Com utilitzar Sudo a Debian, CentOS i FreeBSD

L'ús d'un sudousuari per accedir a un servidor i executar ordres a nivell arrel és una pràctica molt comuna entre els administradors de sistemes Linux i Unix. L'ús d'un sudousuari sovint s'acobla amb la desactivació de l'accés root directe al servidor en un esforç per evitar l'accés no autoritzat.

En aquest tutorial, cobrirem els passos bàsics per desactivar l'accés root directe, crear un usuari sudo i configurar el grup sudo a CentOS, Debian i FreeBSD.

Requisits previs

• Un servidor Linux recentment instal·lat amb la vostra distribució preferida.
• Un editor de text instal·lat al servidor ja sigui nano, vi, vim, emacs.

Pas 1: instal·lació de sudo

Debian

apt-get install sudo -y

CentOS

yum install sudo -y

FreeBSD

cd /usr/ports/security/sudo/ && make install clean

o

pkg install sudo

Pas 2: afegir l'usuari sudo

Un sudousuari és un compte d'usuari normal en una màquina Linux o Unix.

Debian

adduser mynewusername

CentOS

adduser mynewusername

FreeBSD

adduser mynewusername

Pas 3: afegir l'usuari nou al grup de rodes (opcional)

El grup de rodes és un grup d'usuaris que limita el nombre de persones que poden sufer root. Afegir el vostre sudousuari al wheelgrup és totalment opcional, però és aconsellable.

Nota: a Debian, el sudogrup es troba sovint en lloc de wheel. Tanmateix, podeu afegir manualment el wheelgrup mitjançant l' groupaddordre. Amb el propòsit d'aquest tutorial, utilitzarem el sudogrup per a Debian.

La diferència entre wheeli sudo.

A CentOS i Debian, un usuari que pertany al wheelgrup pot executar sui ascendir directament a root. Mentrestant, un sudousuari hauria utilitzat el sudo suprimer. Essencialment, no hi ha cap diferència real excepte per la sintaxi que s'utilitza per convertir - se en root , i els usuaris que pertanyen als dos grups poden utilitzar l' sudoordre.

Debian

usermod -aG sudo mynewusername

CentOS

usermod -aG wheel mynewusername

FreeBSD

pw group mod wheel -m mynewusername

Pas 4: Assegureu-vos que el vostre sudoersfitxer estigui configurat correctament

És important assegurar-se que el sudoersfitxer ubicat a /etc/sudoersestà configurat correctament per tal de permetre sudo usersutilitzar l' sudoordre de manera eficaç . Per aconseguir-ho, veurem el contingut /etc/sudoersi els editarem si escau.

Debian

vim /etc/sudoers

o

visudo

CentOS

vim /etc/sudoers

o

visudo

FreeBSD

vim /etc/sudoers

o

visudo

Nota: l' visudoordre s'obrirà /etc/sudoersamb l'editor de text preferit del sistema (normalment vi o vim) .

Comenceu a revisar i editar a sota d'aquesta línia:

# Allow members of group sudo to execute any command

Aquesta secció de /etc/sudoerssovint es veu així:

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

En alguns sistemes, és possible que no trobeu %wheelen lloc de %sudo; en aquest cas, aquesta seria la línia sota la qual començaríeu a modificar.

Si la línia que comença per %sudoa Debian o %wheela CentOS i FreeBSD no està comentada (prefixada per #) , això vol dir que sudo ja està configurat i està habilitat. A continuació, podeu passar al pas següent.

Pas 5: permetre que un usuari que no pertany wheelni al sudogrup ni al grup executi l' sudoordre

És possible permetre que un usuari que no es troba en cap dels grups d'usuaris executi l' sudoordre simplement afegint-los a /etc/sudoersla següent manera:

anotherusername ALL=(ALL) ALL

Pas 6: reinicieu el servidor SSHD

Per aplicar els canvis que heu fet a /etc/sudoers, heu de reiniciar el servidor SSHD de la següent manera:

Debian

/etc/init.d/sshd restart

CentOS 6

/etc/init.d/sshd restart

CentOS 7

systemctl restart sshd.service

FreeBSD

/etc/rc.d/sshd start

Pas 7: prova

Després d'haver reiniciat el servidor SSH, tanqueu la sessió i torneu a iniciar la sessió amb el vostre sudo user, i intenteu executar algunes ordres de prova de la següent manera:

sudo uptime
sudo whoami

Qualsevol de les ordres següents permetrà sudo userque es converteixi en root.

sudo su -
sudo -i
sudo -S

Notes:

• L' whoamiordre tornarà rootquan s'acobla amb sudo.
• Se us demanarà que introduïu la contrasenya del vostre usuari quan executeu l' sudoordre tret que indiqueu explícitament al sistema que no demani les sudo usersseves contrasenyes. Tingueu en compte que no és una pràctica recomanada.

Opcional: permetre sudosense introduir la contrasenya de l'usuari

Com s'ha explicat anteriorment, aquesta no és una pràctica recomanada i s'inclou en aquest tutorial només amb finalitats de demostració.

Per permetre sudo userque executeu l' sudoordre sense que se us demani la contrasenya, sufixeu la línia d'accés /etc/sudoersamb NOPASSWD: ALLel següent:

%sudo   ALL=(ALL:ALL) ALL   NOPASSWD: ALL

Nota: heu de reiniciar el vostre servidor SSHD per aplicar els canvis.

Pas 8: Desactiveu l'accés directe d'arrel

Ara que heu confirmat que podeu utilitzar el vostre sudo usersense problemes, és el moment del vuitè i últim pas, desactivant l'accés directe d'arrel.

Primer, obriu /etc/ssh/sshd_configamb el vostre editor de text preferit i cerqueu la línia que conté la cadena següent. Pot ser prefixat amb un #caràcter.

PermitRootLogin

Independentment del prefix o del valor de l'opció a /etc/ssh/sshd_config, heu de canviar aquesta línia a la següent:

PermitRootLogin no

Finalment, reinicieu el vostre servidor SSHD.

Nota: no oblideu provar els vostres canvis intentant fer SSH al vostre servidor com a root. Si no podeu fer-ho, vol dir que heu completat correctament tots els passos necessaris.

Això conclou el nostre tutorial.