提權管理方案背景:
如果一個公司有10餘個運維或網路安全人員,同時管理伺服器,切換到管理員使用者時(su - root),必須要有root管理員密碼,如果其中一人修改過root密碼,其他使用者則登入不了,那麼要找回丟失的密碼,要麼就是系統重啟,要麼就是進入單使用者模式進行重新配置密碼,造成大量的資料無法訪問,帶來經濟損失,為避免出現此種情況導致工作效率低下,我們允許有少量的非root使用者依然有root使用者的編輯及管理許可權(某個使用者在執行某個命令的時候,擁有root的最高許可權),但使用者還是非root使用者本身,所以就有了提權(sudo)管理方案,具體實施部署如下:
配置方法:將普通使用者許可權提升為部分管理員許可權
1.使用命令visudo 或 vim /etc/sudoers編輯檔案,編輯的前提是,必須在root使用者模式下
或者給普通使用者一個可新增檔案的許可權
以上編輯是將非root使用者的執行許可權加到配置檔案裡面,非root使用者在此配置檔案未生效時,是無法在系統當中操作的:
配置檔案生效時,我們再來/etc目錄下建立並檢視
2.將普通使用者的組提權為%wheel組
我們在/etc目錄下建立3.txt
普通使用者切換root使用者時,需要輸入密碼,這個時候我們不能暴力破解root密碼,可以給普通使用者提權,以輸入密碼
首先我們來新增一個使用者為oldgirl,切換為oldgirl ,再切換root
當我們試圖用sudo提權時,系統會給出警示資訊
原因就是oldgirl使用者不在sudoers配置檔案中,我們在做此動作之前沒有進行配置,所以系統會提示
現在我們依然採用前面配置檔案的手法來進行檔案配置,在這之前,我們的oldgirl賬戶必須有自己的密碼
下圖是我們將oldgirl在配置檔案中提權
現在我們想從oldgirl使用者切換為root使用者只需輸入oldgirl的密碼即可
已經切換登入到root,如果我們沒有在配置檔案裡將oldgirl使用者提權,輸入密碼也會報錯,不能切換的
下面再來說普通使用者oldgirl怎麼新增普通使用者,預設情況下,任何沒有經過提權的普通使用者是不能進行新增使用者的
提示許可權不夠,無法鎖定/etc/passwd目標,我們在配置檔案裡將新增使用者的全路徑賦予給這個使用者,
現在我們再進行使用者的新增,就可以了
注意:我們的普通使用者是經過提權後在系統中進行命令操作的所以在執行時必須帶有提權標誌sudo,否則無法進行命令操作。
