权限管理禁止用户su - root并记录用户操作记录实验!
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了权限管理禁止用户su - root并记录用户操作记录实验!相关的知识,希望对你有一定的参考价值。
本文目的:整理在实验环境中配置的禁止普通用户用su - root来获取root权限的操作记录。实验还添加了history添加用户详细记录,并配置了使用script记录用户操作,和测试用户操作还原的过程。
一、修改禁止su - root权限的配置:
1、修改PAM配置文件:
#vi /etc/pam.d/su
#%PAM-1.0
auth sufficient pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth sufficient pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
auth required pam_wheel.so use_uid
auth include system-auth
account sufficient pam_succeed_if.so uid = 0 use_uid quiet
account include system-auth
password include system-auth
session include system-auth
session optional pam_xauth.so
2、修改用户帐号限制配置:
echo “SU_WHEEL_ONLY yes” >> /etc/login.defs #添加语句到login.defs文件末尾;
二、修改禁止SSH连接root登录的配置;
vi /etc/ssh/sshd_config
PermitRootLogin no 找到此语句,删掉注释#号,并修改为no;
三、修改用户登录操作命令的历史记录;
1、[[email protected] ~]# vi /etc/profile ##文件尾部添加如下代码;
#history
USER_IP=`who -u am i 2>/dev/null| awk ‘{print $NF}‘|sed -e ‘s/[()]//g‘`
HISTDIR=/opt/hislog
if [ -z $USER_IP ]
then
USER_IP=`hostname`
fi
if [ ! -d $HISTDIR ]
then
mkdir -p $HISTDIR
chmod 777 $HISTDIR
fi
if [ ! -d $HISTDIR/${LOGNAME} ]
then
mkdir -p $HISTDIR/${LOGNAME}
chmod 300 $HISTDIR/${LOGNAME}
fi
export HISTSIZE=4000
DT=`date +%Y%m%d_%H%M%S`
export HISTFILE="$HISTDIR/${LOGNAME}/${USER_IP}.history.$DT"
export HISTTIMEFORMAT="[%Y.%m.%d %H:%M:%S]"
chmod 600 $HISTDIR/${LOGNAME}/*.history* 2>/dev/null
2、修改log存储目录权限:
chmod -R 743 /opt/hislog #即上段代码中的/opt/hislog目录;
3、修改用户变量文件,增加详细显示信息;
vi /etc/bashrc
#history
USER_IP=`who -u am i 2>/dev/null| awk ‘{print $NF}‘|sed -e ‘s/[()]//g‘`
HISTFILESIZE=4000
HISTSIZE=4000
HISTTIMEFORMAT="%F %T ${USER_IP} `whoami` "
export HISTTIMEFORMAT
四、配置记录用户行为轨迹:
1、修改配置文件:
[[email protected] ~]# vi /etc/profile ##添加如下代码;
-----------------------------------------
#Raw Log Session
if [ $UID -ge 500 ]; then
exec /usr/bin/script -t 2>/opt/scriptlog/$USER-$UID-`date +%Y%m%d%H%M`.date -a -f -q /opt/scriptlog/$USER-$UID-`date +%Y%m%
d%H%M`.log
fi
-----------------------------------------
注:需注意你使用的用户的UID的值,创建的普通用户默认为500+;
2、修改log存储目录权限:
chmod -R 743 /opt/scriptlog #即上段代码中的/opt/scriptlog目录;
五、使配置文件生效:
[[email protected] ~]# /etc/init.d/sshd resart
用法: /etc/init.d/sshd {start|stop|restart|reload|force-reload|condrestart|try-restart|status}
[[email protected] ~]# /etc/init.d/sshd restart
停止 sshd: [确定]
正在启动 sshd: [确定]
[[email protected] ~]# source /etc/profile
[[email protected] ~]# source /etc/bashrc
六、添加用户并测试:
1、添加用户:
添加用户test1并加入wheel组,作为切换root使用;添加test2不加wheel组,做普通用户,测试su - root无法切换到root,操作如下。
[[email protected] ~]# useradd -g wheel test1
[[email protected] ~]# echo "hello123" | passwd --stdin test1
更改用户 test1 的密码 。
passwd: 所有的身份验证令牌已经成功更新。
[[email protected] ~]#
[[email protected] ~]#
[[email protected] ~]# useradd test2
[[email protected] ~]# echo "hello123" | passwd --stdin test2
更改用户 test2 的密码 。
passwd: 所有的身份验证令牌已经成功更新。
2、测试用户登录:
↑使用root用户登录被拒绝
↑使用test2用户切换root被拒绝
↑使用test1用户切换root正常登录
3、使用命令还原用户的操作:
执行下面的命令后,test1用户的操作会按时间先后,像播放视频记录一样被还原。
[[email protected] scriptlog]# scriptreplay test1-500-201702270544.date test1-500-201702270544.log
[[email protected] ~]$
[[email protected] ~]$
[[email protected] ~]$ su - root
密码:
[[email protected] ~]#
[[email protected] ~]#
[[email protected] ~]# cd /opt/scriptlog/
[[email protected] scriptlog]# ls
test1-500-201702270544.date test1-500-201702270544.log test2-501-201702270544.date test2-501-201702270544.log
[[email protected] scriptlog]#
[[email protected] scriptlog]# ll
总用量 16
-rw-r--r--. 1 test1 wheel 583 2月 27 05:45 test1-500-201702270544.date
-rw-r--r--. 1 test1 wheel 451 2月 27 05:45 test1-500-201702270544.log
-rw-rw-r--. 1 test2 test2 35 2月 27 05:44 test2-501-201702270544.date
-rw-rw-r--. 1 test2 test2 104 2月 27 05:44 test2-501-201702270544.log
[[email protected] scriptlog]#
参考文章:
http://mengsir.blog.51cto.com/2992083/1665628
http://blog.csdn.net/a806267365/article/details/40581159
本文出自 “荣书” 博客,请务必保留此出处http://rongshu.blog.51cto.com/681368/1901489
以上是关于权限管理禁止用户su - root并记录用户操作记录实验!的主要内容,如果未能解决你的问题,请参考以下文章