Verwendung von Sudo unter Debian, CentOS und FreeBSD

• Voraussetzungen
• Schritt 1: sudo installieren
• Schritt 2: Hinzufügen des Sudo-Benutzers
• Schritt 3: Hinzufügen des neuen Benutzers zur Radgruppe (optional)
• Der Unterschied zwischen Rad und Sudo.
• Schritt 4: Stellen Sie sicher, dass Ihre Sudoers-Datei ordnungsgemäß eingerichtet ist
• Schritt 5: Ermöglichen, dass ein Benutzer, der weder dem Rad noch der Sudo-Gruppe angehört, den Sudo-Befehl ausführt
• Schritt 6: Starten Sie den SSHD-Server neu
• Schritt 7: Testen
• Schritt 8: Deaktivieren Sie den direkten Root-Zugriff

Die Verwendung eines sudoBenutzers für den Zugriff auf einen Server und die Ausführung von Befehlen auf Stammebene ist unter Linux- und Unix-Systemadministratoren weit verbreitet. Die Verwendung eines sudoBenutzers ist häufig durch Deaktivieren des direkten Root-Zugriffs auf den eigenen Server verbunden, um unbefugten Zugriff zu verhindern.

In diesem Tutorial werden die grundlegenden Schritte zum Deaktivieren des direkten Root-Zugriffs, zum Erstellen eines Sudo-Benutzers und zum Einrichten der Sudo-Gruppe unter CentOS, Debian und FreeBSD behandelt.

Voraussetzungen

• Ein neu installierter Linux-Server mit Ihrer bevorzugten Distribution.
• Ein auf dem Server installierter Texteditor, egal ob es sich um Nano, Vi, Vim oder Emacs handelt.

Schritt 1: sudo installieren

Debian

apt-get install sudo -y

CentOS

yum install sudo -y

FreeBSD

cd /usr/ports/security/sudo/ && make install clean

oder

pkg install sudo

Schritt 2: Hinzufügen des Sudo-Benutzers

Ein sudoBenutzer ist ein normales Benutzerkonto auf einem Linux- oder Unix-Computer.

Debian

adduser mynewusername

CentOS

adduser mynewusername

FreeBSD

adduser mynewusername

Schritt 3: Hinzufügen des neuen Benutzers zur Radgruppe (optional)

Die Radgruppe ist eine Benutzergruppe, die die Anzahl der Personen begrenzt, die surooten können. Das Hinzufügen Ihres sudoBenutzers zur wheelGruppe ist völlig optional, aber ratsam.

Hinweis: In Debian wird die sudoGruppe häufig anstelle von gefunden wheel. Sie können die wheelGruppe jedoch manuell mit dem groupaddBefehl hinzufügen . Für dieses Tutorial verwenden wir die sudoGruppe für Debian.

Der Unterschied zwischen wheelund sudo.

In CentOS und Debian kann ein zur wheelGruppe gehörender Benutzer ausführen suund direkt aufsteigen root. In der Zwischenzeit hätte ein sudoBenutzer den sudo suersten verwendet. Im Wesentlichen gibt es keinen wirklichen Unterschied außer der Syntax, die verwendet wird, um root zu werden , und Benutzer, die zu beiden Gruppen gehören, können den sudoBefehl verwenden.

Debian

usermod -aG sudo mynewusername

CentOS

usermod -aG wheel mynewusername

FreeBSD

pw group mod wheel -m mynewusername

Schritt 4: Stellen Sie sicher, dass Ihre sudoersDatei ordnungsgemäß eingerichtet ist

Es ist wichtig sicherzustellen, dass die sudoersDatei in /etc/sudoersordnungsgemäß eingerichtet ist, damit sudo usersder sudoBefehl effektiv verwendet werden kann . Um dies zu erreichen, werden wir den Inhalt von anzeigen /etc/sudoersund gegebenenfalls bearbeiten.

Debian

vim /etc/sudoers

oder

visudo

CentOS

vim /etc/sudoers

oder

visudo

FreeBSD

vim /etc/sudoers

oder

visudo

Hinweis: Der visudoBefehl wird /etc/sudoersmit dem vom System bevorzugten Texteditor (normalerweise vi oder vim) geöffnet .

