Linux-- Centos7用戶切換，PAM和提權(quán)

一.用戶切換與提權(quán)

大多數(shù) Linux 服務(wù)器并不建議用戶直接以 root 用戶進(jìn)行登錄。一方面可以大大減少因誤操作而導(dǎo)致的破壞，另一方面也降低了特權(quán)密碼在不安全的網(wǎng)絡(luò)中被泄露的風(fēng)險(xiǎn)。鑒于這些原因，需要為普通用戶提供一種身份切換或權(quán)限提升機(jī)制，以便在必要的時(shí)候執(zhí)行管理任務(wù)。
Linux 系統(tǒng)為我們提供了 su、sudo 兩種命令，其中 su 命令主要用來(lái)切換用戶，而 sudo命令用來(lái)提升執(zhí)行權(quán)限，下面分別進(jìn)行介紹。

默認(rèn)情況下，任何用戶都允許使用 su 命令，從而有機(jī)會(huì)反復(fù)嘗試其他用戶（如 root）的登錄密碼，這樣帶來(lái)了安全風(fēng)險(xiǎn)。為了加強(qiáng) su 命令的使用控制，可以借助于 pam_wheel
認(rèn)證模塊，只允許極個(gè)別用戶使用 su 命令進(jìn)行切換。實(shí)現(xiàn)過(guò)程如下：將授權(quán)使用 su 命令的用戶添加到 wheel 組，修改/etc/pam.d/su 認(rèn)證配置以啟用 pam_wheel 認(rèn)證。

2.PAM安全認(rèn)證

PAM(Pluggable Authentication Modules)，是 Linux 系統(tǒng)可插拔認(rèn)證模塊，是一種高效而且靈活便利的用戶級(jí)別的認(rèn)證方式，它也是當(dāng)前 Linux 服務(wù)器普遍使用的認(rèn)證方式 。
PAM 提 供 了 對(duì) 所 有 服 務(wù) 進(jìn) 行 認(rèn) 證 的 中 央 機(jī) 制 ， 適 用 于 login ， 遠(yuǎn) 程 登 錄（telnet,rlogin,fsh,ftp），su 等應(yīng)用程序中。系統(tǒng)管理員通過(guò) PAM 配置文件來(lái)制定不同應(yīng)用程序的不同認(rèn)證策略。

我們的PAM認(rèn)證配置文件就有我們的SU命令

vim /etc/pam.d/su 安全認(rèn)證su配置

把lisi用戶添加到wheel組

三.sudo提權(quán)

通過(guò) su 命令可以非常方便地切換為另一個(gè)用戶，但前提條件是必須知道目標(biāo)用戶的
登錄密碼。例如，若要從 jerry 用戶切換為 root 用戶，必須知道 root 用戶的密碼。對(duì)于生
產(chǎn)環(huán)境中的 Linux 服務(wù)器，每多一個(gè)人知道特權(quán)密碼，其安全風(fēng)險(xiǎn)也就增加一分。
有沒(méi)有一種折中的辦法，既可以讓普通用戶擁有一部分管理權(quán)限，又不需要將 root 用
戶的密碼告訴他呢？答案是肯定的，使用 sudo 命令就可以提升執(zhí)行權(quán)限。不過(guò)，需要由管
理員預(yù)先進(jìn)行授權(quán)，指定允許哪些用戶以超級(jí)用戶（或其他普通用戶）的身份來(lái)執(zhí)行哪些命
令。

Cmnd_Alias 指令別名
User_Alias 用戶別名
Host_Alias 主機(jī)別名
vim /etc/sudoers