10 Konfigurazzjonijiet Utli ta 'Sudoers għall-Issettjar ta' sudo fil-Linux

Fil-Linux u sistemi operattivi oħra bħal Unix, l-utent għerq biss jista 'jmexxi l-kmandi kollha u jwettaq ċerti operazzjonijiet kritiċi fuq is-sistema bħall-installazzjoni u l-aġġornament, neħħi pakketti, joħloq utenti u gruppi, jimmodifika fajls importanti ta' konfigurazzjoni tas-sistema eċċ.

Madankollu, amministratur tas-sistema li jassumi r-rwol ta 'l-utent għerq jista' jippermetti utenti oħra tas-sistema normali bl-għajnuna ta 'kmand sudo u ftit konfigurazzjonijiet biex imexxu xi kmandi kif ukoll iwettaq numru ta' operazzjonijiet tas-sistema vitali inklużi dawk imsemmija hawn fuq.

Alternattivament, l-amministratur tas-sistema jista 'jaqsam il-password tal-utent tal-għeruq (li mhuwiex metodu rakkomandat) sabiex l-utenti tas-sistema normali jkollhom aċċess għall-kont tal-utent tal-għeruq permezz tal-kmand su.

sudo jippermetti utent permess li jesegwixxi kmand bħala root (jew utent ieħor), kif speċifikat mill-politika tas-sigurtà:

  1. Taqra u teżamina /etc/sudoers, tfittex l-utent li qed jinvoka u l-permessi tiegħu,
  2. imbagħad iħeġġeġ lill-utent li jinvoka għal password (normalment il-password tal-utent, iżda tista' tkun ukoll il-password tal-utent fil-mira. Jew tista' tinqabeż bit-tikketta NOPASSWD),
  3. wara dan, sudo joħloq proċess tifel li fih isejjaħ setuid() biex taqleb għall-utent fil-mira
  4. li jmiss, tesegwixxi qoxra jew il-kmand mogħti bħala argumenti fil-proċess tat-tfal hawn fuq.

Hawn taħt hemm għaxar konfigurazzjonijiet tal-fajls /etc/sudoers biex timmodifika l-imġieba tal-kmand tas-sudo billi tuża l-entrati Defaults.

$ sudo cat /etc/sudoers

#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults	env_reset
Defaults	mail_badpass
Defaults	secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
Defaults	logfile="/var/log/sudo.log"
Defaults	lecture="always"
Defaults	badpass_message="Password is wrong, please try again"
Defaults	passwd_tries=5
Defaults	insults
Defaults	log_input,log_output

Defaults                parameter,   parameter_list     #affect all users on any host
[email _List      parameter,   parameter_list     #affects all users on a specific host
Defaults:User_List      parameter,   parameter_list     #affects a specific user
Defaults!Cmnd_List      parameter,   parameter_list     #affects  a specific command 
Defaults>Runas_List     parameter,   parameter_list     #affects commands being run as a specific user

Għall-ambitu ta 'din il-gwida, aħna se niżlu għall-ewwel tip ta' Defaults fil-formoli hawn taħt. Il-parametri jistgħu jkunu bnadar, valuri interi, kordi, jew listi.

Għandek tinnota li l-bnadar huma impliċitament booleani u jistgħu jintfew bl-użu tal-operatur !, u l-listi għandhom żewġ operaturi ta’ assenjazzjoni addizzjonali, += (żid mal-lista) u >= (neħħi mil-lista).

Defaults     parameter
OR
Defaults     parameter=value
OR
Defaults     parameter -=value   
Defaults     parameter +=value  
OR
Defaults     !parameter

1. Issettja PASSAT Sikura

Din hija t-triq użata għal kull kmand run b'sudo, għandha żewġ importanti:

  1. Użat meta amministratur tas-sistema ma jafdax lill-utenti tas-sudo biex ikollhom varjabbli tal-ambjent PATH sikur
  2. Biex tissepara \root path u \user path, l-utenti definiti minn exempt_group biss mhumiex affettwati minn dan is-setting.

Biex issettjaha, żid il-linja:

Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin"

2. Ippermetti sudo fuq is-Sessjoni tal-Login tal-Utent TTY

Biex tippermetti li sudo jiġi invokat minn tty reali iżda mhux permezz ta' metodi bħal skripts cron jew cgi-bin, żid il-linja:

Defaults  requiretty

3. Mexxi Sudo Command Bl-użu ta 'pty

Xi ftit drabi, l-attakkanti jistgħu jmexxu programm malizzjuż (bħal virus jew malware) bl-użu ta 'sudo, li għal darb'oħra jagħmel proċess ta' sfond li jibqa 'fuq it-tagħmir terminali tal-utent anki meta l-programm prinċipali jkun spiċċa eżekuttiv.

