Sådan bruges Sudo på Debian, CentOS og FreeBSD

At bruge en sudobruger til at få adgang til en server og udføre kommandoer på rodniveau er en meget almindelig praksis blandt Linux- og Unix-systemadministratorer. Brugen af ​​en sudobruger er ofte koblet ved at deaktivere direkte root-adgang til ens server i et forsøg på at forhindre uautoriseret adgang.

I denne vejledning vil vi dække de grundlæggende trin til at deaktivere direkte root-adgang, oprette en sudo-bruger og opsætte sudo-gruppen på CentOS, Debian og FreeBSD.

Forudsætninger

• En nyinstalleret Linux-server med din foretrukne distribution.
• En teksteditor installeret på serveren, uanset om det er nano, vi, vim, emacs.

Trin 1: Installation af sudo

Debian

apt-get install sudo -y

CentOS

yum install sudo -y

FreeBSD

cd /usr/ports/security/sudo/ && make install clean

eller

pkg install sudo

Trin 2: Tilføjelse af sudo-brugeren

En sudobruger er en normal brugerkonto på en Linux- eller Unix-maskine.

Debian

adduser mynewusername

CentOS

adduser mynewusername

FreeBSD

adduser mynewusername

Trin 3: Tilføjelse af den nye bruger til hjulgruppen (valgfrit)

Hjulgruppen er en brugergruppe, som begrænser antallet af personer, der er i stand til suat roote. Tilføjelse af din sudobruger til wheelgruppen er helt valgfrit, men det er tilrådeligt.

Bemærk: I Debian findes sudogruppen ofte i stedet for wheel. Du kan dog manuelt tilføje wheelgruppen ved hjælp af groupaddkommandoen. Til formålet med denne vejledning vil vi bruge sudogruppen til Debian.

Forskellen mellem wheelog sudo.

I CentOS og Debian kan en bruger, der tilhører wheelgruppen, udføre suog gå direkte op til root. I mellemtiden ville en sudobruger have brugt den sudo suførste. Grundlæggende er der ingen reel forskel bortset fra den syntaks, der blev brugt til at blive root , og brugere, der tilhører begge grupper, kan bruge sudokommandoen.

Debian

usermod -aG sudo mynewusername

CentOS

usermod -aG wheel mynewusername

FreeBSD

pw group mod wheel -m mynewusername

Trin 4: Sørg for, at din sudoersfil er konfigureret korrekt

Det er vigtigt at sikre, at sudoersfilen, der er placeret i, /etc/sudoerser konfigureret korrekt for at tillade sudo userseffektivt at bruge sudokommandoen. For at opnå det, vil vi se indholdet af /etc/sudoersog redigere dem, hvor det er relevant.

Debian

vim /etc/sudoers

eller

visudo

CentOS

vim /etc/sudoers

eller

visudo

FreeBSD

vim /etc/sudoers

eller

visudo

Bemærk: Den visudokommando vil åbne /etc/sudoersved hjælp af systemets foretrukne teksteditor (som regel VI eller vim) .

Begynd at gennemgå og redigere under denne linje:

# Allow members of group sudo to execute any command

Denne sektion af /etc/sudoersser ofte sådan ud:

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

I nogle systemer finder du muligvis ikke i %wheelstedet for %sudo; i så fald ville det være den linje, du ville begynde at ændre under.

Hvis linjen, der starter med %sudoi Debian eller %wheeli CentOS og FreeBSD, ikke er kommenteret ud (med foranstillet #) , betyder det, at sudo allerede er sat op og er aktiveret. Du kan derefter gå videre til næste trin.

Trin 5: Tillad en bruger, der hverken tilhører gruppen wheeleller sudogruppen, at udføre sudokommandoen

Det er muligt at tillade en bruger, der ikke er i nogen af ​​brugergrupperne, at udføre sudokommandoen ved blot at tilføje dem til /etc/sudoerssom følger:

anotherusername ALL=(ALL) ALL

Trin 6: Genstart af SSHD-serveren

For at anvende de ændringer, du har foretaget på /etc/sudoers, skal du genstarte SSHD-serveren som følger:

Debian

/etc/init.d/sshd restart

CentOS 6

/etc/init.d/sshd restart

CentOS 7

systemctl restart sshd.service

FreeBSD

/etc/rc.d/sshd start

Trin 7: Test

Når du har genstartet SSH-serveren, skal du logge ud og derefter logge ind igen som din sudo user, og derefter forsøge at udføre nogle testkommandoer som følger:

sudo uptime
sudo whoami

Enhver af nedenstående kommandoer vil tillade sudo userat blive root.

sudo su -
sudo -i
sudo -S

Bemærkninger:

• Den whoamiKommandoen returnerer rootnår kombineret med sudo.
• Du vil blive bedt om at indtaste din brugers adgangskode, når du udfører sudokommandoen, medmindre du udtrykkeligt instruerer systemet i ikke at bede sudo usersom deres adgangskoder. Bemærk venligst, at det ikke er en anbefalet praksis.

Valgfrit: tillade sudouden at indtaste brugerens adgangskode

Som tidligere forklaret er dette ikke en anbefalet praksis og er kun inkluderet i denne vejledning til demonstrationsformål.

For at tillade dig sudo userat udføre sudokommandoen uden at blive bedt om deres adgangskode, skal du tilføje adgangslinjen /etc/sudoersmed NOPASSWD: ALLsom følger:

%sudo   ALL=(ALL:ALL) ALL   NOPASSWD: ALL

Bemærk: Du skal genstarte din SSHD-server for at anvende ændringerne.

Trin 8: Deaktiver direkte root-adgang

Nu hvor du har bekræftet, at du kan bruge din sudo useruden problemer, er det tid til det ottende og sidste trin, hvor du deaktiverer direkte root-adgang.

Åbn først /etc/ssh/sshd_configved hjælp af din foretrukne teksteditor og find linjen, der indeholder følgende streng. Det kan være præfikset med et #tegn.

PermitRootLogin

Uanset præfikset eller værdien af ​​indstillingen i /etc/ssh/sshd_config, skal du ændre denne linje til følgende:

PermitRootLogin no

Til sidst skal du genstarte din SSHD-server.

Bemærk: Glem ikke at teste dine ændringer ved at forsøge at SSH ind i din server som root. Hvis du ikke er i stand til at gøre det, betyder det, at du har gennemført alle de nødvendige trin.

Dette afslutter vores tutorial.