CentOS下的sudo命令相关配置的总结归纳
时间:2016-06-23 01:12 来源:linux.it.net.cn 作者:IT
1 基础部分
1.1 常用的命令行
man sudoers #参阅帮助
visudo #编辑sudoers的命令
sudo -l #查看可执行或禁止执行的命令
sudo -u user1 /bin/ls #指定user1用户的身份执行命令
sudo -g gp1 /bin/ls #指以gp1组的身份执行
sudo -u user1 -g gp1 /bin/ls #指定用户和组的身份执行
1.2 配置文件路径
/etc/sudoers
1.3 sudoers的规则分类
sudoers的规则分为以下两类:
1)别名定义(可选)
2)授权规则(必选)
1.4 特殊符号的用法
"#" 用于注释
"\x" 转义字符
"\" 使用到物理行行尾则把下行的物理行连接成一个逻辑行
"*" 匹配零个或多个字符
"?" 匹配单个字符
"[...]" 匹配指定范围的字符
"[!...]" 匹配非指定范围的字符
2 Alias(别名)
2.1 别名的类型
包含以下四种别名:User_Alias,Runas_Alias,Host_Alias,Cmnd_Alias
注:以上别名类型的书写大小写敏感
Alias ::= 'User_Alias' User_Alias (':' User_Alias)* |
'Runas_Alias' Runas_Alias (':' Runas_Alias)* |
'Host_Alias' Host_Alias (':' Host_Alias)* |
'Cmnd_Alias' Cmnd_Alias (':' Cmnd_Alias)*
2.2 别名的定义格式
2.2.1 单个别名的书写方式
Alias_Type NAME = item1, item2, ...
注:别名成员以“,”号分隔
2.2.2 多个别名的书写方式
Alias_Type NAME = item1, item2, item3 : NAME = item4, item5
注:以“:”号分隔
2.2.3 四种书写简式
User_Alias ::= NAME '=' User_List
Runas_Alias ::= NAME '=' Runas_List
Host_Alias ::= NAME '=' Host_List
Cmnd_Alias ::= NAME '=' Cmnd_List
2.3 别名定义NAME的有效字符
NAME ::= [A-Z]([A-Z][0-9]_)*
2.4 常见的定义范例
2.4.1 命令行别名的定义范例
作用:定义用户别名和别名中包含能否运行的命令
范例:
## Networking
Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool
2.4.2 用户别名的定义范例
作用:定义用户别名和别名中包含的用户
## User Aliases
User_Alias NETWORKINGADMINS = user1, user2, %gp1
注:
1)组前面加“%”号
2)用户名必须是系统有效的用户
2.4.3 主机别名的定义范例
作用:定义主机别名和别名中包含的主机
范例:
## Host Aliases
Host_Alias FILESERVERS = fs1, fs2
注:
1)服务器fs1和fs2属于FILESERVERS组
2)主机可以是主机名称、IP(192.168.0.8)、或网段(192.168.0.0/24)、子网掩码(255.255.255.0)
