linux权限最小化分级,vim可视化Linux系统安全最小化原则 su sudo
一、vim在可視化模式下編輯
crl+v,會變成-- VISUAL BLOCK --,然后用上下左右鍵去選中.
多行注釋:
ESC進入命令行模式;
Ctrl+v進入VISUAL BLOCK模式
上下左右鍵調整需要注釋多少行;
Shift+i即大寫I或s進入插入模式,輸入注釋的符號,比如#;
再按兩下ESC鍵,這時就可完成多行注釋,
命令行模式下,輸入:首行號,尾行號s/^/字符/g,實現批量插入字符.如:2,7s/^/#/g.
1.d命令可以刪除高亮顯示的文本,而D命令則會刪除一行,
即使這一行中只有部分文本是高亮顯示的;
2.y命令將復制高亮顯示的文本,而Y命令會復制整行;
3.c命令可以將高亮顯示的文本刪除并進入編輯模式,
而C命令會刪除一行文本并進入編輯狀態;
4.針對高亮顯示的文本塊,我們可以用命令~進行大小寫轉換;
5.用命令>增加縮進,或用命令
二、Linux系統安全最小化原則:
1.安裝系統最小化,即選包最小化,沒用的包不裝;
2.開機自啟動服務最小化,即沒用的服務不啟動;
3.操作命令最小化,例如:能用"rm -f hehe.txt",就不用"rm -rf hehe.txt";
4.登錄用戶最小化,一般不登錄Root,用普通用戶登錄;
5.普通用戶授權權限最小化,只給他需要的命令;
6.系統文件及目錄的權限設置最小化,禁止隨意更改、創建、刪除文件.
三、服務器日志審計項目提出與實施:
1.權限方案實施后,權限得到了細化控制,接下來進一步實施對所有用戶日志記錄方案;
2.通過sudo和rsync配合實現對所有用戶進行日志審計并將記錄集中管理;
3.實施后讓所有運維和開發的所有執行的sudo管理命令都有記錄可查,杜絕內部操作隱患.
增加配置 "Defaults logfile=/var/log/sudo.log"到/etc/sudoers
四、su
1.su user(這樣寫讓別人看見了,會感覺你是個新手)
切換到user用戶下,但仍然使用前用戶的環境變量,稱為半切換
[root@www ~]# su stu01
[stu01@www root]$ env | grep root
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin
MAIL=/var/spool/mail/root
PWD=/root
[stu01@www root]$ pwd
/root
2.su - user
切換到user用戶下,且使用user1的環境變量,
具體的說就是 .bash_profile和.bash_rc,稱之為全切換
[root@www ~]# su - stu01
[stu01@www ~]$ pwd
/home/stu01
3.切換用戶身份
"-"是加載環境變量,-c以"指定用戶"執行任務
# tail -5 /etc/rc.local
su - tddoc -c '/bin/sh /home/tddoc/bin/hehe.sh'
五、sudo
1.用途
a.對用戶的執行命令權限進行限制;
b.提供了日志記錄,可詳細記錄每個用戶具體的操作;
c.臨時性的時間戳(一般為5min),在此期間使用sudo命令,不需要再輸入密碼;
d.配置文件為/etc/sudoers,可以使root對用戶集中管理
2.工作原理
a.當用戶執行sudo時,系統尋找/etc/sudoers文件,判斷該用戶是否具備執行sudo的權限;
b.確認用戶權限后,讓用戶輸入自身的密碼;
c.若密碼合法,則開始執行sudo后續的命令;
d.root執行sudo時不需要輸入密碼,自身切換自身也不需要輸入密碼.
3.常用參數
# visudo -c 檢查/etc/sudoers的語法
/etc/sudoers: parsed OK
$ sudo -l 列出目前用戶可執行與無法執行的指令
$ sudo -k 結束密碼的有效期限,也就是下次再執行sudo時便需要輸入密碼
$ sudo -v 延長密碼有效期限5分鐘
$ sudo -V 顯示版本信息
4.配置
root??? ALL=(ALL)?????? ALL
用戶名?? 主機IP?? 可切換的身份?? 可執行的命令
NOPASSWD: ALL--當使用sudo時,不需要輸入密碼,ALL代表可以執行任何命令
5.例子
#用戶別名分類:
User_Alias KAIFA_ADMINS = kaifa01, kaifa02
User_Alias YUNWEI_ADMINS = oldboy, oldgirl
User_Alias OLD_NETADMINS = leo, maya
#命令分類別名:
Cmnd-Alias USERCMD = /usr/sbin/useradd, /usr/sbin/userdel, \
/usr/bin/passwd [A-Za-z]*, /bin/chown
Cmnd-Alias DISKCMD = /sbin/fdisk
Cmnd-Alias KAIFACMD = /bin/grep, /bin/cat
#角色
Runas_Alias OP1 = root, oldboy
Runas_Alias OP2 = root, oldgirl
#授權
KAIFA_ADMINS ALL=(OP1) KAIFACMD
YUNWEI_ADMINS ALL=(OP1) USERCMD DISKCMD
企業案例可以參考:https://blog.csdn.net/xiegh2014/article/details/52634030
6.排錯
parse error in /etc/sudoers near line 127
是因為書寫出現錯誤(少了一個逗號)
YUNWEI_ADMINS ALL = (OP1) NOPASSWD:USERCMD DISKCMD
正確寫法
YUNWEI_ADMINS ALL = (OP1) NOPASSWD:USERCMD, DISKCMD
總結
以上是生活随笔為你收集整理的linux权限最小化分级,vim可视化Linux系统安全最小化原则 su sudo的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: java继承调用先后_「继承顺序」JAV
- 下一篇: linux安装gcc运行时库,Linux