2014IT鐵人賽-29-sudo 授權管理
今天練習用sudo 指令進行授權管理.
筆記部份:
**sudo**
管理者可以利用sudo 授權使用者去執行特定的指令
sudo, sudoedit - execute a command as another user
visudo 會編輯 /etc/sudoers 檔案來授權使用者可以變更其他使用者執行指令
語法如下
使用者 電腦=(使用者) 指令
另外在安全管理的部份, 有關於密碼的相關設定
利用chage 設定使用者的密碼相關設定
- Minimum Password Age: 更改密碼後最少要過幾天才能再換密碼
- Maximum Password Age: 密碼幾天之後一定要換
- Password Expiration Warning: 密碼過期前幾天警告
- Password Inactive: 密碼過期後幾天鎖定
- Last Password Change: 上次修改密碼的日期
- Account Expiration Date: 帳戶過期日
/etc/shadow 檔案存放密碼的相關設定
john:$2a$10$2jooBgXdcyVRORcTrOk6O.vgsBnufE.oEH366oSNUDf80oAjfz90y:14196:7:90:5:3:14244:
帳號:加密過後的雜湊值:上次修改密碼的日期:Min age:Max age:幾天前警告:幾天後鎖定:帳戶過期日
要求使用者下次登入必須更改密碼
- 可以使用 #chage -d 0 使用者帳號
- 或是使用 #passwd -e 使用者帳號
開始練習吧
Lab: sudo
目的: 授權max可以變更使用者的password, 除了變更root的密碼以外
#visudo
加入
#使用者 電腦=(使用者) 指令
max ALL = /usr/bin/passwd [a-Z]*, !/usr/bin/passwd root
並註解 35 行前後
#Defaults targetpw # ask for the password of the target user i.e. root
#ALL ALL=(ALL) ALL # WARNING! Only use this together with 'Defaults targetpw'!
測試
#su - max
>passwd john < 變更john的密碼, 失敗>
>sudo passwd john <要求輸入max的密碼, 即可變更使用者密碼>
>sudo passwd root <失敗, 不允許變更root 密碼>
>exit
目的:授權john可以變更使用者的password, 除了變更root的密碼以外,且不需輸入密碼
#visudo
加入
john ALL = NOPASSWD:/usr/bin/passwd [a-Z]*, !/usr/bin/passwd root
測試
#su - john
>passwd max
>sudo passwd max
Lab: 設定密碼的相關設定
#chage -l john <列出john密碼的相關設定>
#grep john /etc/shadow <請觀察相關資訊>
#chage john <設定john的密碼相關設定>
# grep john /etc/shadow <請觀察相關資訊>
#chage -d 0 john <設定john一登入必須更改密碼>
# grep john /etc/shadow <請觀察相關資訊>
測試:
#su - john
> < 一登入就被要求要更改密碼>
Fun with Day 29 ~
沒有留言:
張貼留言