Kaip naudoti Sudo Debian, CentOS ir FreeBSD

Vartotojo naudojimas sudonorint pasiekti serverį ir vykdyti komandas šakniniu lygiu yra labai įprasta Linux ir Unix sistemų administratorių praktika. Vartotojo naudojimas sudodažnai siejamas su tiesioginės šakninės prieigos prie serverio išjungimu, siekiant užkirsti kelią neteisėtai prieigai.

Šiame vadove apžvelgsime pagrindinius veiksmus, kaip išjungti tiesioginę root prieigą, sukurti sudo vartotoją ir nustatyti sudo grupę CentOS, Debian ir FreeBSD.

Būtinos sąlygos

• Naujai įdiegtas Linux serveris su pageidaujamu platinimu.
• Teksto rengyklė, įdiegta serveryje, nesvarbu, ar tai nano, vi, vim, emacs.

1 veiksmas: sudo diegimas

Debian

apt-get install sudo -y

CentOS

yum install sudo -y

FreeBSD

cd /usr/ports/security/sudo/ && make install clean

arba

pkg install sudo

2 veiksmas: pridėkite sudo vartotoją

sudoVartotojas yra normalus Vartotojo abonemento ant Linux ar Unix mašina.

Debian

adduser mynewusername

CentOS

adduser mynewusername

FreeBSD

adduser mynewusername

3 veiksmas: naujo vartotojo įtraukimas į ratų grupę (pasirenkama)

Ratų grupė yra vartotojų grupė, kuri riboja žmonių, galinčių prisijungti suprie root, skaičių. Vartotojo įtraukimas sudoį wheelgrupę yra visiškai neprivalomas, tačiau patartina.

Pastaba: Debian'e sudogrupė dažnai randama vietoj wheel. Tačiau galite rankiniu būdu pridėti wheelgrupę naudodami groupaddkomandą. Šios pamokos tikslais naudosime „ sudoDebian “ grupę.

Skirtumas tarp wheelir sudo.

„CentOS“ ir „Debian“ naudotojas, priklausantis wheelgrupei, gali vykdyti suir tiesiogiai pereiti į root. Tuo tarpu sudovartotojas būtų naudojęs sudo supirmąjį. Iš esmės nėra jokio realaus skirtumo, išskyrus sintaksę, naudojamą tapti root , ir vartotojai, priklausantys abiem grupėms, gali naudoti sudokomandą.

Debian

usermod -aG sudo mynewusername

CentOS

usermod -aG wheel mynewusername

FreeBSD

pw group mod wheel -m mynewusername

4 veiksmas: įsitikinkite, kad sudoersfailas tinkamai nustatytas

Svarbu užtikrinti, kad sudoersfailas, esantis /etc/sudoersadresu, būtų tinkamai nustatytas, kad būtų galima sudo usersefektyviai naudoti sudokomandą. Norėdami tai padaryti, peržiūrėsime turinį /etc/sudoersir, jei reikia, jį redaguosime.

Debian

vim /etc/sudoers

arba

visudo

CentOS

vim /etc/sudoers

arba

visudo

FreeBSD

vim /etc/sudoers

arba

visudo

Pastaba:visudo komanda atvers /etc/sudoersnaudojant sistemos pageidaujamą teksto redaktoriumi (paprastai VI arba vim) .

Pradėkite peržiūrėti ir redaguoti po šia eilute:

# Allow members of group sudo to execute any command

Ši dalis /etc/sudoersdažnai atrodo taip:

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

Kai kuriose sistemose galite nerasti %wheelvietoj %sudo; Tokiu atveju tai būtų eilutė, pagal kurią pradėsite keisti.

Jei eilutė, prasidedanti %sudoDebian'e arba %wheelCentOS ir FreeBSD, nėra komentuojama (priešdėlis #) , tai reiškia, kad sudo jau nustatytas ir įjungtas. Tada galite pereiti prie kito žingsnio.

5 veiksmas: leisti vartotojui, kuris nepriklauso nei grupei, wheelnei sudogrupei, vykdyti sudokomandą

Galima leisti vartotojui, kuris nėra nė vienoje vartotojų grupėje, vykdyti sudokomandą tiesiog pridedant juos /etc/sudoerstaip:

anotherusername ALL=(ALL) ALL

6 veiksmas: iš naujo paleiskite SSHD serverį

Norėdami pritaikyti pakeitimus, kuriuos atlikote /etc/sudoers, turite iš naujo paleisti SSHD serverį taip:

Debian

/etc/init.d/sshd restart

CentOS 6

/etc/init.d/sshd restart

CentOS 7

systemctl restart sshd.service

FreeBSD

/etc/rc.d/sshd start

7 veiksmas: bandymas

Iš naujo paleidę SSH serverį, atsijunkite ir vėl prisijunkite kaip savo sudo user, tada pabandykite vykdyti kai kurias testavimo komandas taip:

sudo uptime
sudo whoami

Bet kuri iš toliau pateiktų komandų leis sudo usertapti root.

sudo su -
sudo -i
sudo -S

Pastabos:

• whoamiKomanda grįš root, kai kartu su sudo.
• Vykdydami sudokomandą būsite paraginti įvesti vartotojo slaptažodį, nebent aiškiai nurodysite sistemai neprašyti sudo usersjų slaptažodžių. Atminkite, kad tai nerekomenduojama praktika.

Neprivaloma: leisti sudoneįvedant vartotojo slaptažodžio

Kaip paaiškinta anksčiau, tai nėra rekomenduojama praktika ir yra įtraukta į šią mokymo programą tik demonstravimo tikslais.

Norint, kad jūsų sudo uservykdyti sudokomandą neparagintas jų slaptažodį, priesaga prieigos liniją /etc/sudoerssu NOPASSWD: ALLtaip:

%sudo   ALL=(ALL:ALL) ALL   NOPASSWD: ALL

Pastaba: norėdami pritaikyti pakeitimus, turite iš naujo paleisti SSHD serverį.

8 veiksmas: išjunkite tiesioginę root prieigą

Dabar, kai patvirtinote, kad galite naudoti savo sudo userbe problemų, atėjo laikas aštuntam ir paskutiniam žingsniui išjungti tiesioginę root prieigą.

Pirmiausia atidarykite /etc/ssh/sshd_confignaudodami mėgstamą teksto rengyklę ir raskite eilutę, kurioje yra ši eilutė. Prieš jį gali būti rašomas #simbolis.

PermitRootLogin

Neatsižvelgiant į priešdėlį ar parinkties reikšmę /etc/ssh/sshd_config, turite pakeisti šią eilutę į šią:

PermitRootLogin no

Galiausiai iš naujo paleiskite SSHD serverį.

Pastaba: Nepamirškite išbandyti savo pakeitimų bandydami SSH į savo serverį kaip root. Jei negalite to padaryti, tai reiškia, kad sėkmingai atlikote visus būtinus veiksmus.

Tai baigia mūsų mokymo programą.