概述
目录
413课堂练习《第一章》跟踪安全更新
413课堂练习《第二章》管理软件更新
413课堂练习《第三章》创建文件系统
413课堂练习《第四章》管理文件系统
413课堂练习《第五章》特殊权限管理
413课堂练习《第六章》管理附加文件权限
413课堂练习《第七章》监视文件系统变更
413课堂练习《第八章》管理用户账户
413课堂练习《第九章》管理PAM
413课堂练习《第十章》加强控制台安全
413课堂练习《第十一章》安装CA中心
413课堂练习《第十二章》管理CA中心
413课堂练习《第十三章》配置系统日志
413课堂练习《第十四章》配置系统审计
413课堂练习《第十五章》控制网络服务访问
课堂演示
1. 用已存在的用户测试用户的访问权限
[student@serverX ~]$ kinit dshula
[student@serverX ~]$ ssh dshula@desktopX
2. 关闭全局允许规则
[root@serverX ~]# ipa hbacrule-find
[root@serverX ~]# ipa hbacrule-disable allow_all
[root@serverX ~]# ipa hbacrule-find
3. 创建规则允许bgriese和lcsonka用户访问,通过忽略, 拒绝dshula用户访问
[root@serverX ~]# ipa hbacrule-add --hostcat=all sshd-players
[root@serverX ~]# ipa hbacrule-add-user --users=bgriese,lcsonka sshd-players
[root@serverX ~]# ipa hbacrule-add-service --hbacsvcs=sshd sshd-players
[root@serverX ~]# ipa hbacrule-find --name=sshd-players
4. 测试bgriese的访问权
[student@serverx ~]$ kinit bgriese
[student@serverX ~]$ ssh bgriese@desktopX
5. 测试dshula的访问权
[student@serverX ~]$ kinit dshula
[student@serverX ~]$ ssh dshula@desktopX
课堂演示
1. 开启新窗口,用less测试bgriese读取/var/log/message
[student@serverX ~]# kinit bgriese
[student@serverX ~]# ssh bgriese@desktopX
-sh-4.1$ less /var/log/messages (失败)
2. 用命令行或web方式在IdM中设置sudo(如使用命令行,需要先以admin身份获得Kerberos凭据)
[root@serverX ~]# kinit admin
[root@serverX ~]# ipa sudocmd-add --desc "For reading log file" /usr/bin/less
[root@serverX ~]# ipa sudocmd-add --desc "For editing files" /usr/bin/vim
3. 定义sudo规则( 如使用命令行,需要先以admin身份获得Kerberos凭据 )
[root@serverX ~]# ipa sudorule-add dolphins-commands
[root@serverX ~]# ipa sudorule-add-allow-command --sudocmds "/usr/bin/less" dolphins-commands
[root@serverX ~]# ipa sudorule-add-allow-command --sudocmds "/usr/bin/vim" dolphins-commands
[root@serverX ~]# ipa sudorule-add-host --hosts desktopX.example.com dolphins-commands
[root@serverX ~]# ipa sudorule-add-user --groups dolphins dolphins-commands
[root@serverX ~]# ipa sudorule-add-option dolphins-commands
Sudo Option: !authenticate
[root@serverX ~]# ipa sudorule-find
4. 为IdM中sudo用户设置口令 ( 如使用命令行,需要先以admin身份获得Kerberos凭据 )
[root@serverX ~]# ldappasswd -Y GSSAPI -S -h serverX.example.com uid=sudo,cn=sysaccounts,cn=etc,dc=example,dc=com
(redhat13)
5. 将sudo策略应用到主机中
[root@desktop ~]# vim /etc/nsswitch.conf
sudoers: files ldap
[root@desktop ~ ]# vim /etc/ldap.conf
sudoers_debug: 1
......
[root@desktop ~]# vim /etc/sssd/sssd.conf
[domain/example.com]
debug_level = 6
......
