个人使用 sudo 方法
sudo
作用:允许 系统管理员 授予某些用户或用户组以 其他用户身份 运行某些或所有命令的权限
- su 用于变更为其他使用者的身份的命令,一般需要键入该使用者的密码
- sudo 则是对 su 使用的简化,不需要 su 琐碎的操作步骤,更佳的便捷且对权限的操纵更细腻
- Sudo 是免费软件,遵守 ISC 式许可证,相关详情
基本安装
虽然 sudo 在大多数 Linux 系统上会自带,但这不是绝对的事情
-
如果是使用 Debian 系统或其分支系统使用如下命令,想了解 Debian 包管理可以查看 此处
apt install sudo -
如果是使用 Ret Hat 相关的系统及其分支可以使用如下命令
yum install sudo -
如果需要想有更多自定义可以进行源码手动编译安装,官方安装说明
配置 sudo
sudo 支持用于安全策略、审计和输入或输出日志记录的插件架构
- 默认安全策略是
sudoers,sudoers 策略插件作用是 控制用户使用 sudo 时权限的范围 - 第三方可以开发和分发他们自己的插件以与 sudo 前端无缝协作,一般并情况并不会运用到,如果想要了解可查看 此处
sudoers
sudoers 安全策略要求大多数用户在使用 sudo 之前进行 身份验证,如果满足下列条件则不需要密码
- 调用用户是root用户
- 目标用户与调用用户相同
- 策略已禁用用户或命令的身份验证
- 可能支持凭证缓存,以允许用户在 sudo 一段时间内再次运行而无需身份验证,默认情况下会以每个终端为基础缓存凭据 5 分钟
注意:与 su 不同之处在 sudoers 需要身份验证时,它会验证 调用用户的凭据 而不是 目标用户或根用户的凭据
- 如果 sudo 是由 root 用户 运行的,并且设置了
SUDO_USER环境变量,sudoers 策略将使用该值来确定实际用户是谁 - 即使调用了根 shell,用户也可以使用该值通过 sudo 记录命令
- 允许
-e选项在通过 sudo 运行脚本或程序调用时仍然有用
sudoers 的管理方式通过以下两种方法
- /etc/sudoers 文件,此方法适合个人使用
- 可选地在 LDAP 中驱动,此方法适用于大型分布式环境,后面不提想要了解可以点击 此处
使用 /etc/sudoers 配置文件
对于默认安全策略 sudoers,应使用 visudo 程序更改配置文件,这将确保不会引入语法错误
- visudo 使用 vi 打开 /etc/sudoers 文件,但是在保存退出时,visudo 会检查内部语法,避免用户输入错误信息
- 所以使用 visudo 建议查询一下 vi 用法,它与 vim 相比使用时会有些许出入
sudoers 文件格式
- 由两种类型的条目组成:别名(基本上是变量)和用户规范(指定谁可以运行什么)
- sudoers 文件语法将使用 EBNF 描述
别名 Aliases
-
分四类:User_Alias, Runas_Alias, Host_Alias, Cmnd_Alias
Alias ::= 'User_Alias' User_Alias_Spec (':' User_Alias_Spec)* | 'Runas_Alias' Runas_Alias_Spec (':' Runas_Alias_Spec)* | 'Host_Alias' Host_Alias_Spec (':' Host_Alias_Spec)* | 'Cmnd_Alias' Cmnd_Alias_Spec (':' Cmnd_Alias_Spec)* | 'Cmd_Alias' Cmnd_Alias_Spec (':' Cmnd_Alias_Spec)* User_Alias ::= NAME User_Alias_Spec ::= User_Alias '=' User_List User_List ::= User | User ',' User_List User ::= '!'* user name | '!'* #user-ID | '!'* %group | '!'* %#group-ID | '!'* +netgroup | '!'* %:nonunix_group | '!'* %:#nonunix_gid | '!'* User_Alias Runas_Alias ::= NAME Runas_Alias_Spec ::= Runas_Alias '=' Runas_List ::= Runas_Member | Runas_Member ',' Runas_List Runas_Member ::= '!'* user name | '!'* #user-ID | '!'* %group | '!'* %#group-ID | '!'* %:nonunix_group | '!'* %:#nonunix_gid | '!'* +netgroup | '!'* Runas_Alias | '!'* ALL Host_Alias ::= NAME Host_Alias_Spec ::= Host_Alias '=' Host_List Host_List ::= Host | Host ',' Host_List Host ::= '!'* host name | '!'* ip_addr | '!'* network(/netmask)? | '!'* +netgroup | '!'* Host_Alias | '!'* ALL Cmnd_Alias ::= NAME Cmnd_Alias_Spec ::= Cmnd_Alias '=' Cmnd_List Cmnd_List ::= Cmnd | Cmnd ',' Cmnd_List Cmnd ::= Digest_List? '!'