一、禁止普通用户su到root管理员、设置可以su到root的白名单

1、首先看一下正常情况

2、可以看到普通用户使用su root命令,输入密码即可登录到root用户

3、下面开始配置禁止所有普通用户su到root,打开配置文件,使用命令vim /etc/pam.d/su

4、取消配置文件这一行的注释,保存退出。

5、返回普通用户lu,再次使用su命令尝试切换至root

6、此时发现配置已经生效,su命令被拒绝,无法切换了。

7、接下来设置允许某些用户可以su到root

8、使用root用户。打开/etc/login.defs文件,在文件结尾添加SU_WHEEL_ONLY yes ,保存退出

8、接下来就将可以将用户添加到wheel组,就可以让他拥有su命令的权限。usermod -G wheel lu

9、发现已经可以成功su到root了

10、此时只有普通用户lu可以使用su到root,其他普通用户依然无法su,使用hl验证一下

二、通过配置hosts.allow和hosts.deny限制SSH/TELNET终端接入,设置白名单

 首先查看Redhat6虚拟机的IP地址

 打开putty输入IP,登录

 此时可以成功登录

1、首先配置拒绝接入的IP地址。以root用户登录Redhat,打开/erc/hosts.deny文件

 

在配置文件结尾添加拒绝规则,保存退出

使用putty再次登录试验一下,被拒绝了

2、配置允许接入的IP地址。使用root用户打开/erc/hosts.文件

可以添加允许的单个IP或是允许的网段,添加规则是这样的

允许内容

书写格式(改成自自需要的IP或IP段)

ssh允许单个ip

sshd:192.168.233.1

ssh允许ip段

sshd:192.168.233.

telnet允许单个ip

in.telnetd:192.168.233.1

telnet允许ip段

in.telnetd:192.168.233.

添加自己本机地址保存(注意:此时添加的是本地VMnet8的地址,而不是无限局域网的VLAN地址),试一下

使用putty连接

发现此时可以连通

那么设置本机所在网段试一下

网段方式也可以通。

备注:

1、配置配置hosts.allow和hosts.deny文件后不用重启服务也能生效

2、hosts.allow的优先级要大于hosts.deny

三、修改history条数

首先使用history查看一下

虽然现在记录的命令不多,但其中不乏一些非常敏感的信息,比如管理员密码,细思极恐

想要查看当前history条数可以使用echo $HISTSIZE 命令

现在我们对他进行修改。使用管理员账户,打开/etc/profile配置文件,找到图片中所示的字段        HISTSIZE=1000

将条数修改为10保存退出。

使用命令source /etc/profile,使他现在生效,现在查看history条数

使用history看看什么效果

现在可以看到,history只记录了最后10条命令

Linux安全加固(二)禁止普通用户su到root/设置SSH终端接入白名单/修改history条数的更多相关文章

  1. Linux禁止普通用户su至root

    linux系统为了限制权限,有时候需要禁止普通用户su到root用户 为禁止普通用户su至root,需要分别修改/etc/pam.d/su和/etc/login.defs两个配置文件. 二.详细配置 ...

  2. centOS禁止普通用户su到root

    1.关于su的相关权限涉及到两个文件,分别为/etc/pam.d/su和/etc/login.defs两个配置文件. 2.禁止普通用户su到root,配置如下: 去除/etc/pam.d/su文件中如 ...

  3. Linux 禁止普通用户su到root

    Linux账户权限管理上为了防止普通用户通过su切换到root用户,需要修改/etc/pam.d/su和/etc/login.defs两个配置文件. Step1:修改 /etc/pam.d/su文件 ...

  4. 普通用户su 到root,无需密码方式,及iptables封掉本机某个端口,core文件配置

    一. 普通用户su到root无需密码: 随着服务器越来越多,普通用户转到root下,去查密码表是个很繁琐的事,发现有如下方式比较方便(需要root操作) vi /etc/pam.d/su  将 aut ...

  5. linux(十二)之用户管理

    前面学习了那么多关于linux的东西,相信大家都对linux应该 有一个大概的了解了.现在给大家分享的是linux中的用户管理,接下来让我们进入正题吧! 今天其实放松了一整天了,有点后悔自己没有把这些 ...

  6. Linux将端口设置进防火墙的白名单

    1.先检查linux服务器的端口是否被防火墙拦住 `telnet 172.168.1.101 8080后面跟端口号,如果连接上证明是防火墙白名单.如果没有配置 vi /etc/sysconfig/ip ...

  7. linux修改history记录数

    在linux系统下.history命令会保存多少条命令呢?曾在一本书上说,如果注销系统,那么会将所有的历史命令都定入到~/.bash_history, 但只保留1000条命令(这个是由默认的shell ...

  8. 检查是否使用PAM认证模块禁止wheel组之外的用户su为root

    编辑su文件(vi /etc/pam.d/su),在开头添加下面两行: auth sufficient pam_rootok.so 和 auth required pam_wheel.so group ...

  9. [Linux]Ubuntu下如何将普通用户提升到root权限

    转至:http://jingyan.baidu.com/album/6181c3e0780131152ef153ff.html?picindex=0&qq-pf-to=pcqq.c2c  在u ...

随机推荐

  1. PowerBuilder学习笔记之14用户自定义对象

    教程链接:https://wenku.baidu.com/view/9730d1c7aa00b52acec7ca05.html?re=view&rec_flag=default&sxt ...

  2. Java的常用API之System类简介

    Syetem类 java.lang.System类中提供了大量的静态方法,可以获取与系统相关的信息或系统级操作,在System类的API文档中,常用的方法有: public static long c ...

  3. Spring Security 解析(七) —— Spring Security Oauth2 源码解析

    Spring Security 解析(七) -- Spring Security Oauth2 源码解析   在学习Spring Cloud 时,遇到了授权服务oauth 相关内容时,总是一知半解,因 ...

  4. Java打印日历表

    今天来吐槽一下Java的Calendar类的使用问题,反正我是弄了半天. 首先是,遇到一个问题,输入年份和月份,需要打印这个月的日历,网上有不少代码,但我用了几个感觉都不是很靠谱. 然后经过一番探索, ...

  5. Computer Neworking: A Top-Down Approach

    目录 Chapter 1: Computer Networks and the Internet 1. What is the Internet? 2. The Network Edge 3. The ...

  6. Nginx 开启status用以监控状态信息

    Nginx 可以通过with-http_stub_status_module模块来监控nginx的一些状态信息.1.通过nginx -V来查看是否有with-http_stub_status_modu ...

  7. 《微信小程序项目开发实战:用WePY、mpvue、Taro打造高效的小程序》(笔记1)WePY开发环境的安装

    WePY的安装或更新都通过npm进行,全局安装或更新WePY命令行工具,使用以下命令: npm install wepy-cli -g 稍等片刻,成功安装后,即可创建WePY项目. 注意:如果npm安 ...

  8. 前端用js获取本地文件的内容

    这里要写成input的形式 调用upload函数 传递的参数就表示所选的文件<input type="file" onchange="upload(this)&qu ...

  9. Java语法知识点2

    1. 基本数据类型的包装类 byte   Byte short   Short int    Integer long  Long float  Float double  Double boolea ...

  10. Django模型层(models.py)之模型创建

    Django数据库操作是十分重要的内容,这两天简单学习了数据库的操作,这里做个总结. 1.ORM简介 简单的来说,ORM就是对象-关系-映射.它实现了数据模型与数据库的解耦,即数据模型的设计不需要依赖 ...