Linux系统如何进行提权操作-阿里云开发者社区

开发者社区> 重在实践2021> 正文

Linux系统如何进行提权操作

简介:
+关注继续查看

用户提权:
往往公司的服务器对外都是禁止root用户直接登录,所以我们通常使用的是普通用户,那么问题来了,当我们使用普通用户执行/sbin目录下的命令时,会发现没有权限运行,这种情况下我们无法正常的管理服务器,那如何才能不使用root用户直接登录系统,同时又保证普通用户能正常工作?

两种方法:
1.su切换用户,使用普通用户登录,然后使用su命令切换到root;优点:简单,缺点:需要让用户知道root密码;
2.sudo提取,当需要使用root权限时进行提权,而无需切换至root用户;优点:安全、方便;缺点:配置复杂;

1.su身份切换
在使用su切换前,说一下shell分类、环境变量配置文件有哪些
1)linux shell主要分为如下几类

- 交互式shell,等待用户输入执行的命令(终端操作,需要不断提示)
- 非交互式shell,执行shell脚本,脚本执行结束后shell自动退出
- 登录shell,需要输入用户名和密码才能进入shell
- 非登录shell,不需要输入用户和密码就能进入shell,比如运行bash会开启一个新的会话窗口

# 使用登录shell登录服务器,然后输入命令bash非登录式shell
区别于加载的环境变量不同;

2.bash shell配置文件介绍(文件主要保存用户的工作环境)

个人配置文件: ~/.bash_profile; ~/.bashrc
全局配置文件:/etc/profile; /etc/profile.d/*.sh; /etc/bashrc
profile类文件,设定环境变量,登录前运行的脚本和命令;
bashrc类文件,设定本地变量,定义命令别名
注意: 如果全局配置和个人配置产生冲突,以个人配置为准

3.登录系统后,环境变量配置文件的应用顺序

(1)登录式shell:

/etc/profile --> /etc/profile.d/*.sh --> ~/.barh_profile  -->~/.bashrc --> /etc/bashrc

(2)非登陆式shell:

~/.bashrc --> /etc/bashrc --> /etc/profile.d/*.sh

验证:
在每个shell配置文件中添加echo命令,使用两种登录方式验证:

Last login: Fri Nov  6 18:09:54 2020 from 100.0.0.100
/etc/profile.d/1.sh
/etc/profile
/etc/bashrc
~/.bashrc
~/.bash_profile
[root@proxy1 ~]# 
[root@proxy1 ~]# bash
/etc/profile.d/1.sh
/etc/bashrc
~/.bashrc
su - username    #属于登陆式shell
su username        #属于非登陆式shell
# 区别在于加载的环境变量不一样

以某个用户的身份执行某个服务,使用su - username -c "command"

# 不会登录到用户
[root@proxy1 ~]# su - aaa -c "pwd"
/home/aaa

sudo提权

su命令在切换用户身份时,如果每个普通用户都能拿到root用户的密码,当其中某个用户不小心泄露了root的密码,那系统会变得非常不安全;

其实sudo就相当于给某个普通用户埋下了浩克的种子,当需要执行一些高级操作时,进行发怒,但正常情况下还是普通人,还是会受到限制;

1)快速配置sudo方式

[root@proxy1 ~]# usermod aaa -G wheel
# 将aaa加入到wheel附加组中
# 而wheel组在sudo的配置文件中定义为可以执行任何命令
[root@proxy1 ~]# grep "wheel" /etc/sudoers
## Allows people in group wheel to run all commands
%wheel  ALL=(ALL)       ALL
# %wheel        ALL=(ALL)       NOPASSWD: ALL
# 验证
[aaa@proxy1 root]$ rm anaconda-ks.cfg
rm: cannot remove ‘anaconda-ks.cfg’: Permission denied
[aaa@proxy1 root]$ sudo rm anaconda-ks.cfg

# sudo的审计日志
/var/log/secure

2)正常配置
visudo命令(有语法验证)
方式一:

# 1.使用sudo定义分组,和系统的组无关
User_Alias OPS = aaa,bbb
User_Alias DBA = ccc,ddd

# 2.定义可执行的命令组,便于后续的调用
Cmnd_Alias NETWORKING = /sbin/ifconfig,/bin/ping
Cmnd_Alias SOFTWARE = /bin/rpm,/usr/bin/yum
Cmnd_Alias SERVICES = /sbin/server,/usr/bin/systemctl start

# 3.使用sudo开始分配权限
OPS ALL=(ALL) NETWORKING,SOFTWARE,SERVICES
DBA ALL=(ALL) SOFTWARE SERVICES

# 4.检测配置
[root@proxy1 ~]# visudo -c
/etc/sudoers: parsed OK

# 用户可以使用sudo -l命令查看自己的权限

方式二:

# 针对系统中真实存在的组进行操作
# 1.创建两个组:OPS、DBA
[root@proxy1 ~]# groupadd OPS
[root@proxy1 ~]# groupadd DBA
# 2.将用户的附加组修改为OPS或DBA
[root@proxy1 ~]# usermod aaa -G OPS
[root@proxy1 ~]# usermod bbb -G OPS   
[root@proxy1 ~]# usermod ccc -G DBA
[root@proxy1 ~]# usermod ddd -G DBA 
# 3.在sudo中配置规则
Cmnd_Alias NETWORKING = /sbin/ifconfig,/bin/ping
Cmnd_Alias SOFTWARE = /bin/rpm,/usr/bin/yum
Cmnd_Alias SERVICES = /sbin/server,/usr/bin/systemctl start

# 4.使用sudo开始分配权限
%OPS ALL=(ALL) NETWORKING,SOFTWARE,SERVICES
%DBA ALL=(ALL) SOFTWARE SERVICES

# 5.检查配置并验证权限
visudo -c
[ccc@proxy1 root]$ sudo -l
User ccc may run the following commands on proxy1:
    (ALL) /bin/rpm, /usr/bin/yum

# 区别在于真实的组定义时前边需要添加%号

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Linux命令行基本操作
Linux命令行基本操作
1347 0
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
10019 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
13823 0
错误: 实例 "ahwater-linux-core" 执行所请求操作失败,实例处于错误状态。: 请稍后再试 [错误: Exceeded maximum number of retries. Exceeded max scheduling attempts 3 for instance 7c1609
错误: 实例 "ahwater-linux-core" 执行所请求操作失败,实例处于错误状态。: 请稍后再试 [错误: Exceeded maximum number of retries. Exceeded max scheduling attempts 3 for instance 7c1609c9-9d0f-4836-85b3-cefd45f942a7.
1014 0
ACK正式支持对基于Alibaba Cloud Linux 2操作系统的集群进行CIS加固
目前越来越多的企业开始全面拥抱云原生,并充分利用云原生基础设施。云原生技术已经无处不在, 作为云原生服务的提供者,阿里云将会持续、高速发展云原生技术。而安全是云原生不可或缺的重要组成部分,Alibaba Cloud Linux 2 作为阿里云官方操作系统镜像和ACK的首选默认镜像, 提高Alibaba Cloud Linux 2的安全水位对于云原生非常重要。
262 0
1.关于UltraEdit中的FTP和Tenent配置,UE远程连接Linux进行文件操作
 1 安装UltraEdit 2 配置FTP相关的配置 文件àFTP/Tenet(T)à 注意这里的协议要选择SFTP 用户名和密码是oracle数据库的用户名和密码,回到: 点击“连接”按钮,效果图如下: 3在day03中选中文件后:效果如下图                        
1200 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
7344 0
5
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载