* command | '!'* directory | '!'* Edit_Spec | '!'* Cmnd_Alias Digest_List ::= Digest_Spec | Digest_Spec ',' Digest_List Digest_Spec ::= "sha224" ':' digest | "sha256" ':' digest | "sha384" ':' digest | "sha512" ':' digest digest ::= [A-Fa-f0-9]+ | [A-Za-z0-9\+/=]+ command ::= command name | command name args | command name regex | command name '""' | ALL command name ::= regex | file name Edit_Spec ::= "sudoedit" file name+ | "sudoedit" regex | "sudoedit" NAME ::= [A-Z][0-9A-Z]*- User_Alias: 用户名别名
- User_List: 一个或多个用户名或系统组名(以
%为前缀)、以 UID 或 GID(以#或%#为前缀)、网络组(以+为前缀)、非 Unix 组组成名称和 ID(分别以%:和%:#为前缀)以及 User_Alias - Runas_Alias: 用户身份别名
- Runas_List: 类似 User_List 但 ALL 是任意或任何的涵义
- Host_Alias: 主机别名
- Host_list: 由一个或多个主机名、IP 地址、网络号、网络组(以
+为前缀)和其他别名组成 - Cmnd_Alias: 命令别名
- Cmnd_list: 一个或多个命令、目录或别名的列表
- Digest_List: 一个或多个 Digest_Spec 条目的 逗号 分隔列表
- 从
sudo 1.9.0开始,如果需要可以使用 Cmd_Alias 代替 Cmnd_Alias
-
别名定义都是以下形式
Alias_Type NAME = item1, item2, ...- Alias_Type: 别名类型
- NAME: 由大写字母、数字、下划线字符组成的字符串,且必须以大写字母开头
- 可以将多个相同类型的别名定义放在一行中以 冒号
:分隔
用户规范
-
用户规范确定用户可以在指定主机上运行哪些命令
User_Spec ::= User_List Host_List '=' Cmnd_Spec_List \ (':' Host_List '=' Cmnd_Spec_List)* Cmnd_Spec_List ::= Cmnd_Spec | Cmnd_Spec ',' Cmnd_Spec_List Cmnd_Spec ::= Runas_Spec? Option_Spec* (Tag_Spec ':')* Cmnd Runas_Spec ::= '(' Runas_List? (':' Runas_List)? ')' Option_Spec ::= (SELinux_Spec | Solaris_Priv_Spec | Date_Spec | Timeout_Spec | Chdir_Spec | Chroot_Spec) SELinux_Spec ::= ('ROLE=role' | 'TYPE=type') Solaris_Priv_Spec ::= ('PRIVS=privset' | 'LIMITPRIVS=privset') Date_Spec ::= ('NOTBEFORE=timestamp' | 'NOTAFTER=timestamp') Timeout_Spec ::= 'TIMEOUT=timeout' Chdir_Spec ::= 'CWD=directory' Chroot_Spec ::= 'CHROOT=directory' Tag_Spec ::= ('EXEC' | 'NOEXEC' | 'FOLLOW' | 'NOFOLLOW' | 'LOG_INPUT' | 'NOLOG_INPUT' | 'LOG_OUTPUT' | 'NOLOG_OUTPUT' | 'MAIL' | 'NOMAIL' | 'INTERCEPT' | 'NOINTERCEPT' | 'PASSWD' | 'NOPASSWD' | 'SETENV' | 'NOSETENV')- 用户规范的基本结构可以理解为
who where = (as_whom) what描述为 who 在 where 使用 as_whom 的身份执行 what 这件事 - who: 指使用者,比如用户或用户组等
- where: 使用场景,比如主机或网络组等
- as_whom: 使用身份,比如用户或用户组等
- what: 做什么,比如命令等
- 用户规范的基本结构可以理解为
-
示例
