一、禁止普通用戶su到root管理員、設置可以su到root的白名單
1、首先看一下正常情況
2、可以看到普通用戶使用su root命令,輸入密碼即可登錄到root用戶
3、下面開始配置禁止所有普通用戶su到root,打開配置文件,使用命令vim /etc/pam.d/su
4、取消配置文件這一行的注釋,保存退出。
5、返回普通用戶lu,再次使用su命令嘗試切換至root
6、此時發現配置已經生效,su命令被拒絕,無法切換了。
7、接下來設置允許某些用戶可以su到root
8、使用root用戶。打開/etc/login.defs文件,在文件結尾添加SU_WHEEL_ONLY yes ,保存退出
8、接下來就將可以將用戶添加到wheel組,就可以讓他擁有su命令的權限。usermod -G wheel lu
9、發現已經可以成功su到root了
10、此時只有普通用戶lu可以使用su到root,其他普通用戶依然無法su,使用hl驗證一下
二、通過配置hosts.allow和hosts.deny限制SSH/TELNET終端接入,設置白名單
首先查看Redhat6虛擬機的IP地址
打開putty輸入IP,登錄
此時可以成功登錄
1、首先配置拒絕接入的IP地址。以root用戶登錄Redhat,打開/erc/hosts.deny文件
在配置文件結尾添加拒絕規則,保存退出
使用putty再次登錄試驗一下,被拒絕了
2、配置允許接入的IP地址。使用root用戶打開/erc/hosts.文件
可以添加允許的單個IP或是允許的網段,添加規則是這樣的
| 允許內容 |
書寫格式(改成自自需要的IP或IP段) |
| ssh允許單個ip |
sshd:192.168.233.1 |
| ssh允許ip段 |
sshd:192.168.233. |
| telnet允許單個ip |
in.telnetd:192.168.233.1 |
| telnet允許ip段 |
in.telnetd:192.168.233. |
添加自己本機地址保存(注意:此時添加的是本地VMnet8的地址,而不是無限局域網的VLAN地址),試一下
使用putty連接
發現此時可以連通
那么設置本機所在網段試一下
網段方式也可以通。
備注:
1、配置配置hosts.allow和hosts.deny文件后不用重啟服務也能生效
2、hosts.allow的優先級要大於hosts.deny
三、修改history條數
首先使用history查看一下
雖然現在記錄的命令不多,但其中不乏一些非常敏感的信息,比如管理員密碼,細思極恐
想要查看當前history條數可以使用echo $HISTSIZE 命令
現在我們對他進行修改。使用管理員賬戶,打開/etc/profile配置文件,找到圖片中所示的字段 HISTSIZE=1000
將條數修改為10保存退出。
使用命令source /etc/profile,使他現在生效,現在查看history條數
使用history看看什么效果
現在可以看到,history只記錄了最后10條命令