sudo權(quán)限委派介紹

• su 切換身份:su –l username –c ‘command'
• sudo
• 來自sudo包
• man 5 sudoers
• sudo能夠授權(quán)指定用戶在指定主機上運行某些命令。如果未授權(quán)用戶嘗試使  用 sudo，會提示聯(lián)系管理員
• sudo可以提供日志，記錄每個用戶使用sudo操作
• sudo為系統(tǒng)管理員提供配置文件，允許系統(tǒng)管理員集中地管理用戶的使用權(quán)限和使用的主機
• sudo使用時間戳文件來完成類似“檢票”的系統(tǒng)，默認(rèn)存活期為5分鐘的“入場券”
• 通過visudo命令編輯配置文件，具有語法檢查功能 ：
•               visudo –c 檢查語法
                visudo -f /etc/sudoers.d/test

sudo

• 配置文件：/etc/sudoers, /etc/sudoers.d/
• 時間戳文件：/var/db/sudo
• 日志文件：/var/log/secure
• 配置文件支持使用通配符glob： 
• ？:任意單一字符
  *：匹配任意長度字符 
  [wxc ] 匹配其中一個字符
  [!wxc] 除了這三個字符的其它字符
  /x : 轉(zhuǎn)義
  [[alpha]] :字母 示例： /bin/ls [[alpha]]*
• 配置文件規(guī)則有兩類： 
• 1、別名定義:不是必須的  
    2、授權(quán)規(guī)則:必須的

sudoers

• 授權(quán)規(guī)則格式： 
• 用戶 登入主機=(代表用戶) 命令
• 示例：
• root ALL=(ALL) ALL
• 格式說明：
• user: 運行命令者的身份 
•  host: 通過哪些主機 
    (runas)：以哪個用戶的身份  
    command: 運行哪些命令

別名

• Users和runas:
• username  
       #uid  
      %group_name  
      %#gid  
      user_alias|runas_alias
• host: 
• ip或hostname 
• network(/netmask) 
      host_alias
• command: 
• command name  
    directory  
    sudoedit  
    Cmnd_Alias

最近，我編寫了一個簡短的Bash程序，將MP3文件從一個網(wǎng)絡(luò)主機上的USB拇指驅(qū)動器復(fù)制到另一個網(wǎng)絡(luò)主機上。這些文件被復(fù)制到我為志愿者組織運行的服務(wù)器上的一個特定目錄，從那里可以下載和播放這些文件。

我的程序還做了一些其他的事情，比如在文件被復(fù)制之前更改它們的名稱，以便它們在網(wǎng)頁上按日期自動排序。它還刪除USB驅(qū)動器上的所有文件，驗證傳輸是否正確完成。這個不錯的小程序有幾個選項，例如-h為了展示幫助，-t用于測試模式，以及其他幾個。

盡管我的程序非常出色，但它必須作為root運行才能執(zhí)行其主要功能。不幸的是，這個組織只有少數(shù)人對管理我們的音頻和計算機系統(tǒng)有興趣，這使我能夠找到半技術(shù)人員，并訓(xùn)練他們登錄到用于執(zhí)行傳輸和運行這個小程序的計算機中。

這并不是說我不能親自運行這個項目，而是由于各種原因，包括旅行和生病，我并不總是在那里。即使在我在場的時候，作為“懶惰的系統(tǒng)管理員”，我也喜歡讓別人為我做我的工作。因此，我編寫腳本來自動化這些任務(wù)，并使用sudo來指定幾個用戶來運行這些腳本。許多Linux命令要求用戶是root用戶才能運行。這可以保護系統(tǒng)免受意外損壞，比如我自己的愚蠢和惡意用戶的故意破壞。

做你做得很好的事

sudo程序是一個方便的工具，它允許我作為一個具有根訪問權(quán)限的系統(tǒng)管理員，將所有或幾個管理任務(wù)的責(zé)任委托給計算機的其他用戶。它允許我在不損害根密碼的情況下執(zhí)行該委托，從而在主機上保持高度的安全性。

例如，讓我們假設(shè)我給了常規(guī)用戶“ruser”對我的Bash程序“myprog”的訪問權(quán)限，它必須作為root運行才能執(zhí)行其部分功能。首先，用戶使用自己的密碼以ruser身份登錄，然后使用以下命令運行myprog。

 myprog  

sudo程序檢查/etc/sudoers文件并驗證ruser是否允許運行myprog。如果是這樣的話，sudo請求用戶輸入他們的密碼-而不是根密碼。在ruser輸入密碼后，程序?qū)⑦\行。此外，sudo用程序運行的日期和時間、完整的命令以及運行它的用戶記錄對myprog的訪問事實。此數(shù)據(jù)已登錄。/var/log/security.

