Kako uporabljati Sudo v Debianu, CentOS in FreeBSD

Uporaba sudouporabnika za dostop do strežnika in izvajanje ukazov na korenski ravni je zelo pogosta praksa med sistemskimi skrbniki Linux in Unix. Uporaba sudouporabnika je pogosto povezana z onemogočanjem neposrednega korenskega dostopa do svojega strežnika, da bi preprečili nepooblaščen dostop.

V tej vadnici bomo obravnavali osnovne korake za onemogočanje neposrednega korenskega dostopa, ustvarjanje uporabnika sudo in nastavitev skupine sudo na CentOS, Debian in FreeBSD.

Predpogoji

• Na novo nameščen strežnik Linux z vašo želeno distribucijo.
• Na strežniku je nameščen urejevalnik besedil, ne glede na to, ali je to nano, vi, vim, emacs.

1. korak: Namestitev sudo

Debian

apt-get install sudo -y

CentOS

yum install sudo -y

FreeBSD

cd /usr/ports/security/sudo/ && make install clean

oz

pkg install sudo

2. korak: Dodajanje uporabnika sudo

sudoUporabnik je običajen uporabniški račun na Linux ali Unix stroj.

Debian

adduser mynewusername

CentOS

adduser mynewusername

FreeBSD

adduser mynewusername

3. korak: Dodajanje novega uporabnika v skupino koles (izbirno)

Skupina koles je skupina uporabnikov, ki omejuje število ljudi, ki lahko surootajo. Dodajanje vašega sudouporabnika v wheelskupino je povsem neobvezno, vendar je priporočljivo.

Opomba: V Debianu je sudoskupina pogosto najdena namesto wheel. Vendar pa lahko wheelz groupaddukazom ročno dodate skupino . Za namen te vadnice bomo uporabili sudoskupino za Debian.

Razlika med wheelin sudo.

V CentOS in Debian lahko uporabnik, ki pripada wheelskupini, izvede suin se neposredno povzpne na root. Medtem bi sudouporabnik uporabil sudo suprvo. V bistvu ni nobene prave razlike, razen v sintaksi, ki se uporablja, da postane root , in uporabniki, ki pripadajo obema skupinama, lahko uporabljajo sudoukaz.

Debian

usermod -aG sudo mynewusername

CentOS

usermod -aG wheel mynewusername

FreeBSD

pw group mod wheel -m mynewusername

4. korak: Preverite, ali je vaša sudoersdatoteka pravilno nastavljena

Pomembno je zagotoviti, da je sudoersdatoteka, ki se nahaja v /etc/sudoers, pravilno nastavljena, da omogočite sudo usersučinkovito uporabo sudoukaza. Da bi to dosegli, si bomo ogledali vsebino /etc/sudoersin jo po potrebi uredili.

Debian

vim /etc/sudoers

oz

visudo

CentOS

vim /etc/sudoers

oz

visudo

FreeBSD

vim /etc/sudoers

oz

visudo

Opomba:visudo ukaz bo odprl /etc/sudoerss pomočjo prednostnega urejevalnikom besedila sistema (ponavadi vi ali VIM zdijo) .

Začnite pregledovati in urejati pod to vrstico:

# Allow members of group sudo to execute any command

Ta del /etc/sudoerspogosto izgleda takole:

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

V nekaterih sistemih morda ne boste našli %wheelnamesto %sudo; v tem primeru bi bila to vrstica, pod katero bi začeli spreminjati.

Če vrstica, ki se začne z %sudov Debianu ali %wheelv CentOS in FreeBSD, ni komentirana (s predpono #) , to pomeni, da je sudo že nastavljen in omogočen. Nato se lahko premaknete na naslednji korak.

5. korak: dovolite uporabniku, ki ne pripada niti skupini wheelniti sudoskupini, da izvede sudoukaz

Uporabniku, ki ni v nobeni uporabniški skupini, je mogoče dovoliti, da izvede sudoukaz, tako da ga preprosto dodate na /etc/sudoersnaslednji način:

anotherusername ALL=(ALL) ALL

6. korak: Ponovni zagon strežnika SSHD

Če želite uporabiti spremembe, ki ste jih naredili v /etc/sudoers, morate znova zagnati strežnik SSHD, kot sledi:

Debian

/etc/init.d/sshd restart

CentOS 6

/etc/init.d/sshd restart

CentOS 7

systemctl restart sshd.service

FreeBSD

/etc/rc.d/sshd start

7. korak: Testiranje

Ko znova zaženete strežnik SSH, se odjavite in se nato znova prijavite kot vaš sudo user, nato pa poskusite izvesti nekaj testnih ukazov, kot sledi:

sudo uptime
sudo whoami

Vsak od spodnjih ukazov bo omogočil, sudo userda postane root.

sudo su -
sudo -i
sudo -S

Opombe:

• whoamiUkaz bo vrnil root, ko skupaj z sudo.
• Med izvajanjem sudoukaza boste pozvani, da vnesete uporabniško geslo, razen če izrecno naročite sistemu, naj ne zahteva sudo userssvojih gesel. Upoštevajte, da to ni priporočljiva praksa.

Izbirno: omogočanje sudobrez vnosa uporabniškega gesla

Kot je bilo že pojasnjeno, to ni priporočena praksa in je vključena v to vadnico samo za demonstracijske namene.

Če želite, da lahko sudo userizvedete sudoukaz, ne da bi morali vnesti svoje geslo, vnesite pripono za dostopno vrstico /etc/sudoersz NOPASSWD: ALLnaslednjim:

%sudo   ALL=(ALL:ALL) ALL   NOPASSWD: ALL

Opomba: Če želite uporabiti spremembe, morate znova zagnati strežnik SSHD.

8. korak: Onemogočite neposredni korenski dostop

Zdaj, ko ste potrdili, da lahko uporabljate svoj program sudo userbrez težav, je čas za osmi in zadnji korak, ki onemogoča neposredni korenski dostop.

Najprej odprite /etc/ssh/sshd_configs svojim najljubšim urejevalnikom besedil in poiščite vrstico, ki vsebuje naslednji niz. Lahko ima predpono z #znakom.

PermitRootLogin

Ne glede na predpono ali vrednost možnosti v /etc/ssh/sshd_config, morate to vrstico spremeniti v naslednje:

PermitRootLogin no

Na koncu znova zaženite strežnik SSHD.

Opomba: Ne pozabite preizkusiti svojih sprememb tako, da poskusite SSH v svoj strežnik kot root. Če tega ne morete storiti, to pomeni, da ste uspešno opravili vse potrebne korake.

S tem je naša vadnica zaključena.