Linux使用Sudo委派权限

sudo权限委派介绍

  • su 切换身份:su –l username –c ‘command'
  • sudo
  • 来自sudo包
  • man 5 sudoers
  • sudo能够授权指定用户在指定主机上运行某些命令。如果未授权用户尝试使  用 sudo,会提示联系管理员
  • sudo可以提供日志,记录每个用户使用sudo操作
  • sudo为系统管理员提供配置文件,允许系统管理员集中地管理用户的使用权限和使用的主机
  • sudo使用时间戳文件来完成类似“检票”的系统,默认存活期为5分钟的“入场券”
  • 通过visudo命令编辑配置文件,具有语法检查功能 :
  • visudo –c 检查语法
                  visudo -f /etc/sudoers.d/test

sudo

  • 配置文件:/etc/sudoers, /etc/sudoers.d/
  • 时间戳文件:/var/db/sudo
  • 日志文件:/var/log/secure
  • 配置文件支持使用通配符glob:
  • ?:任意单一字符
    *:匹配任意长度字符
    [wxc ] 匹配其中一个字符
    [!wxc] 除了这三个字符的其它字符
    \x : 转义
    [[alpha]] :字母 示例: /bin/ls [[alpha]]*
  • 配置文件规则有两类:
  • 1、别名定义:不是必须的 
      2、授权规则:必须的

sudoers

  • 授权规则格式:
  • 用户 登入主机=(代表用户) 命令
  • 示例:
  • root ALL=(ALL) ALL
  • 格式说明:
  • user: 运行命令者的身份
  • host: 通过哪些主机 
      (runas):以哪个用户的身份  
      command: 运行哪些命令

别名

  • Users和runas:
  • username 
         #uid 
        %group_name 
        %#gid 
        user_alias|runas_alias
  • host:
  • ip或hostname
  • network(/netmask)
        host_alias
  • command:
  • command name 
      directory 
      sudoedit 
      Cmnd_Alias

最近,我编写了一个简短的Bash程序,将MP3文件从一个网络主机上的USB拇指驱动器复制到另一个网络主机上。这些文件被复制到我为志愿者组织运行的服务器上的一个特定目录,从那里可以下载和播放这些文件。

我的程序还做了一些其他的事情,比如在文件被复制之前更改它们的名称,以便它们在网页上按日期自动排序。它还删除USB驱动器上的所有文件,验证传输是否正确完成。这个不错的小程序有几个选项,例如-h为了展示帮助,-t用于测试模式,以及其他几个。

尽管我的程序非常出色,但它必须作为root运行才能执行其主要功能。不幸的是,这个组织只有少数人对管理我们的音频和计算机系统有兴趣,这使我能够找到半技术人员,并训练他们登录到用于执行传输和运行这个小程序的计算机中。

这并不是说我不能亲自运行这个项目,而是由于各种原因,包括旅行和生病,我并不总是在那里。即使在我在场的时候,作为“懒惰的系统管理员”,我也喜欢让别人为我做我的工作。因此,我编写脚本来自动化这些任务,并使用sudo来指定几个用户来运行这些脚本。许多Linux命令要求用户是root用户才能运行。这可以保护系统免受意外损坏,比如我自己的愚蠢和恶意用户的故意破坏。

做你做得很好的事

sudo程序是一个方便的工具,它允许我作为一个具有根访问权限的系统管理员,将所有或几个管理任务的责任委托给计算机的其他用户。它允许我在不损害根密码的情况下执行该委托,从而在主机上保持高度的安全性。

例如,让我们假设我给了常规用户“ruser”对我的Bash程序“myprog”的访问权限,它必须作为root运行才能执行其部分功能。首先,用户使用自己的密码以ruser身份登录,然后使用以下命令运行myprog。

 myprog  

sudo程序检查/etc/sudoers文件并验证ruser是否允许运行myprog。如果是这样的话,sudo请求用户输入他们的密码-而不是根密码。在ruser输入密码后,程序将运行。此外,sudo用程序运行的日期和时间、完整的命令以及运行它的用户记录对myprog的访问事实。此数据已登录。/var/log/security.

