Kā lietot Sudo uz Debian, CentOS un FreeBSD

Izmantojot sudolietotājam piekļūt serverim un izpildīt komandas pie saknes līmenī, ir ļoti izplatīta prakse starp Linux un Unix sistēmu administrators. Lietotāja izmantošana sudobieži tiek saistīta ar tiešās root piekļuves atspējošanu savam serverim, lai novērstu nesankcionētu piekļuvi.

Šajā apmācībā mēs apskatīsim pamata darbības tiešās root piekļuves atspējošanai, sudo lietotāja izveidei un sudo grupas iestatīšanai CentOS, Debian un FreeBSD.

Priekšnoteikumi

• Tikko instalēts Linux serveris ar vēlamo izplatīšanu.
• Teksta redaktors, kas instalēts serverī neatkarīgi no tā, vai tas ir nano, vi, vim, emacs.

1. darbība. Sudo instalēšana

Debian

apt-get install sudo -y

CentOS

yum install sudo -y

FreeBSD

cd /usr/ports/security/sudo/ && make install clean

vai

pkg install sudo

2. darbība: sudo lietotāja pievienošana

sudoLietotājs ir normāls lietotāja konts Linux vai Unix mašīna.

Debian

adduser mynewusername

CentOS

adduser mynewusername

FreeBSD

adduser mynewusername

3. darbība. Jaunā lietotāja pievienošana riteņu grupai (neobligāti)

Riteņu grupa ir lietotāju grupa, kas ierobežo to cilvēku skaitu, kuri var susakņot. Pievienojot savu sudolietotāju uz wheelgrupas ir pilnīgi obligāta, bet tas ir ieteicams.

Piezīme. Programmā Debian sudogrupa bieži tiek atrasta wheel. Tomēr wheelgrupu var pievienot manuāli, izmantojot groupaddkomandu. Šīs apmācības vajadzībām mēs izmantosim sudoDebian grupu.

Atšķirība starp wheelun sudo.

Operētājsistēmās CentOS un Debian lietotājs, kas pieder wheelgrupai, var izpildīt suun tieši uzkāpt uz root. Tikmēr sudolietotājs būtu izmantojis sudo supirmo. Būtībā nav reālas atšķirības, izņemot sintaksi, ko izmanto, lai kļūtu par sakni , un lietotāji, kas pieder abām grupām, var izmantot sudokomandu.

Debian

usermod -aG sudo mynewusername

CentOS

usermod -aG wheel mynewusername

FreeBSD

pw group mod wheel -m mynewusername

4. darbība: pārbaudiet, vai sudoersfails ir pareizi iestatīts

Ir svarīgi nodrošināt, lai sudoersfails, kas atrodas mapē, /etc/sudoersbūtu pareizi iestatīts, lai varētu sudo usersefektīvi izmantot sudokomandu. Lai to paveiktu, mēs apskatīsim /etc/sudoersun rediģēsim to saturu, ja nepieciešams.

Debian

vim /etc/sudoers

vai

visudo

CentOS

vim /etc/sudoers

vai

visudo

FreeBSD

vim /etc/sudoers

vai

visudo

Piezīme . visudoKomanda tiks atvērta, /etc/sudoersizmantojot sistēmas vēlamo teksta redaktoru (parasti vi vai vim) .

Sāciet pārskatīšanu un rediģēšanu zem šīs rindas:

# Allow members of group sudo to execute any command

Šī sadaļa /etc/sudoersbieži izskatās šādi:

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

Dažās sistēmās, jūs nedrīkstat atrast %wheelvietā %sudo; tādā gadījumā šī būtu līnija, saskaņā ar kuru jūs sāktu modificēt.

Ja rinda, kas sākas ar %sudoDebian vai %wheelCentOS un FreeBSD, netiek komentēta (priekšdēlis ir #) , tas nozīmē, ka sudo jau ir iestatīts un ir iespējots. Pēc tam varat pāriet uz nākamo darbību.

5. darbība. Ļaujiet lietotājam, kas nepieder ne grupai, wheelne sudoizpildīt sudokomandu

Ir iespējams ļaut lietotājam, kas nav nevienā lietotāju grupā, izpildīt sudokomandu, vienkārši pievienojot to /etc/sudoersšādi:

anotherusername ALL=(ALL) ALL

6. darbība: SSHD servera restartēšana

Lai lietotu veiktās izmaiņas /etc/sudoers, jums ir jārestartē SSHD serveris šādi:

Debian

/etc/init.d/sshd restart

CentOS 6

/etc/init.d/sshd restart

CentOS 7

systemctl restart sshd.service

FreeBSD

/etc/rc.d/sshd start

7. darbība: pārbaude

Kad esat restartējis SSH serveri, izrakstieties un pēc tam atkal piesakieties kā jūsu sudo user, pēc tam mēģiniet izpildīt dažas pārbaudes komandas, kā norādīts tālāk.

sudo uptime
sudo whoami

Jebkura no tālāk norādītajām komandām ļaus sudo userkļūt par root.

sudo su -
sudo -i
sudo -S

Piezīmes:

• whoamiKomanda atgriezīsies root, kad kopā ar sudo.
• Izpildot sudokomandu, jums tiks piedāvāts ievadīt lietotāja paroli, ja vien jūs nepārprotami nenorādīsit sistēmai, lai tā neprasītu sudo usersviņu paroles. Lūdzu, ņemiet vērā, ka šī prakse nav ieteicama.

Pēc izvēles: atļauja sudo, neievadot lietotāja paroli

Kā paskaidrots iepriekš, šī prakse nav ieteicama un ir iekļauta šajā apmācībā tikai demonstrācijas nolūkos.

Lai ļautu jūsu sudo userizpildīt sudokomandu bez pamudināja viņu paroli, piedēklis piekļuves līniju /etc/sudoersar NOPASSWD: ALLšādi:

%sudo   ALL=(ALL:ALL) ALL   NOPASSWD: ALL

Piezīme . Lai piemērotu izmaiņas, jums ir jārestartē SSHD serveris.

8. darbība: atspējojiet tiešo root piekļuvi

Tagad, kad esat apstiprinājis, ka varat izmantot savu sudo userbez problēmām, ir pienācis laiks veikt astoto un pēdējo darbību, atspējojot tiešu root piekļuvi.

Vispirms atveriet, /etc/ssh/sshd_configizmantojot savu iecienītāko teksta redaktoru, un atrodiet rindiņu, kurā ir šāda virkne. Tam var pievienot #rakstzīmi.

PermitRootLogin

Neatkarīgi no prefiksa vai opcijas vērtības, /etc/ssh/sshd_configšī rinda ir jāmaina uz šādu:

PermitRootLogin no

Visbeidzot, restartējiet savu SSHD serveri.

Piezīme. Neaizmirstiet pārbaudīt izmaiņas, mēģinot izveidot SSH savā serverī kā root. Ja jūs to nevarat izdarīt, tas nozīmē, ka esat veiksmīgi pabeidzis visas nepieciešamās darbības.

Ar to mūsu apmācība ir beigusies.