社区微信群开通啦,扫一扫抢先加入社区官方微信群
社区微信群
对于上节课的复习:
最小化:
1)安装软件最小化。
2)目录文件权限最小化。
3)用户权限最小化。
4)程序运行权限最小化。
下图第一行加一条:
##Cmnd_Alias by oldboy##2018(作为注释,标记。)
CY:初级运维,后面是对应的权限和命令。GY:高级运维,后面是对应的权限和命令。CK:初级开发,后面对应。
把上边的命令放到sudo(执行命令visudo)里面去,是根据职位角色来分配的。
用户(senior001),主机(ALL),角色(OP),命令(GY_CMD_1)。
把这三幅图的内容都添加到visudo里边。
注意:
1)别名大写。
2)路径要写全路径。
3)超过一行的话用“”换行。
for user in chuji001 chuji002 chuji003 net001 senior001 manager001
> do
> useradd $user
> echo "111111"|passwd --stdin $user
> done
:建立用户和设定密码。(批量创建用户给密码。)
for user in kaifamanager001 seniorphpers
> do
> useradd $user
> echo "111111"|passwd --stdin $user
> done
:建立开发人员,属于phpers组。
进入到chuji001用户,输入sudo -l,可以查看该用户的权限。
没有给chuji001用户添加用户的权限,就执行不了。但是可以修改主机名字。
sudo mkfs.ext4 /dev/sdb:格式化文件系统。
进入但net001用户,不能创建用户,也不能格式化文件系统。
进入到kaifamanager001用户可以添加用户,但不能修改密码。
虽然后来给kaifamanager001添加了!/usr/bin/sudo su -的命令,但在该用户下还是能够执行su -命令。这就是因为前面加了ALL=(ALL)的缘故。
想要正确限制命令的使用,必须给出全路径。比如:/bin/vi,/usr/bin/sudo。然后指定用户就无权以root的身份在oldboy上执行命令vi,sudo。在工作中不建议先给ALL,因为授权ALL再进行排除有时会让我们防不胜防,这种先开后关的策略并不是很好好的策略。应该使用的是白名单机制。
文章见博主博文:linux下控制帐户过期的多种方法
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!