我发现让sudo运行每个命令的日志来进行培训是很有帮助的。我能看出谁做了什么,他们是否正确地输入了命令。

我这样做是为了授权我自己和另一个用户运行一个程序;然而,sudo可以用来做更多的事情。它允许sysadmin将管理网络功能或特定服务的权限委托给一个人或一组受信任的用户。它允许在保护根密码安全性的同时委派这些函数。

配置sudoers文件

作为一个系统管理员,我可以使用/etc/sudoers文件以允许用户或用户组访问单个命令、定义的命令组或所有命令。这种灵活性是使用sudo进行委托的力量和简单性的关键。

一开始我发现sudoers文件非常混乱,所以下面我从我使用它的主机复制并解构了整个sudoers文件。希望当你通过这个分析的时候,它对你来说不会很模糊。顺便说一句,我发现基于RedHat的发行版中的默认配置文件往往有大量的注释和示例来提供指导,这使事情变得更简单,减少了在线搜索的需求。

不要使用标准编辑器修改sudoers文件。使用visudo命令,因为它的设计目的是在保存文件并退出编辑器后立即启用任何更改。除了Vi之外,还可以使用与visudo.

让我们从一开始就用几种别名来分析这个文件。

宿主别名

主机别名部分用于创建可用于提供访问的命令或命令别名的主机组。其基本思想是为组织中的所有主机维护这个单一文件,并将其复制到/etc每一个主人。因此,可以将某些主机(如服务器)配置为一个组,使某些用户能够访问特定的命令,例如启动和停止httpd、DNS和网络等服务的能力;挂载文件系统的能力等等。

可以在主机别名中使用IP地址而不是主机名。

## Sudoers allows particular users to run various commands as
## the root user, without needing the root password.
## Examples are provided at the bottom of the file for collections
## of related commands, which can then be delegated out to particular
## users or groups.
## This file must be edited with the 'visudo' command.
## Host Aliases
## Groups of machines. You may prefer to use hostnames (perhaps using
## wildcards for entire domains) or IP addresses instead.
# Host_Alias   FILESERVERS = fs1, fs2
# Host_Alias   MAILSERVERS = smtp, smtp2
## User Aliases
## These aren't often necessary, as you can use regular groups
## (ie, from files, LDAP, NIS, etc) in this file - just use %groupname
## rather than USERALIAS
# User_Alias ADMINS = jsmith, mikem
User_Alias AUDIO = dboth, ruser
## Command Aliases
## These are groups of related commands...
## Networking
# Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool
## Installation and management of software
# Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum
## Services
# Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig
## Updating the locate database
# Cmnd_Alias LOCATE = /usr/bin/updatedb
## Storage
# Cmnd_Alias STORAGE = /sbin/fdisk, /sbin/sfdisk, /sbin/parted, /sbin/partprobe, /bin/mount, /bin/umount
## Delegating permissions
# Cmnd_Alias DELEGATING = /usr/sbin/visudo, /bin/chown, /bin/chmod, /bin/chgrp
## Processes
# Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall
## Drivers
# Cmnd_Alias DRIVERS = /sbin/modprobe
# Defaults specification
# Refuse to run if unable to disable echo on the tty.
Defaults  visiblepw
Defaults  env_reset
Defaults  env_keep = "COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS"
Defaults  env_keep += "MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE"
Defaults  env_keep += "LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES"
Defaults  env_keep += "LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE"
Defaults  env_keep += "LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY"
Defaults  secure_path = sbin:bin:usrsbin:usrbin:usrlocalbin
## Next comes the main part: which users can run what software on
## which machines (the sudoers file can be shared between multiple
## systems).
## Syntax:
##   user  MACHINE=COMMANDS
## The COMMANDS section may have other options added to it.
## Allow root to run any commands anywhere
root  =ALL    ALL
## Allows members of the 'sys' group to run networking, software,
## service management apps and more.
# %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS
## Allows people in group wheel to run all commands
wheel =ALL    ALL
## Same thing without a password
# %wheel    ALL=(ALL)    NOPASSWD: ALL
## Allows members of the users group to mount and unmount the
## cdrom as root
# %users ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom
## Allows members of the users group to shutdown this system
# %users localhost=/sbin/shutdown -h now
## Read drop-in files from /etc/sudoers.d (the # here does not mean a comment)
#includedir /etc/sudoers.d
############################################################
# Added by David Both to provide limited access to myprog #
############################################################
AUDIO  guest1=usrlocalbinmyprog

