su和sudo Linux基础之系统安全及应用( 三 ) _扫描

3、sudo命令
作用：提升执行权限（使用其他用户的身份执行）
用法：sudo 授权命令
（1）配置sudo授权
/etc/文件默认的权限为440，需要使用工具进行编辑，如果使用vim命令编辑退出时需要“：wq！”，强制保存。
使用，可以看见里面有大量的模版，这些都是可以直接借用。
（2）授权格式
用户主机名=命令程序列表用户主机名=(用户) 命令程序列表解释：用户：直接授权指定的用户名，或采用“%组名”的形式（授权一个组的所有用户）。主机名：使用此规则的主机名。没配置过主机名时可用localhost，有配过主机名则用实际的主机名，ALL则代表所有主机(用户)：用户能够以何种身份来执行命令。此项可省略，缺省时以root用户的身份来运行命令命令程序列表：允许授权的用户通过sudo方式执行的特权命令，需填写命令程序的完整路径，如果不知道路径可以用“which”查，多个命令之间以逗号“,”进行分隔。ALL则代表系统中的所有命令；通配符“*”表示所有、取反符号“!”表示排除注：初次使用sudo时需验证当前用户的密码，默认超时时长为5分钟，在此期间不再重复验证密码。
使用编辑
查询命令路径
测试lisi用户执行，顺带测试wheel组内用户组成员使用sudo时不需要密码认证。
用户在输入和命令时被限制。
（3）设置别名
输入时，有时候有些用户、主机名或命令字符比较长或复杂，可以设置一个别名，方便省力。
使用关键字 User_Alias、Host_Alias、Cmnd_Alias 来进行设置别名（别名必须为大写）多个信息需要用“，”隔开。User_Alias USERS=用户名1，用户名2，用户名3#用户别名，USERS代表后面三个用户Host_Alias HOSTS=localhost,bogon#主机别名Cmnd_Alias CMNDS=/sbin/ifconfig,/usr/sbin/useradd,/usr/sbin/userdel#命令别名USERS HOSTS=CMNDS#使用别名编写授权
例如：描述上可能有问题，但命令格式没问题
（4）查看sudo操作记录
启用sudo操作日志visudoDefaults logfile = "/var/log/sudo"
使用“”，在最后一行输入lisi =/sbin/；= “/var/log/sudo”，将sudo操作日志打开，并给lisi用户的权限。
使用sudo查看。
三、开关机安全 1、调整BIOS引导设置
（1）将第一引导设备设为当前系统所在硬盘。
（2）禁止从其他设备（光盘、U盘、网络)引导系统，将对应的项设置为“” 。
（3）将安全级别设为setup，并设置管理员密码。
2、GRUB限制
grub2-mkpasswd-pbkdf2#使用grub2-mkpasswd-pbkdf2生成密钥cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bakcp /etc/grub.d/00_header /etc/grub.d/00_header.bakvim /etc/grub.d/00_header#修改/etc/grub.d/00_header文件，添加密码记录cat << EOFset superusers="root"#设置用户名为rootpassword_pbkdf2 root grub.pbkdf2……#设置密码，省略部分内容为经过加密生成的密码字符串EOFgrub2-mkconfig -o /boot/grub2/grub.cfg #生成新的 grub.cfg 文件
在linux系统重启时，看最下面有一行，按“e”可以进入grub菜单。
进入grub菜单后，所有人可以修改grub引导参数，这样是一个极大的隐患，所以要个grup加个限制。可以为 GRUB 菜单设置一个密码，只有提供正确的密码才被允许修改引导参数。
（1）使用grub2--生成密钥
grub2-mkpasswd-pbkdf2
（2）修改/etc/grub.d/文件，添加密码记录
修改文件前备份文件，防止出现问题好恢复。这里将第三步的grup.cfg一起备份了。