3 授权规则
3.1 授权规则的格式
## Next comes the main part: which users can run what software on
## which machines (the sudoers file can be shared between multiple
## systems).
## Syntax:
##
## user MACHINE=COMMANDS
##
## The COMMANDS section may have other options added to it.
##
## Allow root to run any commands anywhere
其实就这个意思:
用户名或%组名 主机名称=能否运行的命令
注:以上都可以使用别名代替
3.2 授权规则的范例
3.2.1 不使用别名的定义方式
基于系统用户名的定义
user1 fs1=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom
基于系统组的定义
%gp1 fs1=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom
使用ALL关键字的定义
root ALL=(ALL) ALL
3.2.2 使用别名的定义方式
NETWORKINGADMINS FILESERVERS=(NETWORKADMINS)
注:
1)NETWORKINGADMINS代表定义过的用户或组:user1, user2, %gp1
2)FILESERVERS代表定义过的服务器:fs1, fs2
3)NETWORKADMINS代表定义过的命令:/sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool
3.2.3 关闭密码验证提示
在命令列前加入关键字“NOPASSWD: ”,详细如下:
%wheel ALL=(ALL) NOPASSWD: ALL
或
%wheel ALL=(ALL) NOPASSWD: /sbin/route
4 其他指令
4.1 导入子规则
includedir /etc/sudoers.d
使定义于/etc/sudoers.d目录下的子规则生效
4.2 关闭sudo命令的提示
此选项适用于使用shell中调用sudo执行命令时候屏蔽以下提示:
sudo: sorry, you must have a tty to run sudo
4.2.1 方法一
注释掉以下行:
#Defaults requiretty
4.2.2 方法二
添加以下行:
Defaults:user1 !requiretty
4.3 指定安全的执行路径
Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin
5 开启监视日志
5.1 创建日志文件
touch /var/log/sudo.log
5.2 开启sudo的日志功能
visudo
加入如下行:
Defaults logfile=/var/log/sudo.log
Defaults loglinelen=0
Defaults !syslog
5.3 配置系统日志
5.3.1 修改日志配置文件
vim /etc/rsyslog.conf
“local7.*”行后加入如下行:
local2.debug /var/log/sudo.log
5.3.2 重启系统日志服务
service rsyslog restart
5.4 测试日志
5.4.1 命令行监视日志
tail -f /var/log/sudo.log
5.4.2 执行指令测试
sudo /usr/bin/ssh root@127.0.0.1
6 应用场景
6.1 排除部分使用的情景
6.1.2 配置要求
禁止某用户使用:ssh命令
允许某用户使用:ssh除外命令
6.1.2 解决方案
1) 查询用户的所属组
id mail
显示如下:
uid=8(mail) gid=12(mail) groups=12(mail)
2) 定义方法
%mail ALL=(root) NOPASSWD: ALL
mail ALL=(root) NOPASSWD: !/usr/bin/ssh
注:定义所属组允许执行所有命令,但拒绝用户执行ssh命令
3) 相对好的定义方法
%mail ALL=(root) NOPASSWD: /sbin/*,/bin/*,/usr/sbin/*,/usr/bin/*
mail ALL=(root) NOPASSWD: !/usr/bin/ssh
可防止用户使用如下方法破解:
sudo cp /usr/bin/ssh a
sudo ./a root@10.168.0.106
4) 相对更好的定义方法
%mail ALL=(root) NOPASSWD: /sbin/*,/bin/*,/usr/sbin/*,/usr/bin/*
mail ALL=(root) NOPASSWD: !/sbin/* /sbin/*,!/sbin/* /bin/*, /sbin/* /usr/sbin/*, /sbin/* /usr/bin/*,\
!/bin/* /sbin/*,!/bin/* /bin/*,!/bin/* /usr/sbin/*,!/bin/* /usr/bin/*,\
!/usr/sbin/* /sbin/*,!/usr/sbin/* /bin/*,!/usr/sbin/* /usr/sbin/*,!/usr/sbin/* /usr/bin/*,\
!/usr/bin/* /sbin/*,!/usr/bin/* /bin/*,!/usr/bin/* /usr/sbin/*,!/usr/bin/* /usr/bin/*,\
!/usr/bin/ssh
注:禁止用户使用允许的命令操作运行命令的目录的文件
可防止用户使用如下方法破解:
sudo mv /usr/bin/ssh /usr/bin/a
#或者
sudo cp /usr/bin/ssh /usr/bin/a
#然后
sudo /usr/bin/a root@10.168.0.106
怎样?脑洞大开吧?sudo是相对安全的O(∩_∩)O哈哈~
6.2 防止用户操作日志