默认sudoers文件,修改为粗体。

用户别名

用户别名配置允许根将用户排序为别名组,以便整个组能够访问特定的根功能。这是我添加了一行的部分。User_Alias AUDIO = dboth, ruser,它定义了别名音频,并为该别名分配了两个用户。

如sudoers文件中所述,可以简单地使用/etc/groups文件而不是别名。如果您已经在其中定义了一个满足您需要的组,如“audio”,请使用该组名,前面是%这样的标志:%audio在为sudoers文件后面的组分配将可用的命令时。

命令别名

在sudoers文件的下面是一个命令别名部分。这些别名是相关命令的列表,例如安装更新或新的RPM包所需的网络命令或命令。这些别名允许sysadmin轻松地允许访问命令组。

本节中已经设置了许多别名,这些别名可以方便地将访问委托给特定类型的命令。

环境缺省

下一节将设置一些默认环境变量。本节中最有趣的项目是!visiblepw行,如果用户环境设置为显示密码,则阻止sudo运行。这是一种不应被推翻的安全防范措施。

指挥部分

命令部分是sudoers文件的主要部分。通过在这里添加足够的条目,您需要做的每一件事都可以在没有所有别名的情况下完成。化名只会让事情变得简单多了。

本节使用您已经定义的别名告诉sudo谁可以在哪个主机上做什么。当您理解本节中的语法时,这些示例是不言自明的。让我们看看我们在命令部分中找到的语法。

ruser =ALL ALL

这意味着ruser可以像任何用户一样在任何主机上运行任何程序。

这是我们的用户,ruser的通用条目。第一ALL在行中,指示此规则适用于所有主机。第二ALL允许ruser像其他用户一样运行命令。默认情况下,命令以根用户的身份运行,但ruser可以在sudo命令行上指定程序以其他用户的身份运行。最后一次ALL意味着ruser可以不受限制地运行所有命令。这将有效地使ruser根。

注意,根有一个条目,如下所示。这使得根用户可以对所有主机上的所有命令进行全方位的访问。

root =ALL ALL

这意味着root可以任何用户的身份在任何主机上运行任何程序。

为了尝试这一点,我注释掉了行,并作为根用户,尝试在没有sudo的情况下运行chown。那确实奏效了-真让我吃惊。然后我用sudo chown这个消息失败了,“根不在sudoers文件中,这个事件将被报告。”这意味着root可以root的身份运行所有东西,但在使用sudo命令时则不能运行。这将防止root用户以其他用户的身份通过sudo命令,但是root有很多方法可以绕过这个限制。

下面的代码是我为控制对myprog的访问而添加的代码。它指定在音频组中列出的用户,如在sudoers文件顶部定义的那样,只能访问一个主机上的一个程序myprog,即guest 1。

AUDIO guest1=usrlocalbinmyprog

允许音频组中的用户访问主机用户1上的myprog。

请注意,上述行的语法仅指定允许此访问的主机和程序。它没有指定用户可以像其他用户一样运行程序。

绕过密码

您也可以使用NOPASSWORD允许组音频中指定的用户运行myprog,而不需要输入他们的密码。以下是如何:

AUDIO guest1=NOPASSWORD : usrlocalbinmyprog

允许音频组中的用户访问主机用户1上的myprog。

我没有为我的程序这么做,因为我认为拥有sudo访问权限的用户必须停下来思考他们正在做什么,这可能会对此有所帮助。我以我的小程序的条目为例。

wheel

sudoers文件的命令部分中的轮规范(如下图所示)允许“wheel”组中的所有用户在任何主机上运行所有命令。wheel组定义在/etc/group文件,并且必须将用户添加到组中才能工作。%组名称前面的签名意味着sudo应该在/etc/group档案。

wheel ALL = ALL ALL

允许作为“wheel”组成员的所有用户,如/etc/group文件,可以在任何主机上运行所有命令。

这是一种将完全根访问委托给多个用户的好方法,而无需提供根密码。只需将用户添加到wheel组中,就可以让他们访问完全的根权限。它还提供了一种通过sudo创建的日志条目监视其活动的方法。某些发行版(如Ubuntu)将用户ID添加到/etc/group,它允许他们使用sudo命令,用于所有特权命令。