Biex tevita xenarju bħal dan, tista' tikkonfigura sudo biex imexxi kmandi oħra biss minn psuedo-pty billi tuża l-parametru use_pty, kemm jekk il-logging I/O huwa mixgħul jew le kif ġej:

Defaults  use_pty

4. Oħloq Sudo Log File

B'mod awtomatiku, sudo logs permezz ta' syslog(3). Madankollu, biex tispeċifika fajl tal-ġurnal tad-dwana, uża l-parametru tal-logfile hekk:

Defaults  logfile="/var/log/sudo.log"

Biex tilloggja l-isem tal-host u s-sena b'erba' ċifri fil-fajl tal-ġurnal tad-dwana, uża l-parametri log_host u log_year rispettivament kif ġej:

Defaults  log_host, log_year, logfile="/var/log/sudo.log"

Hawn taħt hemm eżempju ta 'fajl ta' log sudo personalizzat:

5. Log Input/Output tal-Kmand Sudo

Il-parametri log_input u log_output jippermettu lil sudo imexxi kmand f'psewdo-tty u jirreġistra l-input kollu tal-utent u l-output kollu mibgħut lill-iskrin b'mod riċettiv.

Id-direttorju tal-log I/O default huwa /var/log/sudo-io, u jekk hemm numru tas-sekwenza tas-sessjoni, huwa maħżun f'dan id-direttorju. Tista' tispeċifika direttorju tad-dwana permezz tal-parametru iolog_dir.

Defaults   log_input, log_output

Hemm xi sekwenzi ta 'ħarba huma appoġġjati bħal %{seq} li jespandi għal numru ta' sekwenza bażi 36 li qed jiżdied b'mod monotoniku, bħal 000001, fejn kull żewġ ċifri jintużaw biex jiffurmaw direttorju ġdid, eż. 00/00/01 bħal fl-eżempju hawn taħt:

$ cd /var/log/sudo-io/
$ ls
$ cd  00/00/01
$ ls
$ cat log

Tista' tara l-bqija tal-fajls f'dak id-direttorju billi tuża l-kmand tal-qtates.

6. Lecture Utenti Sudo

Biex tagħti tagħlima lill-utenti ta' sudo dwar l-użu tal-password fis-sistema, uża l-parametru tal-lecture kif hawn taħt.

Għandu 3 valuri possibbli:

  1. dejjem – dejjem tagħti tagħlima lil utent.
  2. darba – jagħti tagħlim lill-utent biss l-ewwel darba li jesegwixxi kmand sudo (dan jintuża meta ma jkun speċifikat ebda valur)
  3. qatt – qatt ma tagħti tagħlima lill-utent.

 
Defaults  lecture="always"

Barra minn hekk, tista’ tissettja fajl ta’ lecture personalizzat bil-parametru lecture_file, ittajpja l-messaġġ xieraq fil-fajl:

Defaults  lecture_file="/path/to/file"

7. Uri Messaġġ Custom Meta Daħħal Password sudo Ħażina

Meta utent idaħħal password ħażina, ċertu messaġġ jintwera fuq il-linja tal-kmand. Il-messaġġ default huwa \skużani, erġa' pprova”, tista' timmodifika l-messaġġ billi tuża l-parametru badpass_message kif ġej:

Defaults  badpass_message="Password is wrong, please try again"

8. Żid il-Limitu tal-Password Tries sudo

Il-parametru passwd_tries jintuża biex jispeċifika n-numru ta' drabi li utent jista' jipprova jdaħħal password.

Il-valur default huwa 3:

Defaults   passwd_tries=5

Biex tissettja timeout tal-password (default huwa 5 minuti) billi tuża l-parametru passwd_timeout, żid il-linja hawn taħt:

Defaults   passwd_timeout=2

9. Ħalli lil Sudo jinsultak Meta Daħħal Password Ħażina

F'każ li utent ittajpja password ħażina, sudo se juri insulti fuq it-terminal bil-parametru tal-insulti. Dan awtomatikament jitfi l-parametru badpass_message.

Defaults  insults

Aqra Iktar: Ħalli lil Sudo jinsultak Meta Daħħal Password Skorretta

10. Tgħallem Aktar Konfigurazzjonijiet Sudo

Barra minn hekk, tista 'titgħallem aktar konfigurazzjonijiet ta' kmand sudo billi taqra: Differenza Bejn su u sudo u Kif tikkonfigura sudo fil-Linux.

Dak hu! Tista 'taqsam konfigurazzjonijiet ta' kmand sudo utli oħra jew tricks u pariri ma 'utenti tal-Linux hemmhekk permezz tat-taqsima tal-kummenti hawn taħt.