Kuidas kasutada Sudot Debianis, CentOS-is ja FreeBSD-s

Kasutaja kasutamine sudoserverile juurdepääsuks ja juurtasemel käskude täitmiseks on Linuxi ja Unixi süsteemiadministraatorite seas väga levinud praktika. sudoKasutaja kasutamisega kaasneb sageli otsese juurjuurdepääsu keelamine oma serverile, et vältida volitamata juurdepääsu.

Selles õpetuses käsitleme peamisi samme otsese juurjuurdepääsu keelamiseks, sudo kasutaja loomiseks ja sudo rühma seadistamiseks CentOS-is, Debianis ja FreeBSD-s.

Eeltingimused

• Äsja installitud Linuxi server teie eelistatud distributsiooniga.
• Serverisse installitud tekstiredaktor, olgu selleks nano, vi, vim, emacs.

1. samm: sudo installimine

Debian

apt-get install sudo -y

CentOS

yum install sudo -y

FreeBSD

cd /usr/ports/security/sudo/ && make install clean

või

pkg install sudo

2. samm: sudo kasutaja lisamine

sudoKasutaja on tavakasutaja konto Linux või Unix masin.

Debian

adduser mynewusername

CentOS

adduser mynewusername

FreeBSD

adduser mynewusername

3. samm: uue kasutaja lisamine rataste rühma (valikuline)

Rattagrupp on kasutajagrupp, mis piirab sujuurduda suutevate inimeste arvu . Lisades oma sudokasutajat wheelrühm on täiesti vabatahtlik, kuid see on soovitatav.

Märkus . Debianis sudoleidub grupp sageli wheel. Kuid saate wheelrühma käsitsi lisada, kasutades groupaddkäsku. Selle õpetuse jaoks kasutame sudoDebiani rühma.

Erinevus wheelja vahel sudo.

CentOS-is ja Debianis wheelsaab gruppi kuuluv kasutaja käivitada suja otse sellesse tõusta root. Samal ajal oleks sudokasutaja kasutanud sudo suesimest. Sisuliselt pole mingit tegelikku erinevust, välja arvatud süntaks, mida kasutatakse administraatoriks muutumisel , ja mõlemasse rühma kuuluvad kasutajad saavad seda sudokäsku kasutada .

Debian

usermod -aG sudo mynewusername

CentOS

usermod -aG wheel mynewusername

FreeBSD

pw group mod wheel -m mynewusername

4. toiming: veenduge, et sudoersfail oleks õigesti seadistatud

Käsu tõhusaks kasutamiseks on oluline tagada, et sudoersasukohas asuv fail /etc/sudoersoleks õigesti seadistatud . Selle saavutamiseks vaatame sisu ja muudame seda vajaduse korral.sudo userssudo/etc/sudoers

Debian

vim /etc/sudoers

või

visudo

CentOS

vim /etc/sudoers

või

visudo

FreeBSD

vim /etc/sudoers

või

visudo

Märkus . visudoKäsk avaneb /etc/sudoerssüsteemi eelistatud tekstiredaktoriga (tavaliselt vi või vim) .

Alustage ülevaatamist ja muutmist selle rea all:

# Allow members of group sudo to execute any command

See jaotis /etc/sudoersnäeb sageli välja selline:

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

Mõnes süsteemis, siis ei pruugi leida %wheelasemel %sudo; sel juhul oleks see rida, mille alt hakkate muutma.

Kui rida, mis algab tähega %sudoDebianis või %wheelCentOS-is ja FreeBSD-s, ei ole kommenteeritud (eesliite #) , tähendab see, et sudo on juba seadistatud ja lubatud. Seejärel saate liikuda järgmise sammu juurde.

5. samm: kasutajal, kes ei kuulu wheelei sudorühma ega rühma, lubage sudokäsku täita

On võimalik lubada kasutajal, kes ei kuulu kummassegi kasutajarühma, sudokäsku täita , lisades nad lihtsalt /etc/sudoersjärgmiselt:

anotherusername ALL=(ALL) ALL

6. samm: SSHD-serveri taaskäivitamine

Tehtud muudatuste rakendamiseks peate /etc/sudoersSSHD-serveri taaskäivitama järgmiselt.

Debian

/etc/init.d/sshd restart

CentOS 6

/etc/init.d/sshd restart

CentOS 7

systemctl restart sshd.service

FreeBSD

/etc/rc.d/sshd start

7. samm: testimine

Pärast SSH-serveri taaskäivitamist logige välja ja seejärel oma kasutajana uuesti sisse sudo user, seejärel proovige täita mõningaid testimiskäske järgmiselt:

sudo uptime
sudo whoami

Ükskõik milline allolevatest käskudest võimaldab sudo usermuutuda root.

sudo su -
sudo -i
sudo -S

Märkused:

• whoamiKäsk tagastab rootkui koos sudo.
• sudoKäsu täitmisel palutakse teil sisestada oma kasutaja parool, välja arvatud juhul, kui te annate süsteemile selgesõnalise korralduse sudo usersoma paroole mitte küsida . Pange tähele, et see ei ole soovitatav praktika.

Valikuline: lubamine sudoilma kasutaja parooli sisestamata

Nagu eelnevalt selgitatud, ei ole see soovitatav praktika ja see on lisatud käesolevasse juhendisse ainult tutvustamise eesmärgil.

Selleks, et võimaldada oma sudo usertäitmiseks sudokäsk ilma küsimata oma parooli, järelliide juurdepääsu rida /etc/sudoerskoos NOPASSWD: ALLjärgmiselt:

%sudo   ALL=(ALL:ALL) ALL   NOPASSWD: ALL

Märkus. Muudatuste rakendamiseks peate oma SSHD-serveri taaskäivitama.

8. samm: keelake otsejuurdepääs

Nüüd, kui olete kinnitanud, et saate oma seadet sudo userprobleemideta kasutada , on aeg teha kaheksas ja viimane samm, keelata otsene juurjuurdepääs.

Esiteks avage /etc/ssh/sshd_configoma lemmiktekstiredaktoriga ja leidke rida, mis sisaldab järgmist stringi. Selle ees võib olla #märk.

PermitRootLogin

Sõltumata eesliitest või valiku väärtusest /etc/ssh/sshd_config, peate selle rea muutma järgmiseks:

PermitRootLogin no

Lõpuks taaskäivitage oma SSHD-server.

Märkus. Ärge unustage oma muudatusi testida, proovides SSH-d oma serverisse sisestada nimega root. Kui te ei saa seda teha, tähendab see, et olete kõik vajalikud sammud edukalt täitnud.

Sellega meie õpetus lõpeb.