Kako uporabljati Sudo v Debianu, CentOS in FreeBSD

Predpogoji

1. korak: Namestitev sudo

2. korak: Dodajanje uporabnika sudo

3. korak: Dodajanje novega uporabnika v skupino koles (izbirno)

Razlika med kolesom in sudo.

4. korak: Poskrbite, da je vaša datoteka sudoers pravilno nastavljena

5. korak: omogočanje uporabniku, ki ne pripada niti kolesu niti skupini sudo, da izvede ukaz sudo

6. korak: Ponovni zagon strežnika SSHD

7. korak: Testiranje

8. korak: Onemogočite neposredni korenski dostop

Uporaba sudouporabnika za dostop do strežnika in izvajanje ukazov na korenski ravni je zelo pogosta praksa med sistemskimi skrbniki Linux in Unix. Uporaba sudouporabnika je pogosto povezana z onemogočanjem neposrednega korenskega dostopa do svojega strežnika, da bi preprečili nepooblaščen dostop.

V tej vadnici bomo obravnavali osnovne korake za onemogočanje neposrednega korenskega dostopa, ustvarjanje uporabnika sudo in nastavitev skupine sudo na CentOS, Debian in FreeBSD.

Predpogoji

• Na novo nameščen strežnik Linux z vašo želeno distribucijo.
• Na strežniku je nameščen urejevalnik besedil, ne glede na to, ali je to nano, vi, vim, emacs.

1. korak: Namestitev sudo

Debian

apt-get install sudo -y

CentOS

yum install sudo -y

FreeBSD

cd /usr/ports/security/sudo/ && make install clean

oz

pkg install sudo

2. korak: Dodajanje uporabnika sudo

sudoUporabnik je običajen uporabniški račun na Linux ali Unix stroj.

Debian

adduser mynewusername

CentOS

adduser mynewusername

FreeBSD

adduser mynewusername

3. korak: Dodajanje novega uporabnika v skupino koles (izbirno)

Skupina koles je skupina uporabnikov, ki omejuje število ljudi, ki lahko surootajo. Dodajanje vašega sudouporabnika v wheelskupino je povsem neobvezno, vendar je priporočljivo.

Opomba: V Debianu je sudoskupina pogosto najdena namesto wheel. Vendar pa lahko wheelz groupaddukazom ročno dodate skupino . Za namen te vadnice bomo uporabili sudoskupino za Debian.

Razlika med wheelin sudo.

V CentOS in Debian lahko uporabnik, ki pripada wheelskupini, izvede suin se neposredno povzpne na root. Medtem bi sudouporabnik uporabil sudo suprvo. V bistvu ni nobene prave razlike, razen v sintaksi, ki se uporablja, da postane root , in uporabniki, ki pripadajo obema skupinama, lahko uporabljajo sudoukaz.

Debian

usermod -aG sudo mynewusername

CentOS

usermod -aG wheel mynewusername

FreeBSD

pw group mod wheel -m mynewusername

4. korak: Preverite, ali je vaša sudoersdatoteka pravilno nastavljena

Pomembno je zagotoviti, da je sudoersdatoteka, ki se nahaja v /etc/sudoers, pravilno nastavljena, da omogočite sudo usersučinkovito uporabo sudoukaza. Da bi to dosegli, si bomo ogledali vsebino /etc/sudoersin jo po potrebi uredili.

Debian

vim /etc/sudoers

oz

visudo

CentOS

vim /etc/sudoers

oz

visudo

FreeBSD

vim /etc/sudoers

oz

visudo

Opomba:visudo ukaz bo odprl /etc/sudoerss pomočjo prednostnega urejevalnikom besedila sistema (ponavadi vi ali VIM zdijo) .

Začnite pregledovati in urejati pod to vrstico:

# Allow members of group sudo to execute any command

Ta del /etc/sudoerspogosto izgleda takole:

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

V nekaterih sistemih morda ne boste našli %wheelnamesto %sudo; v tem primeru bi bila to vrstica, pod katero bi začeli spreminjati.

Če vrstica, ki se začne z %sudov Debianu ali %wheelv CentOS in FreeBSD, ni komentirana (s predpono #) , to pomeni, da je sudo že nastavljen in omogočen. Nato se lahko premaknete na naslednji korak.

5. korak: dovolite uporabniku, ki ne pripada niti skupini wheelniti sudoskupini, da izvede sudoukaz

Uporabniku, ki ni v nobeni uporabniški skupini, je mogoče dovoliti, da izvede sudoukaz, tako da ga preprosto dodate na /etc/sudoersnaslednji način:

anotherusername ALL=(ALL) ALL

6. korak: Ponovni zagon strežnika SSHD

Če želite uporabiti spremembe, ki ste jih naredili v /etc/sudoers, morate znova zagnati strežnik SSHD, kot sledi:

Debian

/etc/init.d/sshd restart

CentOS 6

/etc/init.d/sshd restart

CentOS 7

systemctl restart sshd.service

FreeBSD

/etc/rc.d/sshd start

7. korak: Testiranje

Ko znova zaženete strežnik SSH, se odjavite in se nato znova prijavite kot vaš sudo user, nato pa poskusite izvesti nekaj testnih ukazov, kot sledi:

sudo uptime
sudo whoami

Vsak od spodnjih ukazov bo omogočil, sudo userda postane root.

sudo su -
sudo -i
sudo -S

Opombe:

• whoamiUkaz bo vrnil root, ko skupaj z sudo.
• Med izvajanjem sudoukaza boste pozvani, da vnesete uporabniško geslo, razen če izrecno naročite sistemu, naj ne zahteva sudo userssvojih gesel. Upoštevajte, da to ni priporočljiva praksa.

Izbirno: omogočanje sudobrez vnosa uporabniškega gesla

Kot je bilo že pojasnjeno, to ni priporočena praksa in je vključena v to vadnico samo za demonstracijske namene.

Če želite, da lahko sudo userizvedete sudoukaz, ne da bi morali vnesti svoje geslo, vnesite pripono za dostopno vrstico /etc/sudoersz NOPASSWD: ALLnaslednjim:

%sudo   ALL=(ALL:ALL) ALL   NOPASSWD: ALL

Opomba: Če želite uporabiti spremembe, morate znova zagnati strežnik SSHD.

8. korak: Onemogočite neposredni korenski dostop

Zdaj, ko ste potrdili, da lahko uporabljate svoj program sudo userbrez težav, je čas za osmi in zadnji korak, ki onemogoča neposredni korenski dostop.

Najprej odprite /etc/ssh/sshd_configs svojim najljubšim urejevalnikom besedil in poiščite vrstico, ki vsebuje naslednji niz. Lahko ima predpono z #znakom.

PermitRootLogin

Ne glede na predpono ali vrednost možnosti v /etc/ssh/sshd_config, morate to vrstico spremeniti v naslednje:

PermitRootLogin no

Na koncu znova zaženite strežnik SSHD.

Opomba: Ne pozabite preizkusiti svojih sprememb tako, da poskusite SSH v svoj strežnik kot root. Če tega ne morete storiti, to pomeni, da ste uspešno opravili vse potrebne korake.

S tem je naša vadnica zaključena.