提權管理方案背景:
如果一個公司有10余個運維或網絡安全人員,同時管理服務器,切換到管理員用戶時(su - root),必須要有root管理員密碼,如果其中一人修改過root密碼,其他用戶則登錄不了,那么要找回丟失的密碼,要么就是系統重啟,要么就是進入單用戶模式進行重新配置密碼,造成大量的數據無法訪問,帶來經濟損失,為避免出現此種情況導致工作效率低下,我們允許有少量的非root用戶依然有root用戶的編輯及管理權限(某個用戶在執行某個命令的時候,擁有root的最高權限),但用戶還是非root用戶本身,所以就有了提權(sudo)管理方案,具體實施部署如下:
配置方法:將普通用戶權限提升為部分管理員權限
1.使用命令visudo 或 vim /etc/sudoers編輯文件,編輯的前提是,必須在root用戶模式下
或者給普通用戶一個可添加文件的權限
以上編輯是將非root用戶的執行權限加到配置文件里面,非root用戶在此配置文件未生效時,是無法在系統當中操作的:
配置文件生效時,我們再來/etc目錄下創建並查看
2.將普通用戶的組提權為%wheel組
我們在/etc目錄下創建3.txt
普通用戶切換root用戶時,需要輸入密碼,這個時候我們不能暴力破解root密碼,可以給普通用戶提權,以輸入密碼
首先我們來添加一個用戶為oldgirl,切換為oldgirl ,再切換root
當我們試圖用sudo提權時,系統會給出警示信息
原因就是oldgirl用戶不在sudoers配置文件中,我們在做此動作之前沒有進行配置,所以系統會提示
現在我們依然采用前面配置文件的手法來進行文件配置,在這之前,我們的oldgirl賬戶必須有自己的密碼
下圖是我們將oldgirl在配置文件中提權
現在我們想從oldgirl用戶切換為root用戶只需輸入oldgirl的密碼即可
已經切換登錄到root,如果我們沒有在配置文件里將oldgirl用戶提權,輸入密碼也會報錯,不能切換的
下面再來說普通用戶oldgirl怎么添加普通用戶,默認情況下,任何沒有經過提權的普通用戶是不能進行添加用戶的
提示權限不夠,無法鎖定/etc/passwd目標,我們在配置文件里將添加用戶的全路徑賦予給這個用戶,
現在我們再進行用戶的添加,就可以了
注意:我們的普通用戶是經過提權后在系統中進行命令操作的所以在執行時必須帶有提權標志sudo,否則無法進行命令操作。
