10 Konfigurazzjonijiet Utli ta 'Sudoers għall-Issettjar ta' sudo fil-Linux
Fil-Linux u sistemi operattivi oħra bħal Unix, l-utent għerq biss jista 'jmexxi l-kmandi kollha u jwettaq ċerti operazzjonijiet kritiċi fuq is-sistema bħall-installazzjoni u l-aġġornament, neħħi pakketti, joħloq utenti u gruppi, jimmodifika fajls importanti ta' konfigurazzjoni tas-sistema eċċ.
Madankollu, amministratur tas-sistema li jassumi r-rwol ta 'l-utent għerq jista' jippermetti utenti oħra tas-sistema normali bl-għajnuna ta 'kmand sudo u ftit konfigurazzjonijiet biex imexxu xi kmandi kif ukoll iwettaq numru ta' operazzjonijiet tas-sistema vitali inklużi dawk imsemmija hawn fuq.
Alternattivament, l-amministratur tas-sistema jista 'jaqsam il-password tal-utent tal-għeruq (li mhuwiex metodu rakkomandat) sabiex l-utenti tas-sistema normali jkollhom aċċess għall-kont tal-utent tal-għeruq permezz tal-kmand su.
sudo jippermetti utent permess li jesegwixxi kmand bħala root (jew utent ieħor), kif speċifikat mill-politika tas-sigurtà:
- Taqra u teżamina /etc/sudoers, tfittex l-utent li qed jinvoka u l-permessi tiegħu,
- imbagħad iħeġġeġ lill-utent li jinvoka għal password (normalment il-password tal-utent, iżda tista' tkun ukoll il-password tal-utent fil-mira. Jew tista' tinqabeż bit-tikketta NOPASSWD),
- wara dan, sudo joħloq proċess tifel li fih isejjaħ setuid() biex taqleb għall-utent fil-mira
- li jmiss, tesegwixxi qoxra jew il-kmand mogħti bħala argumenti fil-proċess tat-tfal hawn fuq.
Hawn taħt hemm għaxar konfigurazzjonijiet tal-fajls /etc/sudoers biex timmodifika l-imġieba tal-kmand tas-sudo billi tuża l-entrati Defaults.
$ sudo cat /etc/sudoers
# # This file MUST be edited with the 'visudo' command as root. # # Please consider adding local content in /etc/sudoers.d/ instead of # directly modifying this file. # # See the man page for details on how to write a sudoers file. # Defaults env_reset Defaults mail_badpass Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin" Defaults logfile="/var/log/sudo.log" Defaults lecture="always" Defaults badpass_message="Password is wrong, please try again" Defaults passwd_tries=5 Defaults insults Defaults log_input,log_output
Defaults parameter, parameter_list #affect all users on any host [email _List parameter, parameter_list #affects all users on a specific host Defaults:User_List parameter, parameter_list #affects a specific user Defaults!Cmnd_List parameter, parameter_list #affects a specific command Defaults>Runas_List parameter, parameter_list #affects commands being run as a specific user
Għall-ambitu ta 'din il-gwida, aħna se niżlu għall-ewwel tip ta' Defaults fil-formoli hawn taħt. Il-parametri jistgħu jkunu bnadar, valuri interi, kordi, jew listi.
Għandek tinnota li l-bnadar huma impliċitament booleani u jistgħu jintfew bl-użu tal-operatur !
, u l-listi għandhom żewġ operaturi ta’ assenjazzjoni addizzjonali, +=
(żid mal-lista) u >=
(neħħi mil-lista).
Defaults parameter OR Defaults parameter=value OR Defaults parameter -=value Defaults parameter +=value OR Defaults !parameter
1. Issettja PASSAT Sikura
Din hija t-triq użata għal kull kmand run b'sudo, għandha żewġ importanti:
- Użat meta amministratur tas-sistema ma jafdax lill-utenti tas-sudo biex ikollhom varjabbli tal-ambjent PATH sikur
- Biex tissepara \root path u \user path, l-utenti definiti minn exempt_group biss mhumiex affettwati minn dan is-setting.
Biex issettjaha, żid il-linja:
Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin"
2. Ippermetti sudo fuq is-Sessjoni tal-Login tal-Utent TTY
Biex tippermetti li sudo jiġi invokat minn tty reali iżda mhux permezz ta' metodi bħal skripts cron jew cgi-bin, żid il-linja:
Defaults requiretty
3. Mexxi Sudo Command Bl-użu ta 'pty
Xi ftit drabi, l-attakkanti jistgħu jmexxu programm malizzjuż (bħal virus jew malware) bl-użu ta 'sudo, li għal darb'oħra jagħmel proċess ta' sfond li jibqa 'fuq it-tagħmir terminali tal-utent anki meta l-programm prinċipali jkun spiċċa eżekuttiv.
