普通用过通过sudo使用命令 _进入

目录三、PAM 四、通过shh限制五、开关机安全控制六、终端登陆安全控制七、网络端口扫描
一、su
一、作用和格式
作用：用于用户切换
格式：
su:只是切换了root身份，但Shell环境仍然是普通用户的Shell
su -:用户和Shell环境一起切换成root身份
su 用户名：只是切换了用户的身份，但Shell环境仍然是root用户的Shell
【普通用过通过sudo使用命令】su - 用户名：用户和Shell环境一起切换成指定用户
二、sudo 普通用过通过sudo使用命令
进入配置文件，一般通过进入配置文件（这样如果出现错误会有报警提示）
进入配置文件中，命令必须加绝对路径
修改配置文件后，普通用户可以通过sudo创建用户
也可以指定物理主机，多个命令用逗号隔开
sudo -l 查看当前不同用户可以使用的命令
设置组
为了方便，通过组让多名权限相同的用户加入来提高工作效率
设置别名
三、PAM su命令的隐患
1、默认情况下，任何用户都可以使用su ，也都可能进入root用户，有极大的安全隐患
2、可以通过PAM认证模块来控制，只允许指定的用户使用su
PAM系统的安全模块，可以支持很多服务
PAM是第一道认证
PAM：可插拔式认证模式
1、是一种高效而且灵活便利的用户级别的认证方式
2、也是当前L inux服务器普遍使用的认证方式
PAM认证原理
1、一般遵循的顺序：
(服务) →PAM (配置文件) →pam_ *.so
2、首先要确定哪一项服务，然后加载相应的PAM的配置文件(位于/etc/pam.d下) ，最后调用认证文件(位于/lib64/下|)进行安全认证
3、用户访问服务器时，服务器的某一个服务程序把用户的请求发送到PAM模块进行认证
4、不同的应用程序所对应的PAM模块是不同的
实验
查询要限制的命令是否在PAM的配置文件中
进入su命令的PAM配置文件
进入配置文件中
只允许wheel组用户可以使用su
将指定用户加入组中，允许组中用户使用su
查看系统日志文件
四、通过shh限制
不让root远程登陆系统，改变端口号
ssh服务的默认配置文件
进入文件，去除#开启，再将端口后改变
重启服务

文章插图
查看端口号
五、开关机安全控制
一、调整BIOS引导设置
将第一引导设备设为当前系统所在硬盘
禁止从其他设备(光盘、U盘、网络)引导系统
将安全级别设为setup,并设置管理员密码
禁止ctrl+alt+del快捷键重启
将ctrl-alt-del.删除就可以禁止ctrl+alt+del快捷键重启
二、GRUB限制
使用grub2--生成密钥
修改/etc/grub.d/0O_ 文件中，添加密码记录
生成新的grub.cfg配置文件
设置密码虚拟机重启，进入系统
ctrl +x 退出界面进入系统
生成秘钥：
进入此配置文件，更改root用户名
六、终端登陆安全控制
限制root只在安全终端登陆
进入配置文件
可以创建/etc/文件，此文件默认没有，需要创建，限制普通用户登陆，创建即生效。可以给此文件添加提示语，普通用户登陆时，虽然t登陆不成功，但会收到提示语。
七、网络端口扫描