CentOS下的sudo相关配置的总结归纳

CentOS 前端之家
前端之家收集整理的这篇文章主要介绍了CentOS下的sudo相关配置的总结归纳前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。


1 基础部分@H_403_6@

1.1 常用的命令行@H_403_6@@H_403_6@

@H_301_95@

1.2 配置文件路径@H_403_6@@H_403_6@

1
2
3
4
5
6
man sudoers #参阅帮助
visudo #编辑sudoers的命令
sudo -l #查看可执行或禁止执行的命令
sudo -uuser1 /bin/ls #指定user1用户的身份执行命令
sudo -ggp1 /bin/ls #指以gp1组的身份执行
sudo -uuser1-ggp1 /bin/ls #指定用户和组的身份执行
@H_301_95@

1.3 sudoers的规则分类@H_403_6@@H_403_6@

sudoers的规则分为以下两类:

1)别名定义(可选)

2)授权规则(必选)

1.4 特殊符号的用法@H_403_6@@H_403_6@

1
/etc/sudoers
@H_301_95@

2 Alias(别名)@H_403_6@

2.1 别名的类型@H_403_6@@H_403_6@

包含以下四种别名:User_Alias,Runas_Alias,Host_Alias,Cmnd_Alias

注:以上别名类型的书写大小写敏感

1
2
3
4
5
6
7
"#" 用于注释
"\x" 转义字符
"\"使用到物理行行尾则把下行的物理行连接成一个逻辑行
"*" 匹配零个或多个字符
"?" 匹配单个字符
"[...]" 匹配指定范围的字符
"[!...]" 匹配非指定范围的字符
@H_301_95@

2.2 别名的定义格式@H_403_6@@H_403_6@

2.2.1 单个别名的书写方式@H_403_6@@H_403_6@@H_403_6@

1
2
3
4
Alias::= 'User_Alias' User_Alias( ':' User_Alias)*|
'Runas_Alias' Runas_Alias( ':' Runas_Alias)*|
'Host_Alias' Host_Alias( ':' Host_Alias)*|
'Cmnd_Alias' Cmnd_Alias( ':' Cmnd_Alias)*
@H_301_95@

注:别名成员以“,”号分隔

2.2.2 多个别名的书写方式@H_403_6@@H_403_6@@H_403_6@

1
Alias_TypeNAME=item1,item2,...
@H_301_95@

注:以“:”号分隔

2.2.3 四种书写简式@H_403_6@@H_403_6@@H_403_6@

1
Alias_TypeNAME=item1,item3:NAME=item4,item5
@H_301_95@

2.3 别名定义@H_403_6@@H_403_6@NAME的有效字符@H_403_6@@H_403_6@

1
2
3
4
5
6
7
User_Alias::=NAME '=' User_List
Runas_Alias::=NAME '=' Runas_List
Host_Alias::=NAME '=' Host_List
Cmnd_Alias::=NAME '=' Cmnd_List
@H_301_95@

2.4 常见的定义范例@H_403_6@@H_403_6@

2.4.1 命令行别名的定义范例@H_403_6@@H_403_6@@H_403_6@

作用:定义用户别名和别名中包含能否运行的命令

范例:

1
NAME::=[A-Z]([A-Z][0-9]_)*
@H_301_95@

2.4.2 用户别名的定义范例@H_403_6@@H_403_6@@H_403_6@

作用:定义用户别名和别名中包含的用户或组

1
2
##Networking
Cmnd_AliasNETWORKING= /sbin/route , /sbin/ifconfig , /bin/ping , /sbin/dhclient , /usr/bin/net , /sbin/iptables , /usr/bin/rfcomm , /usr/bin/wvdial , /sbin/iwconfig , /sbin/mii-tool
@H_301_95@

注:

1)组前面加“%”号

2)用户名必须是系统有效的用户

2.4.3 主机别名的定义范例@H_403_6@@H_403_6@@H_403_6@

作用:定义主机别名和别名中包含的主机

范例:

1
2
##UserAliases
User_AliasNETWORKINGADMINS=user1,user2,%gp1
@H_301_95@

注:

1)服务器fs1和fs2属于FILESERVERS组

2)主机可以是主机名称、IP(192.168.0.8)、或网段(192.168.0.0/24)、子网掩码(255.255.255.0)


3 授权规则@H_403_6@

3.1 授权规则的格式@H_403_6@@H_403_6@

1
2
##HostAliases
Host_AliasFILESERVERS=fs1,fs2
@H_301_95@

其实就这个意思:

1
2
3
4
5
6
7
8
9
10
##Nextcomesthemainpart:whichuserscanrunwhatsoftwareon
##whichmachines(thesudoersfilecanbesharedbetweenmultiple
##systems).
##Syntax:
##
##userMACHINE=COMMANDS
##
##TheCOMMANDSsectionmayhaveotheroptionsaddedtoit.
##
##Allowroottorunanycommandsanywhere
@H_301_95@

注:以上都可以使用别名代替

3.2 授权规则的范例@H_403_6@@H_403_6@

3.2.1 不使用别名的定义方式@H_403_6@@H_403_6@@H_403_6@

基于系统用户名的定义

1
用户名或%组名可管理的主机名称=能否运行的命令
@H_301_95@

基于系统组的定义

@H_403_6@@H_403_6@@H_403_6@

1
user1fs1= /sbin/mount /mnt/cdrom , /sbin/umount /mnt/cdrom
@H_301_95@

使用ALL关键字的定义

1
%gp1fs1= /sbin/mount /mnt/cdrom , /sbin/umount /mnt/cdrom
@H_301_95@

3.2.2 使用别名的定义方式@H_403_6@@H_403_6@@H_403_6@

1
rootALL=(ALL)ALL
@H_301_95@

注:

1)NETWORKINGADMINS代表定义过的用户或组:user1,%gp1

2)FILESERVERS代表定义过的服务器:fs1,fs2

3)NETWORKADMINS代表定义过的命令:/sbin/route,/sbin/ifconfig,/bin/ping,/sbin/dhclient,/usr/bin/net,/sbin/iptables,/usr/bin/rfcomm,/usr/bin/wvdial,/sbin/iwconfig,/sbin/mii-tool

@H_403_6@

3.2.3 关闭密码验证提示@H_403_6@@H_403_6@@H_403_6@

在命令列前加入关键字“NOPASSWD: ”,详细如下:

1
NETWORKINGADMINSFILESERVERS=(NETWORKADMINS)
@H_301_95@

1
%wheelALL=(ALL)NOPASSWD:ALL
@H_301_95@

4 其他指令@H_403_6@

4.1 导入子规则@H_403_6@@H_403_6@

1
%wheelALL=(ALL)NOPASSWD: /sbin/route
@H_301_95@

使定义于/etc/sudoers.d目录下的子规则生效

4.2 关闭sudo命令的提示@H_403_6@@H_403_6@

此选项适用于使用shell中调用sudo执行命令时候屏蔽以下提示

1
includedir /etc/sudoers .d
@H_301_95@

4.2.1 方法@H_403_6@@H_403_6@@H_403_6@

注释掉以下行:

1
sudo :sorry,youmusthavea tty torun sudo
@H_301_95@

4.2.2 方法@H_403_6@@H_403_6@@H_403_6@

添加以下行:

1
#Defaultsrequiretty
@H_301_95@

4.3 指定安全的执行路径@H_403_6@@H_403_6@

1
Defaults:user1!requiretty
@H_301_95@

5 开启监视日志@H_403_6@@H_403_6@

5.1 创建日志文件@H_403_6@@H_403_6@

1
Defaultssecure_path= /sbin : /bin : /usr/sbin : /usr/bin
@H_301_95@

5.2 开启sudo的日志功能@H_403_6@@H_403_6@

1
touch /var/log/sudo .log
@H_301_95@

加入如下行:

1
visudo
@H_301_95@

5.3 配置系统日志@H_403_6@@H_403_6@

5.3.1 修改日志配置文件@H_403_6@@H_403_6@@H_403_6@

1
2
3
Defaultslogfile= /var/log/sudo .log
Defaultsloglinelen=0
Defaults!syslog
@H_301_95@

“local7.*”行后加入如下行:

1
vim /etc/rsyslog .conf
@H_301_95@

5.3.2 重启系统日志服务@H_403_6@@H_403_6@@H_403_6@

1
local2.debug /var/log/sudo .log
@H_301_95@

5.4 测试日志@H_403_6@@H_403_6@

5.4.1 命令行监视日志@H_403_6@@H_403_6@@H_403_6@

1
servicersyslogrestart
@H_301_95@

5.4.2 执行指令测试@H_403_6@@H_403_6@@H_403_6@

1
tail -f /var/log/sudo .log
@H_301_95@

6 应用场景@H_403_6@

6.1 排除部分使用的情景@H_403_6@@H_403_6@

6.1.2 配置要求@H_403_6@@H_403_6@@H_403_6@

1
sudo /usr/bin/ssh root@127.0.0.1
@H_301_95@

注:禁止的原因是因为用户可以使用此命令提权

1
2
禁止用户使用: su 命令
允许某用户使用: su 除外命令
@H_301_95@

6.1.2 解决方@H_403_6@@H_403_6@@H_403_6@

1) 查询用户的所属组

1
sudo su -root
@H_301_95@

@H_403_6@@H_403_6@显示如下:

1
id mail
@H_301_95@

2) 定义方法

1
uid=8(mail)gid=12(mail) groups =12(mail)
@H_301_95@

注:定义所属组允许执行所有命令,但拒绝用户执行su命令

3) 相对好的定义方法

1
2
%mailALL=(root)NOPASSWD:ALL
mailALL=(root)NOPASSWD:! /bin/su
@H_301_95@

可防止用户使用如下方法破解:

1
2
%mailALL=(root)NOPASSWD: /sbin/ *, /bin/ *, /usr/sbin/ *, /usr/bin/ *
mailALL=(root)NOPASSWD:! /bin/su
@H_301_95@

4) 相对更好的定义方法

1
2
sudo cp /bin/su assu
sudo . /assu -root
@H_301_95@

注:禁止用户使用允许的命令操作运行命令的目录的文件

可防止用户使用如下方法破解:

1
2
3
%mailALL=(root)NOPASSWD: /sbin/ *, /usr/bin/ *
mailALL=(root)NOPASSWD:!/*/* /sbin/ *,!/*/* /bin/ *,!/*/* /usr/sbin/ *,!/*/* /usr/bin/ *,\
! /bin/su
@H_301_95@

5)实际上,我建议做如下配置

1
2
3
4
5
sudo mv /bin/su /bin/assu
#或者
sudo cp /bin/su /bin/assu
#然后
sudo assu-root
@H_301_95@

可防止用户使用passwd命令操作root用户

1
2
3
%mailALL=(root)NOPASSWD: /sbin/ *,\
! /bin/su ,! /usr/bin/passwd *root*,!/*/** /root/ *
@H_301_95@

或使用其他命令去操作root的家目录

1
2
3
sudo passwd root
sudo passwd -lroot
sudo passwd -uroot
@H_301_95@

怎样?脑洞大开吧?sudo是相对安全的对吧?O(∩_∩)O哈哈~@H_403_6@

猜你在找的CentOS相关文章

Centos7离线安装gcc4.8
有时候CentOS工作在无互联网的环境下,需要在离线环境下安装一些组件,这次实现的是模拟在...
CentOS7离线安装devtoolset-9并编译redis6.0.5
首先参照https://www.cnblogs.com/wdw984/p/13330074.html,来进行如何安装Centos和离线下...
使用Nginx在80端口上代理多个.NET CORE网站
有两个.NET CORE3.1网站部署在CentOS7上(内网IP是192.168.2.32),现在想实现访问http://...
CentOS7中配置vsftpd
1、yum -y install vsftpd 安装vsftpd 2、配置vsftpd的配置文件(/etc/vsftpd/vsftpd.conf...
CentOS7离线安装Mysql8.0
首先去mysql官网下载mysql的离线rpm安装包(https://downloads.mysql.com/archives/commun...
CentOS中增加网络连接数的方法
CentOS默认对外访问,发起的TCP链接总数小于28232个。 可以通过以下命令的结果计算出来 $ ...
VMware安装Centos7虚拟机
首先安装虚拟机很简单,所以呢,具体的安装过程就引用别人的博客,这篇文字很详细,引用之...
[Linux] 解决CentOS下Requires: libjson-c.so错误
当安装某些rpm包的时候 , 会爆出这个错误 Requires: libjson-c.so json-c是c语言下的json库...
阿里云centos7安装mysql8数据库
linux系统安装mysql8
centos安装mysql
一、安装 二、修改密码 三、修改远程连接权限(为了使用navicat)
LinuxWindowsCentOSUbuntuNginxWebServiceScalaMemcacheApacheRedisDockerBashAzureTomcatLNMPShell数据结构服务器运维网络安全
xebugnodemondocker-copydcoselasticsearcwindows-contdocker-windodocker-awsamazon-cloudenvoyproxyhashicorp-vaswisscomdevkafka-pythonzscalerphoton-osdocker-swarmkamongoogle-cloudconcoursewso2-ampersistent-vapi-managerprocess-manamanjarojenkins-workhypriotremoteapikeystonejsbitcoindbitcoin-test
1
2
sudo ls /root/
sudo ls -l /root/