사용자는 권한 상승 전환
대부분의 리눅스 서버는 루트 사용자로 직접 로그인하는 사용자를하지 않는 것이 좋습니다. 크게 잘못된 작업으로 인한 손상을 줄일 수있는 한편, 또한 안전하지 않은 네트워크의 특권을 암호의 위험이 손상 줄일 수 있습니다. 이러한 이유로, 사용자가 전환하는 또는 필요한 경우 권한 상승 메커니즘이 관리 작업을 수행하기위한 공통의 정체성을 제공하는 것이 필요하다.
리눅스 시스템은 sudo는 명령 권한을 각각 수행하기 위해 상승하는 동안, SU, sudo는 주로 사용자를 전환 su 명령을 사용하는 명령 두 종류의, 우리에게 제공 아래에 설명되어 있습니다.
다른 사용자가 보안 위험을 가져다 로그인 암호, (루트로) 다시하고 다시 시도 할 수있는 기회를 가질 수 있도록 기본적으로 모든 사용자가 su 명령을 사용할 수있다. 있는 pam_wheel 수단에 의한 제어를 사용 su 명령, 강화를 위해
인증 모듈, 매우 소수의 사용자 su 명령 스위치. 다음과 같이 구현 프로세스는 다음과 같습니다되어있는 pam_wheel 인증을 사용하려면, 휠 그룹에 추가 /etc/pam.d/su 인증 구성을 수정 su 명령을 사용할 수있는 권한이 사용자.
2.PAM 안전 인증
PAM (플러그 인증 모듈), 시스템은 또한 일반적으로 리눅스 서버를 사용하는 현재 인증 방법이며, 매우 효율적이고 유연하고 편리한 사용자 수준 인증이 리눅스 플러그 인증 모듈입니다.
PAM은 로그인, 원격 로그인 (텔넷, RLOGIN, 난포 자극 호르몬 (FSH), FTP에 대한 모든 서비스에 대한 인증을위한 중앙 메커니즘 제공 ), SU 및 기타 응용 프로그램을. 인증 시스템 관리자는 PAM 구성 파일에 의해 서로 다른 응용 프로그램에 대해 서로 다른 전략을 개발합니다.
우리의 PAM 인증 프로파일은 우리의 명령 SU있다
정력 /etc/pam.d/su 안전 인증 스와 구성
리시는 wheel 그룹에 사용자를 추가
세 .sudo 오른쪽을 언급
su 명령은 다른 사용자로 전환하는 것이 아니라 대상 사용자의 알고 있어야합니다 경우에만를 통해 아주 쉽게 할 수 있습니다
로그인 암호를. 예를 들어, 루트 사용자에 제리 사용자로 전환하려면 루트 암호를 알고 있어야합니다. 원시의 경우
생산 환경의 리눅스 서버, 특권 암호를 알고 각각 더 사람은 보안 위험은 한 점 증가합니다.
타협은 일반 사용자가 관리 권한의 일부를 가질 수 있으며, 루트가 사용하지 않는, 거기에
그 어떤 사용자의 암호를 말해? 대답은 '예, 당신은 수행 할 권한을 상승하기는 sudo 명령을 사용할 수있다. 그러나, 튜브에 의해 필요가
수퍼 유저 (또는 다른 일반 사용자) 실행 명령 정체성에 허용되는 사용자 지정 사전인가 된 관리자했다
주문을.
Cmnd_Alias 별칭 명령
User_Alias 사용자 별칭
Host_Alias 호스트 별명
정력을 / etc /의 sudoers
