sudo
sudo简介
- 说明
sudo 即superuser do,允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,如mount、reboot、shutdown、init、halt、user等等。这样不仅减少了root用户的登录 和管理时间,同样也提高了安全性。
备注:Ubuntu安装系统,默认禁用root账号而第一个普通用户就配置好sudo权限,centos默认启用root账号,因此普通用户需自行配置sudo权限
文件相关配置
- sudo配置文件
/etc/sudoers
- 通配符
? 任意单一字符
* 匹配任意长度字符
[wxc] 匹配其中一个字符
[!wxc] 除了这三个字符的其它字符
\x 转义
[[alpha]] 字母
- 格式
- 格式定义
root ALL=(ALL) ALL
- 格式说明
user: 运行命令者的身份
host: 通过哪些主机
(runas):以哪个用户的身份
command: 运行哪些命令
- 格式别名
User和runas:
username
#uid
%group_name
%#gid
user_alias|runas_alias
host:
ip或hostname
network(/netmask)
host_alias
command:
command name
directory
sudoedit
Cmnd_Alias
- sudo别名类型
User_Alias
Runas_Alias
Host_Alias
Cmnd_Alias
- 别名格式
[A-Z]([A-Z][0-9]_)*
案例
- 案例1:用户命令授权,配置visudo /etc/sudoers
授权mount命令挂载:
zxl ALL=(root) /usr/bin/mount /dev/cdrom /mnt/,/usr/bin/umount /mnt
获取root所有权限
zxl ALL=(root) ALL
对授权的命令进行取反
zxl ALL=(ALL) ALL,!/usr/bin/vim,!/usr/bin/su
- 案例2:别名授权,配置visudo /etc/sudoers
#用户别名定义
User_Alias SYSADER=wang,mage,%admins
User_Alias DISKADER=tom
#主机别名定义
Host_Alias SERS=www.magedu.com,172.16.0.0/24
#用户身份别名定义
Runas_Alias OP=root
#命令别名定义
Cmnd_Alias SYDCMD=/bin/chown,/bin/chmod
Cmnd_Alias DSKCMD=/sbin/parted,/sbin/fdisk
Cmnd_Alias ADMINCMD = /usr/sbin/useradd,/usr/sbin/usermod,/usr/bin/passwd [azA-Z]*, !/usr/bin/passwd root
#别名运用方法root ALL=(ALL) ALL
SYSADER SERS= SYDCMD,DSKCMD
DISKADER ALL=(OP) DSKCMD
#ADMINCMD命令访问无需密码验证,/usr/sbin/userdel命令需要密码验证
ADMINUSER ALL=(root) NOPASSWD:ADMINCMD,PASSWD:/usr/sbin/userdel
#wang用户只能再指定ip地址内使用root授权命令
wang 192.168.1.6,192.168.1.8=(root) /usr/sbin/,!/usr/sbin/useradd
PAM
pam简介
- pam说明
PAM(Pluggable Authentication Modules)即可插拔式认证模块,它是一种高效而且灵活便利的用户级别的认证方式,它也是当前Linux服务器普遍使用的认证方式。
在不同版本的Linux统中部署PAM认证是有所不同的。
它提供了对所有服务进行认证的中央机制,适用于login,远程登录(telnet,rlogin,fsh,ftp,点对点协议(PPP)),su等应用程序中。
系统管理员通过PAM配置文件来制定不同应用程序的不同认证策略;应用程序开发者通过在服务程序中使用PAM API(pam_xxxx( ))来实现对认证方法的调用;而PAM服务模块的开发者则利用PAM SPI来编写模块(主要是引出一些函数pam_sm_xxxx( )供PAM接口库调用),将不同的认证机制加入到系统中;PAM接口库(libpam)则读取配置文件,将应用程序和相应的PAM服务模块联系起来
- PAM框架结构如图所示
- 官网地址
http://www.linux-pam.org/
- 帮助文档
官方在线文档:http://www.linux-pam.org/Linux-PAM-html/
官方离线文档:http://www.linux-pam.org/documentation/
PAM工作原理
PAM认证一般遵循这样的顺序:Service(服务)→PAM(配置文件)→pam_*.so
PAM认证首先要确定哪一项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib/security下)进行安全认证。
- 认证原理图如下图所示:
- 认证过程讲解
1.使用者执行/usr/bin/passwd 程序,并输入密码
2.passwd开始调用PAM模块,PAM模块会搜寻passwd程序的PAM相关设置文件,这个设置文件一般是在/etc/pam.d/里边的与程序同名的文件,即PAM会搜寻/etc/pam.d/passwd此设置文件
3.经由/etc/pam.d/passwd设定文件的数据,取用PAM所提供的相关模块来进行验证
4.将验证结果回传给passwd这个程序,而passwd这个程序会根据PAM回传的结果决定下一个动作(重新输入密码或者通过验证)
PAM 配置文件格式说明
- 通用配置文件/etc/pam.conf格式,此格式不使用
application type control module-path arguments
- 专用配置文件/etc/pam.d/ 格式
type control module-path arguments
- application:指服务名,如:telnet、login、ftp等,服务名字“OTHER”代表所有没有在该文件中明确配置的其它服务
- type:指模块类型,即功能
- control :PAM库该如何处理与该服务相关的PAM模块的成功或失败情况,一个关健词实现
- module-path: 用来指明本模块对应的程序文件的路径名
- Arguments: 用来传递给该模块的参数
模块类型
[09:37:39 root@rocky8_12 ~]#vim /etc/pam.d/sshd
