su命令 sudo命令 限制root遠(yuǎn)程登錄

• su命令

• 日常操作中為了避免一些誤操作，更加安全的管理系統(tǒng)，通常使用的用戶身份都為普通用戶，而非root。當(dāng)需要執(zhí)行一些管理員命令操作時(shí)，再切換成root用戶身份去執(zhí)行。

普通用戶切換到root用戶的方式有：su和sudo。

2.su - （su為switch user，即切換用戶的簡(jiǎn)寫）

格式：su?-l USERNAME（-l為login，即登陸的簡(jiǎn)寫）

-l可以將l省略掉，所以此命令常寫為su?- USERNAME

如果不指定USERNAME（用戶名），默認(rèn)即為root，所以切換到root的身份的命令即為：su -root或是直接?su -

3.su -?與su

通過(guò)su切換用戶還可以直接使用命令su USERNAME，與su - USERNAME的不同之處如下：

su - USERNAME切換用戶后，同時(shí)切換到新用戶的工作環(huán)境中

su USERNAME切換用戶后，不改變?cè)脩舻墓ぷ髂夸?#xff0c;及其他環(huán)境變量目錄

?

• sudo

• 使用su切換用戶時(shí)需知曉對(duì)應(yīng)用戶的登陸密碼，即若切換成root用戶身份，需知道root用戶的登陸密碼。作為root用戶管理員，如何授權(quán)其他普通用戶，在不需要知曉root密碼的情況下，執(zhí)行root權(quán)限的命令操作？此時(shí)即可使用sudo。

• 是一種權(quán)限管理機(jī)制，依賴于/etc/sudoers，其定義了授權(quán)給哪個(gè)用戶可以以管理員的身份能夠執(zhí)行什么樣的管理命令；

格式：sudo?-u USERNAME?COMMAND

當(dāng)普通用戶通過(guò)sudo以root用戶執(zhí)行命令時(shí)，sudo后面的?-uUSERNAME可省略，即sudo COMMAND?即意為sudo以root用戶執(zhí)行

默認(rèn)情況下，系統(tǒng)只有root用戶可以執(zhí)行sudo命令。需要root用戶通過(guò)使用visudo命令編輯sudo的配置文件/etc/sudoers，才可以授權(quán)其他普通用戶執(zhí)行3.sudo命令。

如下圖，假如使用普通用戶帳號(hào)user4通過(guò)sudo以root用戶身份執(zhí)行命令tail/etc/shadow時(shí)，即被提示：user4未被定義在sudoers文件中，無(wú)法執(zhí)行此命令。

三、限制root遠(yuǎn)程登錄

在使用linux系統(tǒng)時(shí)，尤其在多人共用一臺(tái)服務(wù)器時(shí)，為了安全，需要控制一下每個(gè)人的權(quán)限，root用戶的權(quán)限最大，所以禁止用root直接登錄就顯得很必要了！下面這個(gè)是最簡(jiǎn)單常用的辦法

編輯sshd服務(wù)的配置文件

# vi /etc/ssh/sshd_config

找到下面這行：把值改為yes(允許)或no（不允許）

PermitRootLogin yes

然后重新啟動(dòng)ssh服務(wù)就可以了.

# /etc/rc.d/sshd restart

或# service sshd restart

這樣在遠(yuǎn)程客戶端訪問(wèn)這臺(tái)linux主機(jī)的時(shí)候，就不能使用root用戶直接登錄了。

如果需要使用root用戶時(shí)，可以先使用其它用戶登錄，然后使用#su - ，輸入root密碼，切換到root用戶

2．啟動(dòng)telnet服務(wù)

1、開啟服務(wù)

方法一：使用ntsysv,在出現(xiàn)的窗口之中，將 telnet前面*加上，然后按下 OK 。

方法二：編輯 /etc/xinetd.d/telnet

[root@echo root]# vi /etc/xinetd.d/telnet?

找到 disable = yes 將 yes 改成 no。

2、激活服務(wù)

[root@echo root]# service xinetd restart?

3.測(cè)試服務(wù)

[root@echo root]#telnet ip(或者h(yuǎn)ostname）

如果配置正確，系統(tǒng)提示輸入遠(yuǎn)程機(jī)器的用戶名和密碼

Login:

Password:

注：默認(rèn)只允許普通用戶

4.設(shè)置telnet端口

#vi /etc/services

進(jìn)入編輯模式后查找telnet(vi編輯方式下輸入/telnet)

會(huì)找到如下內(nèi)容：

telnet 23/tcp

telnet 23/udp

將23修改成未使用的端口號(hào)(如：2000)，退出vi，重啟telnet服務(wù)，telnet默認(rèn)端口號(hào)就被修改了。

5.Telnet服務(wù)限制

telnet是明文傳送口令和數(shù)據(jù)的，如果你對(duì)其默認(rèn)的設(shè)置不滿意，有必要對(duì)其服務(wù)范圍進(jìn)行限制。假設(shè)你的主機(jī)的ip是210.45.160.17，就可以按如下方式設(shè)置了。

#vi /etc/xinetd.d/telnet

service telnet

{

disable　　　　 = no #激活 telnet 服務(wù),no

bind 　　　　　 =210.45.160.17 #your ip

only_from 　　　= 210.45.0.0/16 #只允許 210.45.0.0 ~210.45.255.255 這個(gè)網(wǎng)段進(jìn)入

only_from 　　　= .edu.cn #只有教育網(wǎng)才能進(jìn)入！

no_access 　　　= 210.45.160.{115,116} #這兩個(gè)ip不可登陸

access_times　　= 8:00-12:00 20:00-23:59 # 每天只有這兩個(gè)時(shí)間段開放服務(wù)

......

}

6.Telnet root用戶的登入

Telnet 不是很安全，默認(rèn)的情況之下不允許 root 以 telnet 進(jìn)入Linux 主機(jī) 。若要允許root用戶登入，可用下列方法：

(1)

[root @echo /root]# vi /etc/pam.d/login

#auth required pam_securetty.so #將這一行加上注釋！

或

[root@echo root]# mv /etc/securetty /etc/securetty.bak

(2)編輯/etc/securetty文件，加上下面幾行：

pts/0

pts/1

pts/2

pts/3

測(cè)試root用戶直接telnet登陸成功,這樣， root 就可以直接進(jìn)入Linux 主機(jī)了。不過(guò)，建議不要這樣做。也可以在普通用戶進(jìn)入后，切換到root用戶,擁有root的權(quán)限。?

(責(zé)任編輯：億騰科技)?

禁用ctrl alt delete健

1、vim/etc/event.d/control-alt-delete

2、注釋掉：

start on control-alt-delete

exec /sbin/shutdown -r now "Control-Alt-Deletepressed"

最后要用命令讓他生效 #/sbin/init q

給你完整步驟

禁用Ctrl+Alt+Del命令重啟

#vi /etc/inittab

將"ca::ctrlaltdel:/sbin/shutdown -t3 -r now"一行注釋掉。

#/sbin/init q

# chmod -R 700 /etc/rc.d/init.d/*

?

?

?

轉(zhuǎn)載于:https://blog.51cto.com/yaoyao1314520/1978646

總結(jié)

以上是生活随笔為你收集整理的su命令 sudo命令 限制root远程登录的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。