كيفية استخدام Sudo على Debian و CentOS و FreeBSD

• المتطلبات الأساسية
• الخطوة 1: تثبيت sudo
• الخطوة 2: إضافة مستخدم sudo
• الخطوة 3: إضافة المستخدم الجديد إلى مجموعة العجلة (اختياري)
• الفرق بين العجلة و sudo.
• الخطوة 4: التأكد من إعداد ملف sudoers الخاص بك بشكل صحيح
• الخطوة 5: السماح لمستخدم لا ينتمي إلى العجلة ولا مجموعة sudo بتنفيذ الأمر sudo
• الخطوة 6: إعادة تشغيل خادم SSHD
• الخطوة 7: الاختبار
• الخطوة 8: تعطيل الوصول المباشر إلى الجذر

يعد استخدام sudoمستخدم للوصول إلى خادم وتنفيذ أوامر على مستوى الجذر ممارسة شائعة جدًا بين Linux Systems و Unix Systems Administrator. sudoغالبًا ما يقترن استخدام المستخدم بتعطيل وصول الجذر المباشر إلى خادم المرء في محاولة لمنع الوصول غير المصرح به.

في هذا البرنامج التعليمي ، سنغطي الخطوات الأساسية لتعطيل الوصول المباشر إلى الجذر ، وإنشاء مستخدم sudo ، وإعداد مجموعة sudo على CentOS و Debian و FreeBSD.

المتطلبات الأساسية

• خادم Linux مثبت حديثًا مع التوزيع المفضل لديك.
• محرر نصوص مثبت على الخادم سواء كان nano أو vi أو vim أو emacs.

الخطوة 1: تثبيت sudo

ديبيان

apt-get install sudo -y

CentOS

yum install sudo -y

فري

cd /usr/ports/security/sudo/ && make install clean

أو

pkg install sudo

الخطوة 2: إضافة مستخدم sudo

A sudoالمستخدم هو حساب المستخدم العادي على جهاز لينكس أو يونكس.

ديبيان

adduser mynewusername

CentOS

adduser mynewusername

فري

adduser mynewusername

الخطوة 3: إضافة المستخدم الجديد إلى مجموعة العجلة (اختياري)

مجموعة العجلة هي مجموعة مستخدمين تحد من عدد الأشخاص القادرين suعلى الجذر. تعد إضافة sudoالمستخدم إلى wheelالمجموعة أمرًا اختياريًا تمامًا ، ولكن يُنصح بذلك.

ملاحظة: في دبيان ، sudoغالبًا ما يتم العثور على المجموعة بدلاً من wheel. ومع ذلك ، يمكنك إضافة wheelالمجموعة يدويًا باستخدام groupaddالأمر. لغرض هذا البرنامج التعليمي ، سوف نستخدم sudoالمجموعة لدبيان.

الفرق بين wheelو sudo.

في CentOS و Debian ، يمكن للمستخدم الذي ينتمي إلى wheelالمجموعة أن ينفذ suويصعد مباشرة root. وفي الوقت نفسه ، sudoقد يستخدم المستخدم sudo suالأول. بشكل أساسي ، لا يوجد فرق حقيقي باستثناء البنية المستخدمة للتجذر ، ويمكن للمستخدمين الذين ينتمون إلى كلتا المجموعتين استخدام sudoالأمر.

ديبيان

usermod -aG sudo mynewusername

CentOS

usermod -aG wheel mynewusername

فري

pw group mod wheel -m mynewusername

الخطوة 4: التأكد من إعداد ملفك sudoersبشكل صحيح

من المهم التأكد من إعداد sudoersالملف الموجود /etc/sudoersبشكل صحيح للسماح sudo usersباستخدام sudoالأمر بشكل فعال . من أجل تحقيق ذلك ، سنقوم بعرض محتوياتها /etc/sudoersوتحريرها عند الاقتضاء.

ديبيان

vim /etc/sudoers

أو

visudo

CentOS

vim /etc/sudoers

أو

visudo

فري

vim /etc/sudoers

أو

visudo

ملاحظة: و visudoسوف قيادة فتح /etc/sudoersباستخدام محرر النصوص المفضل للنظام (عادة السادس أو همة) .

