標籤:sudo許可權集中管理
目的
使得公司的Linux系統許可權管理更規範,讓每個使用者擁有自己所該有的許可權,防止因為某些使用者的許可權過大後的一些誤操作,導致伺服器的不正常運行。
操作
1、編輯Linux系統中的sudoers檔案
[[email protected] ~]# vim /etc/sudoers#Edit by rootUser_Alias NETMAN = net01, net02 #使用者別名User_Alias ADMIN = admin01, admin02User_Alias SA = %sa#定義的別名必須都要用大寫字母,別名後面跟的參數是用 ,(逗號)+ 空格 隔開的Cmnd_Alias NETCMD = /sbin/ifconfig, /etc/init.d/network #命令別名Cmnd_Alias ADMINCMD = /usr/sbin/useradd, /usr/sbin/userdelNETMAN ALL = (ALL) NETCMDADMIN ALL = (ALL) ADMINCMDSA ALL = (ALL) ALL
在/etc/sudoers檔案中,自行重新定義別名(別名為一群擁有相同屬性的集合)
別名分為:主機別名(Host_Alias)、使用者別名(User_Alias)、命令別名(Cmnd_Alias)、身份別名(Runas_Alias)
(其中主機別名和身份別名較少用,主機別名的用途在於多台伺服器共用同一個sudoers檔案)
別名與Sudoers配置的位置對應為:
650) this.width=650;" src="http://s3.51cto.com/wyfs02/M02/2F/6E/wKioL1Of-Mfx_Q6mAABIBCOZqEo151.jpg" title="QQ圖片20140108095139.jpg" alt="wKioL1Of-Mfx_Q6mAABIBCOZqEo151.jpg" />
註:
①、身份別名中所涉及的使用者必須是系統中真實存在的。
②、命令別名的路徑必須使用絕對路徑
③、在引用使用者組時,須在使用者組名前面加%
2、對以上的sudoers配置結果進行驗證
[[email protected] ~]# su - net01[[email protected] ~]$ sudo -l #使用者所擁有的sudo許可權查看[sudo] password for net01:User net01 may run the following commands on this host:(ALL) /sbin/ifconfig, /etc/init.d/network[[email protected] ~]# su - admin01[[email protected] ~]$ sudo -lUser admin01 may run the following commands on this host:(ALL) /usr/sbin/useradd, /usr/sbin/userdel[[email protected] ~]# id nowsunuid=500(nowsun) gid=508(sa) groups=508(sa)[[email protected] ~]# su - nowsun[[email protected] ~]$ sudo -l[sudo] password for nowsun:User nowsun may run the following commands on this host:(ALL) ALL
對比完發現,與在/etc/sudoers中的配置一致。
3、配置sudo的日誌審計
①、安裝sudo(CentOS 6.4 中的服務為rsyslog)
[[email protected] ~]#yum install sudo
②、配置/etc/sudoers
[[email protected] ~]# echo "Defaults logfile=/var/log/sudo/log" ; /etc/sudoers[[email protected] ~]# tail -1 /etc/sudoersDefaults logfile=/var/log/sudo/log
③、在普通使用者下,執行sudo命令
[[email protected] /]$ sudo lsapp boot etc lib lost+found misc net proc sbin srv tmp varbin dev home lib64 media mnt opt root selinux sys usr[[email protected] /]$ sudo /usr/sbin/useradd kkkuseradd: user kkk exists
④、查看/var/log/sudo/log的記錄檔
[[email protected] ~]# cat /var/log/sudo/logJan 8 10:44:45 : nowsun : TTY=pts/1 ; PWD=/home/nowsun ; USER=root ; COMMAND=/bin/lsJan 8 10:44:51 : nowsun : TTY=pts/1 ; PWD=/home/nowsun ; USER=root ; COMMAND=/bin/lsJan 8 10:44:57 : nowsun : TTY=pts/1 ; PWD=/ ; USER=root ; COMMAND=/bin/lsJan 8 10:45:36 : nowsun : TTY=pts/1 ; PWD=/ ; USER=root ;COMMAND=/usr/sbin/useradd kkk
發現已經記錄下來了,後面就可以根據這個日誌來抓出破壞系統的真兇了。
本文出自 “NowSun” 部落格,請務必保留此出處http://nowsun.blog.51cto.com/522159/1427337