#type #Control #path
1 #%PAM-1.0
2 auth substack password-auth
3 auth include postlogin
4 account required pam_sepermit.so
5 account required pam_nologin.so
6 account include password-auth
7 password include password-auth
8 # pam_selinux.so close should be the first session rule
9 session required pam_selinux.so close
10 session required pam_loginuid.so
11 # pam_selinux.so open should only be followed by sessions to be executed in the user context
12 session required pam_selinux.so open env_params
13 session required pam_namespace.so
14 session optional pam_keyinit.so force revoke
15 session optional pam_motd.so
16 session include password-auth
17 session include postlogin
module-type
- Auth 账号的认证和授权
- Account 帐户的有效性,与账号管理相关的非认证类的功能,如:用来限制/允许用户对某个服务的访问时间,限制用户的位置(例如:root用户只能从控制台登录)
- Password 用户修改密码时密码复杂度检查机制等功能
- Session 用户会话期间的控制,如:最多打开的文件数,最多的进程数等
- -type 表示因为缺失而不能加载的模块将不记录到系统日志,对于那些不总是安装在系统上的模块有用
module-Control
- required :一票否决,表示本模块必须返回成功才能通过认证,但是如果该模块返回失败,失败结果也不会立即通知用户,而是要等到同一type中的所有模块全部执行完毕,再将失败结果返回给应用程序,即为必要条件
- requisite :一票否决,该模块必须返回成功才能通过认证,但是一旦该模块返回失败,将不再执行同一type内的任何模块,而是直接将控制权返回给应用程序。是一个必要条件
- sufficient :一票通过,表明本模块返回成功则通过身份认证的要求,不必再执行同一type内的其它模块,但如果本模块返回失败可忽略,即为充分条件,优先于前面的required和requisite
- optional :表明本模块是可选的,它的成功与否不会对身份认证起关键作用,其返回值一般被忽略
- include: 调用其他的配置文件中定义的配置信息
module-path
- 模块文件所在绝对路径:
- 模块文件所在相对路径:/lib64/security目录下的模块可使用相对路径,如:pam_shells.so、pam_limits.so
- 有些模块有自已的专有配置文件,在/etc/security/*.conf目 录下
Arguments
- debug :该模块应当用syslog( )将调试信息写入到系统日志文件中
- no_warn :表明该模块不应把警告信息发送给应用程序
- use_first_pass :该模块不能提示用户输入密码,只能从前一个模块得到输入密码
- try_first_pass :该模块首先用前一个模块从用户得到密码,如果该密码验证不通过,再提示用户输入新密码
- use_mapped_pass 该模块不能提示用户输入密码,而是使用映射过的密码
- expose_account 允许该模块显示用户的帐号名等信息,一般只能在安全的环境下使用,因为泄漏用户名会对安全造成一定程度的威胁
执行过程总结概括
程序调用 → pam配置文件:/etc/pam.d/ → 通过配置文件调用模块:/usr/lib64/security/ → 如果复杂模块会有专门配置文件进行配置:/etc/security/
模块使用案例
pam_nologin.so 模块
- 简介
功能:如果/etc/nologin文件存在,将导致非root用户不能登陆,当该用户登陆时,会显示/etc/nologin文
件内容,并拒绝登陆
- 查看哪些程序使用nologin模块
[15:24:54 root@rocky8_31 ~]#cd /etc/pam.d/
[15:26:24 root@rocky8_31 pam.d]#grep pam_nologin *
cockpit:account required pam_nologin.so
gdm-autologin:account required pam_nologin.so
gdm-fingerprint:account required pam_nologin.so
gdm-password:account required pam_nologin.so
gdm-pin:account required pam_nologin.so
gdm-smartcard:account required pam_nologin.so
login:account required pam_nologin.so
remote:account required pam_nologin.so
sshd:account required pam_nologin.so
vmtoolsd:account required pam_nologin.so
- 验证nologin模块功能
[D:\~]$ ssh [email protected]
Connecting to 192.168.100.31:22...
Connection established.
To escape to local shell, press Ctrl+Alt+].
非root用户不能登录
Connection closing...Socket close.
Connection closed by foreign host.
Disconnected from remote host(192.168.100.31:22) at 15:32:32.
Type `help' to learn how to use Xshell prompt.
[D:\~]$ ssh [email protected]
Connecting to 192.168.100.31:22...
Connection established.
To escape to local shell, press Ctrl+Alt+].
