限制管理员账号权限的技巧分享
【使用场景】
在向业务厂商提供管理员账号用于业务部署的场景中,希望对该管理员账号的权限进行限制,以防止业务厂商通过该账号使用sudo修改root密码或切换到root进行某些高风险操作。
【操作步骤】
1.禁止root用户远程ssh登录
为增强系统安全性,首先禁止root用户通过ssh进行远程登录。
# vim /etc/ssh/sshd_config
查找PermitRootLogin参数,并将其值修改为no。
保存并退出vi编辑器。
重启ssh服务,使更改生效。
2.配置PAM认证以限制su命令
为限制非root用户通过su命令切换到root,需要配置PAM认证。
# vim /etc/pam.d/su
确保文件中包含auth required pam_wheel.so use_uid这一行,这表示只有wheel组的用户才能使用su命令切换到其他用户(包括root)。
3.编辑sudoers文件以限制wheel组权限
注:在编辑sudoers文件时,需要先使用chomd
# visudo /etc/sudoers
在文件中找到wheel组的配置,并添加以下限制:
%wheel ALL=(ALL) ALL,!/usr/bin/passwd root,!/usr/bin/passwd --stdin root,!/usr/bin/chattr,!/usr/sbin/usermod,!/usr/sbin/visudo,!/usr/bin/su,!/bin/bash,!/bin/sh,!/usr/bin/gpasswd,!/usr/bin/chpasswd
保存并退出编辑器。
4. 保护关键系统文件
为防止关键系统文件被非法修改,使用chattr命令为这些文件设置不可变属性。
# chattr +i /etc/sudo.conf
# chattr +i /etc/sudoers
# chattr +i /etc/sudoers.d/
# chattr +i /etc/pam.d/*
如果您发现该资源为电子书等存在侵权的资源或对该资源描述不正确等,可点击“私信”按钮向作者进行反馈;如作者无回复可进行平台仲裁,我们会在第一时间进行处理!
- 最近热门资源
- 分享如何在银河麒麟高级服务器操作系统V10SP3中需要启用内核审计功能。 176
- 分享免费开源高速下载器 171
- 一图对比分析IPv4与IPv6 167
- 统信uos家庭版与专业版的选择 166
- 分享如何查看网卡中断的数量 163
- 解决银河麒麟无法添加惠普打印机,提示'client-error-not-possible'.”错误 162
- winrar绿色无广告版分享 154
- 通过shell脚本在统信UOS/麒麟系统中安装nginx 145
- 分享在麒麟系统中关闭占用端口的进程的办法 142
- 统信UOS常见问题小总结 142
- 最近下载排行榜
- 分享如何在银河麒麟高级服务器操作系统V10SP3中需要启用内核审计功能。 0
- 分享免费开源高速下载器 0
- 一图对比分析IPv4与IPv6 0
- 统信uos家庭版与专业版的选择 0
- 分享如何查看网卡中断的数量 0
- 解决银河麒麟无法添加惠普打印机,提示'client-error-not-possible'.”错误 0
- winrar绿色无广告版分享 0
- 通过shell脚本在统信UOS/麒麟系统中安装nginx 0
- 分享在麒麟系统中关闭占用端口的进程的办法 0
- 统信UOS常见问题小总结 0
prtyaa 收益395.97元
zlj141319 收益228.47元
IT-feng 收益214.92元
1843880570 收益214.2元
风晓 收益208.24元
777 收益173.02元
哆啦漫漫喵 收益131.6元
Fhawking 收益106.6元
信创来了 收益105.97元
克里斯蒂亚诺诺 收益91.08元