[root@desktop ~]# vim /etc/sudo-ldap.conf
binddn uid=sudo,cn=sysaccounts,cn=etc,dc=example,dc=com
bindpw redhat13
ssl start_tls
tls_cacertfile /etc/ipa/ca.crt
tls_checkpeer yes
bind_timelimit 5
timelimit 15
uri ldap://serverX.example.com
sudoers_base ou=SUDOers,dc=example,dc=com
[root@desktop ~]# vim /etc/rc.d/rc.local
nisdomainname example.com
6. 测试bgriese可用less命令查看/var/log/message并用vim编辑/etc/issue
[student@serverX ~]# kinit bgriese
[student@serverX ~]# ssh bgriese@desktopX
-sh-4.1$ sudo less /var/log/messages
-sh-4.1$ sudo vim /etc/issue
案例(部署IdM管理策略)
在开始前,清除前次配置
[root@desktopX ~]# ipa-client-install --uninstall -U
[root@desktopX ~]# rm -f /etc/ipa/ca.crt
[root@desktopX ~]# reboot
1. 按照要求创建用户
[root@serverX ~]#
kinit admin
[root@serverX ~]# ipa user-add htwilley --first=Howard --last=Twilley --password
[root@serverX ~]# ipa user-add mfleming --first=Marv --last=Fleming --password
[root@serverX ~]# ipa user-add mmorris --first=Mercury --last=Morris --password
2. 在已存在的dolphins组中增加新用户,创建一个players组将上述用户以及bgriese和lcsonka加入到组中
[root@serverX ~]# ipa group-add-member dolphins --users=htwilley,mfleming,mmorris
[root@serverX ~]# ipa group-add players --desc=Players
[root@serverX ~]# ipa group-add-member players -users= bgriese,lcsonka,htwilley,mfleming,mmorris
3. 对players组创建一个组口令策略,要求10位字符,包括3种字符类型,对于组dshula使用全局口令策略,要求8位字符,0种字符类型
[root@serverX ~]# ipa pwpolicy-add players --priority=5 --minclasses=3 --minlength=10
[root@serverX ~]# ipa pwpolicy-mod --minclasses=0 --minlength=8
[root@serverX ~]# ipa pwpolicy-show --user=dshula
[root@serverX ~]# ipa pwpolicy-show --user=bgriese
4. 创建sudo策略,使players组成员可以以root身份运行lsattr和chattr
[root@serverX ~]# ipa sudocmd-add --desc "For listing attributes" /usr/ bin/lsattr
[root@serverX ~]# ipa sudocmd-add --desc "For changing attributes" /usr/bin/chattr
[root@serverX ~]# ipa sudocmdgroup-add --desc "File attributes" attr
[root@serverX ~]# ipa sudocmdgroup-add-member --sudocmds "/usr/bin/ lsattr" attr
[root@serverx ~]# ipa sudocmdgroup-add-member --sudocmds "/usr/bin/chattr" attr
[root@serverX ~]# ipa sudorule-add --hostcat " all" play-attr
[root@serverX ~]# ipa sudorule-add-option play-attr
Sudo Option: !authenticate
[root@serverX ~]# ipa sudorule-add-user --groups players play-attr
[root@serverX ~]# ipa sudorule-add-allow-command --sudocmdgroups attr play-attr
5. 确认或配置主机sudo向IdM的指向
[root@serverX ~]# ldappasswd -y GSSAPI -S -h serverX.example.com uid=sudo,cn=sysaccounts,cn=etc,dc=example, dc=com
[root@desktop ~]# vim /etc/nsswitch.conf
sudoers: files ldap
[root@desktop ~]# vim /etc/ldap.conf
sudoers_debug: 1
......
[root@desktop ~]# vim /etc/sssd/sssd.conf
[domain/example.com]
debug_level = 6
......
[root@desktop ~]# vim /etc/sudo-ldap.conf
binddn uid=sudo,cn=sysaccounts,cn=etc,dc=example,dc=com
bindpw redhat13
ssl start_tls
tls_cacertfile /etc/ipa/ca.crt
tls_checkpeer yes
bind_timelimit 5
timelimit 15
uri ldap://serverX.example.com
sudoers_base ou=SUDOers,dc=example,dc=com