ابدأ المراجعة والتحرير أسفل هذا الخط:

# Allow members of group sudo to execute any command

/etc/sudoersغالبًا ما يبدو هذا القسم كما يلي:

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

في بعض الأنظمة ، قد لا تجد %wheelبدلاً من %sudo؛ في هذه الحالة ، سيكون هذا هو الخط الذي ستبدأ في تعديله.

إذا لم يتم التعليق على السطر الذي يبدأ بـ %sudoDebian أو %wheelCentOS و FreeBSD (مسبوق بـ #) ، فهذا يعني أن sudo تم إعداده بالفعل وتم تمكينه. يمكنك بعد ذلك الانتقال إلى الخطوة التالية.

الخطوة 5: السماح لمستخدم لا ينتمي إلى المجموعة wheelولا sudoالمجموعة بتنفيذ sudoالأمر

من الممكن السماح لمستخدم ليس ضمن مجموعات المستخدمين بتنفيذ sudoالأمر بمجرد إضافته إلى /etc/sudoersما يلي:

anotherusername ALL=(ALL) ALL

الخطوة 6: إعادة تشغيل خادم SSHD

لتطبيق التغييرات التي قمت بها /etc/sudoers، تحتاج إلى إعادة تشغيل خادم SSHD على النحو التالي:

ديبيان

/etc/init.d/sshd restart

CentOS 6

/etc/init.d/sshd restart

CentOS 7

systemctl restart sshd.service

فري

/etc/rc.d/sshd start

الخطوة 7: الاختبار

بعد إعادة تشغيل خادم SSH ، قم بتسجيل الخروج ثم تسجيل الدخول مرة أخرى باسمك sudo user، ثم حاول تنفيذ بعض أوامر الاختبار على النحو التالي:

sudo uptime
sudo whoami

أي من الأوامر أدناه سيسمح sudo userبأن يصبح root.

sudo su -
sudo -i
sudo -S

ملاحظات:

• و whoamiسيعود الأمر rootعندما يقترن sudo.
• ستتم مطالبتك بإدخال كلمة مرور المستخدم الخاص بك عند تنفيذ sudoالأمر ما لم توجه النظام صراحة إلى عدم المطالبة sudo usersبكلمات المرور الخاصة به. يرجى ملاحظة أن هذه ليست ممارسة موصى بها.

اختياري: السماح sudoبدون إدخال كلمة مرور المستخدم

كما هو موضح سابقًا ، هذه ليست ممارسة موصى بها ويتم تضمينها في هذا البرنامج التعليمي لأغراض العرض التوضيحي فقط.

من أجل السماح الخاصة بك sudo userلتنفيذ sudoالأوامر دون المطالبة كلمة المرور الخاصة بهم، لاحقة خط الوصول في /etc/sudoersمع NOPASSWD: ALLالنحو التالي:

%sudo   ALL=(ALL:ALL) ALL   NOPASSWD: ALL

ملاحظة: أنت بحاجة إلى إعادة تشغيل خادم SSHD لتطبيق التغييرات.

الخطوة 8: تعطيل الوصول المباشر إلى الجذر

الآن بعد أن أكدت أنه يمكنك استخدام الخاص بك sudo userدون مشاكل ، فقد حان الوقت للخطوة الثامنة والأخيرة ، وتعطيل الوصول المباشر إلى الجذر.

أ��لاً ، افتح /etc/ssh/sshd_configباستخدام محرر النصوص المفضل لديك وابحث عن السطر الذي يحتوي على السلسلة التالية. قد تكون مسبوقة #بحرف.

PermitRootLogin

بغض النظر عن البادئة أو قيمة الخيار /etc/ssh/sshd_config، تحتاج إلى تغيير هذا الخط إلى ما يلي:

PermitRootLogin no

أخيرًا ، أعد تشغيل خادم SSHD.

ملاحظة: لا تنس اختبار التغييرات الخاصة بك عن طريق محاولة SSH في الخادم الخاص بك كـ root. إذا كنت غير قادر على القيام بذلك ، فهذا يعني أنك قد أكملت بنجاح جميع الخطوات اللازمة.

بهذا نختتم برنامجنا التعليمي.