Si të përdorni Sudo në Debian, CentOS dhe FreeBSD

Përdorimi i një sudopërdoruesi për të hyrë në një server dhe për të ekzekutuar komanda në nivelin rrënjë është një praktikë shumë e zakonshme midis Linux dhe Unix Systems Administrator. Përdorimi i një sudopërdoruesi shpesh shoqërohet me çaktivizimin e aksesit të drejtpërdrejtë rrënjë në serverin e dikujt në një përpjekje për të parandaluar aksesin e paautorizuar.

Në këtë tutorial, ne do të mbulojmë hapat bazë për çaktivizimin e qasjes direkte në rrënjë, krijimin e një përdoruesi sudo dhe konfigurimin e grupit sudo në CentOS, Debian dhe FreeBSD.

Parakushtet

• Një server Linux i sapo instaluar me shpërndarjen tuaj të preferuar.
• Një redaktues teksti i instaluar në server nëse është nano, vi, vim, emacs.

Hapi 1: Instalimi i sudo

Debian

apt-get install sudo -y

CentOS

yum install sudo -y

FreeBSD

cd /usr/ports/security/sudo/ && make install clean

ose

pkg install sudo

Hapi 2: Shtimi i përdoruesit sudo

Një sudopërdorues është një llogari normale përdoruesi në një makinë Linux ose Unix.

Debian

adduser mynewusername

CentOS

adduser mynewusername

FreeBSD

adduser mynewusername

Hapi 3: Shtimi i përdoruesit të ri në grupin e rrotave (opsionale)

Grupi i rrotave është një grup përdoruesish që kufizon numrin e njerëzve që mund sutë rrënjosin. Shtimi i sudopërdoruesit tuaj në wheelgrup është tërësisht opsional, por është i këshillueshëm.

Shënim: Në Debian, sudogrupi gjendet shpesh në vend të wheel. Megjithatë, mund ta shtoni manualisht wheelgrupin duke përdorur groupaddkomandën. Për qëllimin e këtij tutoriali, ne do të përdorim sudogrupin për Debian.

Dallimi midis wheeldhe sudo.

Në CentOS dhe Debian, një përdorues që i përket wheelgrupit mund të ekzekutojë sudhe të ngjitet drejtpërdrejt në root. Ndërkohë, një sudopërdorues do të kishte përdorur të sudo suparën. Në thelb, nuk ka asnjë ndryshim të vërtetë përveç sintaksës së përdorur për t'u bërë rrënjë , dhe përdoruesit që u përkasin të dy grupeve mund të përdorin sudokomandën.

Debian

usermod -aG sudo mynewusername

CentOS

usermod -aG wheel mynewusername

FreeBSD

pw group mod wheel -m mynewusername

Hapi 4: Sigurohuni që sudoersskedari juaj të jetë konfiguruar siç duhet

Është e rëndësishme të siguroheni që sudoersskedari i vendosur në të /etc/sudoersështë konfiguruar siç duhet në mënyrë që të lejohet sudo userspërdorimi efektiv i sudokomandës. Për ta arritur këtë, ne do të shikojmë përmbajtjen /etc/sudoersdhe do t'i modifikojmë ato aty ku është e mundur.

Debian

vim /etc/sudoers

ose

visudo

CentOS

vim /etc/sudoers

ose

visudo

FreeBSD

vim /etc/sudoers

ose

visudo

Shënim:visudo Komanda do të hapet /etc/sudoersduke përdorur editor teksti preferuar e sistemit (zakonisht vi ose VIM) .

Filloni të rishikoni dhe modifikoni nën këtë rresht:

# Allow members of group sudo to execute any command

Ky seksion /etc/sudoersshpesh duket kështu:

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

Në disa sisteme, mund të mos gjeni %wheelnë vend të %sudo; në këtë rast, kjo do të ishte linja nën të cilën do të filloni të modifikoni.

Nëse linja që fillon me %sudonë Debian ose %wheelnë CentOS dhe FreeBSD nuk komentohet (e parashtesuar me #) , kjo do të thotë se sudo është konfiguruar tashmë dhe është aktivizuar. Më pas mund të kaloni në hapin tjetër.

Hapi 5: Lejimi i një përdoruesi që nuk i përket as grupit wheeldhe as sudogrupit për të ekzekutuar sudokomandën

Është e mundur të lejohet një përdorues që nuk është në asnjë grup përdoruesish të ekzekutojë sudokomandën thjesht duke i shtuar ato /etc/sudoerssi më poshtë:

anotherusername ALL=(ALL) ALL

Hapi 6: Rinisja e serverit SSHD

Për të aplikuar ndryshimet që keni bërë në /etc/sudoers, duhet të rinisni serverin SSHD si më poshtë:

Debian

/etc/init.d/sshd restart

CentOS 6

/etc/init.d/sshd restart

CentOS 7

systemctl restart sshd.service

FreeBSD

/etc/rc.d/sshd start

Hapi 7: Testimi

Pasi të keni rifilluar serverin SSH, dilni dhe hyni përsëri si juaji sudo user, më pas përpiquni të ekzekutoni disa komanda testimi si më poshtë:

sudo uptime
sudo whoami

Çdo nga komandat e mëposhtme do të lejojë që sudo usertë bëhet root.

sudo su -
sudo -i
sudo -S

Shënime:

• whoamiKomanda do të kthehet rootkur së bashku me sudo.
• Do t'ju kërkohet të vendosni fjalëkalimin e përdoruesit tuaj gjatë ekzekutimit të sudokomandës, përveç nëse udhëzoni në mënyrë eksplicite sistemin që të mos kërkojë sudo usersfjalëkalimet e tij. Ju lutemi vini re se nuk është një praktikë e rekomanduar.

Opsionale: duke lejuar sudopa futur fjalëkalimin e përdoruesit

Siç u shpjegua më parë, kjo nuk është një praktikë e rekomanduar dhe është përfshirë në këtë tutorial vetëm për qëllime demonstrimi.

Në mënyrë që të lejojë tuaj sudo userpër të ekzekutuar sudokomandën pa u nxitet për fjalëkalimin e tyre, prapashtesë vijën qasje në /etc/sudoersme NOPASSWD: ALLsi më poshtë:

%sudo   ALL=(ALL:ALL) ALL   NOPASSWD: ALL

Shënim: Ju duhet të rinisni serverin tuaj SSHD në mënyrë që të aplikoni ndryshimet.

Hapi 8: Çaktivizoni qasjen direkte në rrënjë

Tani që keni konfirmuar se mund ta përdorni sudo userpa probleme, është koha për hapin e tetë dhe të fundit, duke çaktivizuar qasjen direkte në rrënjë.

Së pari, hapeni /etc/ssh/sshd_configduke përdorur redaktuesin tuaj të preferuar të tekstit dhe gjeni rreshtin që përmban vargun e mëposhtëm. Mund të parashteset me një #karakter.

PermitRootLogin

Pavarësisht nga prefiksi ose vlera e opsionit në /etc/ssh/sshd_config, ju duhet ta ndryshoni atë rresht në vijim:

PermitRootLogin no

Më në fund, rinisni serverin tuaj SSHD.

Shënim: Mos harroni të testoni ndryshimet tuaja duke u përpjekur të futni SSH në serverin tuaj si root. Nëse nuk jeni në gjendje ta bëni këtë, kjo do të thotë se i keni përfunduar me sukses të gjithë hapat e nevojshëm.

Kjo përfundon tutorialin tonë.