[root@desktop ~]# vim /etc/rc.d/rc.local
nisdomainname example.com
6. 测试mmorris用户可以使用lsattr及chattr修改/etc/hosts(确保修改后回退至初始状态 ),先将先前的sshd-players规则配置给 mmorris
[root@serverX ~]# ipa hbacrule-add-user --users= mmorris sshd-players
[student@serverX ~]$ kinit mmorris
[student@serverX ~]$ ssh mmorris@desktopX
-sh-4.1$ sudo lsattr /etc/hosts
-sh-4.1$ sudo chattr +i /etc/hosts
-sh-4.1$ sudo chattr -i /etc/hosts
7. 清除虚拟机状态,并手动清除desktopX状态
[root@desktopX ~]# ipa-client-install --uninstall -U
[root@desktopX ~]# rm -f /etc/ipa/ ca.crt
[root@desktopX ~]# reboot
413课堂练习《第一章》跟踪安全更新
413课堂练习《第二章》管理软件更新
413课堂练习《第三章》创建文件系统
413课堂练习《第四章》管理文件系统
413课堂练习《第五章》特殊权限管理
413课堂练习《第六章》管理附加文件权限
413课堂练习《第七章》监视文件系统变更
413课堂练习《第八章》管理用户账户
413课堂练习《第九章》管理PAM
413课堂练习《第十章》加强控制台安全
413课堂练习《第十一章》安装CA中心
413课堂练习《第十二章》管理CA中心
413课堂练习《第十三章》配置系统日志
413课堂练习《第十四章》配置系统审计
413课堂练习《第十五章》控制网络服务访问
课堂演示
1. 用已存在的用户测试用户的访问权限
[student@serverX ~]$ kinit dshula
[student@serverX ~]$ ssh dshula@desktopX
2. 关闭全局允许规则
[root@serverX ~]# ipa hbacrule-find
[root@serverX ~]# ipa hbacrule-disable allow_all
[root@serverX ~]# ipa hbacrule-find
3. 创建规则允许bgriese和lcsonka用户访问,通过忽略, 拒绝dshula用户访问
[root@serverX ~]# ipa hbacrule-add --hostcat=all sshd-players
[root@serverX ~]# ipa hbacrule-add-user --users=bgriese,lcsonka sshd-players
[root@serverX ~]# ipa hbacrule-add-service --hbacsvcs=sshd sshd-players
[root@serverX ~]# ipa hbacrule-find --name=sshd-players
4. 测试bgriese的访问权
[student@serverx ~]$ kinit bgriese
[student@serverX ~]$ ssh bgriese@desktopX
5. 测试dshula的访问权
[student@serverX ~]$ kinit dshula
[student@serverX ~]$ ssh dshula@desktopX
课堂演示
1. 开启新窗口,用less测试bgriese读取/var/log/message
[student@serverX ~]# kinit bgriese
[student@serverX ~]# ssh bgriese@desktopX
-sh-4.1$ less /var/log/messages (失败)
2. 用命令行或web方式在IdM中设置sudo(如使用命令行,需要先以admin身份获得Kerberos凭据)
[root@serverX ~]# kinit admin
[root@serverX ~]# ipa sudocmd-add --desc "For reading log file" /usr/bin/less
[root@serverX ~]# ipa sudocmd-add --desc "For editing files" /usr/bin/vim
3. 定义sudo规则( 如使用命令行,需要先以admin身份获得Kerberos凭据 )
[root@serverX ~]# ipa sudorule-add dolphins-commands
[root@serverX ~]# ipa sudorule-add-allow-command --sudocmds "/usr/bin/less" dolphins-commands
[root@serverX ~]# ipa sudorule-add-allow-command --sudocmds "/usr/bin/vim" dolphins-commands
[root@serverX ~]# ipa sudorule-add-host --hosts desktopX.example.com dolphins-commands
[root@serverX ~]# ipa sudorule-add-user --groups dolphins dolphins-commands
[root@serverX ~]# ipa sudorule-add-option dolphins-commands
Sudo Option: !authenticate
[root@serverX ~]# ipa sudorule-find
4. 为IdM中sudo用户设置口令 ( 如使用命令行,需要先以admin身份获得Kerberos凭据 )
[root@serverX ~]# ldappasswd -Y GSSAPI -S -h serverX.example.com uid=sudo,cn=sysaccounts,cn=etc,dc=example,dc=com
(redhat13)
5. 将sudo策略应用到主机中
[root@desktop ~]# vim /etc/nsswitch.conf
sudoers: files ldap
[root@desktop ~ ]# vim /etc/ldap.conf
sudoers_debug: 1
......
[root@desktop ~]# vim /etc/sssd/sssd.conf
[domain/example.com]
debug_level = 6
......