非root用户不能登录
Activate the web console with: systemctl enable --now cockpit.socket
This system is not registered to Red Hat Insights. See https://cloud.redhat.com/
To register this system, run: insights-client --register
Last login: Fri Sep 16 15:24:54 2022 from 192.168.100.1
pam_limits.so 模块
- 简介
功能:在用户级别实现对其可使用的资源的限制,例如:可打开的文件数量,可运行的进程数量,可用
内存空间
- 查看哪些程序使用limits模块
[15:57:22 root@rocky8_31 ~]#grep pam_limits /etc/pam.d/*
/etc/pam.d/fingerprint-auth:session required pam_limits.so
/etc/pam.d/password-auth:session required pam_limits.so
/etc/pam.d/runuser:session required pam_limits.so
/etc/pam.d/system-auth:session required pam_limits.so
- 验证limit模块功能
- 查看用户默认资源
[16:08:43 root@rocky8_31 ~]#ulimit -a
core file size (blocks, -c) 0
data seg size (kbytes, -d) unlimited
scheduling priority (-e) 0
file size (blocks, -f) unlimited
pending signals (-i) 10972
max locked memory (kbytes, -l) 64
max memory size (kbytes, -m) unlimited
open files (-n) 1024
pipe size (512 bytes, -p) 8
POSIX message queues (bytes, -q) 819200
real-time priority (-r) 0
stack size (kbytes, -s) 8192
cpu time (seconds, -t) unlimited
max user processes (-u) 10972
virtual memory (kbytes, -v) unlimited
file locks (-x) unlimited
- ulimit命令
- 说明
ulimit是linux shell的内置命令,它具有一套参数集,用于对shell进程及其子进程进行资源限制。
ulimit的设定值是 per-process 的,也就是说,每个进程有自己的limits值。
使用ulimit进行修改,立即生效。
ulimit只影响shell进程及其子进程,用户登出后失效。
可以在profile中加入ulimit的设置,变相的做到永久生效。
- 命令参数
-H 设置硬件资源限制.
-S 设置软件资源限制.
-a 显示当前所有的资源限制.
-c size:设置core文件的最大值.单位:blocks
-d size:设置数据段的最大值.单位:kbytes
-f size:设置创建文件的最大值.单位:blocks
-l size:设置在内存中锁定进程的最大值.单位:kbytes
-m size:设置可以使用的常驻内存的最大值.单位:kbytes
-n size:设置内核可以同时打开的文件描述符的最大值.单位:n
-p size:设置管道缓冲区的最大值.单位:kbytes
-s size:设置堆栈的最大值.单位:kbytes
-t size:设置CPU使用时间的最大上限.单位:seconds
-u size:最大用户进程数
-v size:设置虚拟内存的最大值.单位:kbytes
unlimited 是一个特殊值,用于表示不限制
#说明
查询时,若不加H或S参数,默认显示的是软限制
修改时,若不加H或S参数,两个参数一起改变
- 临时修改limit资源
16:44:31 root@rocky8_31 ~]#ulimit -u
10972
You have new mail in /var/spool/mail/root
[17:03:59 root@rocky8_31 ~]#ulimit -u 5000
[17:04:28 root@rocky8_31 ~]#ulimit -u
5000
- 永久修改limit资源
[17:04:32 root@rocky8_31 ~]#vim /etc/security/limits.conf
[17:06:35 root@rocky8_31 ~]#grep ^[*] /etc/security/limits.conf
* soft core unlimited
* hard core unlimited
* soft nproc 1000000
* hard nproc 1000000
* soft nofile 1000000
* hard nofile 1000000
* soft memlock 32000
* hard memlock 32000
* soft msgqueue 8192000
* hard msgqueue 8192000
#退出当前窗口重新登录
[17:07:46 root@rocky8_31 ~]#ulimit -a
core file size (blocks, -c) unlimited
data seg size (kbytes, -d) unlimited
scheduling priority (-e) 0
file size (blocks, -f) unlimited
pending signals (-i) 10972
max locked memory (kbytes, -l) 32000
max memory size (kbytes, -m) unlimited
open files (-n) 1000000
pipe size (512 bytes, -p) 8
POSIX message queues (bytes, -q) 8192000
real-time priority (-r) 0
stack size (kbytes, -s) 8192
cpu time (seconds, -t) unlimited
max user processes (-u) 1000000
virtual memory (kbytes, -v) unlimited
file locks (-x) unlimited
- 配置文件
- pam_limits的设定值是基于 per-process 的
/etc/security/limits.conf
/etc/security/limits.d/*.conf
- 文件格式
#每行一个定义
<domain> <type> <item> <value>
- 格式说明:
Username 单个用户
@group 组内所有用户
* 所有用户
% 仅用于限制 maxlogins limit , 可以使用 %group 语法. 只用 % 相当于 * 对所有用户
maxsyslogins limit限制. %group 表示限制此组中的所有用户总的最大登录数
- 限制的类型
Soft 软限制,普通用户自己可以修改
Hard 硬限制,由root用户设定,且通过kernel强制生效
- 二者同时限定
- 限制的资源
nofile 所能够同时打开的最大文件数量,默认为1024
nproc 所能够同时运行的进程的最大数量,默认为1024
通过systemd服务