Как да използвате Sudo на Debian, CentOS и FreeBSD

Използването на sudoпотребител за достъп до сървър и изпълнение на команди на ниво root е много често срещана практика сред системните администратори на Linux и Unix. Използването на sudoпотребител често е съчетано с деактивиране на директния root достъп до сървъра в опит да се предотврати неоторизиран достъп.

В този урок ще покрием основните стъпки за деактивиране на директния root достъп, създаване на sudo потребител и настройка на sudo групата на CentOS, Debian и FreeBSD.

Предпоставки

• Новоинсталиран Linux сървър с предпочитана от вас дистрибуция.
• Текстов редактор, инсталиран на сървъра, независимо дали е nano, vi, vim, emacs.

Стъпка 1: Инсталиране на sudo

Debian

apt-get install sudo -y

CentOS

yum install sudo -y

FreeBSD

cd /usr/ports/security/sudo/ && make install clean

или

pkg install sudo

Стъпка 2: Добавяне на потребителя sudo

А sudoпотребител е нормална потребителски акаунт на Linux или Unix машина.

Debian

adduser mynewusername

CentOS

adduser mynewusername

FreeBSD

adduser mynewusername

Стъпка 3: Добавяне на новия потребител към групата на колелата (по избор)

Групата на колелото е потребителска група, която ограничава броя на хората, които могат suда руутват. Добавянето на вашия sudoпотребител към wheelгрупата е напълно незадължително, но е препоръчително.

Забележка: В Debian sudoгрупата често се намира вместо wheel. Можете обаче ръчно да добавите wheelгрупата с помощта на groupaddкомандата. За целите на този урок ще използваме sudoгрупата за Debian.

Разликата между wheelи sudo.

В CentOS и Debian потребителят, принадлежащ към wheelгрупата, може да изпълнява suи директно да се издига до root. Междувременно sudoпотребителят би използвал sudo suпървия. По същество няма реална разлика с изключение на синтаксиса, използван, за да стане root , и потребителите, принадлежащи към двете групи, могат да използват sudoкомандата.

Debian

usermod -aG sudo mynewusername

CentOS

usermod -aG wheel mynewusername

FreeBSD

pw group mod wheel -m mynewusername

Стъпка 4: Уверете се, че вашият sudoersфайл е настроен правилно

Важно е да се гарантира, че sudoersфайлът, намиращ се в, /etc/sudoersе настроен правилно, за да се позволи sudo usersефективно използване на sudoкомандата. За да постигнем това, ние ще прегледаме съдържанието /etc/sudoersи ще го редактираме, където е приложимо.

Debian

vim /etc/sudoers

или

visudo

CentOS

vim /etc/sudoers

или

visudo

FreeBSD

vim /etc/sudoers

или

visudo

Забележка: В visudoкомандата ще се отвори /etc/sudoersс помощта на предпочитан текстов редактор на системата (обикновено VI или Вим) .

Започнете да преглеждате и редактирате под този ред:

# Allow members of group sudo to execute any command

Този раздел /etc/sudoersчесто изглежда така:

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

В някои системи може да не намерите %wheelвместо %sudo; в този случай това ще бъде линията, под която ще започнете да променяте.

Ако редът, започващ с %sudoв Debian или %wheelв CentOS и FreeBSD, не е коментиран (с префикс #) , това означава, че sudo вече е настроен и е активиран. След това можете да преминете към следващата стъпка.

Стъпка 5: Разрешаване на потребител, който не принадлежи wheelнито към sudoгрупата, нито към групата, да изпълни sudoкомандата

Възможно е да се позволи на потребител, който не е в нито една потребителска група, да изпълни sudoкомандата, като просто ги добавите към, /etc/sudoersкакто следва:

anotherusername ALL=(ALL) ALL

Стъпка 6: Рестартиране на SSHD сървъра

За да приложите промените, които сте направили към /etc/sudoers, трябва да рестартирате SSHD сървъра, както следва:

Debian

/etc/init.d/sshd restart

CentOS 6

/etc/init.d/sshd restart

CentOS 7

systemctl restart sshd.service

FreeBSD

/etc/rc.d/sshd start

Стъпка 7: Тестване

След като рестартирате SSH сървъра, излезте и след това влезте отново като вашия sudo user, след което опитайте да изпълните някои тестови команди, както следва:

sudo uptime
sudo whoami

Всяка от командите по-долу ще позволи на sudo userда стане root.

sudo su -
sudo -i
sudo -S

бележки:

• В whoamiкомандата ще върне rootв комбинация със sudo.
• Ще бъдете подканени да въведете паролата на вашия потребител, когато изпълнявате sudoкомандата, освен ако изрично не инструктирате системата да не подканва sudo usersза техните пароли. Моля, имайте предвид, че това не е препоръчителна практика.

По избор: разрешаване sudoбез въвеждане на парола на потребителя

Както беше обяснено по-горе, това не е препоръчителна практика и е включена в този урок само за демонстрационни цели.

За да позволите sudo userда изпълните sudoкомандата, без да бъдете подканени за тяхната парола, добавете суфикс на реда за достъп /etc/sudoersсъс NOPASSWD: ALLследното:

%sudo   ALL=(ALL:ALL) ALL   NOPASSWD: ALL

Забележка: Трябва да рестартирате вашия SSHD сървър, за да приложите промените.

Стъпка 8: Деактивирайте директния root достъп

След като потвърдихте, че можете да използвате вашия sudo userбез проблеми, е време за осмата и последна стъпка, деактивиране на директния root достъп.

Първо отворете /etc/ssh/sshd_configс любимия си текстов редактор и намерете реда, съдържащ следния низ. Може да има префикс със #знак.

PermitRootLogin

Независимо от префикса или стойността на опцията в /etc/ssh/sshd_config, трябва да промените този ред на следното:

PermitRootLogin no

Накрая рестартирайте вашия SSHD сървър.

Забележка: Не забравяйте да тествате промените си, като се опитате да свържете SSH към вашия сървър като root. Ако не можете да го направите, това означава, че сте изпълнили успешно всички необходими стъпки.

Това завършва нашия урок.