Cara mengkonfigurasi sistem CentOS untuk menyekat akses pengguna kepada proses sistem
Dalam sistem Linux, pengguna boleh mengakses dan mengawal proses sistem melalui baris arahan atau kaedah lain. Walau bagaimanapun, kadangkala kita perlu menyekat akses pengguna tertentu kepada proses sistem untuk meningkatkan keselamatan sistem dan mencegah tingkah laku berniat jahat. Artikel ini akan memperkenalkan cara mengkonfigurasi pada sistem CentOS untuk menyekat akses pengguna kepada proses sistem.
PAM, Modul Pengesahan Boleh Pasang, ialah mekanisme pengesahan modular dalam sistem Linux. Dengan mengubah suai fail konfigurasi PAM, kami boleh melaksanakan sekatan ke atas pengguna. Berikut ialah langkah-langkah untuk mengkonfigurasi PAM untuk menyekat akses pengguna kepada proses sistem:
Mula-mula, edit fail /etc/security/access.conf:
sudo vi /etc/security/access.conf
Tambah kandungan berikut dalam fail:
-:user:ALL, EXCEPT root systemd
Ini akan menyekat 'pengguna' Akses pengguna kepada semua proses sistem kecuali pengguna akar dan sistemd.
Seterusnya, edit fail /etc/pam.d/login:
sudo vi /etc/pam.d/login
Tambah yang berikut pada penghujung fail:
account required pam_access.so
Ini akan menyemak peraturan akses dalam fail /etc/security/access.conf apabila pengguna log masuk.
Akhir sekali, mulakan semula sistem untuk menjadikan konfigurasi PAM berkuat kuasa:
sudo reboot
Selain PAM, sistem Linux juga menyediakan alatan pengurusan kebenaran lain, seperti fail selinux dan sudoers. Begini cara menggunakan kedua-dua alatan ini untuk mengehadkan akses pengguna kepada proses sistem:
SELinux ialah subsistem keselamatan yang membolehkan kawalan akses mandatori. Dengan mengubah suai fail konfigurasi selinux, kami boleh menyekat akses pengguna kepada proses sistem. Edit fail /etc/selinux/config:
sudo vi /etc/selinux/config
Tetapkan nilai SELINUX kepada penguatkuasaan:
SELINUX=enforcing
Simpan dan tutup fail.
Kemudian, mulakan semula sistem untuk konfigurasi berkuat kuasa:
sudo reboot
sudoers ialah fail konfigurasi yang digunakan untuk mengurus kebenaran pengguna. Dengan mengubah suai fail sudoers, kami boleh memberikan kebenaran khusus kepada pengguna. Edit fail sudoers:
sudo visudo
Tambah kandungan berikut dalam fail:
user ALL=(ALL) ALL user ALL=!/bin/kill
Ini akan membenarkan pengguna 'pengguna' menggunakan arahan sudo dan menyekat akses mereka kepada arahan bunuh (digunakan untuk membunuh proses).
Simpan dan tutup fail.
ACL, atau Senarai Kawalan Akses, ialah tetapan kebenaran tambahan dalam sistem Linux. Dengan menggunakan ACL, kami boleh menetapkan kebenaran akses untuk proses tertentu untuk pengguna atau kumpulan pengguna tertentu. Berikut ialah langkah-langkah tentang cara menggunakan ACL untuk menyekat akses pengguna kepada proses sistem:
Mula-mula, pasang pakej acl:
sudo yum install acl
Kemudian, gunakan arahan setfacl untuk menetapkan ACL untuk pengguna atau kumpulan pengguna untuk fail yang perlu dihadkan peraturan akses. Contohnya, untuk menyekat akses pengguna 'user1' kepada proses 1:
sudo setfacl -m u:user1:--- /proc/1
Ini akan melumpuhkan akses pengguna 'user1' untuk memproses 1.
Anda boleh menggunakan arahan getfacl untuk menyemak sama ada peraturan ACL telah berkuat kuasa:
getfacl /proc/1
Selepas konfigurasi selesai, akses pengguna kepada proses sistem akan dihadkan.
Ringkasan:
Artikel ini menerangkan cara mengkonfigurasi pada sistem CentOS untuk menyekat akses pengguna kepada proses sistem. Dengan menggunakan fail konfigurasi PAM, fail selinux dan sudoers serta tetapan ACL, kami boleh menghalang pengguna berniat jahat daripada mengakses dan mengendalikan proses sistem dengan berkesan. Langkah-langkah ini boleh meningkatkan lagi keselamatan dan kestabilan sistem. Dalam penggunaan sebenar, sila pilih kaedah konfigurasi yang sesuai berdasarkan keperluan sebenar dan ikuti amalan terbaik keselamatan.
Atas ialah kandungan terperinci Bagaimana untuk mengkonfigurasi sistem CentOS untuk menyekat akses pengguna kepada proses sistem. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!