Hur man använder Sudo på Debian, CentOS och FreeBSD

Att använda en sudoanvändare för att komma åt en server och utföra kommandon på rotnivå är en mycket vanlig praxis bland Linux- och Unix-systemadministratörer. Användningen av en sudoanvändare kopplas ofta genom att inaktivera direkt root-åtkomst till ens server i ett försök att förhindra obehörig åtkomst.

I den här handledningen kommer vi att täcka de grundläggande stegen för att inaktivera direkt root-åtkomst, skapa en sudo-användare och ställa in sudo-gruppen på CentOS, Debian och FreeBSD.

Förutsättningar

• En nyinstallerad Linux-server med din föredragna distribution.
• En textredigerare installerad på servern oavsett om det är nano, vi, vim, emacs.

Steg 1: Installera sudo

Debian

apt-get install sudo -y

CentOS

yum install sudo -y

FreeBSD

cd /usr/ports/security/sudo/ && make install clean

eller

pkg install sudo

Steg 2: Lägga till sudo-användaren

En sudoanvändare är ett normalt användarkonto på en Linux- eller Unix-maskin.

Debian

adduser mynewusername

CentOS

adduser mynewusername

FreeBSD

adduser mynewusername

Steg 3: Lägga till den nya användaren i hjulgruppen (valfritt)

Hjulgruppen är en användargrupp som begränsar antalet personer som kan suroota. Att lägga till din sudoanvändare i wheelgruppen är helt valfritt, men det är tillrådligt.

Obs: I Debian finns sudogruppen ofta istället för wheel. Du kan dock lägga till wheelgruppen manuellt med groupaddkommandot. För syftet med denna handledning kommer vi att använda sudogruppen för Debian.

Skillnaden mellan wheeloch sudo.

I CentOS och Debian kan en användare som tillhör wheelgruppen köra suoch direkt stiga upp till root. Under tiden skulle en sudoanvändare ha använt den sudo suförsta. I grund och botten finns det ingen verklig skillnad förutom syntaxen som används för att bli root , och användare som tillhör båda grupperna kan använda sudokommandot.

Debian

usermod -aG sudo mynewusername

CentOS

usermod -aG wheel mynewusername

FreeBSD

pw group mod wheel -m mynewusername

Steg 4: Se till att din sudoersfil är korrekt konfigurerad

Det är viktigt att se till att sudoersfilen som finns i /etc/sudoersär korrekt konfigurerad för att kunna sudo usersanvända sudokommandot effektivt . För att åstadkomma det kommer vi att se innehållet i /etc/sudoersoch redigera det där det är tillämpligt.

Debian

vim /etc/sudoers

eller

visudo

CentOS

vim /etc/sudoers

eller

visudo

FreeBSD

vim /etc/sudoers

eller

visudo

Obs: Den visudokommandot öppnas /etc/sudoersanvända systemet föredrar textredigerare (vanligtvis VI eller vim) .

Börja granska och redigera under den här raden:

# Allow members of group sudo to execute any command

Det här avsnittet /etc/sudoersser ofta ut så här:

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

I vissa system kanske du inte hittar %wheelistället för %sudo; i så fall skulle detta vara den linje under vilken du skulle börja modifiera.

Om raden som börjar med %sudoi Debian eller %wheeli CentOS och FreeBSD inte kommenteras bort (med prefixet #) betyder det att sudo redan är inställd och aktiverad. Du kan sedan gå vidare till nästa steg.

Steg 5: Tillåter en användare som varken tillhör gruppen wheeleller sudogruppen att utföra sudokommandot

Det är möjligt att tillåta en användare som inte är i någon av användargrupperna att utföra sudokommandot genom att helt enkelt lägga till dem /etc/sudoersenligt följande:

anotherusername ALL=(ALL) ALL

Steg 6: Starta om SSHD-servern

För att tillämpa ändringarna du gjorde på /etc/sudoersmåste du starta om SSHD-servern enligt följande:

Debian

/etc/init.d/sshd restart

CentOS 6

/etc/init.d/sshd restart

CentOS 7

systemctl restart sshd.service

FreeBSD

/etc/rc.d/sshd start

Steg 7: Testning

Efter att du har startat om SSH-servern, logga ut och logga sedan in igen som din sudo user, försök sedan utföra några testkommandon enligt följande:

sudo uptime
sudo whoami

Vilket som helst av kommandona nedan kommer att tillåta sudo useratt bli root.

sudo su -
sudo -i
sudo -S

Anmärkningar:

• Den whoamikommandot kommer tillbaka rootnär den kombineras med sudo.
• Du kommer att bli ombedd att ange din användares lösenord när du kör sudokommandot om du inte uttryckligen instruerar systemet att inte fråga sudo usersefter deras lösenord. Observera att det inte är en rekommenderad praxis.

Valfritt: tillåter sudoutan att ange användarens lösenord

Som tidigare förklarats är detta inte en rekommenderad praxis och ingår i denna handledning endast i demonstrationssyfte.

För att tillåta dig sudo useratt utföra sudokommandot utan att bli tillfrågad om deras lösenord, suffixa åtkomstraden in /etc/sudoersmed NOPASSWD: ALLföljande:

%sudo   ALL=(ALL:ALL) ALL   NOPASSWD: ALL

Obs: Du måste starta om din SSHD-server för att kunna tillämpa ändringarna.

Steg 8: Inaktivera direkt root-åtkomst

Nu när du har bekräftat att du kan använda din sudo userutan problem, är det dags för det åttonde och sista steget, att inaktivera direkt root-åtkomst.

Öppna först /etc/ssh/sshd_configmed din favorittextredigerare och hitta raden som innehåller följande sträng. Det kan föregås av ett #tecken.

PermitRootLogin

Oavsett prefixet eller värdet på alternativet i /etc/ssh/sshd_configmåste du ändra den raden till följande:

PermitRootLogin no

Slutligen, starta om din SSHD-server.

Obs: Glöm inte att testa dina ändringar genom att försöka SSH till din server som root. Om du inte kan göra det betyder det att du har slutfört alla nödvändiga steg.

Detta avslutar vår handledning.