Jak používat Sudo na Debianu, CentOS a FreeBSD

Použití sudouživatele pro přístup k serveru a provádění příkazů na úrovni root je velmi běžnou praxí mezi správci systémů Linux a Unix. Používání sudouživatele je často spojeno se zákazem přímého přístupu root k vlastnímu serveru ve snaze zabránit neoprávněnému přístupu.

V tomto tutoriálu se budeme zabývat základními kroky pro zakázání přímého přístupu root, vytvoření uživatele sudo a nastavení skupiny sudo na CentOS, Debian a FreeBSD.

Předpoklady

• Nově nainstalovaný linuxový server s vaší preferovanou distribucí.
• Textový editor nainstalovaný na serveru, ať už je to nano, vi, vim, emacs.

Krok 1: Instalace sudo

Debian

apt-get install sudo -y

CentOS

yum install sudo -y

FreeBSD

cd /usr/ports/security/sudo/ && make install clean

nebo

pkg install sudo

Krok 2: Přidání uživatele sudo

sudoUživatel je normální uživatelský účet na počítači Linux nebo Unix.

Debian

adduser mynewusername

CentOS

adduser mynewusername

FreeBSD

adduser mynewusername

Krok 3: Přidání nového uživatele do skupiny kol (volitelné)

Wheel group je uživatelská skupina, která omezuje počet lidí, kteří mohou surootovat. Přidání sudouživatele do wheelskupiny je zcela volitelné, ale je vhodné.

Poznámka: V Debianu se sudoskupina často nachází místo wheel. wheelSkupinu však můžete přidat ručně pomocí groupaddpříkazu. Pro účely tohoto tutoriálu použijeme sudoskupinu pro Debian.

Rozdíl mezi wheela sudo.

V CentOS a Debianu může uživatel patřící do wheelskupiny spustit sua přímo přejít na root. Mezitím sudoby uživatel musel použít sudo suprvní. V podstatě neexistuje žádný skutečný rozdíl kromě syntaxe použité k tomu , aby se stal root a uživatelé patřící do obou skupin mohou sudopříkaz používat .

Debian

usermod -aG sudo mynewusername

CentOS

usermod -aG wheel mynewusername

FreeBSD

pw group mod wheel -m mynewusername

Krok 4: Ujistěte se, že je váš sudoerssoubor správně nastaven

Je důležité zajistit, aby byl sudoerssoubor umístěný v /etc/sudoerssprávně nastaven, aby bylo sudo usersmožné efektivně používat sudopříkaz. Abychom toho dosáhli, prohlédneme si jejich obsah /etc/sudoersa případně je upravíme.

Debian

vim /etc/sudoers

nebo

visudo

CentOS

vim /etc/sudoers

nebo

visudo

FreeBSD

vim /etc/sudoers

nebo

visudo

Poznámka:visudo příkaz otevře /etc/sudoerspomocí preferovaný textový editor v systému (obvykle vi nebo vim) .

Začněte kontrolovat a upravovat pod tímto řádkem:

# Allow members of group sudo to execute any command

Tato sekce /etc/sudoersčasto vypadá takto:

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

V některých systémech možná nenajdete %wheelmísto %sudo; v takovém případě by to byl řádek, pod kterým byste začali upravovat.

Pokud řádek začínající na %sudov Debianu nebo %wheelv CentOS a FreeBSD není zakomentován (předpona #) , znamená to, že sudo je již nastaveno a je povoleno. Poté můžete přejít k dalšímu kroku.

Krok 5: Povolení spuštění příkazu uživateli, který nepatří do skupiny wheelani do sudoskupinysudo

Uživateli, který není v žádné skupině uživatelů, je možné povolit spuštění sudopříkazu tak, že je jednoduše přidáte do /etc/sudoers:

anotherusername ALL=(ALL) ALL

Krok 6: Restartování serveru SSHD

Chcete-li použít změny, které jste provedli na /etc/sudoers, musíte restartovat server SSHD následovně:

Debian

/etc/init.d/sshd restart

CentOS 6

/etc/init.d/sshd restart

CentOS 7

systemctl restart sshd.service

FreeBSD

/etc/rc.d/sshd start

Krok 7: Testování

Po restartování serveru SSH se odhlaste a poté znovu přihlaste jako váš sudo user, poté se pokuste provést některé testovací příkazy takto:

sudo uptime
sudo whoami

Kterýkoli z níže uvedených příkazů umožní, aby sudo userse stal root.

sudo su -
sudo -i
sudo -S

Poznámky:

• whoamiPříkaz vrátí root, když spolu s sudo.
• Při provádění sudopříkazu budete vyzváni k zadání hesla uživatele, pokud systém výslovně nepožádáte sudo userso jeho hesla. Upozorňujeme, že to není doporučená praxe.

Volitelné: povolení sudobez zadání hesla uživatele

Jak již bylo vysvětleno, toto není doporučený postup a je zahrnut v tomto tutoriálu pouze pro demonstrační účely.

S cílem umožnit vaše sudo userspustit sudopříkaz, aniž by byl vyzván k zadání svého hesla, přípona přístupový řádek /etc/sudoerss NOPASSWD: ALLnásledujícím způsobem:

%sudo   ALL=(ALL:ALL) ALL   NOPASSWD: ALL

Poznámka: Chcete-li použít změny, musíte restartovat server SSHD.

Krok 8: Zakažte přímý přístup root

Nyní, když jste potvrdili, že můžete svůj sudo userbez problémů používat, je čas na osmý a poslední krok, deaktivaci přímého přístupu root.

Nejprve otevřete /etc/ssh/sshd_configpomocí svého oblíbeného textového editoru a najděte řádek obsahující následující řetězec. Předponou může být #znak.

PermitRootLogin

Bez ohledu na předponu nebo hodnotu volby v /etc/ssh/sshd_config, musíte tento řádek změnit na následující:

PermitRootLogin no

Nakonec restartujte server SSHD.

Poznámka: Nezapomeňte otestovat své změny pokusem o SSH na váš server jako root. Pokud to nemůžete udělat, znamená to, že jste úspěšně dokončili všechny potřebné kroky.

Tím náš tutoriál končí.