vim可视化&Linux系统安全最小化原则& su & sudo
发布时间:2020-12-15 23:16:51 所属栏目:安全 来源:网络整理
导读:一、vim在可视化模式下编辑 crl+v,会变成-- VISUAL BLOCK --,然后用鼠标去选中. 1.d命令可以删除高亮显示的文本,而D命令则会删除一行,即使这一行中只有部分文本是高亮显示的;2.y命令将复制高亮显示的文本,而Y命令会复制整行;3.c命令可以将高亮显示的文本删
|
一、vim在可视化模式下编辑 crl+v,会变成-- VISUAL BLOCK --,然后用鼠标去选中. 1.d命令可以删除高亮显示的文本,而D命令则会删除一行,即使这一行中只有部分文本是高亮显示的; 2.y命令将复制高亮显示的文本,而Y命令会复制整行; 3.c命令可以将高亮显示的文本删除并进入编辑模式,而C命令会删除一行文本并进入编辑状态; 4.针对高亮显示的文本块,我们可以用命令~进行大小写转换; 5.用命令>增加缩进,或用命令<减少缩进. 二、Linux系统安全最小化原则: 1.安装系统最小化,即选包最小化,没用的包不装; 2.开机自启动服务最小化,即没用的服务不启动; 3.操作命令最小化,例如:能用"rm -f hehe.txt",就不用"rm -rf hehe.txt"; 4.登录用户最小化,一般不登录Root,用普通用户登录; 5.普通用户授权权限最小化,只给他需要的命令; 6.系统文件及目录的权限设置最小化,禁止随意更改、创建、删除文件. 三、服务器日志审计项目提出与实施: 1.权限方案实施后,权限得到了细化控制,接下来进一步实施对所有用户日志记录方案; 2.通过sudo和rsync配合实现对所有用户进行日志审计并将记录集中管理; 3.实施后让所有运维和开发的所有执行的sudo管理命令都有记录可查,杜绝内部操作隐患. 增加配置 "Defaults logfile=/var/log/sudo.log"到/etc/sudoers 四、su 1.su user(这样写让别人看见了,会感觉你是个新手) 切换到user用户下,但仍然使用前用户的环境变量,称为半切换 [[email?protected] ~]# su stu01 [[email?protected] root]$ env | grep root PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin MAIL=/var/spool/mail/root PWD=/root [[email?protected] root]$ pwd /root 2.su - user 切换到user用户下,且使用user1的环境变量,具体的说就是 .bash_profile和.bash_rc,称之为全切换 [[email?protected] ~]# su - stu01 [[email?protected] ~]$ pwd /home/stu01 3.切换用户身份 "-"是加载环境变量,-c以"指定用户"执行任务 # tail -5 /etc/rc.local su - tddoc -c ‘/bin/sh /home/tddoc/bin/hehe.sh‘ 五、sudo 1.用途 a.对用户的执行命令权限进行限制; b.提供了日志记录,可详细记录每个用户具体的操作; c.临时性的时间戳(一般为5min),在此期间使用sudo命令,不需要再输入密码; d.配置文件为/etc/sudoers,可以使root对用户集中管理 2.工作原理 a.当用户执行sudo时,系统寻找/etc/sudoers文件,判断该用户是否具备执行sudo的权限; b.确认用户权限后,让用户输入自身的密码; c.若密码合法,则开始执行sudo后续的命令; d.root执行sudo时不需要输入密码,自身切换自身也不需要输入密码. 3.常用参数 # visudo -c 检查/etc/sudoers的语法 /etc/sudoers: parsed OK $ sudo -l 列出目前用户可执行与无法执行的指令 $ sudo -k 结束密码的有效期限,也就是下次再执行sudo时便需要输入密码 $ sudo -v 延长密码有效期限5分钟 $ sudo -V 显示版本信息 4.配置 root??? ALL=(ALL)?????? ALL 用户名?? 主机IP?? 可切换的身份?? 可执行的命令 NOPASSWD: ALL--当使用sudo时,不需要输入密码,ALL代表可以执行任何命令 5.例子 #用户别名分类: User_Alias KAIFA_ADMINS = kaifa01,kaifa02 User_Alias YUNWEI_ADMINS = oldboy,oldgirl User_Alias OLD_NETADMINS = leo,maya #命令分类别名: Cmnd-Alias USERCMD = /usr/sbin/useradd,/usr/sbin/userdel,/usr/bin/passwd [A-Za-z]*,/bin/chown Cmnd-Alias DISKCMD = /sbin/fdisk Cmnd-Alias KAIFACMD = /bin/grep,/bin/cat #角色 Runas_Alias OP1 = root,oldboy Runas_Alias OP2 = root,oldgirl #授权 KAIFA_ADMINS ALL=(OP1) KAIFACMD YUNWEI_ADMINS ALL=(OP1) USERCMD DISKCMD 企业案例可以参考:https://blog.csdn.net/xiegh2014/article/details/52634030 6.排错 parse error in /etc/sudoers near line 127 是因为书写出现错误(少了一个逗号) YUNWEI_ADMINS ALL = (OP1) NOPASSWD:USERCMD DISKCMD 正确写法 YUNWEI_ADMINS ALL = (OP1) NOPASSWD:USERCMD,DISKCMD (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |