如何限制Linux中su命令的使用? (linux su 限制)
Linux系统中,su命令是经常使用的一个命令。su的全称是“Switch User”,即切换用户。通过这个命令,可以在不注销登录的情况下,切换到其他用户账号下执行操作。但是,在一些特殊的应用场景下,这种功能可能会造成安全隐患,因此需要限制su命令的使用。下面,我们将详细介绍如何限制Linux中su命令的使用。
1. 安装sudo
sudo是Linux系统中的一款实用工具,它可以限制用户的特定操作,比如将普通用户赋予管理员权限。由于su命令是root账户下的权限,因此我们可以通过sudo来限制su的使用权限。在Linux系统中,sudo通常已经默认安装了,但也有一些发行版不是默认安装,需要另外手动安装。具体安装方法可以参考系统手册或者在终端中输入以下命令进行安装:
“`
sudo apt-get install sudo
“`
2. 配置sudoers文件
sudoers文件是sudo的配置文件,用于指定哪些用户可以使用sudo工具,以及这些用户可以使用sudo命令执行哪些操作。在sudoers文件中,使用括号框定具有sudo权限的用户和用户组,然后在方括号中定义允许使用sudo的命令,以此限制su命令的使用。例如,我们可以将sudoers中的内容修改为:
“`
user1 ALL=(ALL) /bin/ls
user2 ALL=(ALL) /usr/bin/apt-get
“`
其中,user1和user2分别是两个拥有sudo权限的用户,/bin/ls和/usr/bin/apt-get则是允许这两个用户使用的命令。如果我们想限制su命令的使用,可以在sudoers文件中添加一行:
“`
user1 ALL=(ALL) !/bin/su
“`
这样,就限制了user1用户不能使用su命令进行切换用户的操作。更多sudoers文件的详细配置介绍可以参考systemd官方文档。
3. 使用PAM限制su的使用
除了使用sudo命令限制su的使用外,还可以通过PAM(Pluggable Authentication Modules)限制su的使用。PAM是一种插件机制,可以在登录和认证过程中插入自定义的模块。在Linux系统中,su是由PAM认证来进行的,因此我们可以通过修改PAM的配置文件来限制su命令的使用。
通过修改/etc/pam.d/su文件来限制su命令的使用,其中,auth字段用于验证用户身份,account字段用于授权限制。具体的修改方法可以参考PAM官方文档。
su命令虽然方便,但也存在一定的安全隐患。为了确保系统的安全性,我们可以通过sudo命令、PAM等方式来限制su的使用。这样既能保障系统的安全性,又能避免由于误操作导致的不必要损失。
相关问题拓展阅读:
linux权限之su和sudo的区别
sudo不用切换用户环境
su则切换了用户亏中敬
su可以销慎切换用培宏户
sudo则是使用root权限
$ su – user1 //当执行这个命令的时候表示切换到user1用户,并且重新读取用户环境相关配置文件,具体的来说就是执行下用户家目录下.bash_profile和.bashrc文件,这个我们成为全切换
$ su user1 //执行告裤这个命令的时候系统不读取以上衡颂两个文件,所以我们一般称它为半切换,这样切换过去之后,user1用户使用的依旧是此前用户的环境配置信息
$ sudo -u user1 //是不加载user1用户的配置文件的,因此权限与su user1相同
举例说明的话,如果在用户的配置文件中设置了umask,那么不同咐友郑的切换方法对文件默认的权限时不同的
LINUX常用命令su、df、du、磁盘分区
一、 su 、sudo 、限制root远程登陆
su- username
带用户环境切换用户
su- -c”touch /tmp/123.txt”user1
以user1用户创建/tmp/123.txt 文件
没有家目录的用户可以用模板新建家目录
mkdir-p /home/user4chownuser4:user4 /home/user4cp /etc/skel/.bash*/home/user4chown-R user4:user4 /home/user4/
普通用户临时授权root用户权限去执行一条命令
visudo
可以查看sudo配置文件
在命令前加入NOPASSWD: 执行sudo时就不需要再输入用户的密码
例子:
User_Alias USER=chen1,chen2
Cmnd_Alias SU=/usr/bin/su
USER ALL=(ALL) NOPASSWD:SU
禁止root用户远程登陆
vi/etc/ssh/sshd_configPermitRootLoginno//修改此处systemctl restart sshd.service
二、df命令、du命令、磁盘分区
df-h
自动适应文件大小的单位,查看磁盘使用情况
free
可以查看swap的使用情况
df-i
查看各个分区inode的使用情况
有的时候明明磁盘的内存还有剩余,但是却无法写入新文件,这时候就可能是inode用完了。
du-sh
自动适应单位显示文件或文件夹大小
du不加后缀的时候和du -l 一样,显示文件夹下文件的大小
du-lh
自动适应单位显示文件夹下文件的大小
fdisk-l
列出linux 的磁盘信息
fdisk/dev/sdb
m帮助,直接按p是查看模祥分区情况 n新建分区 p建立主分区 e扩展分区 d删除分区,起始扇区默认2023就可以啦,last 扇区 +2G 就是将分区一的大小设置为2G;输错命令用ctrl +u清除
BLOCKS是含码喊分区的大小,system是分区的类型,主分区和逻辑分区都是linux,扩展分区是extended
主分区的分区号可以为空,而逻辑分区的分区号必须连续;逻辑分区以sdb5开始,分区之后输入w可以保存分区,q则不保存操作直接退出
三、磁盘格式化、磁盘挂载、手动增加swap空间
1.磁盘格式化
cat/etc/filesystems //查看系统支持的文件格式,centos7默认xfs,centos6默认ext4
mount//查看系统的文件格式
mke2fs
-t指定文件格式 ext4 、ext3
-b指定块大小,文件都比较大时,谈野块可以大一点,比如视频、高清图片
比较小时可以将块设置小一点,加快读取速度
-m指定给root用户预留的空间大小,1就是1%,0.1就是0.1%
-i指定多少字节占一个inode号
如果不指定-t文件格式,则默认为ext2格式
mkfs.ext4/dev/sdb1 //将分区格式化为ext4格式mkfs.xfs -f/dev/sdb1 //将分区格式化为xfs格式\
分区只有挂载了才可以使用mount查询到,没有挂载的分区可以用
blkid/dev/sdb1
mkfs.ext4 == mke2fs -t ext4
mkfs.ext4与mke2fs支持的选项相同
xfs格式只能用mkfs.xfs 创建
2.磁盘挂载
mount/dev/sdb /mnt///将 /dev/sdb挂载到mnt下 mount UUID=”2d8e7749-f2f7-4de5-b1b9-b6bf758d2f37″/mnt///这里的uuid是用blkid /dev/sdb 查到的
卸载磁盘
umount/dev/sdb
如果当前目录在/dev/sdb下则需要退出当前分区
也可以直接用
umount-l/dev/sdb umount-l/mnt/
mount
man mount 可以查看mount的具体用法
/defaults 可以查找默认用法
找到下面这一行
Use default options: rw, suid, dev, exec, auto, nouser, and async.
