Hvernig á að nota Sudo á Debian, CentOS og FreeBSD

Að nota sudonotanda til að fá aðgang að netþjóni og framkvæma skipanir á rótarstigi er mjög algengt hjá Linux og Unix kerfisstjóra. Notkun sudonotanda er oft tengd með því að slökkva á beinum rótaraðgangi að netþjóni manns í viðleitni til að koma í veg fyrir óviðkomandi aðgang.

Í þessari kennslu munum við fara yfir grunnskrefin til að slökkva á beinum rótaraðgangi, búa til sudo notanda og setja upp sudo hópinn á CentOS, Debian og FreeBSD.

Forkröfur

• Nýuppsettur Linux þjónn með valinn dreifingu.
• Textaritill uppsettur á þjóninum hvort sem það er nano, vi, vim, emacs.

Skref 1: Að setja upp sudo

Debian

apt-get install sudo -y

CentOS

yum install sudo -y

FreeBSD

cd /usr/ports/security/sudo/ && make install clean

eða

pkg install sudo

Skref 2: Bætir sudo notandanum við

A sudonotandi er venjulegur notandi reikningur á Linux eða Unix vél.

Debian

adduser mynewusername

CentOS

adduser mynewusername

FreeBSD

adduser mynewusername

Skref 3: Nýjum notanda bætt við hjólahópinn (valfrjálst)

Hjólahópurinn er notendahópur sem takmarkar fjölda fólks sem sugetur rótað. Það er algjörlega valfrjálst að bæta sudonotandanum þínum við wheelhópinn en það er ráðlegt.

Athugið: Í Debian er sudohópurinn oft að finna í stað wheel. Þú getur hins vegar bætt wheelhópnum við handvirkt með því að nota groupaddskipunina. Í tilgangi þessarar kennslu munum við nota sudohópinn fyrir Debian.

Munurinn á wheelog sudo.

Í CentOS og Debian getur notandi sem tilheyrir wheelhópnum keyrt suog farið beint upp í root. Á meðan hefði sudonotandi notað það sudo sufyrsta. Í meginatriðum er enginn raunverulegur munur nema setningafræðin sem notuð var til að verða rót og notendur sem tilheyra báðum hópum geta notað sudoskipunina.

Debian

usermod -aG sudo mynewusername

CentOS

usermod -aG wheel mynewusername

FreeBSD

pw group mod wheel -m mynewusername

Skref 4: Gakktu úr skugga um að sudoersskráin þín sé rétt uppsett

Það er mikilvægt að tryggja að sudoersskráin sem staðsett er í /etc/sudoerssé sett upp á réttan hátt til að gera kleift sudo usersað nota sudoskipunina á áhrifaríkan hátt . Til þess að ná því fram munum við skoða innihald /etc/sudoersog breyta því þar sem við á.

Debian

vim /etc/sudoers

eða

visudo

CentOS

vim /etc/sudoers

eða

visudo

FreeBSD

vim /etc/sudoers

eða

visudo

Ath: The visudoskipun opnar /etc/sudoersnota valinn texta kerfisins ritstjóri (yfirleitt vi eða Vim) .

Byrjaðu að skoða og breyta fyrir neðan þessa línu:

# Allow members of group sudo to execute any command

Þessi hluti /etc/sudoerslítur oft svona út:

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

Í sumum kerfum getur verið að þú finnur ekki í %wheelstaðinn fyrir %sudo; í því tilviki væri þetta línan þar sem þú myndir byrja að breyta.

Ef línan sem byrjar á %sudoí Debian eða %wheelí CentOS og FreeBSD er ekki skrifuð út (forskeytið #) þýðir það að sudo er þegar uppsett og er virkt. Þú getur síðan farið í næsta skref.

Skref 5: Leyfa notanda sem tilheyrir hvorki hópnum wheelné sudohópnum að framkvæma sudoskipunina

Það er hægt að leyfa notanda sem er í hvorugum notendahópnum að framkvæma sudoskipunina með því einfaldlega að bæta þeim við /etc/sudoerssem hér segir:

anotherusername ALL=(ALL) ALL

Skref 6: Endurræstu SSHD netþjóninn

Til þess að nota breytingarnar sem þú gerðir á /etc/sudoersþarftu að endurræsa SSHD þjóninn sem hér segir:

Debian

/etc/init.d/sshd restart

CentOS 6

/etc/init.d/sshd restart

CentOS 7

systemctl restart sshd.service

FreeBSD

/etc/rc.d/sshd start

Skref 7: Próf

Eftir að þú hefur endurræst SSH þjóninn skaltu skrá þig út og síðan aftur inn sem sudo user, reyndu síðan að framkvæma nokkrar prófunarskipanir eins og hér segir:

sudo uptime
sudo whoami

Einhver af neðangreindum skipunum gerir kleift sudo userað verða root.

sudo su -
sudo -i
sudo -S

Athugasemdir:

• The whoamistjórn vilja koma aftur rootþegar par með sudo.
• Þú verður beðinn um að slá inn lykilorð notandans þegar þú framkvæmir sudoskipunina nema þú beinir fyrirmælum til kerfisins um að biðja ekki sudo usersum lykilorð þeirra. Vinsamlegast athugaðu að það er ekki ráðlögð aðferð.

Valfrjálst: leyfa sudoán þess að slá inn lykilorð notandans

Eins og áður hefur verið útskýrt er þetta ekki ráðlögð aðferð og er innifalin í þessari kennslu eingöngu til sýnikennslu.

Til að leyfa þér sudo userað framkvæma sudoskipunina án þess að vera beðinn um lykilorðið skaltu bæta við aðgangslínunni /etc/sudoersmeð NOPASSWD: ALLeftirfarandi:

%sudo   ALL=(ALL:ALL) ALL   NOPASSWD: ALL

Athugið: Þú þarft að endurræsa SSHD netþjóninn þinn til að geta beitt breytingunum.

Skref 8: Slökktu á beinum rótaraðgangi

Nú þegar þú hefur staðfest að þú getir notað sudo userán vandræða er kominn tími á áttunda og síðasta skrefið, að slökkva á beinum rótaraðgangi.

Fyrst skaltu opna /etc/ssh/sshd_configmeð uppáhalds textaritlinum þínum og finna línuna sem inniheldur eftirfarandi streng. Það getur verið #stafur í forskeyti .

PermitRootLogin

Burtséð frá forskeytinu eða gildi valkostsins í /etc/ssh/sshd_config, þú þarft að breyta þeirri línu í eftirfarandi:

PermitRootLogin no

Að lokum skaltu endurræsa SSHD netþjóninn þinn.

Athugið: Ekki gleyma að prófa breytingarnar þínar með því að reyna að SSH inn á netþjóninn þinn sem root. Ef þú getur ekki gert það þýðir það að þú hefur lokið öllum nauðsynlegum skrefum.

Þetta lýkur kennslunni okkar.