Biex tevita xenarju bħal dan, tista' tikkonfigura sudo biex imexxi kmandi oħra biss minn psuedo-pty billi tuża l-parametru use_pty
, kemm jekk il-logging I/O huwa mixgħul jew le kif ġej:
Defaults use_pty
4. Oħloq Sudo Log File
B'mod awtomatiku, sudo logs permezz ta' syslog(3). Madankollu, biex tispeċifika fajl tal-ġurnal tad-dwana, uża l-parametru tal-logfile hekk:
Defaults logfile="/var/log/sudo.log"
Biex tilloggja l-isem tal-host u s-sena b'erba' ċifri fil-fajl tal-ġurnal tad-dwana, uża l-parametri log_host u log_year rispettivament kif ġej:
Defaults log_host, log_year, logfile="/var/log/sudo.log"
Hawn taħt hemm eżempju ta 'fajl ta' log sudo personalizzat:
5. Log Input/Output tal-Kmand Sudo
Il-parametri log_input u log_output jippermettu lil sudo imexxi kmand f'psewdo-tty u jirreġistra l-input kollu tal-utent u l-output kollu mibgħut lill-iskrin b'mod riċettiv.
Id-direttorju tal-log I/O default huwa /var/log/sudo-io, u jekk hemm numru tas-sekwenza tas-sessjoni, huwa maħżun f'dan id-direttorju. Tista' tispeċifika direttorju tad-dwana permezz tal-parametru iolog_dir.
Defaults log_input, log_output
Hemm xi sekwenzi ta 'ħarba huma appoġġjati bħal %{seq}
li jespandi għal numru ta' sekwenza bażi 36 li qed jiżdied b'mod monotoniku, bħal 000001, fejn kull żewġ ċifri jintużaw biex jiffurmaw direttorju ġdid, eż. 00/00/01 bħal fl-eżempju hawn taħt:
$ cd /var/log/sudo-io/ $ ls $ cd 00/00/01 $ ls $ cat log
Tista' tara l-bqija tal-fajls f'dak id-direttorju billi tuża l-kmand tal-qtates.
6. Lecture Utenti Sudo
Biex tagħti tagħlima lill-utenti ta' sudo dwar l-użu tal-password fis-sistema, uża l-parametru tal-lecture kif hawn taħt.
Għandu 3 valuri possibbli:
- dejjem – dejjem tagħti tagħlima lil utent.
- darba – jagħti tagħlim lill-utent biss l-ewwel darba li jesegwixxi kmand sudo (dan jintuża meta ma jkun speċifikat ebda valur)
- qatt – qatt ma tagħti tagħlima lill-utent.
Defaults lecture="always"
Barra minn hekk, tista’ tissettja fajl ta’ lecture personalizzat bil-parametru lecture_file, ittajpja l-messaġġ xieraq fil-fajl:
Defaults lecture_file="/path/to/file"
7. Uri Messaġġ Custom Meta Daħħal Password sudo Ħażina
Meta utent idaħħal password ħażina, ċertu messaġġ jintwera fuq il-linja tal-kmand. Il-messaġġ default huwa \skużani, erġa' pprova”, tista' timmodifika l-messaġġ billi tuża l-parametru badpass_message kif ġej:
Defaults badpass_message="Password is wrong, please try again"
8. Żid il-Limitu tal-Password Tries sudo
Il-parametru passwd_tries jintuża biex jispeċifika n-numru ta' drabi li utent jista' jipprova jdaħħal password.
Il-valur default huwa 3:
Defaults passwd_tries=5
Biex tissettja timeout tal-password (default huwa 5 minuti) billi tuża l-parametru passwd_timeout, żid il-linja hawn taħt:
Defaults passwd_timeout=2
9. Ħalli lil Sudo jinsultak Meta Daħħal Password Ħażina
F'każ li utent ittajpja password ħażina, sudo se juri insulti fuq it-terminal bil-parametru tal-insulti. Dan awtomatikament jitfi l-parametru badpass_message.
Defaults insults
Aqra Iktar: Ħalli lil Sudo jinsultak Meta Daħħal Password Skorretta
10. Tgħallem Aktar Konfigurazzjonijiet Sudo
Barra minn hekk, tista 'titgħallem aktar konfigurazzjonijiet ta' kmand sudo billi taqra: Differenza Bejn su u sudo u Kif tikkonfigura sudo fil-Linux.
Dak hu! Tista 'taqsam konfigurazzjonijiet ta' kmand sudo utli oħra jew tricks u pariri ma 'utenti tal-Linux hemmhekk permezz tat-taqsima tal-kummenti hawn taħt.