-C 注釋 (加上這個也是為了最后進(jìn)行對服務(wù)器訪問人員進(jìn)行辨別的一個關(guān)鍵點(diǎn))

將公鑰上傳到服務(wù)器上的.ssh/authorized_keys 文件中。ssh-copy-id 命令會自動在服務(wù)器上創(chuàng)建.ssh/authorized_keys文件,即使該目錄不存在,并自動賦予600權(quán)限。

[root@rsyslog ~]# ssh-copy-id -i /root/.ssh/id_rsa.pub root@192.168.30.72root@192.168.30.72\\\'s  try logging into the machine, with ssh \\\'root@192.168.30.72\\\', and check in:

  .ssh/authorized_keys

to make sure we haven\\\'t added extra keys that you weren\\\'t expecting.

4.3 client 2(192.168.30.71) 上同樣的操作,用戶lisi

 View Code

上傳公鑰到服務(wù)器上

[root@swift3 ~]# ssh-copy-id -i /root/.ssh/id_rsa.pub root@192.168.30.72The authenticity of host \\\'192.168.30.72 (192.168.30.72)\\\' can\\\'t be established.RSA key fingerprint is 8f:a7:1b:8d:e4:92:ad:ae:ea:1b:fb:67:0b:0b:7c:ac.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added \\\'192.168.30.72\\\' (RSA) to the list of known hosts.
root@192.168.30.72\\\'s  try logging into the machine, with ssh \\\'root@192.168.30.72\\\', and check in:

  .ssh/authorized_keys

to make sure we haven\\\'t added extra keys that you weren\\\'t expecting.

4.4 現(xiàn)在去服務(wù)器上驗證下該文件。

 View Code

現(xiàn)在上面兩個客戶端已經(jīng)可以免密鑰登陸了,現(xiàn)在去服務(wù)器上配置,并創(chuàng)建腳本。

五、配置服務(wù)器

5.1 在log目錄下創(chuàng)建一個 keys 文件,用于登陸時存進(jìn)去公鑰,之后對其進(jìn)行取出判斷的

[root@open1 ~]# touch /var/log/keys

創(chuàng)建檢測腳本,內(nèi)容如下:

 View Code

5.2 配置 profile,在文件末尾添加一行內(nèi)容,如下:

[root@open1 ~]# echo test -f /etc/CheckUser.sh && . /etc/CheckUser.sh >> /etc/profile

在/etc/bashrc 末尾添加下面內(nèi)容:

[root@open1 ~]# tail -1f /etc/bashrc
test -z $BASH_EXECUTION_STRING || { test -f /etc/CheckUser.sh && . /etc/CheckUser.sh; logger -t -bash -s HISTORY $SSH_CLIENT USER=$NAME_OF_KEY CMD=$BASH_EXECUTION_STRING  >/dev/null 2>&1;}

5.3 修改sshd 配置文件,開啟debug 模式,并重啟sshd 服務(wù)

[root@open1 ~]# sed -i \\\'s/#LogLevel INFO/LogLevel DEBUG/g\\\' /etc/ssh/sshd_config
[root@open1 ~]# service sshd restart
Stopping sshd:                                             [  OK  ]
Starting sshd:                                             [  OK  ]

六、驗證

6.1 在client1 上進(jìn)行登陸,并刪除個文件試下(zhangsan)

6.2 在client2 上進(jìn)行登陸,也刪除個文件,并執(zhí)行個重啟服務(wù)的命令(lisi)

6.3 去服務(wù)器上查看下 messages 日志,內(nèi)容如下

通過上圖,可以看出,不通用戶的客戶端通過公鑰登陸的方式,分辨出了誰操作了什么,什么時候操作的。

(注:上圖第4段 swift1 是這臺服務(wù)器的主機(jī)名,由于我只是運(yùn)行了hostname 命令修改主機(jī)名,并沒有修改networks,所以內(nèi)核里還是之前的名字:swift1。)

七、結(jié)束

  通過這種方式,極大的解決了多root 用戶登陸操作,無法審計的問題。并且可以結(jié)合日志轉(zhuǎn)發(fā),將系統(tǒng)日志轉(zhuǎn)發(fā)到其它服務(wù)器,即使主機(jī)被黑了,也能具體的審查登陸時間以及做了哪些操作。

更多關(guān)于云服務(wù)器域名注冊,虛擬主機(jī)的問題,請訪問三五互聯(lián)官網(wǎng):m.shinetop.cn

贊(0)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享網(wǎng)絡(luò)內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。郵箱:3140448839@qq.com。本站原創(chuàng)內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明出處:三五互聯(lián)知識庫 » Linux 之不同運(yùn)維人員共用root 賬戶權(quán)限審計

登錄

找回密碼

注冊

主站蜘蛛池模板: 国产一区日韩二区欧美三区| 亚洲精品网站在线观看不卡无广告| 日本一区二区三区专线| 色国产视频| 2019久久久高清日本道| 亚洲欧美综合一区二区三区| 精品国产中文字幕懂色| 亚洲日本va午夜中文字幕久久| 人妻系列无码专区免费| 国产精品亚洲一区二区在| 国产av最新一区二区| 日韩av无码一区二区三区| 老子午夜精品无码| 乱女乱妇熟女熟妇综合网| 亚洲综合在线日韩av| 美女禁区a级全片免费观看| 亚洲高清WWW色好看美女| 成人网站国产在线视频内射视频| 亚洲欧洲成人a∨在线| 久久99久国产精品66| 成人网站av亚洲国产| 激情国产av做激情国产爱| 亚洲国产精品成人精品无码区在线 | 日韩中文字幕高清有码| 亚洲最大的成人网站| 国产首页一区二区不卡| 精品无码老熟妇magnet| 精品国精品无码自拍自在线| 日韩av在线一卡二卡三卡| 国产精品看高国产精品不卡| 粉嫩av蜜臀一区二区三区| 日韩人妻无码精品久久| 亚洲av免费成人精品区| 97欧美精品系列一区二区| A级毛片免费完整视频| 日韩国产精品无码一区二区三区 | 国产精品免费重口又黄又粗| 国产精品无码av不卡| 天堂av最新版中文在线| 在线观看中文字幕国产码| 在线天堂最新版资源|