sudo相关配置详解及aide高级入侵检测环境

sudo
su – xiao -c ‘echo $USER’
切换xiao用户执行指令显示用户名xiao
通用的配置文件:/etc/sudoers
实际运用的配置文件:/etc/sudoers.d/
里面文件权限应设为440;根据需要可以一个用户设置一个配置文件便于管理
visudo
默认打开的是/etc/sudoers文件
visudo -f /etc/sudoers.d/mage
用-f指定某个要编辑的文件
export EDITOR=vim
导入一个变量使visudo指令打开文件带颜色
2d7049d308264493aa471d41b2b89294
root 可以在那个主机上 代表那个用户 执行什么操作
user:wang
主机:192.168.30.7
代表用户:root
执行的指令:挂载指令(这里是精确匹配在执行指令时不能少写一个斜杠)
也可以设置组权限
%组名 ALL=(ALL) ALL
授权组名在任意主机上可代表任何个执行任何操作
通过visudo命令编辑配置文件,具有语法检查功能
visudo –c 检查语法
时间戳文件:
centos6:/var/db/sudo
centos7: /var/run/sudo/ts
日志文件:/var/log/secure
sudo授权的操作信息
/etd/sudoers;/etc/sudoers.d/
配置文件支持的写法:
使用通配符glob:
?:任意单一字符
* :匹配任意长度字符
[wxc]:匹配其中一个字符
[!wxc]:除了这三个字符的其它字符
\x : 转义
[[alpha]] :字母 示例: /bin/ls [[alpha]]*
配置文件规则有两类;
1、别名定义:不是必须的
sudo别名和示例
别名有四种类型:
User_Alias, 用户别名
Runas_Alias, 可代表用户的别名
Host_Alias ,主机别名
Cmnd_Alias,指令别名
别名格式:[A-Z]([A-Z][0-9]_)*
别名定义:
别名的类型 NAME1 = item1, item2, item3 : NAME2 = item4, item5
示例1:
Student ALL=(ALL) ALL
%wheel ALL=(ALL) ALL
.示例2:
student ALL=(root) /sbin/pidof,/sbin/ifconfig
%wheel ALL=(ALL) NOPASSWD: ALL
NOPASSWD 不输口令就可以执行操作
示例3
User_Alias NETADMIN= netuser1,netuser2
Cmnd_Alias NETCMD = /usr/sbin/ip
NETADMIN ALL=(root) NETCMD
示例4
User_Alias SYSADER=wang,mage,%admins
User_Alias DISKADER=tom
Host_Alias SERS=www.magedu.com,172.16.0.0/24
Runas_Alias OP=root
Cmnd_Alias SYDCMD=/bin/chown,/bin/chmod
Cmnd_Alias DSKCMD=/sbin/parted,/sbin/fdisk
SYSADER SERS= SYDCMD,DSKCMD
DISKADER ALL=(OP) DSKCMD
示例x
User_Alias ADMINUSER = adminuser1,adminuser2
Cmnd_Alias ADMINCMD = /usr/sbin/useradd,/usr/sbin/usermod, /usr/bin/passwd [a-zA-Z]*, !/usr/bin/passwd root
ADMINUSER ALL=(root) NOPASSWD:ADMINCMD,PASSWD:/usr/sbin/userdel
示例5
Defaults:wang runas_default=tom
wang ALL=(tom,jerry) ALL
wang在执行sudo指令时不用-u就默认代表tom用户执行指令
示例6
wang 192.168.175.136,192.168.175.138=(root) /usr/sbin/,!/usr/sbin/useradd
示例7
wang ALL=(ALL) /bin/cat /var/log/messages*,! /bin/cat /var/log/messages* *
2、授权规则:必须的
sudo命令
ls -l /usr/bin/sudo
sudo –i –u wang 切换身份需要在配置文件中授权与su – 类似
sudo [-u user] COMMAND
-V 显示版本信息等配置信息
-u (可代表的用户的身份):默认为root 授权自己用()里面的内容即可代表的用户的身份执行后面指令
-l,ll 列出用户在主机上可用的和被禁止的命令
-v 再延长密码有效期限5分钟,更新时间戳
-k 清除时间戳(1970-01-01),下次需要重新输密码
-K 与-k类似,还要删除时间戳文件
-b 在后台执行指令
-p 改变询问密码的提示符号
%c 客户端信息
%s 服务器端信息
%d 服务名
%p 守护进程的PID
%% 表示%
示例:
-p ”password on %h for user %p:”
5c0edae1397549b78e8443c916a62eaa

wang ALL=(ALL) sudoedit
授权wang拥有编辑/etc/sudoers文件
AIDE
高级入侵检测环境)是一个入侵检测工具,主要用途是检查文件的完整性,审计计算机上的那些文件被更改过了。
安装
yum install aide
修改配置文件
/var/log/aide
监控日志文件
vim /etc/aide.conf (指定对哪些文件进行检测)
/test/chameleon R /bin/ps R+a /usr/bin/crontab R+a
R=p+i+n+u+g+s+m+c+md5
权限+索引节点+链接数+用户+组+大小+最后一次修改时间+创建时间+md5校验值
NORMAL = R+rmd60+sha256
监控文件格式写法:
/etc/ NORMAL
!/etc/mtab
监控/etc/目录下所有文件监控项为NORMAL
“!”表示忽略/etc/mtab这个文件的检查
编辑好监控文件后生成数据库文件用来做对比用
/usr/local/bin/aide –init
aide –init
首次生成检查数据库不用改名;如果/var/lib/aide目录时已经有了aide.db.gz文件时;再用指令生的文件名字为aide.db.new.gz;这时就要改名了:
cd /var/lib/aide
mv aide.db.new.gz aide.db.gz
安全起见把数据库文件放到别的电脑上
检测: /usr/local/bin/aide –check
aide –check
依据aide.dlb.gz 文件跟现有文件对比看是否检查项有改变
修改安监控文件可以更新数据库
aide –update
AIDE(Advanced Intrusion Detection Environment)
•高级入侵检测环境)是一个入侵检测工具,主要用途是检查文件的完整性,审计计算机上的那些文件被更改过了。
•AIDE能够构造一个指定文件的数据库,它使用aide.conf作为其配置文件。AIDE数据库能够保存文件的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文件大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小以及连接数。AIDE还能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文件的校验码或散列号.
•这个数据库不应该保存那些经常变动的文件信息,例如:日志文件、邮件、/proc文件系统、用户起始目录以及临时目录.

本文来自投稿,不代表Linux运维部落立场,如若转载,请注明出处:http://www.178linux.com/100173

发表评论

登录后才能评论

联系我们

400-080-6560

在线咨询:点击这里给我发消息

邮件:1823388528@qq.com

工作时间:周一至周五,9:30-18:30,节假日同时也值班