每個文件和進程,都需要對應一個用戶和用戶組。
linux系統是通過UID和GID來是識別用戶和組的。
其中用戶名等同於人名(人類識別),UID和GID等同於身份證號(系統識別)。
linux管理員:root
用戶和組的關係
一對一,一對多,多對一,多對多
用戶分類
超級用戶:UID=0 root
普通用戶:UID>=500 由超級用戶或者具有超級用戶權限的用戶創建的用戶
虛擬用戶:UID={1,499}存在滿足文件或者服務啓動的需要,一般不能登錄。
每個文件和進程,都需要對應一個用戶和用戶組。
和用戶關聯的四個文件:
/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow.
用戶管理的命令:
useeradd 添加用戶
userdel 刪除用戶
passwd 設置或修改密碼 更改/etc/shadow
chage 修改用戶密碼屬性 管理/etc/shadow
usermod 修改用戶信息
id 查看用戶信息
su 用戶角色切換工具
sudo 普通用戶不需要root密碼就可以執行只有root才能執行相應的命令或具備的目錄權限
visudo 配置sudo權限的編輯命令,可以直接vi來編輯/etc/sudoers實現。推薦使用,可以自動檢查語法。
groupadd 添加組
groupdel 刪除組
groups 查看組信息
whoami 查看當前用戶
/etc/skel 目錄
/etc/skel 目錄是用來存放新用戶環境變量的目錄,當我們添加新用戶時,這個目錄下的所有文件會自動被複制到新添加的用戶家目錄下(cp -a /etc/skel/* /home/新用戶名/),默認情況下,/etc/skel 目錄下的所有文件都是隱藏文件,通過修改添加、刪除/etc/skel 目錄下的文件,我們可爲新用戶提供統一的、標準的、初始化用戶環境。
/etc/skel 的企業場景作用:
1、可以把通知內容放到skel,讓登錄人員看
2、統一初始化新用戶的環境變量
3、面試題:出現“-bash-4.1$”問題原因及解決方法
原因:家目錄環境變量文件丟失。
解決方法:
su - a(a爲前面出現問題的用戶)
-bash-4.1$ cp /etc/skel/.bash* .
-bash-4.1$ logout
su -
su - a(a爲前面出現問題的用戶)
/etc/login.defs配置文件
/etc/login.defs文件是用來定義創建用戶時需要的一些用戶的配置信息。例如創建用戶時,是否需要家目錄,UID和GID的範圍,用戶及密碼的有效期限每個文件和進程,都需要對應一個用戶和用戶組。
linux系統是通過UID和GID來是識
每個文件和進程,都需要對應一個用戶和用戶組。
linux系統是通過UID和GID來是識別用戶和組的。
其中用戶名等同於人名(人類識別),UID和GID等同於身份證號(系統識別)。
linux管理員:root
用戶和組的關係
一對一,一對多,多對一,多對多
用戶分類
超級用戶:UID=0 root
普通用戶:UID>=500 由超級用戶或者具有超級用戶權限的用戶創建的用戶
虛擬用戶:UID={1,499}存在滿足文件或者服務啓動的需要,一般不能登錄。
每個文件和進程,都需要對應一個用戶和用戶組。
和用戶關聯的四個文件:
/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow.
用戶管理的命令:
useeradd 添加用戶
userdel 刪除用戶
passwd 設置或修改密碼 更改/etc/shadow
chage 修改用戶密碼屬性 管理/etc/shadow
usermod 修改用戶信息
id 查看用戶信息
su 用戶角色切換工具
sudo 普通用戶不需要root密碼就可以執行只有root才能執行相應的命令或具備的目錄權限
visudo 配置sudo權限的編輯命令,可以直接vi來編輯/etc/sudoers實現。推薦使用,可以自動檢查語法。
groupadd 添加組
groupdel 刪除組
groups 查看組信息
whoami 查看當前用戶
/etc/skel 目錄
/etc/skel 目錄是用來存放新用戶環境變量的目錄,當我們添加新用戶時,這個目錄下的所有文件會自動被複制到新添加的用戶家目錄下(cp -a /etc/skel/* /home/新用戶名/),默認情況下,/etc/skel 目錄下的所有文件都是隱藏文件,通過修改添加、刪除/etc/skel 目錄下的文件,我們可爲新用戶提供統一的、標準的、初始化用戶環境。
/etc/skel 的企業場景作用:
1、可以把通知內容放到skel,讓登錄人員看
2、統一初始化新用戶的環境變量
3、面試題:出現“-bash-4.1$”問題原因及解決方法
原因:家目錄環境變量文件丟失。
解決方法:
su - a(a爲前面出現問題的用戶)
-bash-4.1$ cp /etc/skel/.bash* .
-bash-4.1$ logout
su -
su - a(a爲前面出現問題的用戶)
/etc/login.defs配置文件
/etc/login.defs文件是用來定義創建用戶時需要的一些用戶的配置信息。例如創建用戶時,是否需要家目錄,UID和GID的範圍,用戶及密碼的有效期限等等。
/etc/default/useradd文件
/etc/default/useradd文件是在使用useradd添加用戶時的一個需要調用的默認配置文件,可以使用 user -D 參數 這樣的命令格式來修改文件裏面的內容。可以通過vi 命令直接編輯。
用戶密碼管理
1、密碼要複雜8位以上(字母數字特殊字符)
2、大的企業用戶和密碼統一管理(相當於活動目錄,openldap)
3、動態密碼:動態口令,第三方提供,或自己開發
用戶刪除管理
一般不能確認用戶相關目錄有沒有重要數據,就不能用-r。
1、vi /etc/passwd然後註釋掉用戶,觀察一個月,這樣出問題可以還原,相當於操作前備份。
2、把登錄shell改成/sbin/nologin。
3、openldap(類似活動目錄)賬號統一管理的,ldap庫裏幹掉用戶,所有服務器全部都沒了。
提示:修改刪除必須小心謹慎!
useradd參數
-c comenment 新賬號passwd的說明欄
-d home_dir 新賬號每次登入是所使用的home_dir。預設值爲default_home內login名稱,並當成登入時目錄名稱。
-e expire_date 賬號終止日期。日期格式爲MM/DD/YY。重點
-f inactive_days賬號過期幾日後永久停止權限。當值爲0時賬號則被立即停用。當值爲-1時則關閉此功能。
-g initial_group group名稱或以數字來做爲用戶登入起始用戶組。用戶組名須爲系統現有存在的名稱。用戶組數字也須爲系統現有存在的名稱。用戶組數字也須爲系統現有存在的用戶組。預設數字爲1.