Beginnen Sie unterhalb dieser Zeile mit der Überprüfung und Bearbeitung:

# Allow members of group sudo to execute any command

Dieser Abschnitt /etc/sudoerssieht oft so aus:

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

In einigen Systemen finden Sie möglicherweise nicht %wheelstatt %sudo; In diesem Fall ist dies die Zeile, unter der Sie mit dem Ändern beginnen würden.

Wenn die Zeile, die %sudoin Debian oder %wheelin CentOS und FreeBSD beginnt, nicht auskommentiert ist (mit dem Präfix #) , bedeutet dies, dass sudo bereits eingerichtet und aktiviert ist. Sie können dann mit dem nächsten Schritt fortfahren.

Schritt 5: Zulassen, dass ein Benutzer, der weder wheelder sudoGruppe noch der Gruppe angehört, den sudoBefehl ausführt

Es ist möglich, einem Benutzer, der sich in keiner Benutzergruppe befindet, zu erlauben, den sudoBefehl auszuführen, indem Sie ihn einfach /etc/sudoerswie folgt hinzufügen :

anotherusername ALL=(ALL) ALL

Schritt 6: Starten Sie den SSHD-Server neu

Um die vorgenommenen Änderungen zu übernehmen /etc/sudoers, müssen Sie den SSHD-Server wie folgt neu starten:

Debian

/etc/init.d/sshd restart

CentOS 6

/etc/init.d/sshd restart

CentOS 7

systemctl restart sshd.service

FreeBSD

/etc/rc.d/sshd start

Schritt 7: Testen

Nachdem Sie den SSH-Server neu gestartet haben, melden Sie sich ab und wieder als Ihr Server an. sudo userVersuchen Sie dann, einige Testbefehle wie folgt auszuführen:

sudo uptime
sudo whoami

Jeder der folgenden Befehle ermöglicht das sudo userWerden root.

sudo su -
sudo -i
sudo -S

Anmerkungen:

• Der whoamiBefehl wird zurückgegeben, rootwenn er mit gekoppelt ist sudo.
• Sie werden aufgefordert, das Kennwort Ihres Benutzers einzugeben, sudowenn Sie den Befehl ausführen, es sei denn, Sie weisen das System ausdrücklich an, nicht sudo usersnach dessen Kennwörtern zu fragen. Bitte beachten Sie, dass dies keine empfohlene Vorgehensweise ist.

Optional: Zulassen sudoohne Eingabe des Benutzerpassworts

Wie bereits erläutert, ist dies keine empfohlene Vorgehensweise und wird in diesem Lernprogramm nur zu Demonstrationszwecken verwendet.

Um Ihre zu ermöglichen , sudo userdie zum Ausführen - sudoBefehl , ohne ihr Passwort gefragt zu werden, Suffix die Zugangsleitung in /etc/sudoersmit , NOPASSWD: ALLwie folgt:

%sudo   ALL=(ALL:ALL) ALL   NOPASSWD: ALL

Hinweis: Sie müssen Ihren SSHD-Server neu starten, um die Änderungen zu übernehmen.

Schritt 8: Deaktivieren Sie den direkten Root-Zugriff

Nachdem Sie bestätigt haben, dass Sie Ihre sudo userohne Probleme verwenden können, ist es Zeit für den achten und letzten Schritt, den direkten Root-Zugriff zu deaktivieren.

Öffnen Sie zunächst /etc/ssh/sshd_configmit Ihrem bevorzugten Texteditor und suchen Sie die Zeile mit der folgenden Zeichenfolge. Es kann ein #Zeichen vorangestellt werden .

PermitRootLogin

Unabhängig vom Präfix oder dem Wert der Option in /etc/ssh/sshd_configmüssen Sie diese Zeile wie folgt ändern:

PermitRootLogin no

Starten Sie abschließend Ihren SSHD-Server neu.

Hinweis: Vergessen Sie nicht, Ihre Änderungen zu testen, indem Sie versuchen, SSH in Ihren Server als root. Wenn Sie dazu nicht in der Lage sind, bedeutet dies, dass Sie alle erforderlichen Schritte erfolgreich ausgeführt haben.

Damit ist unser Tutorial abgeschlossen.