su、sudo命令详解 Linux系统安全及应用（详细）( 二 ) _nmap

第四列代表PAM模块的参数，这个需要根据所使用的模块来添加。
传递给模块的参数。参数可以有多个，之间用空格分隔开
(四)、限制使用su命令的用户
将允许使用su命令的用户加入wheel组
启用认证模块
[root@ ~]# -a chen wheel
正在将用户“chen”加入到“wheel”组中
[root@ ~]# chen
chen : chen wheel
[root@ ~]#vim /etc/pam.d/su (在这个文件里设置禁止用户使用su命令)
首先，圈出来的两行是默认状态，这种状态下是允许所有用户间使用su命令进行切换的，而且root使用su普通用户就不需要输入密码
第二种情况，把两行都注释掉：
第三种情况：注释第一行，开启第二行：
第四种情况：第一行和第二行都开启：
由此可以得出四种情况的结果：
1、两行是默认状态（即开启第一行，注释第二行），这种状态下是允许所有用户间使用su命令进行切换的。
2、两行都注释也是运行所有用户都能使用su命令，但root下使用su切换到其他普通用户需要输入密码；如果第一行不注释，则root使用su切换普通用户就不需要输入密码（.so模块的主要作用是使uid为0的用户，即 root用户能够直接通过认证而不用输入密码。）
3、如果开启第一行和第二行，表示只有root用户和wheel组内的用户才可以使用su命令。
4、如果注释第一行，开启第二行，表示只有wheel组内的用户才能使用su命令，root用户也被禁用su命令。
三、使用sudo机制提升权限（一）、配置sudo授权
命令：或者vi /etc/（此文件保存退出需要:wq!）
记录格式：用户主机名列表=命令程序列表
? 用户主机名=(用户) 命令程序列表
【su、sudo命令详解Linux系统安全及应用（详细）】例：给chen这个用户加权限，除了和其他命令都可执行
下面说一下别名的设置:
（二）、启用sudo操作日志
需启用配置
默认日志文件：/var/log/sudo
命令：或 vim /etc/
= “/var/log/sudo”!
四、开关机安全控制（一）、调整BIOS引导设置
将第一引导设备设为当前系统所在硬盘
禁止从其他设备（光盘、U盘、网络）引导系统
将安全级别设为setup，并设置管理员密码
（二）、GRUB限制
开机页面按e键盘就会进入grub菜单，如果修改grub菜单内的配置，可能会导致系统开不了机，为了保护grub菜单，给进入grub菜单设置密码
下面看具体操作：
使用grub2--生成密钥
修改/etc/grub.d/文件中，添加密码记录
生成新的grub.cfg配置文件
（三）、禁止 root 用户登录
在 Linux 系统中，login 程序会读取/etc/ 文件，以决定允许 root 用户从哪些终端（安全终端）登录系统。
vi /etc/
#tty5
#tty6
进入tty界面按住ctrl+alt 和F1-6之间切换，比如我们禁用tty5和tty6
（四）、禁止普通用户登录
login 程序会检查/etc/ 文件是否存在，如果存在，则拒绝普通用户登录系统（root 用户不受限制）。
touch /etc/ #禁止普通用户登录
rm -rf /etc/ #取消登录限制
五、系统弱口令检测（一）、Joth the ，简称为 JR
一款密码分析工具，支持字典式的暴力破解
通过对文件的口令分析，可以检测密码强度
官方网站：
1、首先将准备好的john工具包通过直接拖到/opt目录下，并进行解压
2、安装软件编译工具，需要用到下面的三个工具，没安装的可以安装一下
yum-y gcc gcc-c++ make
3、切换到src目录下面进行编译安装
cd /opt/john-1.8.0/src
make clean linux-x86-64
4、准备待破解的密码文件，密码文件我们知道在/etc/里面，我们复制这个文件到opt目录下面，并命名