账号安全、su命令、PAM认证、sudo命令 Linux——系统安全及应用( 二 ) _认证

第二列代表PAM控制标记选项说明
表示需要返回一个成功值，如果返回失败，不会立即将失败结果返回，而是继续进行同类型的下一步验证，所有此类型的模块都执行完成后，再返回失败
与类似，但如果此模块返回失败，则立刻返回失败并表示此类型失败
如果此模块返回成功，则直接向程序返回成功，表示此类成功，如果失败，也不影响这类型的返回值
不进行成功与否的返回，一般不用于验证，只是显示信息(通常用于类型)
表示在验证过程中调用其他的 PAM 配置文件。比如很多应用通过完整调用/etc/pam.d/-auth (主要负责用户登录系统的认证工作)来实现认证而不需要重新逐一去写配置项
第三列代表PAM模块第四列代表PAM模块的参数5、控制标记地补充说明

文章插图
6、PAM验证流程
四、使用sudo机制提升权限 1、su命令的缺点2、sudo命令的用途及用法3、配置sudo授权
visudo或vi /etc/sudoers（此文件的默认权限为440，保存并退出时必须执行":wq!"命令来强制操作）
用户直接授权指定的用户名，或采用“组名"的形式(权一个组的所有用户)
主机名
使用此规则的主机名。没配置过主机名时可用，有配过主机名则用实际的主机名，ALL则代表所有主机
（用户）
用户能够以何种身份来执行命令。此项可省略，缺省时以root用户的身份来运行命令
命令程序列表
允许授权的用户通过sudo方式执行的特权命令，需填写命令程序的完整路径，多个命令之间以逗号 “,” 进行分隔。ALL则代表系统中的所有命令

[root@localhost ~]# visudo......%wheelALL=NOPASSWD: ALL##表示wheel组成员无需验证密码即可使用sudo执行任何命令jerrylocalhost=/sbin/ifconfigsyrianerlocalhost=/sbin/*,!/sbin/ifconfig,!/sbin/route##通配符"*"表示所有，取反符号"！"表示排除Cmnd_AliasPKGTOOLS=/bin/rpm,/usr/bin/yummikelocalhost =PKGTOOLS

使用关键字Ueer_ Alias、 Host_ Alias、Cmnd Alias来进行设置别名( 别名必须为大写)User_ Alias USERS -Tom, Jerry, MikeHost_ Alias HOSTS- loca lhos t，bogonCmnd_ Alias CMNDS /sbin/i fconfig, /usr/ sbin/useradd, /usr/ sbin/userdelUSERS HOSTS=CMNDS

4、启用sudo操作日志
vi sudoDefaults logfile = "/var/ log/sudo"
5、查看sudo操作记录

[root@localhost ~]# tail larl/log/sudo.......Aug 24 23:59:44 : jerry : TTY=pts/0 ; PWD=/home/jerry ;USER=root ; COMMAND=/sbin/ifconfigens33:0 192.168.1.11/24Aug 25 00:00:46 : syrianer : TTY=pts/1 ; PWD=/home/syrianer ; USER=root ; COMMAND=list启用日志配置以后，sudo操作过程才会被记录

6、查询授权的sudo操作
sudo -l
【账号安全、su命令、PAM认证、sudo命令Linux——系统安全及应用】

su - Tom/sbin/ifconfig ens33:0 192.168.1.11/24.sudo /sbin/ifconfig ens33:0 192. 168.1.11/24#初次使用sudo时需验证当前用户的密码，默认超时时长为5分钟，在此期问不再重复验证密码 。sudo -l#查看当前用户获得哪些sudo授权