您好,登錄后才能下訂單哦!
一、sudo
一) sudo能做什么?
1、限制指定用戶(hù)在指定主機(jī)主機(jī)上運(yùn)行指定的管理命令;
2、詳細(xì)記錄用戶(hù)基于sudo執(zhí)行的命令的相關(guān)日志信息;
3、“檢票系統(tǒng)”:用戶(hù)第一次執(zhí)行sudo會(huì)要求輸入密碼,用戶(hù)會(huì)獲得一個(gè)有固定存活時(shí)長(zhǎng)的“入場(chǎng)券”;默認(rèn)為5分鐘;
通過(guò)編輯方式實(shí)現(xiàn)以上功能:
/etc/sudoers: 只能由管理編輯以實(shí)現(xiàn)授權(quán);
專(zhuān)用編輯命令:visudo
/etc/sudoers:
授權(quán)格式:
who whichhost dosomething
who可為:用戶(hù),組,Alias也就是別名
host可為:ip地址,主機(jī)名,host_alias
dosomething 可為: 可執(zhí)行命令(絕對(duì)路徑),CMD_ALIAS
二)sudo命令:
-l: 查看當(dāng)前用戶(hù)可執(zhí)行的sudo命令
-u 用戶(hù)名 命令:以指定用戶(hù)的身份運(yùn)行后面的“命令”;
-k: 清除“入場(chǎng)券”;
-b 命令:在后臺(tái)運(yùn)行指定的命令
-p 提示語(yǔ):可以更改詢(xún)問(wèn)密碼的提示語(yǔ),其可用%u變量來(lái)替換為用戶(hù)名,%h替換為主機(jī)名;
-e 文件路徑:不是執(zhí)行命令,而修改指定的文件
三)練習(xí)
1、授權(quán)centos用戶(hù)可以運(yùn)行fdisk命令完成磁盤(pán)管理,以及使用mkfs或mke2fs實(shí)現(xiàn)文件系統(tǒng)管理?
centos ALL=(ALL) /sbin/mke2fs,/sbin/fdisk,/sbin/mkfs,/sbin/partx
2、授權(quán)gentoo用戶(hù)可以運(yùn)行邏輯卷管理的相關(guān)命令
gentoo ALL=(ALL) /bin/mount,/bin/umount,/sbin/pvcreate,/sbin/pvdisplay,/sbin/vgcreate,/sbin/vgdisplay,/sbin/lvcreate,/sbin/lvdisplay,/bin/df
二、tcp_wrapper
一)TCP_Wrapper軟件包是一種基于TCP/IP協(xié)議之上的、運(yùn)行于UNIX/Linux系統(tǒng)、基于訪問(wèn)控制技術(shù)的一種網(wǎng)絡(luò)防火墻軟件。
判斷服務(wù)是否能夠由tcp_wrapper控制:
1、動(dòng)態(tài)編譯:ldd命令來(lái)檢測(cè)其所依賴(lài)庫(kù)是否有l(wèi)ibwrap
libwrap.so.0 => /lib64/libwrap.so.0
2、靜態(tài)編譯:strings /path/to/program
其顯示結(jié)果中,如果有類(lèi)似如下內(nèi)容:
hosts.allow
hosts.deny
3、tcp_wrapper通過(guò)讀取配置文件中的規(guī)則來(lái)判定某服務(wù)是否可被訪問(wèn):
/etc/hosts.allow
/etc/hosts.deny
文件中的規(guī)則是即時(shí)生效的;
4、
5、配置文件的語(yǔ)法:
daemon_list: client_list [:options]
daemon_list可為:
應(yīng)用程序程序名稱(chēng)
應(yīng)用程序程序名稱(chēng)列表:使用逗號(hào)分隔
例如sshd, in.telnetd
ALL:所有受控進(jìn)程
client_list可為:
IP地址
主機(jī)名
網(wǎng)絡(luò)地址:必須使用完整格式掩碼,不能使用長(zhǎng)度掩碼,172.16.0.0/16不合用;
簡(jiǎn)短的網(wǎng)絡(luò)地址:172.16. 表示為 172.16.0.0/255.255.0.0
ALL: 所有客戶(hù)端地址;
KNOWN: 知道的ip地址
UNKNOWN:不知道的ip地址
PARANOID:主機(jī)名和IP地址的各自的正反解析結(jié)果不匹配;
特殊的變量:
EXCEPT:除了
[:options]可為:
deny: 通常用于在hosts.allow文件實(shí)現(xiàn)拒絕的規(guī)則;
allow: 通常用于在hosts.deny文件實(shí)現(xiàn)允許的規(guī)則;
spawn: 啟動(dòng)一個(gè)額外命令
二)練習(xí)
控制vsftpd僅允許172.16.0.0/255.255.0.0網(wǎng)絡(luò)中的主機(jī)訪問(wèn),但172.16.100.3除外;對(duì)所被被拒絕的訪問(wèn)嘗試都記錄在/var/log/tcp_wrapper.log日志文件中;
答:1)vim /etc/host.allow
vsftpd: 192.168.3.20-192.168.3.120 EXCEPT 192.168.3.52
vsftpd: 192.168.3.0/255.255.255.0 EXCEPT 192.168.3.50,192.168.3.103
2)vsftpd: ALL : spawn /bin/echo `date` login attempt from %c to %s, %d >> /var/log/tcp_wrapper.log
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。