前端之家收集整理的这篇文章主要介绍了
CentOS下的sudo相关配置的总结归纳,
前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
1 基础部分
1.1 常用的命令行
|
1
2
3
4
5
6
@H_502_36@
|
man
sudoers
visudo
sudo
-l
sudo
-uuser1
/bin/ls
sudo
-ggp1
/bin/ls
sudo
-uuser1-ggp1
/bin/ls
@H_502_36@
|
1.2 配置文件路径
1.3 sudoers的规则分类
sudoers的规则分为以下两类:
1)别名定义(可选)
2)授权规则(必选)
1.4 特殊符号的用法
|
1
2
3
4
5
6
7
@H_502_36@
|
"#"
用于注释
"\x"
转义字符
"\"使用到物理行行尾则把下行的物理行连接成一个逻辑行
"*"
匹配零个或多个字符
"?"
匹配单个字符
"[...]"
匹配指定范围的字符
"[!...]"
匹配非指定范围的字符
@H_502_36@
|
2 Alias(别名)
2.1 别名的类型
包含以下四种别名:User_Alias,Runas_Alias,Host_Alias,Cmnd_Alias
注:以上别名类型的书写大小写敏感
|
1
2
3
4
@H_502_36@
|
Alias::=
'User_Alias'
User_Alias(
':'
User_Alias)*|
'Runas_Alias'
Runas_Alias(
':'
Runas_Alias)*|
'Host_Alias'
Host_Alias(
':'
Host_Alias)*|
'Cmnd_Alias'
Cmnd_Alias(
':'
Cmnd_Alias)*
@H_502_36@
|
2.2 别名的定义格式
2.2.1 单个别名的书写方式
|
1
@H_502_36@
|
Alias_TypeNAME=item1,item2,...
@H_502_36@
|
注:别名成员以“,”号分隔
2.2.2 多个别名的书写方式
|
1
@H_502_36@
|
Alias_TypeNAME=item1,item3:NAME=item4,item5
@H_502_36@
|
注:以“:”号分隔
2.2.3 四种书写简式
|
1
2
3
4
5
6
7
@H_502_36@
|
User_Alias::=NAME
'='
User_List
Runas_Alias::=NAME
'='
Runas_List
Host_Alias::=NAME
'='
Host_List
Cmnd_Alias::=NAME
'='
Cmnd_List
@H_502_36@
|
2.3 别名定义NAME的有效字符
|
1
@H_502_36@
|
NAME::=[A-Z]([A-Z][0-9]_)*
@H_502_36@
|
2.4 常见的定义范例
2.4.1 命令行别名的定义范例
作用:定义用户别名和别名中包含能否运行的命令
范例:
|
1
2
@H_502_36@
|
Cmnd_AliasNETWORKING=
/sbin/route
,
/sbin/ifconfig
,
/bin/ping
,
/sbin/dhclient
,
/usr/bin/net
,
/sbin/iptables
,
/usr/bin/rfcomm
,
/usr/bin/wvdial
,
/sbin/iwconfig
,
/sbin/mii-tool
@H_502_36@
|
2.4.2 用户别名的定义范例
作用:定义用户别名和别名中包含的用户或组
|
1
2
@H_502_36@
|
User_AliasNETWORKINGADMINS=user1,user2,%gp1
@H_502_36@
|
注:
1)组前面加“%”号
2)用户名必须是系统有效的用户
2.4.3 主机别名的定义范例
作用:定义主机别名和别名中包含的主机
范例:
|
1
2
@H_502_36@
|
Host_AliasFILESERVERS=fs1,fs2
@H_502_36@
|
注:
1)服务器fs1和fs2属于FILESERVERS组
2)主机可以是主机名称、IP(192.168.0.8)、或网段(192.168.0.0/24)、子网掩码(255.255.255.0)
3 授权规则
3.1 授权规则的格式
|
1
2
3
4
5
6
7
8
9
10
@H_502_36@
|
@H_502_36@
|
其实就这个意思:
注:以上都可以使用别名代替
3.2 授权规则的范例
3.2.1 不使用别名的定义方式
基于系统用户名的定义
|
1
@H_502_36@
|
user1fs1=
/sbin/mount
/mnt/cdrom
,
/sbin/umount
/mnt/cdrom
@H_502_36@
|
基于系统组的定义
|
1
@H_502_36@
|
%gp1fs1=
/sbin/mount
/mnt/cdrom
,
/sbin/umount
/mnt/cdrom
@H_502_36@
|
使用ALL关键字的定义
3.2.2 使用别名的定义方式
|
1
@H_502_36@
|
NETWORKINGADMINSFILESERVERS=(NETWORKADMINS)
@H_502_36@
|
注:
1)NETWORKINGADMINS代表定义过的用户或组:user1,%gp1
2)FILESERVERS代表定义过的服务器:fs1,fs2