-G group,[...] 定義此用戶爲不同groups的成員。每個用戶組使用“,”分隔。用戶組名同-g選項的限制。默認值爲用戶的起始用戶組。重點
-m 用戶目錄如不存在則自動建立。如使用-k選項,skeleton——dir內的檔案將複製至用戶目錄下,然而在/etc/skel目錄下的檔案也會複製過去取代。任何在skeleton_dir /etc/skel的目錄也相同會在用戶目錄下意義建立。The-k 同-m不建立目錄以及不復制任何檔案爲預設值。
-M 不建立用戶家目錄,優先於/etc/login.defs文件的設定。一般創建虛擬用戶時不建立家目錄,部署服務時需要創建虛擬用戶。重點
-n 默認情況用戶的用戶組與用戶的名稱會相同。如果命令加了-n參數,就不會生成和用戶同名的用戶組了。
-r 此參數是用來建立系統賬號。系統賬號的UID會比定義在系統檔上/etc/login.defs.的UID_MIN來的小。注意useradd此用法所建立的賬號不會建立用戶家目錄,也不會在乎記錄在/etc/login,defs.的定義值。如果你想要擁有用戶家目錄須額外指定-m參數來建立系統賬號。這是Red HAT額外增設的選項。
-s shell 用戶登入後使用的shell名稱。默認值爲不填寫,這樣系統會幫你指定預設的登入shell。
-u uid 用戶的ID值。這個值必須是唯一的,除非用-o選項。數字不可爲負值。
passwd 參數
-f , --force force operation #強制操作;僅root權限才能操作
-x,--maximum=DAYS #兩次密碼修改的最大天數,後面接數字;僅root權限操作
-n,--minimum=DAYS #兩次密碼修改的最小天數,後面接數字;僅root權限操作
-w,--warning=DAYS #在距多少天體系用戶修改密碼;僅root權限才能操作
-i,--inactive=DAYS #在密碼過期後多少天,用戶被禁掉;僅root權限才能操作
chage參數
-d,--lastday 最近日期 #將最近一次密碼設置時間設爲“最近日期”。
-E,--expiredate 過期日期 #將賬戶過期時間設爲“過期日期”,日期寫法:MM/DD/YY。
-h,--help #顯示此幫助信息並退出
-i,-inactive 失效密碼 #在密碼過期後多少天,用戶被禁掉;僅root權限才能操作
-l,--list #顯示賬戶年齡信息
-m,-mindays 最小天數 #將兩次改變密碼之間相距的最小天數設爲“最小天數”
-M,--maxdays 最大天數 #將兩次改變密碼之間相距的最大天數設爲“最大天數”
-W,warndays 警告天數 #將過期警告天數設爲“警告天數”
usermod參數
-c comment #增加用戶賬號/etc/passwd中的註釋說明欄(第五欄)。-c參數功能也可使用功能chfn
命令來修改,當然也可以手工修改/etc/passwd文件來實現。
-d home_dir #更新用戶新的家目錄,如果給定-m選項,用戶舊的家目錄會搬到新的家目錄去,
如舊的家目錄不存在則創建新的。
-e expire_date #加上用戶賬戶停止日期。日期格式:MM/DD/YY。
-f inactive_days #賬號過期幾日後永久停權。當值爲0時賬號則立即被停權。當值爲-1時則關閉此功能,預 設值爲-1.
-g initial_group #更新用戶新的起始登入用戶組。用戶組名須已存在。用戶組ID必須參照既有的用戶組。用 戶組ID預設值爲1.
-G group ,[...] #定義用戶爲一堆groups的成員。每個用戶使用“,”隔開。用戶在名同-g選項的限制。
-l login_name 變更用戶login時名稱爲login_name,其餘信息不變。
-s shell 指定新用戶登入shell。如此欄留白,系統將選用系統預設shell。這個-s參數功能也可以使用chsh命令來修改。當然也可以手工修改/etc/passwd文件來實現。
-u uid 指定用戶的ID值。這個值必須是唯一的,除非用-o選項。數字不可爲負值。
-L 凍結用戶的密碼,使之無法登錄,實際就是間接修改/etc/shadow的密碼欄。在密碼欄的開頭加上“!”號,即表示凍結。這個功能和usermod -e , chage -E或passwd -l等命令有類似功效,就是讓用戶無法正常登錄。
-U 取消凍結用戶的密碼,使之恢復登錄,實際同樣是修改/etc/shadow的密碼欄,在密碼欄的開頭取消“!”號,即表示恢復。
用戶查詢相關命令
id, finger, users, w, who, last, lastlog, groups
用戶及日誌查詢:w who
查看用戶登錄信息:當前last 歷史lastlog
查看用戶所屬:全部id 組groups主屬和附加組users
su 切換用戶
-,-l,-login make the shell a login shell 是一個shell成爲登錄的shell,如執行su - oldboy時,表示該用戶想改變身份爲oldboy,並且使用oldboy用戶的環境配置,如:/home/oldboy/.bash_profile等。
-c,--command=COMMAND pass a single COMMAND to the with -c
切換到一個shell下,執行一個命令,然後退出所切換的用戶環境。
-m, --preserve-environment do not reset environment variables,same as -p
切換用戶時,不重置用戶環境變量,-p的功能同-m,這個參數爲su的默認值, 一般較少使用
不加“-”的話,家目錄仍是root。
su - oldboy -c pwd 切到oldboy下執行pwd命令 切到用戶下執行命令,但當前用戶不變
由su和su -的區別談學習linux運維方法 http://oldboy.blog.51cto.com/2561410/1053606
env|grep -i 用戶名 查看用戶環境變量
sudo尚方寶劍
su切換用戶方便,但有一些致命的缺點:
1)普通用戶必須知道root密碼纔可以切換到root,這樣root密碼就泄露了。相當於把“刀把”交給了別人。
2)使用su命令切換身份,無法對切換後的身份做精細的控制,拿到別人超級權限的人可以爲所欲爲。甚至可以更改root密碼,讓真正的管理員無法擁有root權限。
爲了既不泄露密碼,又讓普通用戶擁有一定的超級權限,推出sudo命令。
通過sudo命令,我們可以把某些超級用戶權限分類,有針對性授權給指定的普通用戶,並且普通用戶不需要知道root密碼就可以得到root權限。
sudo的配置文件:/etc/sudoers
sudo命令執行的大概流程:
a)當用sudo執行命令時,系統首先會查找/var/run/sudo/%HOME(新用戶會先生成此目錄)目錄中是否有用戶時間戳文件,如果時間戳文件過期,則提示用戶輸入自身密碼(注意:這裏需要輸入當前執行命令用戶的密碼,不是root後其他要切換的用戶的密碼)。
b)當密碼驗證成功後,系統查找/etc/sudoers配置文件,判斷用戶是否有執行相應sudo命令權限。
c)如果具備執行相應sudo權限,就會自動由當前用戶切到root(或其他指定切換到的用戶),然後以root(或其他指定的切換到的用戶)身份角色執行該命令。
d)執行完成後,又會自動的直接退回到當前用戶shell下(以root等身份執行任務)。
更改授權/etc/sudoers文件
1)執行visudo命令自動編輯/etc/sudoers文件(推薦)
visudo 在98行,爲普通用戶提權
