Како користити Судо на Дебиан-у, ЦентОС-у и ФрееБСД-у

Предуслови

Корак 1: Инсталирање судо

Корак 2: Додавање судо корисника

Корак 3: Додавање новог корисника у групу точкова (опционо)

Разлика између точка и судоа.

Корак 4: Уверите се да је ваша судоерс датотека правилно подешена

Корак 5: Дозвољавање кориснику који не припада ни точку ни судо групи да изврши судо команду

Корак 6: Поновно покретање ССХД сервера

Корак 7: Тестирање

Корак 8: Онемогућите директан роот приступ

Коришћење sudoкорисника за приступ серверу и извршавање команди на основном нивоу је веома уобичајена пракса међу администраторима система Линук и Уник. Коришћење sudoкорисника је често повезано са онемогућавањем директног роот приступа нечијем серверу у настојању да се спречи неовлашћени приступ.

У овом водичу ћемо покрити основне кораке за онемогућавање директног роот приступа, креирање судо корисника и подешавање судо групе на ЦентОС, Дебиан и ФрееБСД.

Предуслови

• Новоинсталирани Линук сервер са жељеном дистрибуцијом.
• Уређивач текста инсталиран на серверу било да је нано, ви, вим, емацс.

Корак 1: Инсталирање судо

Дебиан

apt-get install sudo -y

ЦентОС

yum install sudo -y

ФрееБСД

cd /usr/ports/security/sudo/ && make install clean

или

pkg install sudo

Корак 2: Додавање судо корисника

sudoКорисник је нормална кориснички налог на Линук или Уник машину.

Дебиан

adduser mynewusername

ЦентОС

adduser mynewusername

ФрееБСД

adduser mynewusername

Корак 3: Додавање новог корисника у групу точкова (опционо)

Група точка је корисничка група која ограничава број људи који могу suда рутирају. Додавање sudoкорисника у wheelгрупу је потпуно опционо, али је препоручљиво.

Напомена: У Дебиану се sudoгрупа често налази уместо wheel. Међутим, можете ручно додати wheelгрупу користећи groupaddкоманду. За потребе овог упутства користићемо sudoгрупу за Дебиан.

Разлика између wheelи sudo.

У ЦентОС-у и Дебиан-у, корисник који припада wheelгрупи може да изврши suи директно се попне на root. У међувремену, sudoкорисник би користио sudo suпрви. У суштини, не постоји стварна разлика осим у синтакси која се користи да постане роот , а корисници који припадају обема групама могу да користе sudoкоманду.

Дебиан

usermod -aG sudo mynewusername

ЦентОС

usermod -aG wheel mynewusername

ФрееБСД

pw group mod wheel -m mynewusername

Корак 4: Уверите се да је ваша sudoersдатотека правилно подешена

Важно је осигурати да је sudoersдатотека која се налази у /etc/sudoersисправно подешена како би се омогућило sudo usersефикасно кориштење sudoнаредбе. Да бисмо то постигли, погледаћемо садржај /etc/sudoersи уредити га тамо где је то примењиво.

Дебиан

vim /etc/sudoers

или

visudo

ЦентОС

vim /etc/sudoers

или

visudo

ФрееБСД

vim /etc/sudoers

или

visudo

Напомена:visudo команда ће отворити /etc/sudoersкористећи жељени текст едитор система (обично ВИ или ВИМ) .

Почните да прегледате и уређујете испод ове линије:

# Allow members of group sudo to execute any command

Овај одељак /etc/sudoersчесто изгледа овако:

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

У неким системима, можда нећете наћи %wheelуместо %sudo; у том случају, ово би била линија испод које бисте почели да мењате.

Ако линија која почиње са %sudoу Дебиан-у или %wheelу ЦентОС-у и ФрееБСД-у није коментарисана (са префиксом #) , то значи да је судо већ подешен и омогућен. Затим можете прећи на следећи корак.

Корак 5: Дозвољавање кориснику који не припада ни групи wheelни sudoгрупи да изврши sudoкоманду

Могуће је дозволити кориснику који није ни у једној групи корисника да изврши sudoкоманду једноставним додавањем на /etc/sudoersследећи начин:

anotherusername ALL=(ALL) ALL

Корак 6: Поновно покретање ССХД сервера

Да бисте применили промене које сте направили на /etc/sudoers, потребно је да поново покренете ССХД сервер на следећи начин:

Дебиан

/etc/init.d/sshd restart

ЦентОС 6

/etc/init.d/sshd restart

ЦентОС 7

systemctl restart sshd.service

ФрееБСД

/etc/rc.d/sshd start

Корак 7: Тестирање

Након што сте поново покренули ССХ сервер, одјавите се, а затим се поново пријавите као ваш sudo user, а затим покушајте да извршите неке команде за тестирање на следећи начин:

sudo uptime
sudo whoami

Било која од доле наведених команди ће омогућити sudo userда постане root.

sudo su -
sudo -i
sudo -S

напомене:

• whoamiКоманда ће се вратити rootкада се повеже са sudo.
• Од вас ће бити затражено да унесете своју корисничку лозинку приликом извршавања sudoкоманде осим ако изричито не наложите систему да не sudo usersтражи њихове лозинке. Имајте на уму да то није препоручена пракса.

Опционо: дозвољава sudoбез уношења корисничке лозинке

Као што је раније објашњено, ово није препоручена пракса и укључена је у овај водич само у сврху демонстрације.

Да бисте омогућили sudo userда извршите sudoкоманду без затражене лозинке, ставите суфикс на приступну линију /etc/sudoersса NOPASSWD: ALLследећим:

%sudo   ALL=(ALL:ALL) ALL   NOPASSWD: ALL

Напомена: Морате поново покренути ССХД сервер да бисте применили промене.

Корак 8: Онемогућите директан роот приступ

Сада када сте потврдили да можете да користите свој sudo userбез проблема, време је за осми и последњи корак, онемогућавање директног роот приступа.

Прво отворите /etc/ssh/sshd_configпомоћу свог омиљеног уређивача текста и пронађите ред који садржи следећи низ. Може имати префикс са #знаком.

PermitRootLogin

Без обзира на префикс или вредност опције у /etc/ssh/sshd_config, потребно је да промените ту линију у следеће:

PermitRootLogin no

Коначно, поново покрените свој ССХД сервер.

Напомена: Не заборавите да тестирате своје промене тако што ћете покушати да ССХ уђете на ваш сервер као root. Ако то не можете да урадите, то значи да сте успешно обавили све неопходне кораке.

Овим је наш водич завршен.