3)NETWORKADMINS代表定义过的命令:/sbin/route,/sbin/ifconfig,/bin/ping,/sbin/dhclient,/usr/bin/net,/sbin/iptables,/usr/bin/rfcomm,/usr/bin/wvdial,/sbin/iwconfig,/sbin/mii-tool
3.2.3 关闭密码验证提示
在命令列前加入关键字“NOPASSWD: ”,详细如下:
|
1
@H_502_36@
|
%wheelALL=(ALL)NOPASSWD:ALL
@H_502_36@
|
或
|
1
@H_502_36@
|
%wheelALL=(ALL)NOPASSWD:
/sbin/route
@H_502_36@
|
4 其他指令
4.1 导入子规则
|
1
@H_502_36@
|
includedir
/etc/sudoers
.d
@H_502_36@
|
使定义于/etc/sudoers.d目录下的子规则生效
4.2 关闭sudo命令的提示
此选项适用于使用shell中调用sudo执行命令时候屏蔽以下提示:
|
1
@H_502_36@
|
sudo
:sorry,youmusthavea
tty
torun
sudo
@H_502_36@
|
4.2.1 方法一
注释掉以下行:
4.2.2 方法二
添加以下行:
|
1
@H_502_36@
|
Defaults:user1!requiretty
@H_502_36@
|
4.3 指定安全的执行路径
|
1
@H_502_36@
|
Defaultssecure_path=
/sbin
:
/bin
:
/usr/sbin
:
/usr/bin
@H_502_36@
|
5 开启监视日志
5.1 创建日志文件
5.2 开启sudo的日志功能
加入如下行:
|
1
2
3
@H_502_36@
|
Defaultslogfile=
/var/log/sudo
.log
Defaultsloglinelen=0
Defaults!syslog
@H_502_36@
|
5.3 配置系统日志
5.3.1 修改日志配置文件
“local7.*”行后加入如下行:
|
1
@H_502_36@
|
local2.debug
/var/log/sudo
.log
@H_502_36@
|
5.3.2 重启系统日志服务
5.4 测试日志
5.4.1 命令行监视日志
|
1
@H_502_36@
|
tail
-f
/var/log/sudo
.log
@H_502_36@
|
5.4.2 执行指令测试
|
1
@H_502_36@
|
sudo
/usr/bin/ssh
root@127.0.0.1
@H_502_36@
|
6 应用场景
6.1 排除部分使用的情景
6.1.2 配置要求
注:禁止的原因是因为用户可以使用此命令提权
6.1.2 解决方案
1) 查询用户的所属组
显示如下:
|
1
@H_502_36@
|
uid=8(mail)gid=12(mail)
groups
=12(mail)
@H_502_36@
|
2) 定义方法
|
1
2
@H_502_36@
|
%mailALL=(root)NOPASSWD:ALL
mailALL=(root)NOPASSWD:!
/bin/su
@H_502_36@
|
注:定义所属组允许执行所有命令,但拒绝用户执行su命令
3) 相对好的定义方法
|
1
2
@H_502_36@
|
%mailALL=(root)NOPASSWD:
/sbin/
*,
/bin/
*,
/usr/sbin/
*,
/usr/bin/
*
mailALL=(root)NOPASSWD:!
/bin/su
@H_502_36@
|
可防止用户使用如下方法破解:
|
1
2
@H_502_36@
|
sudo
cp
/bin/su
assu
sudo
.
/assu
-root
@H_502_36@
|
4) 相对更好的定义方法
|
1
2
3
@H_502_36@
|
%mailALL=(root)NOPASSWD:
/sbin/
*,
/usr/bin/
*
mailALL=(root)NOPASSWD:!/*/*
/sbin/
*,!/*/*
/bin/
*,!/*/*
/usr/sbin/
*,!/*/*
/usr/bin/
*,\
!
/bin/su
@H_502_36@
|
注:禁止用户使用允许的命令操作运行命令的目录的文件
可防止用户使用如下方法破解:
|
1
2
3
4
5
@H_502_36@
|
sudo
mv
/bin/su
/bin/assu
sudo
cp
/bin/su
/bin/assu
sudo
assu-root
@H_502_36@
|
5)实际上,我建议做如下配置
|
1
2
3
@H_502_36@
|
%mailALL=(root)NOPASSWD:
/sbin/
*,\
!
/bin/su
,!
/usr/bin/passwd
*root*,!/*/**
/root/
*
@H_502_36@
|
可防止用户使用passwd命令操作root用户:
|
1
2
3
@H_502_36@
|
sudo
passwd
root
sudo
passwd
-lroot
sudo
passwd
-uroot
@H_502_36@
|
或使用其他命令去操作root的家目录
|
1
2
@H_502_36@
|
sudo
ls
/root/
sudo
ls
-l
/root/
@H_502_36@
|
怎样?脑洞大开吧?sudo是相对安全的对吧?O(∩_∩)O哈哈~