sudo命令配置時環境配置一定是全路徑。
2)直接修改/etc/sudoers文件方法(不推薦)
echo "oldboy ALL=(ALL) ALL" >> /etc/sudoers
visudo -c #檢查語法
sudo參數
-l 列出用戶在主機上可用和被禁止的命令;配置好sudo授權規則後,可用此參數查看授權情況
-v 驗證用戶時間戳;可跟蹤最新時間戳
-u 指定以某個用戶身份執行特定命令
-k 刪除時間戳,下一個sudo命令要求提供密碼
對用戶組進行授權:
echo "%oldboy ALL=(ALL) ALL" >> /etc/sudoers #配置oldboy組的授權,也可以通過visudo來更改。
tail -l /etc/sudoers #查看授權配置
visudo -c #檢查語法
ls -l /etc/sudoers #檢查/etc/sudoers權限
usermod -g oldboy ett #更改ett屬於oldboy組
id ett #查看更改結果
別名類型(Alias_Type):
1)Host_Alias 定義主機別名
1.在生產場景中,一般不需要設置主機別名,在定義授權規則時可以通過ALL來匹配所有主機。
2.注意定義規範(Host_Alias FILESERVERS = fs1, fs2 #等號兩邊有空格逗號後面有空格),雖然不是必須的,但我們還是要求能夠按照系統的標準來配置,這樣可以避免意外的問題發生。
3.以上Host_Aliases內容截取自/etc/sudoers文件,並取消了註釋。
4.其實就是邏輯上的主機組,當多臺服務器共享一個/etc/sudoers時候會用到主機別名。
5.%oldboy ALL=(ALL) ALL #第一個ALL就是主機別名的應用位置。
6.%oldboy FILESERVERS=(ALL) ALL #相當於裏面有兩臺機器
2)User_Alias定義用戶別名
1.設置用戶別名也不是必須的,可以通過%groupname的方式來作爲成員。
2.#User_Alias ADMINS = jsmith, mikem, %groupname
給ADMINS授權相當於同時授權給jsmith, mikem, %groupname
oldboy ALL=(ALL) ALL #oldboy就是主機別名的應用位置。
3)Runas_Alias 定義runas身份別名
1.這個別名指定的是“用戶身份”,即sudo允許切換到的用戶身份。
2.Runas_Alias定義的是用戶可以執行sudo切換身份到Runas_Alias下包含的成員身份。
3.實際語法 Runas_Alias OP = root
4.oldboy ALL=(ALL) ALL #小括號中的第二個ALL的位置就是Runas_Alias別名的應用位置。
4)Cmnd_Alias定義命令別名
1.命令別名就是設置可以執行哪些命令。
2.oldboy ALL=(ALL) ALL #第三個ALL的位置就是命令別名的位置。
3.所有的命令別名下的成員必須是文件或目錄的絕對路徑。
4.命令別名超過一行,可用“\”換行。
5.在定義時,可以使用正則表達式,如/usr/bin/passwd [A-Za-z]*。
sudo授權,別名和具體授權配置的關係
用戶和組 |
主機 |
可以切換的用戶角色 |
命令 |
root |
ALL= |
(ALL) |
ALL |
User_Alias ADMINS = jsmith, mikem, %groupname |
Host_Alias FILESERVERS = fs1, fs2 |
Runas_Alias OP = root |
Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig |
什麼情況下使用上述別名?
工作中一般有多個系統用戶,需要分類,分層次管理用戶時。
別名應用
Linux系統安全最小原則
最小化原則對Linux系統安全來說極其重要:即多一事不如少一事。
具體包括:
▲安裝Linux系統最小化,即選包最小化,yum安裝軟件包也要最小化,無用的包不裝
▲開機自啓動服務最小化,即無用的服務不開啓。
▲操作命令最小化。例:能“rm -f a.txt”就不用“rm -fr a.txt”。
▲登錄Linux用戶最小化。平時沒有特殊需求就不登錄root,用普通用戶登錄即可。
▲普通用戶授權最小化,即只給用戶必須管理系統的命令,不能啥都可以幹。
▲Linux系統文件及目錄的權限設置最小化,禁止隨意創建、更改、刪除文件。
配置sudo命令用戶行爲日誌審計
說明:所謂sudo命令日誌審計,並不記錄普通用戶的普通操作。而是記錄執行sudo命令的用戶操作。
項目實戰:簡歷中的經驗說明
服務器日誌審計項目提出與實施
1.權限方案實施後,權限得到了細化控制,接下來進一步實施對所有用戶日誌記錄方案。
2.通過sudo和syslog(rsyslog)配合實現對所有用戶進行日誌審計並將記錄集中管理(發送到中心日誌服務器)。
3.實施後讓所有運維和開發的所有執行的sudo管理命令都有記錄可查,杜絕了內部人員的操作安全隱患。
生產環境企業日誌審計解決方案:
所謂日誌審計,就是所有系統及相關用戶行爲的信息,並且可以自動分析、處理、展示(包括文本或錄像)
1)通過環境變量命令及rsyslog服務進行全部日誌審計(信息太大)。
2)sudo配合rsyslog服務,進行日誌審計(審計信息較少)
3)在bash解釋器程序裏嵌入一個監視器,讓所有被審計的系統用戶使用修改過的增加了監視器的特殊bash程序作爲解釋程序。
4)齊治的堡壘機(齊治科技堡壘主機系統):商業產品
https://wenku.baidu.com/view/76b3b3e6f18583d0486459 (齊治科技堡壘主機系統技術白皮書)
5)Python開發的開源產品
開源跳板機(堡壘機)Jumpserver部署詳解
開源堡壘機CrazyEye
http://3060674.blog.51cto.com/3050674/1700814
sudo日誌審計
1)安裝sudo命令,syslog服務(Centoa6.4爲rsyslog服務)
2)配置/var/sudoers(其實只要一行就可搞定sudo審計)
下面3,4可以不執行,直接切換到普通操作,然後查看/var/log/sudo.log有無記錄。
3)配置文件系統日誌/etc/rsyslog.conf(可以不配)
4)重啓rsyslog內核日誌記錄器
日誌集中管理
1)rsync+inotify或定時任務+rsync,推到日誌管理器上,10.0.0.7_2013.0303.sudo.log
2)rsylog服務來處理。
echo "10.0.2.164 logserver" >> /etc/hosts #日誌服務器地址
echo "*.info @logserver" >> /etc/syslog.conf #時候所有日誌推送
3)日誌收集解決方案scribe,Flume,stom,logstash ELK
別用戶和組的。其中用戶名等同於人名(人類識別),UID和GID等同於身份證號(系統識別)。
linux管理員:root
用戶和組的關係
一對一,一對多,多對一,多對多
用戶分類
超級用戶:UID=0 root
普通用戶:UID>=500 由超級用戶或者具有超級用戶權限的用戶創建的用戶
虛擬用戶:UID={1,499}存在滿足文件或者服務啓動的需要,一般不能登錄。
每個文件和進程,都需要對應一個用戶和用戶組。
和用戶關聯的四個文件:
/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow.