我發(fā)現(xiàn)讓sudo運行每個命令的日志來進行培訓(xùn)是很有幫助的。我能看出誰做了什么，他們是否正確地輸入了命令。

我這樣做是為了授權(quán)我自己和另一個用戶運行一個程序；然而，sudo可以用來做更多的事情。它允許sysadmin將管理網(wǎng)絡(luò)功能或特定服務(wù)的權(quán)限委托給一個人或一組受信任的用戶。它允許在保護根密碼安全性的同時委派這些函數(shù)。

配置sudoers文件

作為一個系統(tǒng)管理員，我可以使用/etc/sudoers文件以允許用戶或用戶組訪問單個命令、定義的命令組或所有命令。這種靈活性是使用sudo進行委托的力量和簡單性的關(guān)鍵。

一開始我發(fā)現(xiàn)sudoers文件非?；靵y，所以下面我從我使用它的主機復(fù)制并解構(gòu)了整個sudoers文件。希望當(dāng)你通過這個分析的時候，它對你來說不會很模糊。順便說一句，我發(fā)現(xiàn)基于RedHat的發(fā)行版中的默認(rèn)配置文件往往有大量的注釋和示例來提供指導(dǎo)，這使事情變得更簡單，減少了在線搜索的需求。

不要使用標(biāo)準(zhǔn)編輯器修改sudoers文件。使用visudo命令，因為它的設(shè)計目的是在保存文件并退出編輯器后立即啟用任何更改。除了Vi之外，還可以使用與visudo.

讓我們從一開始就用幾種別名來分析這個文件。

宿主別名

主機別名部分用于創(chuàng)建可用于提供訪問的命令或命令別名的主機組。其基本思想是為組織中的所有主機維護這個單一文件，并將其復(fù)制到/etc每一個主人。因此，可以將某些主機(如服務(wù)器)配置為一個組，使某些用戶能夠訪問特定的命令，例如啟動和停止httpd、DNS和網(wǎng)絡(luò)等服務(wù)的能力；掛載文件系統(tǒng)的能力等等。

可以在主機別名中使用IP地址而不是主機名。

## Sudoers allows particular users to run various commands as## the root user, without needing the root password.## Examples are provided at the bottom of the file for collections## of related commands, which can then be delegated out to particular## users or groups.## This file must be edited with the 'visudo' command.## Host Aliases## Groups of machines. You may prefer to use hostnames (perhaps using## wildcards for entire domains) or IP addresses instead.# Host_Alias   FILESERVERS = fs1, fs2# Host_Alias   MAILSERVERS = smtp, smtp2## User Aliases## These aren't often necessary, as you can use regular groups## (ie, from files, LDAP, NIS, etc) in this file - just use %groupname## rather than USERALIAS# User_Alias ADMINS = jsmith, mikemUser_Alias AUDIO = dboth, ruser## Command Aliases## These are groups of related commands...## Networking# Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool## Installation and management of software# Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum## Services# Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig## Updating the locate database# Cmnd_Alias LOCATE = /usr/bin/updatedb## Storage# Cmnd_Alias STORAGE = /sbin/fdisk, /sbin/sfdisk, /sbin/parted, /sbin/partprobe, /bin/mount, /bin/umount## Delegating permissions# Cmnd_Alias DELEGATING = /usr/sbin/visudo, /bin/chown, /bin/chmod, /bin/chgrp## Processes# Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall## Drivers# Cmnd_Alias DRIVERS = /sbin/modprobe# Defaults specification# Refuse to run if unable to disable echo on the tty.Defaults  visiblepwDefaults  env_resetDefaults  env_keep = "COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS"Defaults  env_keep += "MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE"Defaults  env_keep += "LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES"Defaults  env_keep += "LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE"Defaults  env_keep += "LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY"Defaults  secure_path = sbin:bin:usrsbin:usrbin:usrlocalbin## Next comes the main part: which users can run what software on## which machines (the sudoers file can be shared between multiple## systems).## Syntax:##   user  MACHINE=COMMANDS## The COMMANDS section may have other options added to it.## Allow root to run any commands anywhereroot  =ALL    ALL## Allows members of the 'sys' group to run networking, software,## service management apps and more.# %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS## Allows people in group wheel to run all commandswheel =ALL    ALL## Same thing without a password# %wheel    ALL=(ALL)    NOPASSWD: ALL## Allows members of the users group to mount and unmount the## cdrom as root# %users ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom## Allows members of the users group to shutdown this system# %users localhost=/sbin/shutdown -h now## Read drop-in files from /etc/sudoers.d (the # here does not mean a comment)#includedir /etc/sudoers.d############################################################# Added by David Both to provide limited access to myprog #############################################################AUDIO  guest1=usrlocalbinmyprog

默認(rèn)sudoers文件，修改為粗體。

用戶別名

用戶別名配置允許根將用戶排序為別名組，以便整個組能夠訪問特定的根功能。這是我添加了一行的部分。User_Alias AUDIO = dboth, ruser，它定義了別名音頻，并為該別名分配了兩個用戶。

如sudoers文件中所述，可以簡單地使用/etc/groups文件而不是別名。如果您已經(jīng)在其中定義了一個滿足您需要的組，如“audio”，請使用該組名，前面是%這樣的標(biāo)志：%audio在為sudoers文件后面的組分配將可用的命令時。