最后思想

我在这里使用sudo是为了一个非常有限的目标-为一两个用户提供访问单个命令的权限。我用两行(如果您忽略我自己的评论)来完成这一任务。将执行某些任务的权限委托给没有根访问权限的用户是很简单的,并且可以节省您作为系统管理员的大量时间。它还生成可以帮助检测问题的日志条目。

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,谢谢大家对我们的支持。如果你想了解更多相关内容请查看下面相关链接

(0)

相关推荐

  • Linux中查找工具的友好替代方案

    find命令用来在指定目录下查找文件.任何位于参数之前的字符串都将被视为欲查找的目录名.如果使用该命令时,不设置任何参数,则find命令将在当前目录下查找子目录与文件.并且将查找到的子目录和文件全部进行显示. 语法 find(选项)(参数) 选项 -amin<分钟>:查找在指定时间曾被存取过的文件或目录,单位以分钟计算: -anewer<参考文件或目录>:查找其存取时间较指定文件或目录的存取时间更接近现在的文件或目录: -atime<24小时数>:查找在指定时间曾被存取

  • Linux中10个方便的Bash别名

    有多少次您在命令行上多次输入一个长命令,并希望有一种方法将其保存到以后?这就是Bash别名派上用场的地方.它们允许您将长而神秘的命令浓缩成易于记忆和使用的命令.需要一些例子让你开始吗?没问题! 要使用您创建的Bash别名,需要将其添加到位于主文件夹中的.bash_profile文件中.请注意,此文件是隐藏的,只能从命令行访问.处理此文件的最简单方法是使用类似Vi或Nano之类的东西. 10个Bash别名 1.您需要多次解压缩.tar文件而不记得所需的确切参数? 只需将以下内容添加到.bash_p

  • Linux推荐使用Xfce桌面环境的8个原因

    出于几个原因(包括好奇心),几周前我开始使用Xfce作为我的Linux桌面.原因之一是后台守护进程占用了我非常强大的主工作站上所有的CPU和I/O带宽.当然,有些不稳定可能是因为我删除了一些提供后台守护进程的RPM包.然而,即使在我移除RPM之前,事实是KDE是不稳定的,并且会导致性能和稳定性问题.我需要使用不同的桌面来避免这些问题. 我非常喜欢Xfce,并且比我想的更喜欢它的速度和轻盈. 作为我研究的一部分,我搜索了一下Xfce的含义.有对XForms公共环境的历史引用,但是Xfce不再使用X

  • 吸引发烧友的视听Linux发行版

    我最近偶然发现视听Linux项目,许多专门的面向音乐的Linux发行版之一.视听Linux: 是基于ArchLInux 提供一个为播放音乐而定制的实时linux内核. 使用轻量级流动箱窗口管理器 避免不必要的守护进程和服务 允许播放dsf并支持通常的pcm格式. 支持各种音乐播放器,包括我最喜欢的组合之一:mpd+粤语 自2017年4月以来,这个亲音频的Linux网站并没有显示出太多的活动,但它确实包含了今年的一些更新和评论.考虑到它的定位和功能集,我决定在我的旧东芝笔记本电脑上运行一下. 安装

  • Linux系统磁盘格式化以及手动增加swap分区

    windows:支持NTFS ,fat linux支持文件格式: cat /etc/filesystems 查看Centos 7可支持的文件格式. xfs Centos 7 默认文件系统名称为xfs mount 查看 /dev/vda1 on / type ext4 (rw,relatime,data=ordered) 磁盘格式化 mke2fs -t exet4 指定格式化为什么格式的文件系统 mke2fs -b 指定块大小 例如:mke2fs -t ext4 -b 2048 /dev/sdb1