用戶管理的命令:
useeradd 添加用戶
userdel 刪除用戶
passwd 設置或修改密碼 更改/etc/shadow
chage 修改用戶密碼屬性 管理/etc/shadow
usermod 修改用戶信息
id 查看用戶信息
su 用戶角色切換工具
sudo 普通用戶不需要root密碼就可以執行只有root才能執行相應的命令或具備的目錄權限
visudo 配置sudo權限的編輯命令,可以直接vi來編輯/etc/sudoers實現。推薦使用,可以自動檢查語法。
groupadd 添加組
groupdel 刪除組
groups 查看組信息
whoami 查看當前用戶
/etc/skel 目錄
/etc/skel 目錄是用來存放新用戶環境變量的目錄,當我們添加新用戶時,這個目錄下的所有文件會自動被複制到新添加的用戶家目錄下(cp -a /etc/skel/* /home/新用戶名/),默認情況下,/etc/skel 目錄下的所有文件都是隱藏文件,通過修改添加、刪除/etc/skel 目錄下的文件,我們可爲新用戶提供統一的、標準的、初始化用戶環境。
/etc/skel 的企業場景作用:
1、可以把通知內容放到skel,讓登錄人員看
2、統一初始化新用戶的環境變量
3、面試題:出現“-bash-4.1$”問題原因及解決方法
原因:家目錄環境變量文件丟失。
解決方法:
su - a(a爲前面出現問題的用戶)
-bash-4.1$ cp /etc/skel/.bash* .
-bash-4.1$ logout
su -
su - a(a爲前面出現問題的用戶)
/etc/login.defs配置文件
/etc/login.defs文件是用來定義創建用戶時需要的一些用戶的配置信息。例如創建用戶時,是否需要家目錄,UID和GID的範圍,用戶及密碼的有效期限等等。
/etc/default/useradd文件
/etc/default/useradd文件是在使用useradd添加用戶時的一個需要調用的默認配置文件,可以使用 user -D 參數 這樣的命令格式來修改文件裏面的內容。可以通過vi 命令直接編輯。
用戶密碼管理
1、密碼要複雜8位以上(字母數字特殊字符)
2、大的企業用戶和密碼統一管理(相當於活動目錄,openldap)
3、動態密碼:動態口令,第三方提供,或自己開發
用戶刪除管理
一般不能確認用戶相關目錄有沒有重要數據,就不能用-r。
1、vi /etc/passwd然後註釋掉用戶,觀察一個月,這樣出問題可以還原,相當於操作前備份。
2、把登錄shell改成/sbin/nologin。
3、openldap(類似活動目錄)賬號統一管理的,ldap庫裏幹掉用戶,所有服務器全部都沒了。
提示:修改刪除必須小心謹慎!
useradd參數
-c comenment 新賬號passwd的說明欄
-d home_dir 新賬號每次登入是所使用的home_dir。預設值爲default_home內login名稱,並當成登入時目錄名稱。
-e expire_date 賬號終止日期。日期格式爲MM/DD/YY。重點
-f inactive_days賬號過期幾日後永久停止權限。當值爲0時賬號則被立即停用。當值爲-1時則關閉此功能。
-g initial_group group名稱或以數字來做爲用戶登入起始用戶組。用戶組名須爲系統現有存在的名稱。用戶組數字也須爲系統現有存在的名稱。用戶組數字也須爲系統現有存在的用戶組。預設數字爲1.
-G group,[...] 定義此用戶爲不同groups的成員。每個用戶組使用“,”分隔。用戶組名同-g選項的限制。默認值爲用戶的起始用戶組。重點
-m 用戶目錄如不存在則自動建立。如使用-k選項,skeleton——dir內的檔案將複製至用戶目錄下,然而在/etc/skel目錄下的檔案也會複製過去取代。任何在skeleton_dir /etc/skel的目錄也相同會在用戶目錄下意義建立。The-k 同-m不建立目錄以及不復制任何檔案爲預設值。
-M 不建立用戶家目錄,優先於/etc/login.defs文件的設定。一般創建虛擬用戶時不建立家目錄,部署服務時需要創建虛擬用戶。重點
-n 默認情況用戶的用戶組與用戶的名稱會相同。如果命令加了-n參數,就不會生成和用戶同名的用戶組了。
-r 此參數是用來建立系統賬號。系統賬號的UID會比定義在系統檔上/etc/login.defs.的UID_MIN來的小。注意useradd此用法所建立的賬號不會建立用戶家目錄,也不會在乎記錄在/etc/login,defs.的定義值。如果你想要擁有用戶家目錄須額外指定-m參數來建立系統賬號。這是Red HAT額外增設的選項。
-s shell 用戶登入後使用的shell名稱。默認值爲不填寫,這樣系統會幫你指定預設的登入shell。
-u uid 用戶的ID值。這個值必須是唯一的,除非用-o選項。數字不可爲負值。
passwd 參數
-f , --force force operation #強制操作;僅root權限才能操作
-x,--maximum=DAYS #兩次密碼修改的最大天數,後面接數字;僅root權限操作
-n,--minimum=DAYS #兩次密碼修改的最小天數,後面接數字;僅root權限操作
-w,--warning=DAYS #在距多少天體系用戶修改密碼;僅root權限才能操作
-i,--inactive=DAYS #在密碼過期後多少天,用戶被禁掉;僅root權限才能操作
chage參數
-d,--lastday 最近日期 #將最近一次密碼設置時間設爲“最近日期”。
-E,--expiredate 過期日期 #將賬戶過期時間設爲“過期日期”,日期寫法:MM/DD/YY。
-h,--help #顯示此幫助信息並退出
-i,-inactive 失效密碼 #在密碼過期後多少天,用戶被禁掉;僅root權限才能操作
-l,--list #顯示賬戶年齡信息
-m,-mindays 最小天數 #將兩次改變密碼之間相距的最小天數設爲“最小天數”
-M,--maxdays 最大天數 #將兩次改變密碼之間相距的最大天數設爲“最大天數”
-W,warndays 警告天數 #將過期警告天數設爲“警告天數”
usermod參數
-c comment #增加用戶賬號/etc/passwd中的註釋說明欄(第五欄)。-c參數功能也可使用功能chfn
命令來修改,當然也可以手工修改/etc/passwd文件來實現。
-d home_dir #更新用戶新的家目錄,如果給定-m選項,用戶舊的家目錄會搬到新的家目錄去,
如舊的家目錄不存在則創建新的。
-e expire_date #加上用戶賬戶停止日期。日期格式:MM/DD/YY。
-f inactive_days #賬號過期幾日後永久停權。當值爲0時賬號則立即被停權。當值爲-1時則關閉此功能,預 設值爲-1.
