韶关网站建设制作,定制网站费用,网站建设管理流程,如何申请商业服务器了解更多银河麒麟操作系统全新产品#xff0c;请点击访问
麒麟软件产品专区#xff1a;https://product.kylinos.cn
开发者专区#xff1a;https://developer.kylinos.cn
文档中心#xff1a;https://documentkylinos.cn
服务器环境以及配置
【机型】物理机或虚机
【…了解更多银河麒麟操作系统全新产品请点击访问
麒麟软件产品专区https://product.kylinos.cn
开发者专区https://developer.kylinos.cn
文档中心https://documentkylinos.cn
服务器环境以及配置
【机型】物理机或虚机
【内核版本】
4.19.90-23.8.v2101.ky10.x86_64
【OS镜像版本】
银河麒麟高级服务器操作系统-Kylin Linux Advanced Server
release V10 (SP1) /(Tercel)-x86_64-Build20/20210518 现象描述
发现银河麒麟高级服务器操作系统V10 sp2和V10 sp3服务器系统版本设置如下安全基线操作可正常生效命令如下
vim /etc/pam.d/su
auth sufficient pam_rootok.so
auth required pam_wheel.so groupwheel
但是在银河麒麟高级服务器操作系统V10 sp1-0518系统版本上添加如上内容未生效本地测试可把groupwheel更改为use_uid后测试成功但是表示加固文档是固定内容不可修改现需要协助排查sp1-0518系统版本pam_wheel.so 模块加groupwheel不生效问题。安全配置基线如图1 图1
现象分析
自测环境分别使用银河麒麟高级服务器操作系统V10-SP1-0518-x86和V10-SP2-0524-arm系统进行测试验证发现/etc/pam.d/su配置文件里调用pam_wheel.so模块加groupwheel参数都不生效替换成use_id测试验证生效验证效果如图2和图3 图2 银河麒麟高级服务器操作系统V10 sp1-0518-x86 图2 银河麒麟高级服务器操作系统V10 SP2-0524-ARM
从上面的测试验证情况可知银河麒麟高级服务器操作系统限制wheel组成员可su到root用户使用非wheel组成员不可su到root用户这个功能。需要调用pam_wheel.so模块后面加上use_uid来实现。 已知pam_wheel.so模块是Pluggable Authentication Modules (PAM)的一部分它用于控制对su命令的访问。并查询到pam_wheel.so模块相关配置说明如下 auth这是PAM模块类型定义了模块在认证过程中的角色。 required这表示如果此模块失败那么整个认证过程都将失败除非有一个[successok defaultignore]的模块成功。它必须在该类型的所有其他模块之前。 pam_wheel.so这是模块的名称它控制对su命令的访问。 use_uid这是给pam_wheel.so模块的参数。当设置了use_uid参数时pam_wheel.so将会检查当前有效的用户ID而不是初始的用户ID以确定该用户是否为wheel组的成员。
分析结果
综上系统测试分析情况可知在银河麒麟高级服务器操作系统V10系统中限制实现只有属于wheel组的用户才被允许使用su命令来切换到root用户这个安全基线功能是需要在/etc/pam.d/su配置文件的pam_wheel.so模块后面通过追加use_uid这个模块配置参数实现的。
pam_wheel.so模块后面追加groupwheel模块配置为什么没有实现相关功能可能是做了相关功能裁剪所以没有实现。
解决方案
/etc/pam.d/su配置如下
[rootlocalhost ~]# cat /etc/pam.d/su
auth required pam_kysec.so
#%PAM-1.0
auth sufficient pam_rootok.so --追加配置
# Uncomment the following line to implicitly trust users in the wheel group.
#auth sufficient pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the wheel group.
#auth required pam_wheel.so use_uid
auth required pam_wheel.so use_uid --追加配置
auth substack system-auth
auth include postlogin
account sufficient pam_succeed_if.so uid 0 use_uid quiet
account include system-auth
password include system-auth
session include system-auth
session include postlogin
session optional pam_xauth.so
