在 Linux 和其他的类 Unix 操作系统中,只有 root 用户可以运行所有的命令,才能在系统中执行那些需要鉴权的操作,比如安装、升级和移除软件包、创建用户和用户组、修改系统重要的配置文件等等。
然而,系统管理员,比如说 root 用户,可以通过 sudo 命令 和一些配置选项来给普通用户进行授权,从而让该普通用户可以运行某些命令已经上述的那些相当重要的系统级操作。
另外,系统管理员还可以分享 root 用户密码 (这个做法是不值得提倡的),这样普通用户就可以通过 su命令来转化为 root 用户角色。.
sudo 允许已授权用户按照指定的安全策略、以 root 用户 (或者是其他的用户角色) 权限来执行某个命令。
sudo 会读取和解析 /etc/sudoers 文件,查找调用命令的用户及其权限。然后提示调用该命令的用户输入密码 (通常是用户密码,但也可能是目标用户的密码,或者也可以通过 NOPASSWD 标志来跳过密码验证)。这之后, sudo 会创建一个子进程,调用 setuid() 来切换到目标用户。接着,它会在上述子进程中执行参数给定的 shell 或命令。以下列出十个 /etc/sudoers 文件配置,使用 Defaults 项修改 sudo 命令的行为。
$ sudo cat /etc/sudoers/etc/sudoers 文件:
## This file MUST be edited with the 'visudo' command as root.## Please consider adding local content in /etc/sudoers.d/ instead of# directly modifying this file.## See the man page for details on how to write a sudoers file.#Defaults env_resetDefaults mail_badpassDefaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"Defaults logfile="/var/log/sudo.log"Defaults lecture="always"Defaults badpass_message="Password is wrong, please try again"Defaults passwd_tries=5Defaults insultsDefaults log_input,log_output在本文讨论范围内,我们下面的将以第一个 Defaults 作为基准来参考。parameter 参数可以是标记 (flags)、整数值或者是列表 (list)。
值得注意的是,标记 (flag) 是指布尔类型值,可以使用 ! 操作符来进行取反,列表 (list) 有两个赋值运算符:+= (添加到列表) 和 -= (从列表中移除)。
Defaults parameter或Defaults parameter=值或Defaults parameter -=值Defaults parameter +=值或Defaults !parameter该 PATH 环境变量应用于每个通过 sudo 执行的命令,需要注意两点:
当系统管理员不信任 sudo 用户,便可以设置一个安全的 PATH 环境变量。该设置将 root 的 PATH 和用户的 PATH 分开,只有在 exempt_group 组的用户不受该设置的影响。可以添加以下内容来设置:
Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin"该设置允许在一个真实的 tty 中进行调用 sudo,但不允许通过 cron 或者 cgi-bin 脚本等方法来调用。添加以下内容来设置:
Defaults requiretty少数情况下,攻击者可以通过 sudo 来运行一个恶意程序 (比如病毒或者恶意代码),这种恶意程序可能会分叉出一个后台运行的进程,即使主程序完成执行,它仍能够运行在用户的终端设备上。
为了防止出现这样的情况,你可以通过 use_pty 参数来设置 sudo 使用伪终端来运行其他命令,而不必管 I/O 日志的开启状态。如下:
Defaults use_pty默认下,sudo 通过 syslog(3) 来记录到日志。但是我们可以通过 logfile 参数来指定一个自定义的日志文件。如下:
Defaults logfile="/var/log/sudo.log"使用 log_host 和 log_year 参数可以对应记录日志主机名和 4 位数年份到自定义日志文件。如下:
Defaults log_host, log_year, logfile="/var/log/sudo.log"下面是自定义 sudo 日志文件的例示:
创建 sudo 日志文件
log_input 和 log_output 参数可以让 sudo 命令运行在伪终端,并可以对应地记录所有的用户输入和输出到屏幕上。
默认的 I/O 日志目录为 /var/log/sudo-io,如果存在会话序列号,它将被存储到该目录。你可以通过iolog_dir 参数来指定一个目录。
Defaults log_input, log_output这其中支持转义字符,像 %{seq} —— 以 36 为基数的单调递增序列,比如 000001,这里每两个数字都分别用来形成一个新目录。请看下边例示 00/00/01:
$ cd /var/log/sudo-io/$ ls$ cd 00/00/01$ ls$ cat log记录 sudo 命令的输入/输出
cat 命令 来查看该目录的其余部分。
如下,使用 lecture 参数可以在系统中为 sudo 用户提示命令的用法:
参数属性值有三个选择:
always – 一直提示 once – 用户首次运行 sudo 时提示 (未指定参数属性值时的默认值) never – 从不提示 Defaults lecture="always"此外,你还可以使用 lecture_file 参数类自定义提示内容,在指定的文件中输入适当的提示内容即可:
Defaults lecture_file="/path/to/file"为 sudo 用户提示命令用法
当某个用户输错密码时,会有一个对应的信息显示在屏幕上。默认是“抱歉,请重新尝试。(sorry, try again)”,你可以通过 badpass_message 参数来修改该信息:
Defaults badpass_message="Password is wrong, please try again"passwd_tries 参数用于指定用户尝试输入密码的次数。
默认为 3。
Defaults passwd_tries=5增加 sudo 密码尝试限制次数
使用 passwd_timeout 参数设置密码超时 (默认为 5 分钟),如下:
Defaults passwd_timeout=2使用了 insults 参数之后,一旦你输出了密码,sudo 便会在命令窗口中显示羞辱你的信息。这个参数会自动关闭 badpass_message 参数。
Defaults insults原文发布时间为:2017-01-25
本文来自云栖社区合作伙伴“Linux中国”
相关资源:敏捷开发V1.0.pptx