-g initial_group #更新用戶新的起始登入用戶組。用戶組名須已存在。用戶組ID必須參照既有的用戶組。用 戶組ID預設值爲1.
-G group ,[...] #定義用戶爲一堆groups的成員。每個用戶使用“,”隔開。用戶在名同-g選項的限制。
-l login_name 變更用戶login時名稱爲login_name,其餘信息不變。
-s shell 指定新用戶登入shell。如此欄留白,系統將選用系統預設shell。這個-s參數功能也可以使用chsh命令來修改。當然也可以手工修改/etc/passwd文件來實現。
-u uid 指定用戶的ID值。這個值必須是唯一的,除非用-o選項。數字不可爲負值。
-L 凍結用戶的密碼,使之無法登錄,實際就是間接修改/etc/shadow的密碼欄。在密碼欄的開頭加上“!”號,即表示凍結。這個功能和usermod -e , chage -E或passwd -l等命令有類似功效,就是讓用戶無法正常登錄。
-U 取消凍結用戶的密碼,使之恢復登錄,實際同樣是修改/etc/shadow的密碼欄,在密碼欄的開頭取消“!”號,即表示恢復。
用戶查詢相關命令
id, finger, users, w, who, last, lastlog, groups
用戶及日誌查詢:w who
查看用戶登錄信息:當前last 歷史lastlog
查看用戶所屬:全部id 組groups主屬和附加組users
su 切換用戶
-,-l,-login make the shell a login shell 是一個shell成爲登錄的shell,如執行su - oldboy時,表示該用戶想改變身份爲oldboy,並且使用oldboy用戶的環境配置,如:/home/oldboy/.bash_profile等。
-c,--command=COMMAND pass a single COMMAND to the with -c
切換到一個shell下,執行一個命令,然後退出所切換的用戶環境。
-m, --preserve-environment do not reset environment variables,same as -p
切換用戶時,不重置用戶環境變量,-p的功能同-m,這個參數爲su的默認值, 一般較少使用
不加“-”的話,家目錄仍是root。
su - oldboy -c pwd 切到oldboy下執行pwd命令 切到用戶下執行命令,但當前用戶不變
由su和su -的區別談學習linux運維方法 http://oldboy.blog.51cto.com/2561410/1053606
env|grep -i 用戶名 查看用戶環境變量
sudo尚方寶劍
su切換用戶方便,但有一些致命的缺點:
1)普通用戶必須知道root密碼纔可以切換到root,這樣root密碼就泄露了。相當於把“刀把”交給了別人。
2)使用su命令切換身份,無法對切換後的身份做精細的控制,拿到別人超級權限的人可以爲所欲爲。甚至可以更改root密碼,讓真正的管理員無法擁有root權限。
爲了既不泄露密碼,又讓普通用戶擁有一定的超級權限,推出sudo命令。
通過sudo命令,我們可以把某些超級用戶權限分類,有針對性授權給指定的普通用戶,並且普通用戶不需要知道root密碼就可以得到root權限。
sudo的配置文件:/etc/sudoers
sudo命令執行的大概流程:
a)當用sudo執行命令時,系統首先會查找/var/run/sudo/%HOME(新用戶會先生成此目錄)目錄中是否有用戶時間戳文件,如果時間戳文件過期,則提示用戶輸入自身密碼(注意:這裏需要輸入當前執行命令用戶的密碼,不是root後其他要切換的用戶的密碼)。
b)當密碼驗證成功後,系統查找/etc/sudoers配置文件,判斷用戶是否有執行相應sudo命令權限。
c)如果具備執行相應sudo權限,就會自動由當前用戶切到root(或其他指定切換到的用戶),然後以root(或其他指定的切換到的用戶)身份角色執行該命令。
d)執行完成後,又會自動的直接退回到當前用戶shell下(以root等身份執行任務)。
更改授權/etc/sudoers文件
1)執行visudo命令自動編輯/etc/sudoers文件(推薦)
visudo 在98行,爲普通用戶提權
sudo命令配置時環境配置一定是全路徑。
2)直接修改/etc/sudoers文件方法(不推薦)
echo "oldboy ALL=(ALL) ALL" >> /etc/sudoers
visudo -c #檢查語法
sudo參數
-l 列出用戶在主機上可用和被禁止的命令;配置好sudo授權規則後,可用此參數查看授權情況
-v 驗證用戶時間戳;可跟蹤最新時間戳
-u 指定以某個用戶身份執行特定命令
-k 刪除時間戳,下一個sudo命令要求提供密碼
對用戶組進行授權:
echo "%oldboy ALL=(ALL) ALL" >> /etc/sudoers #配置oldboy組的授權,也可以通過visudo來更改。
tail -l /etc/sudoers #查看授權配置
visudo -c #檢查語法
ls -l /etc/sudoers #檢查/etc/sudoers權限
usermod -g oldboy ett #更改ett屬於oldboy組
id ett #查看更改結果
別名類型(Alias_Type):
1)Host_Alias 定義主機別名
1.在生產場景中,一般不需要設置主機別名,在定義授權規則時可以通過ALL來匹配所有主機。
2.注意定義規範(Host_Alias FILESERVERS = fs1, fs2 #等號兩邊有空格逗號後面有空格),雖然不是必須的,但我們還是要求能夠按照系統的標準來配置,這樣可以避免意外的問題發生。
3.以上Host_Aliases內容截取自/etc/sudoers文件,並取消了註釋。
4.其實就是邏輯上的主機組,當多臺服務器共享一個/etc/sudoers時候會用到主機別名。
5.%oldboy ALL=(ALL) ALL #第一個ALL就是主機別名的應用位置。
6.%oldboy FILESERVERS=(ALL) ALL #相當於裏面有兩臺機器
2)User_Alias定義用戶別名
1.設置用戶別名也不是必須的,可以通過%groupname的方式來作爲成員。
2.#User_Alias ADMINS = jsmith, mikem, %groupname
給ADMINS授權相當於同時授權給jsmith, mikem, %groupname
oldboy ALL=(ALL) ALL #oldboy就是主機別名的應用位置。
3)Runas_Alias 定義runas身份別名
1.這個別名指定的是“用戶身份”,即sudo允許切換到的用戶身份。
2.Runas_Alias定義的是用戶可以執行sudo切換身份到Runas_Alias下包含的成員身份。
3.實際語法 Runas_Alias OP = root
4.oldboy ALL=(ALL) ALL #小括號中的第二個ALL的位置就是Runas_Alias別名的應用位置。
4)Cmnd_Alias定義命令別名
1.命令別名就是設置可以執行哪些命令。
2.oldboy ALL=(ALL) ALL #第三個ALL的位置就是命令別名的位置。
3.所有的命令別名下的成員必須是文件或目錄的絕對路徑。
4.命令別名超過一行,可用“\”換行。
5.在定義時,可以使用正則表達式,如/usr/bin/passwd [A-Za-z]*。
sudo授權,別名和具體授權配置的關係
用戶和組
主機
可以切換的用戶角色
命令
root
ALL=
(ALL)
ALL
User_Alias ADMINS = jsmith, mikem, %groupname
Host_Alias FILESERVERS = fs1, fs2
Runas_Alias OP = root
Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig
什麼情況下使用上述別名?
