一、禁止普通用户su到root管理员、设置可以su到root的白名单

1、首先看一下正常情况

2、可以看到普通用户使用su root命令,输入密码即可登录到root用户

3、下面开始配置禁止所有普通用户su到root,打开配置文件,使用命令vim /etc/pam.d/su

4、取消配置文件这一行的注释,保存退出。

5、返回普通用户lu,再次使用su命令尝试切换至root

6、此时发现配置已经生效,su命令被拒绝,无法切换了。

7、接下来设置允许某些用户可以su到root

8、使用root用户。打开/etc/login.defs文件,在文件结尾添加SU_WHEEL_ONLY yes ,保存退出

8、接下来就将可以将用户添加到wheel组,就可以让他拥有su命令的权限。usermod -G wheel lu

9、发现已经可以成功su到root了

10、此时只有普通用户lu可以使用su到root,其他普通用户依然无法su,使用hl验证一下

二、通过配置hosts.allow和hosts.deny限制SSH/TELNET终端接入,设置白名单

 首先查看Redhat6虚拟机的IP地址

 打开putty输入IP,登录

 此时可以成功登录

1、首先配置拒绝接入的IP地址。以root用户登录Redhat,打开/erc/hosts.deny文件

 

在配置文件结尾添加拒绝规则,保存退出

使用putty再次登录试验一下,被拒绝了

2、配置允许接入的IP地址。使用root用户打开/erc/hosts.文件

可以添加允许的单个IP或是允许的网段,添加规则是这样的

允许内容

书写格式(改成自自需要的IP或IP段)

ssh允许单个ip

sshd:192.168.233.1

ssh允许ip段

sshd:192.168.233.

telnet允许单个ip

in.telnetd:192.168.233.1

telnet允许ip段

in.telnetd:192.168.233.

添加自己本机地址保存(注意:此时添加的是本地VMnet8的地址,而不是无限局域网的VLAN地址),试一下

使用putty连接

发现此时可以连通

那么设置本机所在网段试一下

网段方式也可以通。

备注:

1、配置配置hosts.allow和hosts.deny文件后不用重启服务也能生效

2、hosts.allow的优先级要大于hosts.deny

三、修改history条数

首先使用history查看一下

虽然现在记录的命令不多,但其中不乏一些非常敏感的信息,比如管理员密码,细思极恐

想要查看当前history条数可以使用echo $HISTSIZE 命令

现在我们对他进行修改。使用管理员账户,打开/etc/profile配置文件,找到图片中所示的字段        HISTSIZE=1000

将条数修改为10保存退出。

使用命令source /etc/profile,使他现在生效,现在查看history条数

使用history看看什么效果

现在可以看到,history只记录了最后10条命令

Linux安全加固(二)禁止普通用户su到root/设置SSH终端接入白名单/修改history条数的更多相关文章

  1. Linux禁止普通用户su至root

    linux系统为了限制权限,有时候需要禁止普通用户su到root用户 为禁止普通用户su至root,需要分别修改/etc/pam.d/su和/etc/login.defs两个配置文件. 二.详细配置 ...

  2. centOS禁止普通用户su到root

    1.关于su的相关权限涉及到两个文件,分别为/etc/pam.d/su和/etc/login.defs两个配置文件. 2.禁止普通用户su到root,配置如下: 去除/etc/pam.d/su文件中如 ...

  3. Linux 禁止普通用户su到root

    Linux账户权限管理上为了防止普通用户通过su切换到root用户,需要修改/etc/pam.d/su和/etc/login.defs两个配置文件. Step1:修改 /etc/pam.d/su文件 ...

  4. 普通用户su 到root,无需密码方式,及iptables封掉本机某个端口,core文件配置

    一. 普通用户su到root无需密码: 随着服务器越来越多,普通用户转到root下,去查密码表是个很繁琐的事,发现有如下方式比较方便(需要root操作) vi /etc/pam.d/su  将 aut ...

  5. linux(十二)之用户管理

    前面学习了那么多关于linux的东西,相信大家都对linux应该 有一个大概的了解了.现在给大家分享的是linux中的用户管理,接下来让我们进入正题吧! 今天其实放松了一整天了,有点后悔自己没有把这些 ...

  6. Linux将端口设置进防火墙的白名单

    1.先检查linux服务器的端口是否被防火墙拦住 `telnet 172.168.1.101 8080后面跟端口号,如果连接上证明是防火墙白名单.如果没有配置 vi /etc/sysconfig/ip ...

  7. linux修改history记录数

    在linux系统下.history命令会保存多少条命令呢?曾在一本书上说,如果注销系统,那么会将所有的历史命令都定入到~/.bash_history, 但只保留1000条命令(这个是由默认的shell ...

  8. 检查是否使用PAM认证模块禁止wheel组之外的用户su为root

    编辑su文件(vi /etc/pam.d/su),在开头添加下面两行: auth sufficient pam_rootok.so 和 auth required pam_wheel.so group ...

  9. [Linux]Ubuntu下如何将普通用户提升到root权限

    转至:http://jingyan.baidu.com/album/6181c3e0780131152ef153ff.html?picindex=0&qq-pf-to=pcqq.c2c  在u ...

随机推荐

  1. Java的常用API之System类简介

    Syetem类 java.lang.System类中提供了大量的静态方法,可以获取与系统相关的信息或系统级操作,在System类的API文档中,常用的方法有: public static long c ...

  2. Linux中历史命令

    历史命令,即之前登录session会话中的在命令行键入的命令. 在Linux中可以有两种方式查询历史命令 history命令 当前用户目录中的隐藏文件.bash_history 一.history 作 ...

  3. Spring Boot 整合 MyBatis 实现乐观锁和悲观锁

    本文以转账操作为例,实现并测试乐观锁和悲观锁. 完整代码:https://github.com/imcloudfloating/Lock_Demo GitHub Page:http://blog.cl ...

  4. Java中守护线程的总结 thread.setDaemon(true)

    https://www.cnblogs.com/ziq711/p/8228255.html 在Java中有两类线程:User Thread(用户线程).Daemon Thread(守护线程) 用个比较 ...

  5. C# Winform 文本框默认提示信息

    private string Notes = "提示文本"; private void textBox1_Leave(object sender, EventArgs e) { / ...

  6. Vue传递方法给页面调用

    很多人在使用vue的时候苦于在vue中写方法,但是在外部甚至在另一个js该如何调用呢? 这个方法就是显示了vue的可以传递方法到页面使得页面任何地方都可以调用 前提得引用文件 这个方法一般多用于加载周 ...

  7. 递归-求n和n以前的自然数

    #include <iostream> using namespace std; void zrs(int n)//用递归求自然数(n和它之前) { ) { cout<<< ...

  8. Linux中的RCU的那点事

      原文:https://zhuanlan.zhihu.com/p/67520807     今天来讲一下这Linux内核中的RCU(Read Copy Update,读复制更新)机制. 我主要参考的 ...

  9. .NET中的异步编程——常见的错误和最佳实践

    在这篇文章中,我们将通过使用异步编程的一些最常见的错误来给你们一些参考. 背景 在之前的文章<.NET中的异步编程——动机和单元测试>中,我们开始分析.NET世界中的异步编程.在那篇文章中 ...

  10. 重温拉格朗日乘子法和KKT条件

    在求取有约束条件的优化问题时,拉格朗日乘子法(Lagrange Multiplier) 和KKT条件是非常重要的两个求取方法,对于等式约束的优化问题,可以应用拉格朗日乘子法去求取最优值:如果含有不等式 ...