# 允许用户 dgb 在主机 boulder 上可以 operator 的身份执行 /bin/ls、/bin/kill、/usr/bin/lprm 中任意命令 dgb boulder = (operator) /bin/ls, /bin/kill, /usr/bin/lprm # 允许用户 dgb 在主机 boulder 上可以用 operator 用户或 operator 组的身份执行 /bin/ls, # 可以用 root 身份执行 /bin/kill、/usr/bin/lprm 中任意命令 dgb boulder = (operator : operator) /bin/ls, (root) /bin/kill,\ /usr/bin/lprm # 用户 alan 可以作为用户 root 或 bin 运行任何命令,可选择将组设置为 operator 或 system alan ALL = (root, bin : operator, system) ALL使用
$ sudo -u operator /bin/ls $ sudo -u operator -g operator /bin/ls $ sudo -g operator /bin/ls
标签 Tag_Spec
-
一个命令可能有零个或多个与之关联的标签,后续就会继承该标签,除非它被相反的标签覆盖
-
EXEC 和 NOEXEC
如果sudo编译时带有 noexec 支持并且底层操作系统支持它,则该 NOEXEC 标记可用于防止动态链接的可执行文件本身运行更多命令
# 用户 aaron 可以运行 /usr/bin/more, /usr/bin/vi,但将禁用 shell 转义。 aaron shanty = NOEXEC: /usr/bin/more, /usr/bin/vi -
FOLLOW 和 NOFOLLOW
从版本 1.8.15 开始,除非启用 sudoedit_follow 标志,sudoedit 否则将不会打开作为符号链接的文件,如果进行覆盖则可以打开,这对标签仅对 sudoedit 命令有效,对所有其他命令都将被忽略
-
LOG_INPUT 和 NOLOG_INPUT
在每个命令的基础上覆盖 log_input 标志的值
-
LOG_OUTPUT 和 NOLOG_OUTPUT
在每个命令的基础上覆盖 log_output 标志的值
-
MAIL 和 NOMAIL
这些标记通过在每个命令的基础上覆盖 mail_all_cmnds 标志的值,提供对当用户运行命令时是否发送邮件的细粒度控制
-
PASSWD 和 NOPASSWD
默认情况下,sudo 要求用户在运行命令之前进行身份验证,但可以通过 NOPASSWD 标签修改此行为,相反 PASSWD 标签可以用来颠倒事物
# 将允许用户 ray 在机器 rushmore 上以 root 身份运行没有密码的情况下运行 /bin/kill,对 /bin/ls, /usr/bin/lprm 则需要密码 ray rushmore = NOPASSWD: /bin/kill, PASSWD: /bin/ls, /usr/bin/lprm但是请注意,该标记对 exempt_group 设置 PASSWD 指定的组中的用户没有影响
-
SETENV 和 NOSETENV
这些标记在每个命令的基础上覆盖 setenv 标志的值
- 如果 SETENV 已为命令设置,则用户可以通过选项从命令行禁用env_reset标志
-E选项,在命令行上设置的环境变量不受 env_check, env_delete, env_keep 施加的限制,因此只应允许受信任的用户以这种方式设置变量- 如果匹配的命令是 ALL,则 SETENV 该命令隐含该标记,这个默认值可以通过使用 NOSETENV 标签来覆盖
-
INTERCEPT 和 NOINTERCEPT
如果 sudo 已使用拦截支持进行编译并且底层操作系统支持它,则该 INTERCEPT 标记可用于使命令生成的程序针对 sudoers 进行验证并记录下来,就像 sudo 直接运行它们一样
- 这与允许 shell 转义的命令(如 shell、编辑器、分页器)结合使用很有用
- 由于策略检查可能会在运行命令(例如执行大量子命令的 shell 脚本)时增加延迟,因此会产生额外的开销
在 sudoers 文件中的主机名、路径名和命令行参数中允许使用 POSIX.1 标准的通配符,从版本 1.9.10 开始可以对路径名和命令行参数使用正则表达式,使用 POSIX 扩展正则表达式, 强烈建议不要对命令名称使用 取反类型 的正则表达式,可能会存在规则绕过的问题
下列为 POSIX.1 标准的通配符,如果是 POSIX 扩展正则表达式可以自行查询
*: 匹配任意一组零个或多个字符(包括空格)?: 匹配任何单个字符(包括空格)[...]: 匹配指定范围内的任意字符[!...]: 匹配不在指定范围内的任何字符\: 转义特殊字符,从版本 1.9.10 开始,整个路径 可以用双引号括起来,在这种情况下不需要转义
sudoers 文件范围
使用 @include 和 @includedir 指令从当前正在解析的 sudoers 文件中包含其他 sudoers 文件
-
除了本地的每台机器文件之外,还可以使用包含文件来保留站点范围的 sudoers 文件
-
站点范围的sudoers文件将是 /etc/sudoers 而每台机器的文件将是 /etc/sudoers.local
# 在 /etc/sudoers 中包含 /etc/sudoers.local @include /etc/sudoers.local -
@includedir指令可用于创建一个 sudoers.d 目录,系统包管理器可以将 sudoers 文件规则放入其中作为包安装的一部分,文件按排序的词法顺序进行解析
-
-
编写注意:特殊字符和保留字
#在 sudoers 文件中作为 注释符!以用作列表或别名中的 逻辑非运算符\长行换行作为 续行符ALL一个内置别名,它总是使匹配成功,正如名称任何或所有- 保留字:CHROOT, PRIVS, LIMITPRIVS, ROLE, TYPE, TIMEOUT, CWD, NOTBEFORE, NOTAFTER
