上QQ阅读APP看书,第一时间看更新
1.5.6 限制su命令的访问
风险分析 su命令用于切换登录用户,如果不对其进行限制,则存在权限绕过风险。
加固详情 限制su命令的访问。
加固步骤 创建su命令专属群组,当用户需要使用su命令时,添加该用户到su命令专属群组。如下所示,创建su命令专属群组 sugroup,且给test用户添加su命令的访问权限。
(1)创建su命令专属群组sugroup,并将test用户添加到群组sugroup。
[root@centos7 ~]# groupadd sugroup [root@centos7~]# usermod -G sugroup test [root@centos7~]# getent group sugroup sugroup:x:1001:test
(2)给sugroup群组添加su命令的访问权限,即编辑文件/etc/pam.d/su,添加以下内容。
auth required pam_wheel.so use_uid group=sugroup