Sudon käyttäminen Debianissa, CentOS:ssä ja FreeBSD:ssä

sudoKäyttäjän käyttäminen palvelimen käyttämiseen ja komentojen suorittamiseen juuritasolla on hyvin yleinen käytäntö Linux- ja Unix-järjestelmänvalvojan keskuudessa. Käyttäjän käyttö sudoyhdistetään usein estämällä suora pääkäyttäjän oikeudet palvelimeen luvattoman käytön estämiseksi.

Tässä opetusohjelmassa käsittelemme perusvaiheet suoran pääkäyttäjän käytön poistamiseksi, sudo-käyttäjän luomiseksi ja sudo-ryhmän luomiseksi CentOS:ssä, Debianissa ja FreeBSD:ssä.

Edellytykset

• Äskettäin asennettu Linux-palvelin haluamallasi jakelulla.
• Palvelimelle asennettu tekstieditori, olipa kyseessä nano, vi, vim tai emacs.

Vaihe 1: Asenna sudo

Debian

apt-get install sudo -y

CentOS

yum install sudo -y

FreeBSD

cd /usr/ports/security/sudo/ && make install clean

tai

pkg install sudo

Vaihe 2: Sudo-käyttäjän lisääminen

sudoKäyttäjä on normaali käyttäjätili Linux tai Unix-koneelta.

Debian

adduser mynewusername

CentOS

adduser mynewusername

FreeBSD

adduser mynewusername

Vaihe 3: Uuden käyttäjän lisääminen pyöräryhmään (valinnainen)

Pyöräryhmä on käyttäjäryhmä, joka rajoittaa roottautumiseen kykenevien ihmisten sumäärää. sudoKäyttäjän lisääminen wheelryhmään on täysin valinnaista, mutta se on suositeltavaa.

Huomautus: Debianissa sudoryhmä löytyy usein wheel. Voit kuitenkin lisätä wheelryhmän manuaalisesti groupaddkomennolla. Tätä opetusohjelmaa varten käytämme sudoDebianin ryhmää.

Ero wheelja sudo.

CentOS:ssä ja Debianissa wheelryhmään kuuluva käyttäjä voi suorittaa suja siirtyä suoraan root. Sillä välin sudokäyttäjä olisi käyttänyt sudo suensimmäistä. Pohjimmiltaan ei ole todellista eroa lukuun ottamatta syntaksia, jota käytetään pääkäyttäjäksi , ja kumpaankin ryhmään kuuluvat käyttäjät voivat käyttää sudokomentoa.

Debian

usermod -aG sudo mynewusername

CentOS

usermod -aG wheel mynewusername

FreeBSD

pw group mod wheel -m mynewusername

Vaihe 4: Varmista, että sudoerstiedostosi on määritetty oikein

On tärkeää varmistaa, että sudoerspaikassa oleva tiedosto /etc/sudoerson asennettu oikein, jotta komentoa voidaan sudo userskäyttää tehokkaasti sudo. Tämän saavuttamiseksi tarkastelemme sisällön /etc/sudoersja muokkaamme niitä tarvittaessa.

Debian

vim /etc/sudoers

tai

visudo

CentOS

vim /etc/sudoers

tai

visudo

FreeBSD

vim /etc/sudoers

tai

visudo

Huomautus:visudo komento avaa /etc/sudoerskäyttäen järjestelmän ensisijainen tekstieditori (yleensä vi tai vim) .

Aloita tarkistaminen ja muokkaaminen tämän rivin alta:

# Allow members of group sudo to execute any command

Tämä osio /etc/sudoersnäyttää usein tältä:

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

Joissakin järjestelmissä, et voi löytää %wheelsijasta %sudo; Tässä tapauksessa tämä olisi rivi, jonka alta aloitat muokkaamisen.

Jos %sudoDebianissa tai %wheelCentOS:ssä ja FreeBSD:ssä alkavaa riviä ei ole kommentoitu (etuliite #) , tämä tarkoittaa, että sudo on jo asennettu ja käytössä. Voit sitten siirtyä seuraavaan vaiheeseen.

Vaihe 5: Salli käyttäjän, joka ei kuulu ryhmään wheeleikä sudoryhmään, suorittaa sudokomento

On mahdollista sallia käyttäjän, joka ei kuulu kumpaankaan käyttäjäryhmään, suorittaa sudokomento lisäämällä ne /etc/sudoersseuraavasti:

anotherusername ALL=(ALL) ALL

Vaihe 6: Käynnistä SSHD-palvelin uudelleen

Jotta voit ottaa käyttöön tekemäsi muutokset /etc/sudoers, sinun on käynnistettävä SSHD-palvelin uudelleen seuraavasti:

Debian

/etc/init.d/sshd restart

CentOS 6

/etc/init.d/sshd restart

CentOS 7

systemctl restart sshd.service

FreeBSD

/etc/rc.d/sshd start

Vaihe 7: Testaus

Kun olet käynnistänyt SSH-palvelimen uudelleen, kirjaudu ulos ja kirjaudu sitten takaisin sisään tunnuksellasi sudo userja yritä sitten suorittaa joitain testikomentoja seuraavasti:

sudo uptime
sudo whoami

Mikä tahansa alla olevista komennoista antaa komennon sudo usermuuttua root.

sudo su -
sudo -i
sudo -S

Huomautuksia:

• whoamiKomento palaa root, kun yhdessä sudo.
• Sinua pyydetään antamaan käyttäjän salasana sudokomentoa suoritettaessa, ellet nimenomaisesti kehota järjestelmää olemaan kysymättä sudo usersheidän salasanojaan. Huomaa, että tämä ei ole suositeltava käytäntö.

Valinnainen: salliminen sudoilman käyttäjän salasanaa

Kuten aiemmin selitettiin, tämä ei ole suositeltava käytäntö, ja se sisältyy tähän opetusohjelmaan vain esittelytarkoituksessa.

Jotta sinun sudo usersuorittamiseksi sudokomennon ilman pyydetään salasanansa, Suffix pääsy linjan /etc/sudoerskanssa NOPASSWD: ALLseuraavasti:

%sudo   ALL=(ALL:ALL) ALL   NOPASSWD: ALL

Huomautus: Sinun on käynnistettävä SSHD-palvelin uudelleen, jotta muutokset voidaan ottaa käyttöön.

Vaihe 8: Poista suora pääkäyttäjän käyttö käytöstä

Nyt kun olet vahvistanut, että voit käyttää sitä sudo userilman ongelmia, on kahdeksannen ja viimeisen vaiheen aika, joka poistaa suoran pääkäyttäjän oikeudet.

Avaa ensin /etc/ssh/sshd_configsuosikkitekstieditorillasi ja etsi rivi, joka sisältää seuraavan merkkijonon. Sen etuliitteenä voi olla #merkki.

PermitRootLogin

Riippumatta etuliitteestä tai vaihtoehdon arvosta /etc/ssh/sshd_config, sinun on muutettava tämä rivi seuraavaksi:

PermitRootLogin no

Lopuksi käynnistä SSHD-palvelin uudelleen.

Huomautus: Älä unohda testata muutoksiasi yrittämällä SSH:ta palvelimellesi nimellä root. Jos et voi tehdä niin, tämä tarkoittaa, että olet suorittanut kaikki tarvittavat vaiheet onnistuneesti.

Tämä päättää opetusohjelmamme.