%mail ALL=(root) NOPASSWD: /sbin/*,/bin/*,/usr/sbin/*,/usr/bin/*
mail ALL=(root) NOPASSWD: !/sbin/* /var/log/sudo.log,!/bin/* /var/log/sudo.log,\
!/usr/sbin/* /var/log/sudo.log,!/usr/bin/* /var/log/sudo.log
------------------------------------------------------------
参阅文献
官方文档:
https://www.sudo.ws/man/1.8.17/sudoers.man.html
非官方文档:
http://my.oschina.net/aiguozhe/blog/38706
http://www.jbxue.com/LINUXjishu/22920.html
http://blog.csdn.net/julius819/article/details/7735070
http://longcentod.blog.51cto.com/9060910/1533644
http://blog.csdn.net/xyz846/article/details/26406955
(责任编辑:IT)
| 1 基础部分 1.1 常用的命令行 man sudoers #参阅帮助 visudo #编辑sudoers的命令 sudo -l #查看可执行或禁止执行的命令 sudo -u user1 /bin/ls #指定user1用户的身份执行命令 sudo -g gp1 /bin/ls #指以gp1组的身份执行 sudo -u user1 -g gp1 /bin/ls #指定用户和组的身份执行 1.2 配置文件路径 /etc/sudoers 1.3 sudoers的规则分类 sudoers的规则分为以下两类: 1)别名定义(可选) 2)授权规则(必选) 1.4 特殊符号的用法 "#" 用于注释 "\x" 转义字符 "\" 使用到物理行行尾则把下行的物理行连接成一个逻辑行 "*" 匹配零个或多个字符 "?" 匹配单个字符 "[...]" 匹配指定范围的字符 "[!...]" 匹配非指定范围的字符 2 Alias(别名) 2.1 别名的类型 包含以下四种别名:User_Alias,Runas_Alias,Host_Alias,Cmnd_Alias 注:以上别名类型的书写大小写敏感 Alias ::= 'User_Alias' User_Alias (':' User_Alias)* | 'Runas_Alias' Runas_Alias (':' Runas_Alias)* | 'Host_Alias' Host_Alias (':' Host_Alias)* | 'Cmnd_Alias' Cmnd_Alias (':' Cmnd_Alias)* 2.2 别名的定义格式 2.2.1 单个别名的书写方式 Alias_Type NAME = item1, item2, ... 注:别名成员以“,”号分隔 2.2.2 多个别名的书写方式 Alias_Type NAME = item1, item2, item3 : NAME = item4, item5 注:以“:”号分隔 2.2.3 四种书写简式 User_Alias ::= NAME '=' User_List Runas_Alias ::= NAME '=' Runas_List Host_Alias ::= NAME '=' Host_List Cmnd_Alias ::= NAME '=' Cmnd_List 2.3 别名定义NAME的有效字符 NAME ::= [A-Z]([A-Z][0-9]_)* 2.4 常见的定义范例 2.4.1 命令行别名的定义范例 作用:定义用户别名和别名中包含能否运行的命令 范例: ## Networking Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool 2.4.2 用户别名的定义范例 作用:定义用户别名和别名中包含的用户 ## User Aliases User_Alias NETWORKINGADMINS = user1, user2, %gp1 注: 1)组前面加“%”号 2)用户名必须是系统有效的用户 2.4.3 主机别名的定义范例 作用:定义主机别名和别名中包含的主机 范例: ## Host Aliases Host_Alias FILESERVERS = fs1, fs2 注: 1)服务器fs1和fs2属于FILESERVERS组 2)主机可以是主机名称、IP(192.168.0.8)、或网段(192.168.0.0/24)、子网掩码(255.255.255.0) 3 授权规则 3.1 授权规则的格式 ## Next comes the main part: which users can run what software on ## which machines (the sudoers file can be shared between multiple ## systems). ## Syntax: ## ## user MACHINE=COMMANDS ## ## The COMMANDS section may have other options added to it. ## ## Allow root to run any commands anywhere 其实就这个意思: 用户名或%组名 主机名称=能否运行的命令 注:以上都可以使用别名代替 3.2 授权规则的范例 3.2.1 不使用别名的定义方式 基于系统用户名的定义 user1 fs1=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom 基于系统组的定义 %gp1 fs1=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom 使用ALL关键字的定义 root ALL=(ALL) ALL 3.2.2 使用别名的定义方式 NETWORKINGADMINS