简述sudo安全切换工具,及详细讲解visudoer
2018-08-03 本文已影响0人
Net夜风
简述sudo安全切换工具,及详细讲解visudoer
- sudo:当我们去执行某个命令时,是切换用户以另外一个用户的身份运行。这个是在sudo文件中设定的另外一个发起人,这个发起人一般是管理员,并在文件中定义好发起人能够运行的命令列表,之后就能临时切换到发起人来执行这些命令,这种授权机制就是sudo。
- 其中sudo的配置文件位置在/etc/sudoers,可以使用专用命令visudo来编辑这个文件完成授权。
sudo命令:
sudo [options] COMMAND
-l[l] command 列出用户能执行的命令
-k 清除此前缓存用户成功认证结果;
授权机制:
授权文件 /etc/sudoers
root ALL=(ALL) ALL
%wheel ALL=(ALL) ALL
编译此文件的专用命令:visudo
- 授权项:
who where=(whom) commands
users hosts=(runas) commands
- users:
username
#uid
%groupname
%#gid
user_alias:支持将多个用户定义为一组用户,称之为用户别名,即user_alias;
- hosts:
ip
hostname
NetAddr
host_alias
- runas:
...
runas_alias
- commands:
command
directory
sudoedit:特殊权限,可用于向其它用户授予sudo权限;
cmnd_alias
- 定义别名的方法:
ALIAS_TYPE NAME=item1, item2, item3, ...
NAME:别名名称,必须使用全大写字符;
ALIAS_TYPE:
User_Alias
Host_Alias
Runas_Alias
Cmnd_Alias
sudo使用示例:
添加用户fedora
[root@localhost ~]# useradd fedora
[root@localhost ~]# echo 'fedora' | passwd --stdin fedora
更改用户 fedora 的密码 。
passwd:所有的身份验证令牌已经成功更新。
使用普通用户fedora添加删除用户user1,提示用户权限不够
root@localhost ~]# su - fedora
[fedora@localhost ~]$ useradd user1
-bash: /usr/sbin/useradd: 权限不够
使用visudo编辑配置文件,是用户fedora具有运行useradd,userdel的权限
[root@localhost ~]# visudo
#在打开的配置文件中添加如下内容
fedora ALL=(ALL) /usr/sbin/useradd,/usr/sbin/userdel
普通用户使用sudo来执行useradd和userdel
[root@localhost ~]# su - fedora
上一次登录:五 8月 3 14:57:05 CST 2018pts/0 上
[fedora@localhost ~]$ sudo useradd user1
我们信任您已经从系统管理员那里了解了日常注意事项。
总结起来无外乎这三点:
#1) 尊重别人的隐私。
#2) 输入前要先考虑(后果和风险)。
#3) 权力越大,责任越大。
[sudo] fedora 的密码:
[fedora@localhost ~]$ tail -1 /etc/passwd
user1:x:1002:1002::/home/user1:/bin/bash
#到此可以发现fedora用户创建user1成功,下面测试userdel
[fedora@localhost ~]$ sudo userdel user1
[fedora@localhost ~]$ id user1
id: user1: no such user
- 注意 :第一次使用sudo命令会验证su账号的密码才能使用,后5分钟之内同一账号就不需再次验证,超过5分钟在执行就会继续要输入密码才能执行。
以定义组的方式来实现用户sudo
#添加fedora的附加组为wheel
[root@localhost ~]# usermod -a -G wheel fedora
[root@localhost ~]# newgrp wheel #临时切换基本组
[root@localhost ~]# id fedora
uid=1001(fedora) gid=1001(fedora) 组=1001(fedora),10(wheel)
#清楚上面定义的fedora规则,修改如下内容
%wheel ALL=(ALL) /usr/sbin/useradd,/usr/sbin/userdel
[fedora@localhost ~]$ sudo -k #清空认证缓存
[fedora@localhost ~]$ sudo useradd user3
[sudo] fedora 的密码:
[fedora@localhost ~]$ id user3
uid=1003(user3) gid=1003(user3) 组=1003(user3)
[fedora@localhost ~]$ sudo userdel user3
[fedora@localhost ~]$ id user3
id: user3: no such user
-
注意:使用 sudo su - root 可以无密码的切换到管理员账号,sudo passwd root 就可以更改管理员密码,风险非常大,因此我们可以是用!/bin/su,和!/usr/bin/passwd root,来禁止这两条命令;
#是用visudo修改配置文件 %wheel ALL=(ALL) ALL, !/bin/su, !/usr/bin/passwd root
以定义别名的方式实现sudo:
有些命令需要多次调用时,避免每次书写复杂冗长的命令,可以把命令定义别名来调用。我们向多个用户同时授权的时候,也可以把这些用户定义别名。
清除之前规则,添加新规则
User_Alias USERADMIN=fedora,centos #把两个账号定义别名
Cmnd_Alias NETADMINCMD=/sbin/ip, /sbin/ifconfig, /sbin/route #命令ip、ifconfig、route定义别名NETADMINCMD
Cmnd_Alias USERADMINCMD=/sbin/useradd, /sbin/userdel, /bin/passwd, !/bin/passwd root #命令useradd、userdel、passwd定义别名
fedora ALL=(ALL) NETADMINCMD #定义用户fedora运行NETADMINCMD中的命令
centos ALL=(ALL) USERADMINCMD #定义用户centos运行USERADMINCMD中的命令
#添加用户centos,并设置密码为centos
[root@localhost ~]# useradd centos
[root@localhost ~]# echo 'centos' | passwd --stdin centos
更改用户 centos 的密码 。
passwd:所有的身份验证令牌已经成功更新。
#切换centos用户,可以看到centos用户的权限
[root@localhost ~]# su - centos
[centos@localhost ~]$ sudo -l
用户 centos 可以在 localhost 上运行以下命令:
(ALL) /sbin/ip, /sbin/ifconfig, /sbin/route, /sbin/useradd, /sbin/userdel, /bin/passwd, !/bin/passwd
root
[centos@localhost ~]$ exit
登出
[root@localhost ~]# su - fedora
上一次登录:五 8月 3 15:51:00 CST 2018pts/0 上
[fedora@localhost ~]$ sudo -l
[sudo] fedora 的密码:
用户 fedora 可以在 localhost 上运行以下命令:
(ALL) /sbin/ip, /sbin/ifconfig, /sbin/route
使用USERADMIN别名来配置规则
[root@localhost ~]# visudo
USERADMIN ALL=(ALL) NETADMINCMD,USERADMINCMD
#USERADMIN中的用户都可以使用NETADMINCMD,USERADMINCMD两个别名中定义的命令
[centos@localhost ~]$ sudo -l
[sudo] centos 的密码:
用户 centos 可以在 localhost 上运行以下命令:
(ALL) /sbin/ip, /sbin/ifconfig, /sbin/route, /sbin/useradd, /sbin/userdel, /bin/passwd, !/bin/passwd
root
-
注意:每次用户操作的时候都要输入用户密码,只要在规则的别名前面加一个标签NOPASSWD就可以不需要密码操作。每次需要用户输入密码则加PASSWD。
[root@localhost ~]# visudo USERADMIN ALL=(ALL) NOPASSWD:NETADMINCMD,PASSWD:USERADMINCMD