Як використовувати Sudo на Debian, CentOS і FreeBSD

Використання sudoкористувача для доступу до сервера та виконання команд на кореневому рівні є дуже поширеною практикою серед системних адміністраторів Linux та Unix. Використання sudoкористувача часто поєднується з відключенням прямого root-доступу до свого сервера, щоб запобігти несанкціонованому доступу.

У цьому підручнику ми розглянемо основні кроки для вимкнення прямого root-доступу, створення користувача sudo та налаштування групи sudo в CentOS, Debian та FreeBSD.

Передумови

• Нещодавно встановлений сервер Linux із бажаним дистрибутивом.
• Текстовий редактор, встановлений на сервері, будь то nano, vi, vim, emacs.

Крок 1: Установка sudo

Debian

apt-get install sudo -y

CentOS

yum install sudo -y

FreeBSD

cd /usr/ports/security/sudo/ && make install clean

або

pkg install sudo

Крок 2: Додавання користувача sudo

sudoКористувачем є нормальною обліковим записом користувача на комп'ютері Linux або Unix.

Debian

adduser mynewusername

CentOS

adduser mynewusername

FreeBSD

adduser mynewusername

Крок 3. Додавання нового користувача до групи коліс (необов'язково)

Група коліс — це група користувачів, яка обмежує кількість людей, які можуть suотримати root. Додати sudoкористувача до wheelгрупи не є обов’язковим, але доцільним.

Примітка: у Debian sudoгрупа часто зустрічається замість wheel. Однак ви можете додати wheelгрупу вручну за допомогою groupaddкоманди. Для цілей цього підручника ми будемо використовувати sudoгрупу для Debian.

Різниця між wheelі sudo.

У CentOS і Debian користувач, який належить до wheelгрупи, може виконувати suі безпосередньо підійматися до root. У той же час sudoкористувач мав би скористатися sudo suпершим. По суті, немає ніякої реальної різниці, крім синтаксису, який використовується, щоб стати root , і користувачі, які належать до обох груп, можуть використовувати цю sudoкоманду.

Debian

usermod -aG sudo mynewusername

CentOS

usermod -aG wheel mynewusername

FreeBSD

pw group mod wheel -m mynewusername

Крок 4. Переконайтеся, що ваш sudoersфайл налаштовано належним чином

Важливо переконатися, що sudoersфайл, розташований у /etc/sudoers, налаштовано належним чином, щоб дозволити sudo usersефективно використовувати sudoкоманду. Для цього ми будемо переглядати вміст /etc/sudoersі редагувати його, де це можливо.

Debian

vim /etc/sudoers

або

visudo

CentOS

vim /etc/sudoers

або

visudo

FreeBSD

vim /etc/sudoers

або

visudo

Примітка . visudoКоманда відкриється /etc/sudoersза допомогою бажаного текстового редактора системи (зазвичай vi або vim) .

Почніть переглядати та редагувати під цим рядком:

# Allow members of group sudo to execute any command

Цей розділ /etc/sudoersчасто виглядає так:

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

У деяких системах ви можете не знайти %wheelзамість %sudo; у цьому випадку це буде рядок, під яким ви почнете змінювати.

Якщо рядок, що починається з %sudoу Debian або %wheelCentOS і FreeBSD, не прокоментований (з префіксом #) , це означає, що sudo вже налаштовано та ввімкнено. Потім можна переходити до наступного кроку.

Крок 5. Дозволити користувачеві, який не належить wheelні до sudoгрупи, ні до групи, виконувати sudoкоманду

Можна дозволити користувачеві, який не входить в жодну з груп користувачів, виконувати sudoкоманду, просто додавши їх /etc/sudoersтак:

anotherusername ALL=(ALL) ALL

Крок 6: Перезапуск сервера SSHD

Щоб застосувати зміни, які ви внесли до /etc/sudoers, вам потрібно перезапустити SSHD-сервер наступним чином:

Debian

/etc/init.d/sshd restart

CentOS 6

/etc/init.d/sshd restart

CentOS 7

systemctl restart sshd.service

FreeBSD

/etc/rc.d/sshd start

Крок 7: Тестування

Після перезапуску SSH-сервера вийдіть із системи, а потім знову увійдіть як ваш sudo user, а потім спробуйте виконати деякі команди тестування, як показано нижче:

sudo uptime
sudo whoami

Будь-яка з наведених нижче команд дозволить sudo userстати root.

sudo su -
sudo -i
sudo -S

Примітки:

• whoamiКоманда повернеться rootв поєднанні з sudo.
• Під час виконання sudoкоманди вам буде запропоновано ввести пароль користувача, якщо ви явно не вказуєте системі не запитувати sudo usersїхні паролі. Зауважте, що це не рекомендована практика.

Додатково: дозвіл sudoбез введення пароля користувача

Як пояснювалося раніше, це не рекомендована практика і включена в цей посібник лише з демонстраційними цілями.

Для того щоб ваш sudo userвиконати sudoкоманду без запиту їх пароля, суфікс рядки доступу в /etc/sudoersс NOPASSWD: ALLнаступним чином :

%sudo   ALL=(ALL:ALL) ALL   NOPASSWD: ALL

Примітка. Щоб застосувати зміни, потрібно перезапустити сервер SSHD.

Крок 8. Вимкніть прямий root-доступ

Тепер, коли ви підтвердили, що можете використовувати свій sudo userбез проблем, настав час для восьмого і останнього кроку, вимкнення прямого root-доступу.

Спочатку відкрийте /etc/ssh/sshd_configсвій улюблений текстовий редактор і знайдіть рядок, що містить наступний рядок. Він може мати префікс із #символом.

PermitRootLogin

Незалежно від префікса або значення параметра в /etc/ssh/sshd_config, вам потрібно змінити цей рядок на такий:

PermitRootLogin no

Нарешті, перезапустіть сервер SSHD.

Примітка. Не забудьте перевірити свої зміни, спробувавши зайти по SSH на ваш сервер як root. Якщо ви не можете цього зробити, це означає, що ви успішно виконали всі необхідні кроки.

На цьому наш підручник закінчується.