工作中一般有多個系統用戶,需要分類,分層次管理用戶時。
別名應用
Linux系統安全最小原則
最小化原則對Linux系統安全來說極其重要:即多一事不如少一事。
具體包括:
▲安裝Linux系統最小化,即選包最小化,yum安裝軟件包也要最小化,無用的包不裝
▲開機自啓動服務最小化,即無用的服務不開啓。
▲操作命令最小化。例:能“rm -f a.txt”就不用“rm -fr a.txt”。
▲登錄Linux用戶最小化。平時沒有特殊需求就不登錄root,用普通用戶登錄即可。
▲普通用戶授權最小化,即只給用戶必須管理系統的命令,不能啥都可以幹。
▲Linux系統文件及目錄的權限設置最小化,禁止隨意創建、更改、刪除文件。
配置sudo命令用戶行爲日誌審計
說明:所謂sudo命令日誌審計,並不記錄普通用戶的普通操作。而是記錄執行sudo命令的用戶操作。
項目實戰:簡歷中的經驗說明
服務器日誌審計項目提出與實施
1.權限方案實施後,權限得到了細化控制,接下來進一步實施對所有用戶日誌記錄方案。
2.通過sudo和syslog(rsyslog)配合實現對所有用戶進行日誌審計並將記錄集中管理(發送到中心日誌服務器)。
3.實施後讓所有運維和開發的所有執行的sudo管理命令都有記錄可查,杜絕了內部人員的操作安全隱患。
生產環境企業日誌審計解決方案:
所謂日誌審計,就是所有系統及相關用戶行爲的信息,並且可以自動分析、處理、展示(包括文本或錄像)
1)通過環境變量命令及rsyslog服務進行全部日誌審計(信息太大)。
2)sudo配合rsyslog服務,進行日誌審計(審計信息較少)
3)在bash解釋器程序裏嵌入一個監視器,讓所有被審計的系統用戶使用修改過的增加了監視器的特殊bash程序作爲解釋程序。
4)齊治的堡壘機(齊治科技堡壘主機系統):商業產品
https://wenku.baidu.com/view/76b3b3e6f18583d0486459 (齊治科技堡壘主機系統技術白皮書)
5)Python開發的開源產品
開源跳板機(堡壘機)Jumpserver部署詳解
http://blog.51cto.com/zt/658
開源堡壘機CrazyEye
http://3060674.blog.51cto.com/3050674/1700814
sudo日誌審計
1)安裝sudo命令,syslog服務(Centoa6.4爲rsyslog服務)
2)配置/var/sudoers(其實只要一行就可搞定sudo審計)
下面3,4可以不執行,直接切換到普通操作,然後查看/var/log/sudo.log有無記錄。
3)配置文件系統日誌/etc/rsyslog.conf(可以不配)
4)重啓rsyslog內核日誌記錄器
日誌集中管理
1)rsync+inotify或定時任務+rsync,推到日誌管理器上,10.0.0.7_2013.0303.sudo.log
2)rsylog服務來處理。
echo "10.0.2.164 logserver" >> /etc/hosts #日誌服務器地址
echo "*.info @logserver" >> /etc/syslog.conf #時候所有日誌推送
3)日誌收集解決方案scribe,Flume,stom,logstash ELK等等。
/etc/default/useradd文件
/etc/default/useradd文件是在使用useradd添加用戶時的一個需要調用的默認配置文件,可以使用 user -D 參數 這樣的命令格式來修改文件裏面的內容。可以通過vi 命令直接編輯。
用戶密碼管理
1、密碼要複雜8位以上(字母數字特殊字符)
2、大的企業用戶和密碼統一管理(相當於活動目錄,openldap)
3、動態密碼:動態口令,第三方提供,或自己開發
用戶刪除管理
一般不能確認用戶相關目錄有沒有重要數據,就不能用-r。
1、vi /etc/passwd然後註釋掉用戶,觀察一個月,這樣出問題可以還原,相當於操作前備份。
2、把登錄shell改成/sbin/nologin。
3、openldap(類似活動目錄)賬號統一管理的,ldap庫裏幹掉用戶,所有服務器全部都沒了。
提示:修改刪除必須小心謹慎!
useradd參數
-c comenment 新賬號passwd的說明欄
-d home_dir 新賬號每次登入是所使用的home_dir。預設值爲default_home內login名稱,並當成登入時目錄名稱。
-e expire_date 賬號終止日期。日期格式爲MM/DD/YY。重點
-f inactive_days賬號過期幾日後永久停止權限。當值爲0時賬號則被立即停用。當值爲-1時則關閉此功能。
-g initial_group group名稱或以數字來做爲用戶登入起始用戶組。用戶組名須爲系統現有存在的名稱。用戶組數字也須爲系統現有存在的名稱。用戶組數字也須爲系統現有存在的用戶組。預設數字爲1.