FILESERVERS=(NETWORKADMINS) 注: 1)NETWORKINGADMINS代表定义过的用户或组:user1, user2, %gp1 2)FILESERVERS代表定义过的服务器:fs1, fs2 3)NETWORKADMINS代表定义过的命令:/sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool 3.2.3 关闭密码验证提示 在命令列前加入关键字“NOPASSWD: ”,详细如下: %wheel ALL=(ALL) NOPASSWD: ALL 或 %wheel ALL=(ALL) NOPASSWD: /sbin/route 4 其他指令 4.1 导入子规则 includedir /etc/sudoers.d 使定义于/etc/sudoers.d目录下的子规则生效 4.2 关闭sudo命令的提示 此选项适用于使用shell中调用sudo执行命令时候屏蔽以下提示: sudo: sorry, you must have a tty to run sudo 4.2.1 方法一 注释掉以下行: #Defaults requiretty 4.2.2 方法二 添加以下行: Defaults:user1 !requiretty 4.3 指定安全的执行路径 Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin 5 开启监视日志 5.1 创建日志文件 touch /var/log/sudo.log 5.2 开启sudo的日志功能 visudo 加入如下行: Defaults logfile=/var/log/sudo.log Defaults loglinelen=0 Defaults !syslog 5.3 配置系统日志 5.3.1 修改日志配置文件 vim /etc/rsyslog.conf “local7.*”行后加入如下行: local2.debug /var/log/sudo.log 5.3.2 重启系统日志服务 service rsyslog restart 5.4 测试日志 5.4.1 命令行监视日志 tail -f /var/log/sudo.log 5.4.2 执行指令测试 sudo /usr/bin/ssh root@127.0.0.1 6 应用场景 6.1 排除部分使用的情景 6.1.2 配置要求 禁止某用户使用:ssh命令 允许某用户使用:ssh除外命令 6.1.2 解决方案 1) 查询用户的所属组 id mail 显示如下: uid=8(mail) gid=12(mail) groups=12(mail) 2) 定义方法 %mail ALL=(root) NOPASSWD: ALL mail ALL=(root) NOPASSWD: !/usr/bin/ssh 注:定义所属组允许执行所有命令,但拒绝用户执行ssh命令 3) 相对好的定义方法 %mail ALL=(root) NOPASSWD: /sbin/*,/bin/*,/usr/sbin/*,/usr/bin/* mail ALL=(root) NOPASSWD: !/usr/bin/ssh 可防止用户使用如下方法破解: sudo cp /usr/bin/ssh a sudo ./a root@10.168.0.106 4) 相对更好的定义方法 %mail ALL=(root) NOPASSWD: /sbin/*,/bin/*,/usr/sbin/*,/usr/bin/* mail ALL=(root) NOPASSWD: !/sbin/* /sbin/*,!/sbin/* /bin/*, /sbin/* /usr/sbin/*, /sbin/* /usr/bin/*,\ !/bin/* /sbin/*,!/bin/* /bin/*,!/bin/* /usr/sbin/*,!/bin/* /usr/bin/*,\ !/usr/sbin/* /sbin/*,!/usr/sbin/* /bin/*,!/usr/sbin/* /usr/sbin/*,!/usr/sbin/* /usr/bin/*,\ !/usr/bin/* /sbin/*,!/usr/bin/* /bin/*,!/usr/bin/* /usr/sbin/*,!/usr/bin/* /usr/bin/*,\ !/usr/bin/ssh 注:禁止用户使用允许的命令操作运行命令的目录的文件 可防止用户使用如下方法破解: sudo mv /usr/bin/ssh /usr/bin/a #或者 sudo cp /usr/bin/ssh /usr/bin/a #然后 sudo /usr/bin/a root@10.168.0.106 怎样?脑洞大开吧?sudo是相对安全的O(∩_∩)O哈哈~ 6.2 防止用户操作日志 %mail ALL=(root) NOPASSWD: /sbin/*,/bin/*,/usr/sbin/*,/usr/bin/* mail ALL=(root) NOPASSWD: !/sbin/* /var/log/sudo.log,!/bin/* /var/log/sudo.log,\ !/usr/sbin/* /var/log/sudo.log,!/usr/bin/* /var/log/sudo.log ------------------------------------------------------------ 参阅文献 官方文档: https://www.sudo.ws/man/1.8.17/sudoers.man.html 非官方文档: http://my.oschina.net/aiguozhe/blog/38706 http://www.jbxue.com/LINUXjishu/22920.html http://blog.csdn.net/julius819/article/details/7735070 http://longcentod.blog.51cto.com/9060910/1533644 http://blog.csdn.net/xyz846/article/details/26406955 (责任编辑:IT) |