Ako používať Sudo na Debiane, CentOS a FreeBSD

Používanie sudopoužívateľa na prístup k serveru a vykonávanie príkazov na koreňovej úrovni je veľmi bežnou praxou medzi správcami systémov Linux a Unix. Používanie sudopoužívateľa je často spojené so zakázaním priameho prístupu root na server v snahe zabrániť neoprávnenému prístupu.

V tomto návode sa budeme zaoberať základnými krokmi na zakázanie priameho prístupu root, vytvorenie používateľa sudo a nastavenie skupiny sudo na CentOS, Debian a FreeBSD.

Predpoklady

• Novo nainštalovaný server Linux s vašou preferovanou distribúciou.
• Textový editor nainštalovaný na serveri, či už ide o nano, vi, vim, emacs.

Krok 1: Inštalácia sudo

Debian

apt-get install sudo -y

CentOS

yum install sudo -y

FreeBSD

cd /usr/ports/security/sudo/ && make install clean

alebo

pkg install sudo

Krok 2: Pridanie používateľa sudo

sudoUžívateľ je normálne užívateľský účet na počítači Linux alebo Unix.

Debian

adduser mynewusername

CentOS

adduser mynewusername

FreeBSD

adduser mynewusername

Krok 3: Pridanie nového používateľa do skupiny kolies (voliteľné)

Wheel group je užívateľská skupina, ktorá obmedzuje počet ľudí, ktorí môžu surootovať. Pridanie sudopoužívateľa do wheelskupiny je úplne voliteľné, ale odporúča sa.

Poznámka: V Debiane sa sudoskupina často nachádza namiesto wheel. wheelSkupinu však môžete pridať manuálne pomocou groupaddpríkazu. Na účely tohto tutoriálu použijeme sudoskupinu pre Debian.

Rozdiel medzi wheela sudo.

V CentOS a Debiane môže používateľ patriaci do wheelskupiny spustiť sua priamo prejsť na root. Medzitým, sudoužívateľ by mal použiť sudo suako prvý. V podstate neexistuje žiadny skutočný rozdiel okrem syntaxe použitej na získanie root a používatelia patriaci do oboch skupín môžu sudopríkaz použiť.

Debian

usermod -aG sudo mynewusername

CentOS

usermod -aG wheel mynewusername

FreeBSD

pw group mod wheel -m mynewusername

Krok 4: Skontrolujte, či je váš sudoerssúbor správne nastavený

Je dôležité uistiť sa, že sudoerssúbor umiestnený v /etc/sudoersje správne nastavený, aby bolo sudo usersmožné efektívne používať sudopríkaz. Aby sme to dosiahli, prezrieme si ich obsah /etc/sudoersa podľa potreby ich upravíme.

Debian

vim /etc/sudoers

alebo

visudo

CentOS

vim /etc/sudoers

alebo

visudo

FreeBSD

vim /etc/sudoers

alebo

visudo

Poznámka:visudo príkaz otvorí /etc/sudoerspomocou preferovaný textový editor v systéme (zvyčajne vi alebo vim) .

Začnite kontrolovať a upravovať pod týmto riadkom:

# Allow members of group sudo to execute any command

Táto sekcia /etc/sudoersčasto vyzerá takto:

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

V niektorých systémoch možno nenájdete %wheelnamiesto %sudo; v takom prípade by to bol riadok, pod ktorým by ste začali upravovať.

Ak riadok začínajúci na %sudov Debiane alebo %wheelv CentOS a FreeBSD nie je zakomentovaný (predponou #) , znamená to, že sudo je už nastavené a povolené. Potom môžete prejsť na ďalší krok.

Krok 5: Povolenie vykonať príkaz používateľovi, ktorý nepatrí wheelani do sudoskupiny, ani do skupinysudo

Používateľovi, ktorý nie je v žiadnej skupine používateľov, je možné povoliť vykonať sudopríkaz tak, že ho jednoducho pridáte do /etc/sudoers:

anotherusername ALL=(ALL) ALL

Krok 6: Reštartovanie servera SSHD

Ak chcete použiť zmeny, ktoré ste vykonali v /etc/sudoers, musíte reštartovať server SSHD takto:

Debian

/etc/init.d/sshd restart

CentOS 6

/etc/init.d/sshd restart

CentOS 7

systemctl restart sshd.service

FreeBSD

/etc/rc.d/sshd start

Krok 7: Testovanie

Po reštartovaní servera SSH sa odhláste a potom sa znova prihláste ako váš sudo user, potom sa pokúste vykonať niektoré testovacie príkazy takto:

sudo uptime
sudo whoami

Ktorýkoľvek z nižšie uvedených príkazov vám umožní sudo userstať sa root.

sudo su -
sudo -i
sudo -S

Poznámky:

• whoamiPríkaz vráti root, keď spolu s sudo.
• Pri vykonávaní sudopríkazu sa zobrazí výzva na zadanie hesla používateľa, pokiaľ systém výslovne nepožiadate o zadanie sudo usershesla. Upozorňujeme, že to nie je odporúčaná prax.

Voliteľné: povolenie sudobez zadania hesla používateľa

Ako už bolo vysvetlené, toto nie je odporúčaný postup a je súčasťou tohto návodu len na demonštračné účely.

S cieľom umožniť vaše sudo userspustiť sudopríkaz bez toho, aby bol vyzvaný na zadanie svojho hesla, prípona prístupový riadok /etc/sudoerss NOPASSWD: ALLnasledujúcim spôsobom:

%sudo   ALL=(ALL:ALL) ALL   NOPASSWD: ALL

Poznámka: Ak chcete použiť zmeny, musíte reštartovať server SSHD.

Krok 8: Zakážte priamy prístup root

Teraz, keď ste potvrdili, že môžete svoj sudo userbez problémov používať, je čas na ôsmy a posledný krok, ktorým je zakázanie priameho prístupu root.

Najprv otvorte /etc/ssh/sshd_configpomocou svojho obľúbeného textového editora a nájdite riadok obsahujúci nasledujúci reťazec. Pred ním môže byť #znak.

PermitRootLogin

Bez ohľadu na predponu alebo hodnotu možnosti v /etc/ssh/sshd_config, musíte tento riadok zmeniť na nasledujúci:

PermitRootLogin no

Nakoniec reštartujte server SSHD.

Poznámka: Nezabudnite otestovať svoje zmeny pokusom o pripojenie SSH na váš server ako root. Ak to nedokážete, znamená to, že ste úspešne dokončili všetky potrebné kroky.

Týmto končíme náš návod.