找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 15948|回复: 0

运维人员权限分配

[复制链接]

304

主题

42

回帖

1346

积分

管理员

积分
1346
发表于 2021-6-12 21:11:57 | 显示全部楼层 |阅读模式
用户身份切换
  1. 如何在普通用户的情况下,完成日常工作?
  2. 1)`su` 切换用户,使用普通用户登录,然后使用su命令切换到root。
  3. 优点:简单,方便
  4. 缺点:需要知道root密码,不安全,切换到root没有日志审计功能

  5. 2)`sudo` 提权,当需要使用root权限时,进行提权,而无需切换至root用户。
  6. 优点:安全,方便
  7. 缺点:复杂
  8. su
  9. -
  10. -c:不切换用户,使用用户身份执行命令
  11. 缺点:需要知道root的密码

  12. sudo
  13. 当普通用户需要执行root才能执行的命令时,需要提权
  14. 缺点:配置复杂

  15. #给予运维人员权限须知:
  16. · 给予权限可以给所有权限,但是将su,vim,rm命令禁用,su命令禁用是为了避免用户在只知道自己密码的情况进行提权切换用户,这样只需要知道自己的密码也可以切换至root用户,另外也需要禁止root用户通过ssh连接至本机

  17. visudo  = vim /etc/sudoers
  18. username ALL=(ALL) ALL
  19. username ALL=(ALL) ALL,!/bin/su,!/bin/vim,!/bin/vi,!/bin/rm,/bin/ifconfig,/bin/netstat
复制代码
用户身份提权
  1. #centos7的提权
  2. ## sudo 提权
  3. usermod zls -G wheel

  4. 1.将用户加入到 sudoers 文件中
  5. 2.将用户加入到 sudoers 文件中设置的组里

  6. [root@localhost ~]# visudo
  7. 1.用户名      2.主机名   3.角色名       4.命令名
  8. root            ALL=    (ALL)           ALL

  9. #centos6的提权
  10. #1.系统安装后就有sudo命令,如果没有sudo命令,可通过如下方式安装
  11. [root@zls ~]# yum install -y sudo

  12. #2.使用`visudo`命令编辑sudo配置文件, 相当于 vim /etc/sudoers`配置文件
  13. [root@zls ~]# visudo  #会对配置进行验证
  14. zls ALL=(ALL) /bin/rm, /bin/cp  #新增

  15. #3.配置选项详解
  16. 1.用户名      2.主机名   3.角色名       4.命令名
  17. root            ALL=    (ALL)           ALL
  18. zls      ALL     使用最高角色执行    /bin/rm, /bin/cp #允许使用sudo执行命令
  19. zls   ALL=(ALL)  NOPASSWD:/bin/cp, /bin/rm   //不需要密码使用rm、cp命令

  20. #4.使用visudo -c检查配置文件
  21. [root@zls ~]# visudo  -c
  22. /etc/sudoers: parsed OK
复制代码
例:#sudo免密码配置选项
  1. #1.普通用户执行sudo不需要输入密码配置
  2. [root@zls ~]# visudo
  3. zls ALL=(ALL) /bin/rm, /bin/cp  #默认
  4. zls   ALL=(ALL)  NOPASSWD:/bin/rm, /bin/cp  #修改后

  5. #2.默认普通用户无权删除
  6. [zls@zls ~]$ rm -f /root/002
  7. rm: cannot remove `/root/002': Permission denied

  8. #3.验证sudo免密码执行权限
  9. [zls@zls ~]$ sudo rm -f /root/002
复制代码
sudo组配置
  1. //如果每增加一个用户需配置一行sudo,这样设置非常麻烦。所以可以进行如下设置

  2. %zls  ALL=(ALL)     NOPASSWD:/bin/rm, /bin/cp  #新增组
  3. //group1这个组的所有用户都拥有sudo的权力。接下来只需要将用户加入该组即可。

  4. //创建用户加入该组
  5. [root@zls ~]# groupadd zls
  6. [root@zls ~]# useradd zls1 -g zls
  7. [root@zls ~]# useradd zls2 -g zls

  8. //root用户建立目录
  9. [root@zls ~]# mkdir /root/zls_sudo

  10. //切换用户并删除测试
  11. [root@zls ~]# su - zls1
  12. [zls1@zls ~]$ rm -rf /root/zls_sudo
  13. rm: cannot remove `/root/zls_sudo': Permission denied

  14. //使用sudo
  15. [zls1@zls ~]$ sudo rm -rf /root/zls_sudo
复制代码


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|外汇论坛 ( 粤ICP备16021788号 )

GMT+8, 2024-11-25 05:47 , Processed in 0.346890 second(s), 18 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表