-G group,[...] 定義此用戶爲不同groups的成員。每個用戶組使用“,”分隔。用戶組名同-g選項的限制。默認值爲用戶的起始用戶組。重點
-m 用戶目錄如不存在則自動建立。如使用-k選項,skeleton——dir內的檔案將複製至用戶目錄下,然而在/etc/skel目錄下的檔案也會複製過去取代。任何在skeleton_dir /etc/skel的目錄也相同會在用戶目錄下意義建立。The-k 同-m不建立目錄以及不復制任何檔案爲預設值。
-M 不建立用戶家目錄,優先於/etc/login.defs文件的設定。一般創建虛擬用戶時不建立家目錄,部署服務時需要創建虛擬用戶。重點
-n 默認情況用戶的用戶組與用戶的名稱會相同。如果命令加了-n參數,就不會生成和用戶同名的用戶組了。
-r 此參數是用來建立系統賬號。系統賬號的UID會比定義在系統檔上/etc/login.defs.的UID_MIN來的小。注意useradd此用法所建立的賬號不會建立用戶家目錄,也不會在乎記錄在/etc/login,defs.的定義值。如果你想要擁有用戶家目錄須額外指定-m參數來建立系統賬號。這是Red HAT額外增設的選項。
-s shell 用戶登入後使用的shell名稱。默認值爲不填寫,這樣系統會幫你指定預設的登入shell。
-u uid 用戶的ID值。這個值必須是唯一的,除非用-o選項。數字不可爲負值。
passwd 參數
-f , --force force operation #強制操作;僅root權限才能操作
-x,--maximum=DAYS #兩次密碼修改的最大天數,後面接數字;僅root權限操作
-n,--minimum=DAYS #兩次密碼修改的最小天數,後面接數字;僅root權限操作
-w,--warning=DAYS #在距多少天體系用戶修改密碼;僅root權限才能操作
-i,--inactive=DAYS #在密碼過期後多少天,用戶被禁掉;僅root權限才能操作
chage參數
-d,--lastday 最近日期 #將最近一次密碼設置時間設爲“最近日期”。
-E,--expiredate 過期日期 #將賬戶過期時間設爲“過期日期”,日期寫法:MM/DD/YY。
-h,--help #顯示此幫助信息並退出
-i,-inactive 失效密碼 #在密碼過期後多少天,用戶被禁掉;僅root權限才能操作
-l,--list #顯示賬戶年齡信息
-m,-mindays 最小天數 #將兩次改變密碼之間相距的最小天數設爲“最小天數”
-M,--maxdays 最大天數 #將兩次改變密碼之間相距的最大天數設爲“最大天數”
-W,warndays 警告天數 #將過期警告天數設爲“警告天數”
usermod參數
-c comment #增加用戶賬號/etc/passwd中的註釋說明欄(第五欄)。-c參數功能也可使用功能chfn
命令來修改,當然也可以手工修改/etc/passwd文件來實現。
-d home_dir #更新用戶新的家目錄,如果給定-m選項,用戶舊的家目錄會搬到新的家目錄去,
如舊的家目錄不存在則創建新的。
-e expire_date #加上用戶賬戶停止日期。日期格式:MM/DD/YY。
-f inactive_days #賬號過期幾日後永久停權。當值爲0時賬號則立即被停權。當值爲-1時則關閉此功能,預 設值爲-1.
-g initial_group #更新用戶新的起始登入用戶組。用戶組名須已存在。用戶組ID必須參照既有的用戶組。用 戶組ID預設值爲1.
-G group ,[...] #定義用戶爲一堆groups的成員。每個用戶使用“,”隔開。用戶在名同-g選項的限制。
-l login_name 變更用戶login時名稱爲login_name,其餘信息不變。
-s shell 指定新用戶登入shell。如此欄留白,系統將選用系統預設shell。這個-s參數功能也可以使用chsh命令來修改。當然也可以手工修改/etc/passwd文件來實現。
-u uid 指定用戶的ID值。這個值必須是唯一的,除非用-o選項。數字不可爲負值。
-L 凍結用戶的密碼,使之無法登錄,實際就是間接修改/etc/shadow的密碼欄。在密碼欄的開頭加上“!”號,即表示凍結。這個功能和usermod -e , chage -E或passwd -l等命令有類似功效,就是讓用戶無法正常登錄。
-U 取消凍結用戶的密碼,使之恢復登錄,實際同樣是修改/etc/shadow的密碼欄,在密碼欄的開頭取消“!”號,即表示恢復。
用戶查詢相關命令
id, finger, users, w, who, last, lastlog, groups
用戶及日誌查詢:w who
查看用戶登錄信息:當前last 歷史lastlog
查看用戶所屬:全部id 組groups主屬和附加組users
su 切換用戶
-,-l,-login make the shell a login shell 是一個shell成爲登錄的shell,如執行su - oldboy時,表示該用戶想改變身份爲oldboy,並且使用oldboy用戶的環境配置,如:/home/oldboy/.bash_profile等。
-c,--command=COMMAND pass a single COMMAND to the with -c
切換到一個shell下,執行一個命令,然後退出所切換的用戶環境。
-m, --preserve-environment do not reset environment variables,same as -p
切換用戶時,不重置用戶環境變量,-p的功能同-m,這個參數爲su的默認值, 一般較少使用
不加“-”的話,家目錄仍是root。
su - oldboy -c pwd 切到oldboy下執行pwd命令 切到用戶下執行命令,但當前用戶不變
由su和su -的區別談學習linux運維方法 http://oldboy.blog.51cto.com/2561410/1053606
env|grep -i 用戶名 查看用戶環境變量
sudo尚方寶劍
su切換用戶方便,但有一些致命的缺點:
1)普通用戶必須知道root密碼纔可以切換到root,這樣root密碼就泄露了。相當於把“刀把”交給了別人。
2)使用su命令切換身份,無法對切換後的身份做精細的控制,拿到別人超級權限的人可以爲所欲爲。甚至可以更改root密碼,讓真正的管理員無法擁有root權限。
爲了既不泄露密碼,又讓普通用戶擁有一定的超級權限,推出sudo命令。
通過sudo命令,我們可以把某些超級用戶權限分類,有針對性授權給指定的普通用戶,並且普通用戶不需要知道root密碼就可以得到root權限。
sudo的配置文件:/etc/sudoers
sudo命令執行的大概流程:
a)當用sudo執行命令時,系統首先會查找/var/run/sudo/%HOME(新用戶會先生成此目錄)目錄中是否有用戶時間戳文件,如果時間戳文件過期,則提示用戶輸入自身密碼(注意:這裏需要輸入當前執行命令用戶的密碼,不是root後其他要切換的用戶的密碼)。
b)當密碼驗證成功後,系統查找/etc/sudoers配置文件,判斷用戶是否有執行相應sudo命令權限。
c)如果具備執行相應sudo權限,就會自動由當前用戶切到root(或其他指定切換到的用戶),然後以root(或其他指定的切換到的用戶)身份角色執行該命令。
