Centos7如何實現賬戶安全及提權

這篇文章給大家分享的是有關Centos7如何實現賬戶安全及提權的內容。小編覺得挺實用的，因此分享給大家做個參考，一起跟隨小編過來看看吧。

一.切換用戶命令su

su  用戶名  切換用戶，只是新起一個進程，和之前的進程沒有關系，之前進程并沒有消失，

su  -  用戶名   以普通用戶的初始環境進行切換普通用戶，這么切換，環境變量會重置成普通用戶的環境變量。

root切普戶不用密碼，普戶切root需要root密碼，這種切換方式一般不使用，不規范。

二.pam_wheel認證

如果任意一個普通用戶拿到root密碼都可以切換到root用戶，是非常危險的。

我們想要讓個別用戶有權利切換root，而其他用戶無權訪問root，這時就需要啟動pam_wheel認證

（1）.查看程序是否支持pam模塊

ls /etc/pam.d | grup su

（2）.啟用pam_wheel認證模塊

vim   /etc/pam.d/su

（3）.將注釋去掉，啟用功能

（4）.查看安全組wheel

（5）.新建賬戶zhangsan

（5）.添加用戶到安全組中

gpasswd -a zhangsan wheel

三.sudo提權

      不讓你知道root的密碼，還能讓你干root才能干的活，前提是要在sudo的配置文件/etc/sudoers里進行授權。/etc/sudoers配置文件的安全級別非常高，root都是只讀權限，想去修改sudo的配置文件只能用命令visudo，如果用chmod將它的權限改了，那么整個sudo就不能用了。

      總結：sudo申請提權的前提是visudo里要給普戶授權了才能申請提權 。如果root授權了就提權成功，每次申請提權都要輸普戶自己的密碼。

sudo  -l 看當前用戶有什么權限。。第一個ALL是所有ip地址，第二個ALL是所有主機名，一般我們可以不寫，第三個ALL是所有命令。如果我們給普戶yu授權了所有權限，一般來說root能用的權限普通提權用戶也都能用。我們也可設置它只能在某個ip或網段登錄，或者設定它只能用哪些命令和不能用哪些命令格式/sbin/* , ! /sbin/reboot , ! /sbin/.......先允許它/sbin/的所有都能用，再用逗號隔開，嘆號取反后跟不讓他使用的命令。先允許，再拒絕，這就是權限授權規則。在工作中，授權要最小化。

命令visudo 或者   vim   /etc/sudoers

記錄格式:用戶      主機名列表=命令程序列

（1）.新建一個用戶lisi，確定lisi權限

（2）.修改配置文件

visudo

（3）.修改權限

格式：lisi  localhost=/usr/sbin/useradd

（4）.驗證lisi用戶能否使用useradd命令

sudo useradd wangwu

四.限制終端登錄

1.限制root只在安全終端登錄

修改安全配置文件vim  /etc/securetty

2.限制普通用戶登錄

建立/etc/nologin 文件即可限制普通用戶登錄

刪除該文件或者重啟即可取消限制

感謝各位的閱讀！關于“Centos7如何實現賬戶安全及提權”這篇文章就分享到這里了，希望以上內容可以對大家有一定的幫助，讓大家可以學到更多知識，如果覺得文章不錯，可以把它分享出去讓更多的人看到吧！