rw读写权限
suid可以设置suid权限
dev,系统默认不用管
exec可执行
auto自动挂载
nouser是否允许普通用户挂载,默认不允许
async 不实时同步内存的东西到磁盘(减轻磁盘压力)
mount -o remount,rw/dev/sdb //重新挂载
vi/etc/fstab //系统开机都挂载哪些文件
四、手动增加虚拟内存
ddif=/dev/zeroof=/tmp/newdisk bs=1M count=100//创建虚拟磁盘
if指定源,一般写/dev/zero,它是unix系统特有的一个文件,可以源源不断的提供’0′,of指定目标文件,bs指定块大小,count指定块的数量
mkswap -f /tmp/newdisk//格式化为swapswapon /tmp/newdisk//将新建的swap加载free-m//显示内存使用大小,-m指定单位为mswapoff /tmp/newdisk//将虚拟内存卸载
五、lvm
lvm创建过程
创建物理卷>创建卷组>创建逻辑分区>格式化为需要的格式>挂载分区
具体介绍日志
fdisk /dev/sdb
t 选择分区,8e //将分区转换为lvm格式 ,w退出
创建物理卷
1.
yumprovides”/*/pvcreate”
通配查询pvcreate命令的软件包名
yum install -y lvm2//安装lvm
partprobe //生成分区文件
2.
pvcreate/dev/sdb1pvcreate /dev/sdb2pvcreate /dev/sdb3
pvdisplay查看已经创建的物理卷
创建卷组
1.pvs
可以直观的查看物理卷有哪些
2.创建卷组,将sdb1和sdb2设置为一个卷组
vgcreatevg1 /dev/sdb1 /dev/sdb2
vgdisplay可以查看卷组信息
创建逻辑分区
lvcreate-L100M-n lv1 vg1
从vg1卷组中创建名字为lv1大小100M的逻辑分区
-L指定分区大小
-n指定分区名字
将分区格式化为ext4格式
mkfs.ext4 /dev/vg1/lv1
然后将文件挂载
mount/dev/vg1/lv1 /mnt
ext4扩容逻辑分区
umount/mnt///卸载分区lvresize -L200M/dev/vg1/lv1 //扩展分区e2fsck -f/dev/vg1/lv1 //检查磁盘是否有错误resize2fs/dev/vg1/lv1 //更新逻辑分区大小,不然重新挂载会无法识别扩容的大小
ext4缩容
umount/mnt///卸载分区e2fsck -f/dev/vg1/lv1 //检查磁盘是否有错误resize2fs/dev/vg1/lv1 100M //将分区缩小为100Mlvresize -L100M/dev/vg1/lv1 //重新设置卷大小
xfs扩容
1.扩容与缩容不会更改分区中的文件,xfs只可以扩容不可以缩容;
2.如果磁盘已经挂载要先umount 卸载
然后格式化为xfs.
mkfs.xfs-f/dev/vg1/lv1
XFS的扩容不需要先卸载,直接扩容即可
lvresize -L200M /dev/vg1/lv1 xfs_growfs/dev/vg1/lv1 //更新分区大小
关于扩容缩容的总结
ext4可以扩容和缩容而且需要卸载后操作,xfs只可以扩容,不需要卸载
ext4扩容
lvresize -L 100M /dev/vg1/lv1e2fsck-f/dev/vg1/lv1resize2fs /dev/vg1/lv1
缩容
e2fsck-f/dev/vg1/lv1resize2fs /dev/vg1/lv1 100Mlvresize -L 100M /dev/vg1/lv1
xfs扩容
lvresize-L100M/dev/vg1/lv1xfs_growfs /dev/vg1/lv1
在分区空间用完之后就需要扩容卷组,然后再扩容
卷组扩容
vgextendvg1 /dev/sdb3
将 /dev/sdb3加入到vg1卷组
关于linux su 限制的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。
