1、切换用户 su 命令 (Substitute User)
格式:su [-] 用户名 (有 “ - ” 初始化环境变量,无 “ - ” 环境变量不改变)
2、查看su操作记录
安全日志文件:/var/log/secure
示例:tac /var/log/secure | less
3、提升权限 sudo 命令
(1)作用:以其他用户身份(默认root身份)执行授权的命令
(2)用法:
sudo 授权命令
默认设置为首次执行时,需输入当前用户的登录密码,5分钟内再次执行 sudo 命令时则无需再输入密码
(3)配置 sudo 授权
● 方法一:添加单个用户的 sudo 授权
visudo 或者 vi /etc/sudoers(效果相同),添加配置内容
格式:用户 主机名列表=命令程序列表,命令前加 “ !” 表示 “ 除了 ” 此命令
● 方法二:批量授权
wheel 组 (将希望提权的用户加入wheel组)
别名
根据示例以及实际需求,设置别名。(建议先复制行,在粘贴修改)
设置别名后,添加格式后:用户别名 主机别名=命令别名(所有别名均大写)
(4)查看 sudo 操作记录
● 方法:
第一步:visudo 或者 vi /etc/sudoers 添加 “ Defaults logfile=/var/log/sudo ”
第二步:cat /var/log/sudo
(5)查询授权操作 sudo -l
概述
Linux-PAM(linux可插拔认证模块):一种高效并且灵活便利的用户级别认证方式,是当前linux服务器普遍使用的认证方式。提供对所有服务进行认证的中央机制,适用于login,远程登录(telnet、ftp等)、su等应用程序。(关于概念大家可以进行百度百科很权威)
Linux系统认证请求的过程一般为(给他家做张图):
pam.d文件夹内容
看下pam构成
第一列为认证的类型
auth:认证管理,接收用户名密码等信息,认证该密码是否正确
account:账户管理,检查账户是否被禁用、是否允许登录系统、是否过期、是否有限制等
session:会话管理,在用户登录前和用户退出后的会话进行管理和记账
password:密码管理,主要用来修改用户的密码
第二列为控制类型
required:验证失败时仍然继续,但返回fail
requisite:验证失败时则立即结束整个验证过程,返回fail
sufficient:验证成功则立即返回,不再继续,否则忽略结果则继续验证
optional:不用于验证,只是显示信息(通常用于session会话类型)
include:不进行认证,转到后面PAM模块进行认证