Cmnd_Alias在sudo配置行中可以调用已经定义的别名root.PPT

* * RHCE * 用户帐号安全优化 帐号安全基本措施 删除不使用的帐号、禁用暂时不使用的帐号 检查程序用户的登录Shell是否异常 强制用户定期修改密码（设置密码有效期） /etc/login.defs文件、chage命令 增强普通用户的密码强度 /etc/pam.d/system-auth文件中的minlen参数 减少记录命令历史的条数 环境变量 HISTSIZE 设置在命令行界面中超时自动注销 环境变量 TMOUT * 使用su切换用户身份 su命令 用途：Substitute User，切换为新的替换用户身份 格式：su [-] [用户名] [zhangsan@localhost ~]$ su - 口令： [root@localhost ~]# whoami root 未指定用户时，缺省切换为root [root@localhost ~]# su - zhangsan [zhangsan@localhost ~]$ pwd /home/zhangsan [root@localhost ~]# su zhangsan [zhangsan@localhost root]$ pwd /root 未使用“-”选项时，仍沿用切换前的用户环境 * 使用su切换用户身份 应用示例： 仅允许zhangsan用户使用su命令切换身份 [root@localhost ~]# vi /etc/pam.d/su …… auth required pam_wheel.so use_uid …… [root@localhost ~]# gpasswd -a zhangsan wheel 去掉此行行首的“#” * 使用sudo提升执行权限 sudo机制 用途：以可替换的其他用户身份执行命令，若未指定目标用户，默认将视为root用户 格式：sudo [-u 用户名] 命令操作 [root@localhost ~]# sudo -u zhangsan /bin/touch /tmp/sudotest.file [root@localhost ~]# ls -l /tmp/sudotest.file -rw-r--r-- 1 zhangsan zhangsan 0 05-26 09:09 /tmp/sudotest.file 以 zhangsan 用户身份创建的文件属性 * 使用sudo提升执行权限 配置文件：/etc/sudoers 授权哪些用户可以通过sudo方式执行哪些命令 以下2种方法都可以编辑sudoers文件 visudo vi /etc/sudoers * 使用sudo提升执行权限 在sudoers文件中的基本配置格式 用户 主机名列表=命令程序列表 [root@localhost ~]# grep ^root /etc/sudoers root ALL=(ALL) ALL 被授权的用户 在哪些主机中使用 允许执行哪些命令 针对root用户的sudo配置特例 允许以哪些用户的身份执行命令，缺省为root * 使用sudo提升执行权限 应用示例1： 需求描述： 允许用户mikey通过sudo执行/sbin、/usr/bin目录下的所有命令，但是禁止调用ifconfig、vim命令 授权wheel组的用户不需验证密码即可执行所有命令 为sudo机制增加日志功能 [root@localhost ~]# visudo Defaults logfile=/var/log/sudo …… mikey localhost=/sbin/*,/usr/bin/*,!/sbin/ifconfig eth0,!/usr/bin/vim %wheel ALL=(ALL) NOPASSWD: ALL [root@localhost ~]# vi /etc/syslog.conf local2.debug /var/log/sudo * 使用sudo提升执行权限 应用示例1（续）： 测试sudo配置的效果 查看允许执行的命令列表（-l选项） 通过sudo执行命令（sudo 命令行） 清除用户密码验证的时间戳（-k） 重新校验密码（-v） * 使用sudo提升执行权限 为sudo配置项定义别名 关键字：User_Alias、Host_Alias、Cmnd_Alias 在sudo配置行中，可以调用已经定义的别名 [root@localhost ~]# visudo …… User_Alias OPERATORS=jerry,tom,tsengyia Host_Alias MAILSERVERS=mail,s