d)執行完成後,又會自動的直接退回到當前用戶shell下(以root等身份執行任務)。
更改授權/etc/sudoers文件
1)執行visudo命令自動編輯/etc/sudoers文件(推薦)
visudo 在98行,爲普通用戶提權
sudo命令配置時環境配置一定是全路徑。
2)直接修改/etc/sudoers文件方法(不推薦)
echo "oldboy ALL=(ALL) ALL" >> /etc/sudoers
visudo -c #檢查語法
sudo參數
-l 列出用戶在主機上可用和被禁止的命令;配置好sudo授權規則後,可用此參數查看授權情況
-v 驗證用戶時間戳;可跟蹤最新時間戳
-u 指定以某個用戶身份執行特定命令
-k 刪除時間戳,下一個sudo命令要求提供密碼
對用戶組進行授權:
echo "%oldboy ALL=(ALL) ALL" >> /etc/sudoers #配置oldboy組的授權,也可以通過visudo來更改。
tail -l /etc/sudoers #查看授權配置
visudo -c #檢查語法
ls -l /etc/sudoers #檢查/etc/sudoers權限
usermod -g oldboy ett #更改ett屬於oldboy組
id ett #查看更改結果
別名類型(Alias_Type):
1)Host_Alias 定義主機別名
1.在生產場景中,一般不需要設置主機別名,在定義授權規則時可以通過ALL來匹配所有主機。
2.注意定義規範(Host_Alias FILESERVERS = fs1, fs2 #等號兩邊有空格逗號後面有空格),雖然不是必須的,但我們還是要求能夠按照系統的標準來配置,這樣可以避免意外的問題發生。
3.以上Host_Aliases內容截取自/etc/sudoers文件,並取消了註釋。
4.其實就是邏輯上的主機組,當多臺服務器共享一個/etc/sudoers時候會用到主機別名。
5.%oldboy ALL=(ALL) ALL #第一個ALL就是主機別名的應用位置。
6.%oldboy FILESERVERS=(ALL) ALL #相當於裏面有兩臺機器
2)User_Alias定義用戶別名
1.設置用戶別名也不是必須的,可以通過%groupname的方式來作爲成員。
2.#User_Alias ADMINS = jsmith, mikem, %groupname
給ADMINS授權相當於同時授權給jsmith, mikem, %groupname
oldboy ALL=(ALL) ALL #oldboy就是主機別名的應用位置。
3)Runas_Alias 定義runas身份別名
1.這個別名指定的是“用戶身份”,即sudo允許切換到的用戶身份。
2.Runas_Alias定義的是用戶可以執行sudo切換身份到Runas_Alias下包含的成員身份。
3.實際語法 Runas_Alias OP = root
4.oldboy ALL=(ALL) ALL #小括號中的第二個ALL的位置就是Runas_Alias別名的應用位置。
4)Cmnd_Alias定義命令別名
1.命令別名就是設置可以執行哪些命令。
2.oldboy ALL=(ALL) ALL #第三個ALL的位置就是命令別名的位置。
3.所有的命令別名下的成員必須是文件或目錄的絕對路徑。
4.命令別名超過一行,可用“\”換行。
5.在定義時,可以使用正則表達式,如/usr/bin/passwd [A-Za-z]*。
sudo授權,別名和具體授權配置的關係
用戶和組 |
主機 |
可以切換的用戶角色 |
命令 |
root |
ALL= |
(ALL) |
ALL |
User_Alias ADMINS = jsmith, mikem, %groupname |
Host_Alias FILESERVERS = fs1, fs2 |
Runas_Alias OP = root |
Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig |
什麼情況下使用上述別名?
工作中一般有多個系統用戶,需要分類,分層次管理用戶時。
別名應用
Linux系統安全最小原則
最小化原則對Linux系統安全來說極其重要:即多一事不如少一事。
具體包括:
▲安裝Linux系統最小化,即選包最小化,yum安裝軟件包也要最小化,無用的包不裝
▲開機自啓動服務最小化,即無用的服務不開啓。
▲操作命令最小化。例:能“rm -f a.txt”就不用“rm -fr a.txt”。
▲登錄Linux用戶最小化。平時沒有特殊需求就不登錄root,用普通用戶登錄即可。
▲普通用戶授權最小化,即只給用戶必須管理系統的命令,不能啥都可以幹。
▲Linux系統文件及目錄的權限設置最小化,禁止隨意創建、更改、刪除文件。
配置sudo命令用戶行爲日誌審計
說明:所謂sudo命令日誌審計,並不記錄普通用戶的普通操作。而是記錄執行sudo命令的用戶操作。
項目實戰:簡歷中的經驗說明
服務器日誌審計項目提出與實施
1.權限方案實施後,權限得到了細化控制,接下來進一步實施對所有用戶日誌記錄方案。
2.通過sudo和syslog(rsyslog)配合實現對所有用戶進行日誌審計並將記錄集中管理(發送到中心日誌服務器)。
3.實施後讓所有運維和開發的所有執行的sudo管理命令都有記錄可查,杜絕了內部人員的操作安全隱患。
生產環境企業日誌審計解決方案:
所謂日誌審計,就是所有系統及相關用戶行爲的信息,並且可以自動分析、處理、展示(包括文本或錄像)
1)通過環境變量命令及rsyslog服務進行全部日誌審計(信息太大)。
2)sudo配合rsyslog服務,進行日誌審計(審計信息較少)
3)在bash解釋器程序裏嵌入一個監視器,讓所有被審計的系統用戶使用修改過的增加了監視器的特殊bash程序作爲解釋程序。
4)齊治的堡壘機(齊治科技堡壘主機系統):商業產品
https://wenku.baidu.com/view/76b3b3e6f18583d0486459 (齊治科技堡壘主機系統技術白皮書)
5)Python開發的開源產品
開源跳板機(堡壘機)Jumpserver部署詳解
開源堡壘機CrazyEye
http://3060674.blog.51cto.com/3050674/1700814
sudo日誌審計
1)安裝sudo命令,syslog服務(Centoa6.4爲rsyslog服務)
2)配置/var/sudoers(其實只要一行就可搞定sudo審計)
下面3,4可以不執行,直接切換到普通操作,然後查看/var/log/sudo.log有無記錄。
3)配置文件系統日誌/etc/rsyslog.conf(可以不配)
4)重啓rsyslog內核日誌記錄器
日誌集中管理
1)rsync+inotify或定時任務+rsync,推到日誌管理器上,10.0.0.7_2013.0303.sudo.log
2)rsylog服務來處理。
echo "10.0.2.164 logserver" >> /etc/hosts #日誌服務器地址
echo "*.info @logserver" >> /etc/syslog.conf #時候所有日誌推送
3)日誌收集解決方案scribe,Flume,stom,logstash ELK