A Sudo használata Debianon, CentOS-en és FreeBSD-n

A sudoLinux és a Unix Systems Administrator körében nagyon elterjedt gyakorlat, hogy egy felhasználót használnak a szerver eléréséhez és a parancsok root szintű végrehajtásához. A felhasználó sudohasználata gyakran azzal párosul, hogy letiltják a közvetlen root hozzáférést a szerverhez, hogy megakadályozzák az illetéktelen hozzáférést.

Ebben az oktatóanyagban bemutatjuk a közvetlen root hozzáférés letiltásának, a sudo felhasználó létrehozásának és a sudo csoport beállításának alapvető lépéseit CentOS, Debian és FreeBSD rendszeren.

Előfeltételek

• Egy újonnan telepített Linux szerver az Ön által preferált disztribúcióval.
• A szerverre telepített szövegszerkesztő, legyen az nano, vi, vim, emacs.

1. lépés: A sudo telepítése

Debian

apt-get install sudo -y

CentOS

yum install sudo -y

FreeBSD

cd /usr/ports/security/sudo/ && make install clean

vagy

pkg install sudo

2. lépés: A sudo felhasználó hozzáadása

A sudofelhasználó egy normál felhasználói fiók egy Linux vagy Unix gépen.

Debian

adduser mynewusername

CentOS

adduser mynewusername

FreeBSD

adduser mynewusername

3. lépés: Új felhasználó hozzáadása a kerékcsoporthoz (opcionális)

A kerékcsoport olyan felhasználói csoport, amely korlátozza a rootolni képes emberek számát su. A sudofelhasználó hozzáadása a wheelcsoporthoz teljesen opcionális, de ajánlatos.

Megjegyzés: A Debianban sudogyakran a csoport található a helyett wheel. A wheelcsoportot azonban manuálisan is hozzáadhatja a groupaddparanccsal. Ebben az oktatóanyagban sudoa Debian-csoportot fogjuk használni .

A wheelés a közötti különbség sudo.

A CentOS és a Debian rendszerben a wheelcsoporthoz tartozó felhasználó végrehajthatja sués közvetlenül felléphet arra root. Eközben a sudofelhasználó az sudo suelsőt használta volna . Lényegében nincs valódi különbség, kivéve a root szintaxist , és mindkét csoporthoz tartozó felhasználók használhatják a sudoparancsot.

Debian

usermod -aG sudo mynewusername

CentOS

usermod -aG wheel mynewusername

FreeBSD

pw group mod wheel -m mynewusername

4. lépés: Győződjön meg arról, hogy a sudoersfájl megfelelően van beállítva

Fontos annak biztosítása, hogy a sudoerskövetkező helyen található fájl /etc/sudoersmegfelelően legyen beállítva, hogy sudo usersa sudoparancs hatékonyan használható legyen . Ennek érdekében megtekintjük a tartalmat, /etc/sudoersés adott esetben szerkesztjük.

Debian

vim /etc/sudoers

vagy

visudo

CentOS

vim /etc/sudoers

vagy

visudo

FreeBSD

vim /etc/sudoers

vagy

visudo

Megjegyzés: A visudoparancs /etc/sudoersa rendszer preferált szövegszerkesztőjével (általában vi vagy vim) nyílik meg .

Kezdje el az áttekintést és a szerkesztést a következő sor alatt:

# Allow members of group sudo to execute any command

Ez a szakasz /etc/sudoersgyakran így néz ki:

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

Egyes rendszerekben előfordulhat, hogy nem találja %wheelmeg a %sudo; ebben az esetben ez lenne az a sor, amely alatt elkezdené a módosítást.

Ha a %sudoDebianban vagy %wheela CentOS-ben és a FreeBSD-ben a következővel kezdődő sor nincs megjegyzésben (# előtaggal) , ez azt jelenti, hogy a sudo már be van állítva és engedélyezve van. Ezután léphet a következő lépésre.

5. lépés: A parancs végrehajtásának engedélyezése olyan felhasználó számára, aki nem tartozik wheelsem a sudocsoporthoz, sem a csoporthozsudo

Egyik felhasználói csoportba sem tartozó felhasználó számára is engedélyezhető a sudoparancs végrehajtása , ehhez egyszerűen hozzá kell adni őket az /etc/sudoersalábbiak szerint:

anotherusername ALL=(ALL) ALL

6. lépés: Az SSHD szerver újraindítása

A módosítások alkalmazásához az alábbi módon /etc/sudoerskell újraindítania az SSHD-kiszolgálót:

Debian

/etc/init.d/sshd restart

CentOS 6

/etc/init.d/sshd restart

CentOS 7

systemctl restart sshd.service

FreeBSD

/etc/rc.d/sshd start

7. lépés: Tesztelés

Miután újraindította az SSH-kiszolgálót, jelentkezzen ki, majd jelentkezzen be újra saját néven sudo user, majd próbáljon meg néhány tesztelési parancsot végrehajtani az alábbiak szerint:

sudo uptime
sudo whoami

Az alábbi parancsok bármelyike ​​lehetővé teszi sudo user, hogy a root.

sudo su -
sudo -i
sudo -S

Megjegyzések:

• A whoamiparancs visszatér root, ha párosul sudo.
• A sudoparancs végrehajtása során meg kell adnia a felhasználó jelszavát, kivéve, ha kifejezetten utasítja a rendszert, hogy ne kérje sudo usersa jelszavát. Felhívjuk figyelmét, hogy ez nem ajánlott gyakorlat.

Opcionális: engedélyezés sudoa felhasználó jelszavának megadása nélkül

Amint azt korábban kifejtettük, ez nem ajánlott gyakorlat, és ez az oktatóanyag csak bemutató céllal szerepel.

Annak érdekében, hogy az sudo user, hogy végre a sudoparancsot, anélkül, hogy kéri a jelszót, az utótagot a hozzáférési vonal /etc/sudoersaz NOPASSWD: ALLalábbiak szerint:

%sudo   ALL=(ALL:ALL) ALL   NOPASSWD: ALL

Megjegyzés: A változtatások alkalmazásához újra kell indítania az SSHD-kiszolgálót.

8. lépés: Tiltsa le a közvetlen root hozzáférést

Most, hogy megerősítette, hogy sudo userproblémamentesen használhatja, eljött a nyolcadik, egyben utolsó lépés ideje, a közvetlen root hozzáférés letiltása.

Először nyissa /etc/ssh/sshd_configmeg kedvenc szövegszerkesztőjével, és keresse meg a következő karakterláncot tartalmazó sort. Előtagként szerepelhet egy #karakter.

PermitRootLogin

Az előtagtól vagy a beállítás értékétől függetlenül /etc/ssh/sshd_configmódosítania kell ezt a sort a következőre:

PermitRootLogin no

Végül indítsa újra az SSHD-kiszolgálót.

Megjegyzés: Ne felejtse el tesztelni a változtatásokat úgy, hogy megpróbálja SSH-t beállítani a szerverére root. Ha nem tudja megtenni, ez azt jelenti, hogy sikeresen végrehajtotta az összes szükséges lépést.

Ezzel az oktatóanyagunk véget is ér.