有许多方面的安全Linux系统 - 从账户设置,以确保合法用户没有更多的权限比他们需要做的工作。这是看一些在Linux系统日常的日常工作中最重要的安全命令。
sudo
使用sudo运行特权命令——而不是将用户切换到根用户——是一种基本的良好实践,因为它有助于确保只在需要时使用根特权,并限制错误的影响。对sudo命令的访问取决于/etc/sudoers和/etc/group文件中的设置。
$ sudo adduser shark添加用户' shark'…添加新组‘shark’(1007)…添加组为shark的新用户shark(1007)…创建主目录' /home/shark'…从' /etc/skel'复制文件…输入新的UNIX密码:重新输入新的UNIX密码:passwd: password updated成功更改shark的用户信息输入新值,或者按Enter键输入默认的全名[]:shark房间号[]:工作电话[]:家庭电话[]:其他[]:信息正确吗?[Y / n] Y
例如,如果您运行sudo并询问您是谁,您将得到确认,您正在以root身份运行该命令。
$ sudo的WHOAMI根
如果您为用户sudo的设置,您还需要舒适的visudo命令。
visudo命令
visudo命令允许您对/etc/sudoers文件进行修改,方法是在一个文本编辑器中打开该文件并检查所做的语法更改。使用“sudo visudo”运行命令,并确保您理解了语法。权限可以由用户或组分配。在大多数Linux系统上,/etc/sudoers文件已经配置了如下所示的组,这些组允许将权限分配给在/etc/group文件中设置的组。在这些情况下,您根本不需要使用visudo命令—只需熟悉以这种方式授予根权限的组,并对/etc/group文件进行更新。
%admin全部=(全部)全部%sudo全部=(全部:全部)全部%wheel全部=(全部:全部)全部
需要注意的是组名称由%符号前面。
您可能可以在/etc/group文件中显示提供sudo访问的组,因为它可能是以下文件之一:
$ egrep“admin|sudo|wheel”/etc/group sudo:x:27:shs,jdoe
给某人sudo特权的最简单方法是将他们添加到/etc/group.中的授权组中然而,这意味着它们可以运行任何命令作为根。如果你想让一些用户拥有一个有限的命令集的根权限(例如,添加和删除帐户),你可以定义你想让他们能够通过一个命令别名运行的命令,像这样:
Cmnd_Alias ACCT_CMDS = / usr / sbin目录/ adduser的,/ usr / sbin目录/ deluser
然后给该用户或组使用须藤与像这些中的一个的命令来运行这些命令的能力:
尼莫ALL =(ALL)ACCT_CMDS%科技股ALL =(ALL:ALL)ACCT_CMDS
第一行允许用户“尼莫”,以运行TWP(adduser的和deluser)与须藤命令,而第二分配相同的特权来在/ etc /组文件的任何人“高科技”组中。
谁和W
who和w命令显示登录到系统的用户,而w则显示更多信息,比如他们从哪里登录的,何时登录的,以及他们空闲了多长时间。
$ W 18时03分35秒可达9天,22:48,2个用户,平均负载:0.00,0.00,0.00 USER TTY的从登录@ IDLE JCPU PCPU就是乔TTY2的/ dev / TTY2 27Apr189天7:34 0.09s的/ usr/lib/x86_64-linux shs pts/1 192.168.0.15 09:50 7.00s 0.28s 0.00s w
如果您不喜欢在运行visudo命令时调用的默认编辑器,请使用“sudo update-alternatives - config editor”命令。它将提供许多编辑器作为选项,并更改您的设置。
持续
最后一个命令显示用户最近的登录,当您试图跟踪更改或其他活动时,它通常很有帮助。
5月2日星期三07:01 - 08:29 (01:27)wtmp开始于2018年5月1日星期二10:21:35
尼莫已经有一段时间没有登录了。他可能正在度假(也许在钓鱼?)或者刚刚离开公司。这类信息可以帮助你决定是否需要继续跟进。
找到
find命令用于多种类型的搜索。当涉及到安全,你可能会发现自己寻找一些没有业主(没有相应的帐户)或均为世界可写和可执行文件。查找命令轻松完成取景构图,但需要一些熟悉其定义你要寻找的许多选项。首先这两个命令会发现文件没有当前定义的业主。第二会发现文件可能任何人都可以运行和修改。
$ sudo find / -perm -o=wx
请记住,在第二个命令的-o指的是“其他”组 - 而不是所有者,而不是与文件关联的组。
文件
file命令查看文件,并根据文件的内容(而不是名称)确定它是哪种文件。许多文件(如jpeg文件)在文件开头附近包含标识符。下面例子中的" .jpg "文件很清楚不一个真正的jpeg文件,但一个可执行文件-尽管它的名字。