命令別名

在sudoers文件的下面是一個命令別名部分。這些別名是相關(guān)命令的列表，例如安裝更新或新的RPM包所需的網(wǎng)絡(luò)命令或命令。這些別名允許sysadmin輕松地允許訪問命令組。

本節(jié)中已經(jīng)設(shè)置了許多別名，這些別名可以方便地將訪問委托給特定類型的命令。

環(huán)境缺省

下一節(jié)將設(shè)置一些默認(rèn)環(huán)境變量。本節(jié)中最有趣的項目是!visiblepw行，如果用戶環(huán)境設(shè)置為顯示密碼，則阻止sudo運行。這是一種不應(yīng)被推翻的安全防范措施。

指揮部分

命令部分是sudoers文件的主要部分。通過在這里添加足夠的條目，您需要做的每一件事都可以在沒有所有別名的情況下完成?；粫屖虑樽兊煤唵味嗔恕?/p>

本節(jié)使用您已經(jīng)定義的別名告訴sudo誰可以在哪個主機上做什么。當(dāng)您理解本節(jié)中的語法時，這些示例是不言自明的。讓我們看看我們在命令部分中找到的語法。

ruser =ALL ALL

這意味著ruser可以像任何用戶一樣在任何主機上運行任何程序。

這是我們的用戶，ruser的通用條目。第一ALL在行中，指示此規(guī)則適用于所有主機。第二ALL允許ruser像其他用戶一樣運行命令。默認(rèn)情況下，命令以根用戶的身份運行，但ruser可以在sudo命令行上指定程序以其他用戶的身份運行。最后一次ALL意味著ruser可以不受限制地運行所有命令。這將有效地使ruser根。

注意，根有一個條目，如下所示。這使得根用戶可以對所有主機上的所有命令進行全方位的訪問。

root =ALL ALL

這意味著root可以任何用戶的身份在任何主機上運行任何程序。

為了嘗試這一點，我注釋掉了行，并作為根用戶，嘗試在沒有sudo的情況下運行chown。那確實奏效了-真讓我吃驚。然后我用sudo chown這個消息失敗了，“根不在sudoers文件中，這個事件將被報告。”這意味著root可以root的身份運行所有東西，但在使用sudo命令時則不能運行。這將防止root用戶以其他用戶的身份通過sudo命令，但是root有很多方法可以繞過這個限制。

下面的代碼是我為控制對myprog的訪問而添加的代碼。它指定在音頻組中列出的用戶，如在sudoers文件頂部定義的那樣，只能訪問一個主機上的一個程序myprog，即guest 1。

AUDIO guest1=usrlocalbinmyprog

允許音頻組中的用戶訪問主機用戶1上的myprog。

請注意，上述行的語法僅指定允許此訪問的主機和程序。它沒有指定用戶可以像其他用戶一樣運行程序。

繞過密碼

您也可以使用NOPASSWORD允許組音頻中指定的用戶運行myprog，而不需要輸入他們的密碼。以下是如何：

AUDIO guest1=NOPASSWORD : usrlocalbinmyprog

允許音頻組中的用戶訪問主機用戶1上的myprog。

我沒有為我的程序這么做，因為我認(rèn)為擁有sudo訪問權(quán)限的用戶必須停下來思考他們正在做什么，這可能會對此有所幫助。我以我的小程序的條目為例。

wheel

sudoers文件的命令部分中的輪規(guī)范(如下圖所示)允許“wheel”組中的所有用戶在任何主機上運行所有命令。wheel組定義在/etc/group文件，并且必須將用戶添加到組中才能工作。%組名稱前面的簽名意味著sudo應(yīng)該在/etc/group檔案。

wheel ALL = ALL ALL

允許作為“wheel”組成員的所有用戶，如/etc/group文件，可以在任何主機上運行所有命令。

這是一種將完全根訪問委托給多個用戶的好方法，而無需提供根密碼。只需將用戶添加到wheel組中，就可以讓他們訪問完全的根權(quán)限。它還提供了一種通過sudo創(chuàng)建的日志條目監(jiān)視其活動的方法。某些發(fā)行版(如Ubuntu)將用戶ID添加到/etc/group，它允許他們使用sudo命令，用于所有特權(quán)命令。

最后思想

我在這里使用sudo是為了一個非常有限的目標(biāo)-為一兩個用戶提供訪問單個命令的權(quán)限。我用兩行(如果您忽略我自己的評論)來完成這一任務(wù)。將執(zhí)行某些任務(wù)的權(quán)限委托給沒有根訪問權(quán)限的用戶是很簡單的，并且可以節(jié)省您作為系統(tǒng)管理員的大量時間。它還生成可以幫助檢測問題的日志條目。

總結(jié)

以上就是這篇文章的全部內(nèi)容了，希望本文的內(nèi)容對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值，謝謝大家對VEVB武林網(wǎng)的支持。如果你想了解更多相關(guān)內(nèi)容請查看下面相關(guān)鏈接