账号安全、su命令、PAM认证、sudo命令 Linux——系统安全及应用( 二 )


第二列代表PAM控制标记 选项说明
表示需要返回一个成功值,如果返回失败,不会立即将失败结果返回,而是继续进行同类型的下一步验证,所有此类型的模块都执行完成后,再返回失败
与类似,但如果此模块返回失败,则立刻返回失败并表示此类型失败
如果此模块返回成功,则直接向程序返回成功,表示此类成功,如果失败,也不影响这类型的返回值
不进行成功与否的返回,一般不用于验证,只是显示信息(通常用于类型)
表示在验证过程中调用其他的 PAM 配置文件 。比如很多应用通过完整调用/etc/pam.d/-auth (主要负责用户登录系统的认证工作)来实现认证而不需要重新逐一去写配置项
第三列代表PAM模块第四列代表PAM模块的参数5、控制标记地补充说明

账号安全、su命令、PAM认证、sudo命令  Linux——系统安全及应用

文章插图
6、PAM验证流程
四、使用sudo机制提升权限 1、su命令的缺点2、sudo命令的用途及用法3、配置sudo授权
visudo或vi /etc/sudoers(此文件的默认权限为440,保存并退出时必须执行":wq!"命令来强制操作)
用户直接授权指定的用户名,或采用“组名"的形式(权一个组的所有用户)
主机名
使用此规则的主机名 。没配置过主机名时可用,有配过主机名则用实际的主机名,ALL则代表所有主机
(用户)
用户能够以何种身份来执行命令 。此项可省略,缺省时以root用户的身份来运行命令
命令程序列表
允许授权的用户通过sudo方式执行的特权命令,需填写命令程序的完整路径,多个命令之间以逗号 “,” 进行分隔 。ALL则代表系统中的所有命令
[root@localhost ~]# visudo......%wheelALL=NOPASSWD: ALL##表示wheel组成员无需验证密码即可使用sudo执行任何命令jerrylocalhost=/sbin/ifconfigsyrianerlocalhost=/sbin/*,!/sbin/ifconfig,!/sbin/route##通配符"*"表示所有,取反符号"!"表示排除Cmnd_AliasPKGTOOLS=/bin/rpm,/usr/bin/yummikelocalhost =PKGTOOLS
使用关键字Ueer_ Alias、 Host_ Alias、Cmnd Alias来进行设置别名( 别名必须为大写)User_ Alias USERS -Tom, Jerry, MikeHost_ Alias HOSTS- loca lhos t,bogonCmnd_ Alias CMNDS /sbin/i fconfig, /usr/ sbin/useradd, /usr/ sbin/userdelUSERS HOSTS=CMNDS
4、启用sudo操作日志
vi sudoDefaults logfile = "/var/ log/sudo"
5、查看sudo操作记录
[root@localhost ~]# tail larl/log/sudo.......Aug 24 23:59:44 : jerry : TTY=pts/0 ; PWD=/home/jerry ;USER=root ; COMMAND=/sbin/ifconfigens33:0 192.168.1.11/24Aug 25 00:00:46 : syrianer : TTY=pts/1 ; PWD=/home/syrianer ; USER=root ; COMMAND=list启用日志配置以后,sudo操作过程才会被记录
6、查询授权的sudo操作
sudo -l
【账号安全、su命令、PAM认证、sudo命令Linux——系统安全及应用】su - Tom/sbin/ifconfig ens33:0 192.168.1.11/24.sudo /sbin/ifconfig ens33:0 192. 168.1.11/24#初次使用sudo时需验证当前用户的密码,默认超时时长为5分钟,在此期问不再重复验证密码 。sudo -l#查看当前用户获得哪些sudo授权