【银河麒麟高级服务器操作系统】安全设置基线相干分析全过程及解决方案
了解更多银河麒麟操作系统全新产品,请点击访问麒麟软件产品专区:https://product.kylinos.cn
开发者专区:https://developer.kylinos.cn
文档中心:https://documentkylinos.cn
服务器环境以及设置
【机型】物理机或虚机
【内核版本】
4.19.90-23.8.v2101.ky10.x86_64
【OS镜像版本】
银河麒麟高级服务器操作系统-Kylin Linux Advanced Server
release V10 (SP1) /(Tercel)-x86_64-Build20/20210518
现象形貌
发现银河麒麟高级服务器操作系统V10 sp2和V10 sp3服务器系统版本设置如下,安全基线操作可正常收效,下令如下:
vim /etc/pam.d/su
auth sufficient pam_rootok.so
auth required pam_wheel.so group=wheel
但是在银河麒麟高级服务器操作系统V10 sp1-0518系统版本上添加如上内容未收效,本地测试可把group=wheel更改为use_uid后测试成功,但是表示加固文档是固定内容,不可修改,现必要帮忙排查sp1-0518系统版本pam_wheel.so 模块加group=wheel不收效问题。安全设置基线,如图1:
https://i-blog.csdnimg.cn/direct/22ffa783807d44ccb5200a2717e0e911.png
图1
现象分析
自测环境,分别使用银河麒麟高级服务器操作系统V10-SP1-0518-x86和V10-SP2-0524-arm系统进行测试验证,发现/etc/pam.d/su设置文件里,调用pam_wheel.so模块加group=wheel参数,都不收效,更换成use_id,测试验证收效,验证效果如图2和图3:
https://i-blog.csdnimg.cn/direct/4b5effdeb5134e55bc9c791a110ee1f0.png
https://i-blog.csdnimg.cn/direct/1f7dfd49c47b4feeb84e4e454750b30b.png
图2 银河麒麟高级服务器操作系统V10 sp1-0518-x86
https://i-blog.csdnimg.cn/direct/b10c414b3dd24799b66f26b01b0458f0.png
https://i-blog.csdnimg.cn/direct/13fd67a0d3f348d0a4202efbc2bb4edd.png
图2 银河麒麟高级服务器操作系统V10 SP2-0524-ARM
从上面的测试验证情况,可知,银河麒麟高级服务器操作系统限制wheel组成员,可su到root用户使用,非wheel组成员,不可su到root用户这个功能。必要调用pam_wheel.so模块,后面加上use_uid来实现。
已知pam_wheel.so模块是Pluggable Authentication Modules (PAM)的一部门,它用于控制对su下令的访问。并查询到pam_wheel.so模块相干设置阐明如下:
auth:这是PAM模块范例,定义了模块在认证过程中的脚色。
required:这表示如果此模块失败,那么整个认证过程都将失败,除非有一个的模块成功。它必须在该范例的全部其他模块之前。
pam_wheel.so:这是模块的名称,它控制对su下令的访问。
use_uid:这是给pam_wheel.so模块的参数。当设置了use_uid参数时,pam_wheel.so将会查抄当前有效的用户ID,而不是初始的用户ID,以确定该用户是否为wheel组的成员。
分析结果
综上,系统测试分析情况,可知,在银河麒麟高级服务器操作系统V10系统中,限制实现只有属于wheel组的用户才被允许使用su下令来切换到root用户这个安全基线功能,是必要在/etc/pam.d/su设置文件的pam_wheel.so模块后面,通过追加use_uid这个模块设置参数实现的。
pam_wheel.so模块后面,追加group=wheel模块设置,为什么没有实现相干功能,可能是做了相干功能裁剪,所以没有实现。
解决方案
/etc/pam.d/su设置,如下:
# cat /etc/pam.d/su
auth required pam_kysec.so
#%PAM-1.0
auth sufficient pam_rootok.so --追加设置
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth sufficient pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
#auth required pam_wheel.so use_uid
auth required pam_wheel.so use_uid --追加设置
auth substack system-auth
auth include postlogin
account sufficient pam_succeed_if.so uid = 0 use_uid quiet
account include system-auth
password include system-auth
session include system-auth
session include postlogin
session optional pam_xauth.so
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]