  • linux中pip操作时的超时解决方法

    如何解决 Linux 实例 pip 操作时的超时问题 pip 是当前最流行的 Python 安装包管理工具之一,很多阿里云用户会通过 pip 更新系统源.阿里云的 pip 源地址有以下三处: (默认)公网:mirrors.aliyun.com 专有网络 VPC 内网:mirrors.cloud.aliyuncs.com 经典网络内网:mirrors.aliyuncs.com 现象描述 Linux 实例的 pip 请求偶有超时或者失败现象.目前,受影响的公共镜像有: CentOS Debian U

  • Linux中使用top命令的技巧

    首先介绍top中一些字段的含义:  VIRT:virtual memory usage 虚拟内存 1.进程"需要的"虚拟内存大小,包括进程使用的库.代码.数据等 2.假如进程申请100m的内存,但实际只使用了10m,那么它会增长100m,而不是实际的使用量 RES:resident memory usage 常驻内存 1.进程当前使用的内存大小,但不包括swap out 2.包含其他进程的共享 3.如果申请100m的内存,实际使用10m,它只增长10m,与VIRT相反 4.关于库占用内

  • Linux服务器安装GRUB步骤

    如何为 Linux 服务器安装 GRUB 当您无法通过 迁云工具 迁移内核版本较低,自带系统引导程序 GRand Unified Bootloader(GRUB)版本为 1.99 以下的 Linux 服务器,例如,CentOS 5 和 Debian 7.而且日志文件提示 Do Grub Failed 时,可能是因为没有安装 1.99 以上版本的系统引导程序 GRUB. 本文主要介绍如何为您的源服务器安装系统引导程序 GRUB 1.99 版本.安装 GRUB 1.99 及以上版本如 1.99 和

  • Linux桌面的4种扫描工具

    当无纸化的世界还没有出现的时候,越来越多的人通过扫描文件和照片来摆脱纸张.不过,光有扫描仪是不够的.你需要软件来驱动扫描仪. 但问题是,许多扫描仪制造商没有Linux版本的软件,他们捆绑在他们的设备.在大多数情况下,这并不重要.为什么?因为Linux桌面上有很好的扫描应用程序.他们和各种各样的扫描仪一起工作,做得很好. 让我们来看看四个简单但灵活的开源Linux扫描工具.我使用了这些工具中的每一个并发现它们非常有用.你也可以 通过使用这些开源应用程序之一驱动您的扫描仪实现无纸化. Simple

  • Linux系统交换空间介绍

    交换空间是当今计算的一个共同方面,不管操作系统如何.Linux使用交换空间来增加主机可用的虚拟内存量.它可以在常规文件系统或逻辑卷上使用一个或多个专用交换分区或交换文件. 在一台典型的计算机中有两种基本的内存类型.第一种类型,随机存取存储器(RAM),用于存储数据和程序,而这些数据和程序正在由计算机积极使用.除非程序和数据存储在RAM中,否则计算机无法使用它们.RAM是易失性内存:也就是说,如果关闭计算机,存储在RAM中的数据就会丢失. 硬盘是用于长期存储数据和程序的磁性介质.磁性介质是非易失性

  • 使用iptable和Firewalld工具来管理Linux防火墙连接规则

    防火墙 防火墙是一套规则.当数据包进入或离开受保护的网络空间时,将根据防火墙规则测试数据包的内容(特别是有关其来源.目标和计划使用的协议的信息),以确定是否应该允许数据包通过.下面是一个简单的例子: 防火墙可以根据协议或基于目标的规则过滤请求. 一方面,iptables是管理Linux机器上防火墙规则的工具. 另一方面,firewalld也是管理Linux机器上防火墙规则的工具. 你对此有意见吗?如果我告诉你外面还有另一个工具,叫做nftable? 好吧,我承认整件事闻起来有点怪怪的,所以让我解

  • 历史Linux镜像处理及修复方案

    历史Linux镜像创建的ECS云服务器,可能存在NTP没有配置,YUM没有配置,还可能存在最近暴漏较高的安全漏洞,请按照以下步骤进行修复,可以让您的云服务器更加安全,还可以使用阿里云提供的YUM服务进行安装软件,可以使用免费的阿里云提供的NTP进行时间同步. 1. 配置NTP 不区分发行版,先备份 /etc/ntp.conf,然后将其内容替换为如下: # ntp.conf # # ntpd config for aliyun ecs. # # 6LAN+6LAN+3WAN # shijun.ca

随机推荐