

檢視檔案許可權的語句:   在終端輸入: ls -l xxx.xxx (xxx.xxx是檔名)   那麼就會出現相類似的資訊,主要都是這些: -rw-rw-r--   一共有10位數   其中: 最前面那個 - 代表的是型別   中間那三個 rw- 代表的是所有者(user

linuxshell任務控制命令與快捷鍵jobs/fg/bg/ctrl+z/kill

Linux下使用Shell命令控制任務(Jobs)執行 下列命令可以用來操縱程序任務: ps 列出系統中正在執行的程序 kill 傳送訊號給一個或多個程序(經常用來殺死一個程序) jobs 列出屬於當前使用者的程序 bg 將程序搬到後臺執行(Background) fg

Apacheroot許可權執行CGI

問題場景 Apache預設是以daemon使用者(或者其他other使用者)和daemon使用者組啟動的,所以其worker程序也是daemon許可權的,這樣,worker程序fork的CGI程序,以及CGI再fork的子程序,都是daemon許可權的。如果想

PCB(程序控制塊)以及Linux的程序控制塊task_struct

程序控制塊中的資訊: 1.程序識別符號:程序識別符號是惟一地標識一個程序。一個程序通常有兩種識別符號   (1).內部表示符:在所有的作業系統中,都為每一個程序賦予了一個惟一的數字識別符號,它通常是一個程序的序號。設定內部識別符號主要是為了方便系統使用。   (2).外部識