【使用场景】
在向业务厂商提供管理员账号用于业务部署的场景中,希望对该管理员账号的权限进行限制,以防止业务厂商通过该账号使用sudo修改root密码或切换到root进行某些高风险操作。
【操作步骤】
1.禁止root用户远程ssh登录
为增强系统安全性,首先禁止root用户通过ssh进行远程登录。
# vim /etc/ssh/sshd_config
查找PermitRootLogin参数,并将其值修改为no。
保存并退出vi编辑器。
重启ssh服务,使更改生效。
2.配置PAM认证以限制su命令
为限制非root用户通过su命令切换到root,需要配置PAM认证。
# vim /etc/pam.d/su
确保文件中包含auth required pam_wheel.so use_uid这一行,这表示只有wheel组的用户才能使用su命令切换到其他用户(包括root)。
3.编辑sudoers文件以限制wheel组权限
注:在编辑sudoers文件时,需要先使用chomd
# visudo /etc/sudoers
在文件中找到wheel组的配置,并添加以下限制:
%wheel ALL=(ALL) ALL,!/usr/bin/passwd root,!/usr/bin/passwd --stdin root,!/usr/bin/chattr,!/usr/sbin/usermod,!/usr/sbin/visudo,!/usr/bin/su,!/bin/bash,!/bin/sh,!/usr/bin/gpasswd,!/usr/bin/chpasswd
保存并退出编辑器。
4. 保护关键系统文件
为防止关键系统文件被非法修改,使用chattr命令为这些文件设置不可变属性。
# chattr +i /etc/sudo.conf
# chattr +i /etc/sudoers
# chattr +i /etc/sudoers.d/
# chattr +i /etc/pam.d/*
如果您发现该资源为电子书等存在侵权的资源或对该资源描述不正确等,可点击“私信”按钮向作者进行反馈;如作者无回复可进行平台仲裁,我们会在第一时间进行处理!
加入交流群
请使用微信扫一扫!