[root@desktop ~]# vim /etc/sudo-ldap.conf
binddn uid=sudo,cn=sysaccounts,cn=etc,dc=example,dc=com
bindpw redhat13
ssl start_tls
tls_cacertfile /etc/ipa/ca.crt
tls_checkpeer yes
bind_timelimit 5
timelimit 15
uri ldap://serverX.example.com
sudoers_base ou=SUDOers,dc=example,dc=com
[root@desktop ~]# vim /etc/rc.d/rc.local
nisdomainname example.com
6. 测试bgriese可用less命令查看/var/log/message并用vim编辑/etc/issue
[student@serverX ~]# kinit bgriese
[student@serverX ~]# ssh bgriese@desktopX
-sh-4.1$ sudo less /var/log/messages
-sh-4.1$ sudo vim /etc/issue
案例(部署IdM管理策略)
在开始前,清除前次配置
[root@desktopX ~]# ipa-client-install --uninstall -U
[root@desktopX ~]# rm -f /etc/ipa/ca.crt
[root@desktopX ~]# reboot
1. 按照要求创建用户
| User name | First name | Last name | Password |
| htwilley | Howard | Twilley | receiver |
| mfleming | Marv | Fleming | tight |
| mmorris | Mercury | Morris | running |
[root@serverX ~]# ipa user-add htwilley --first=Howard --last=Twilley --password
[root@serverX ~]# ipa user-add mfleming --first=Marv --last=Fleming --password
[root@serverX ~]# ipa user-add mmorris --first=Mercury --last=Morris --password
2. 在已存在的dolphins组中增加新用户,创建一个players组将上述用户以及bgriese和lcsonka加入到组中
[root@serverX ~]# ipa group-add-member dolphins --users=htwilley,mfleming,mmorris
[root@serverX ~]# ipa group-add players --desc=Players
[root@serverX ~]# ipa group-add-member players -users= bgriese,lcsonka,htwilley,mfleming,mmorris
3. 对players组创建一个组口令策略,要求10位字符,包括3种字符类型,对于组dshula使用全局口令策略,要求8位字符,0种字符类型
[root@serverX ~]# ipa pwpolicy-add players --priority=5 --minclasses=3 --minlength=10
[root@serverX ~]# ipa pwpolicy-mod --minclasses=0 --minlength=8
[root@serverX ~]# ipa pwpolicy-show --user=dshula
[root@serverX ~]# ipa pwpolicy-show --user=bgriese
4. 创建sudo策略,使players组成员可以以root身份运行lsattr和chattr
[root@serverX ~]# ipa sudocmd-add --desc "For listing attributes" /usr/ bin/lsattr
[root@serverX ~]# ipa sudocmd-add --desc "For changing attributes" /usr/bin/chattr
[root@serverX ~]# ipa sudocmdgroup-add --desc "File attributes" attr
[root@serverX ~]# ipa sudocmdgroup-add-member --sudocmds "/usr/bin/ lsattr" attr
[root@serverx ~]# ipa sudocmdgroup-add-member --sudocmds "/usr/bin/chattr" attr
[root@serverX ~]# ipa sudorule-add --hostcat " all" play-attr
[root@serverX ~]# ipa sudorule-add-option play-attr
Sudo Option: !authenticate
[root@serverX ~]# ipa sudorule-add-user --groups players play-attr
[root@serverX ~]# ipa sudorule-add-allow-command --sudocmdgroups attr play-attr
5. 确认或配置主机sudo向IdM的指向
[root@serverX ~]# ldappasswd -y GSSAPI -S -h serverX.example.com uid=sudo,cn=sysaccounts,cn=etc,dc=example, dc=com
[root@desktop ~]# vim /etc/nsswitch.conf
sudoers: files ldap
[root@desktop ~]# vim /etc/ldap.conf
sudoers_debug: 1
......
[root@desktop ~]# vim /etc/sssd/sssd.conf
[domain/example.com]
debug_level = 6
......
[root@desktop ~]# vim /etc/sudo-ldap.conf
binddn uid=sudo,cn=sysaccounts,cn=etc,dc=example,dc=com
bindpw redhat13
ssl start_tls
tls_cacertfile /etc/ipa/ca.crt
tls_checkpeer yes
bind_timelimit 5
timelimit 15
uri ldap://serverX.example.com
sudoers_base ou=SUDOers,dc=example,dc=com
[root@desktop ~]# vim /etc/rc.d/rc.local
nisdomainname example.com
6. 测试mmorris用户可以使用lsattr及chattr修改/etc/hosts(确保修改后回退至初始状态 ),先将先前的sshd-players规则配置给 mmorris
[root@serverX ~]# ipa hbacrule-add-user --users= mmorris sshd-players
[student@serverX ~]$ kinit mmorris
[student@serverX ~]$ ssh mmorris@desktopX
-sh-4.1$ sudo lsattr /etc/hosts
-sh-4.1$ sudo chattr +i /etc/hosts
-sh-4.1$ sudo chattr -i /etc/hosts
7. 清除虚拟机状态,并手动清除desktopX状态
[root@desktopX ~]# ipa-client-install --uninstall -U
[root@desktopX ~]# rm -f /etc/ipa/ ca.crt
[root@desktopX ~]# reboot
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/24644775/viewspace-1254656/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/24644775/viewspace-1254656/
最后
以上就是合适雨为你收集整理的413课堂练习《第十二章》管理CA中心的全部内容,希望文章能够帮你解决413课堂练习《第十二章》管理CA中心所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复