Cum se utilizează Sudo pe Debian, CentOS și FreeBSD

Utilizarea unui sudoutilizator pentru a accesa un server și a executa comenzi la nivel de rădăcină este o practică foarte frecventă între Linux și Unix Systems Administrator. Utilizarea unui sudoutilizator este adesea cuplată prin dezactivarea accesului direct la rădăcină la serverul său pentru a preveni accesul neautorizat.

În acest tutorial, vom acoperi pașii de bază pentru dezactivarea accesului direct la root, crearea unui utilizator sudo și configurarea grupului sudo pe CentOS, Debian și FreeBSD.

Cerințe preliminare

  • Un server Linux recent instalat, cu distribuția preferată.
  • Un editor de text instalat pe server, indiferent că este vorba de nano, vi, vim, emacs.

Pasul 1: Instalarea sudo

Debian

apt-get install sudo -y

CentOS

yum install sudo -y

FreeBSD

cd /usr/ports/security/sudo/ && make install clean

sau

pkg install sudo

Pasul 2: Adăugarea utilizatorului sudo

Un sudoutilizator este un cont de utilizator normal pe un aparat Linux sau Unix.

Debian

adduser mynewusername

CentOS

adduser mynewusername

FreeBSD

adduser mynewusername

Pasul 3: Adăugarea noului utilizator la grupul de roți (opțional)

Grupul de roți este un grup de utilizatori care limitează numărul de oameni care sunt capabili să suse rădăcinească. Adăugarea sudoutilizatorului dvs. în wheelgrup este complet opțională, dar este recomandabil.

Notă: În Debian, sudogrupul este adesea găsit în loc de wheel. Cu toate acestea, puteți adăuga manual wheelgrupul folosind groupaddcomanda. În scopul acestui tutorial, vom folosi sudogrupul pentru Debian.

Diferența dintre wheelși sudo.

În CentOS și Debian, un utilizator aparținând wheelgrupului poate să execute suși să urce direct la root. Între timp, un sudoutilizator ar fi folosit sudo suprimul. În esență, nu există nicio diferență reală, cu excepția sintaxei utilizate pentru a deveni root , iar utilizatorii aparținând ambelor grupuri pot utiliza sudocomanda.

Debian

usermod -aG sudo mynewusername

CentOS

usermod -aG wheel mynewusername

FreeBSD

pw group mod wheel -m mynewusername

Pasul 4: Asigurați-vă că sudoersfișierul dvs. este configurat corect

Este important să vă asigurați că sudoersfișierul localizat /etc/sudoerseste configurat corespunzător pentru a permite sudo usersutilizarea eficientă a sudocomenzii. Pentru a realiza acest lucru, vom vedea conținutul /etc/sudoersși le vom edita acolo unde este cazul.

Debian

vim /etc/sudoers

sau

visudo

CentOS

vim /etc/sudoers

sau

visudo

FreeBSD

vim /etc/sudoers

sau

visudo

Notă:visudo Comanda se va deschide , /etc/sudoersfolosind editorul de text preferat al sistemului ( de obicei , vi sau vim) .

Începeți să analizați și să editați sub această linie:

# Allow members of group sudo to execute any command

Această secțiune de /etc/sudoersmulte ori arată astfel:

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

În unele sisteme, este posibil să nu găsiți %wheelîn loc de %sudo; în acest caz, aceasta ar fi linia sub care ați începe să modificați.

Dacă linia care începe cu %sudoDebian sau %wheelCentOS și FreeBSD nu este comentată (prefixată de #) , aceasta înseamnă că sudo este deja configurat și este activat. Puteți trece apoi la pasul următor.

Pasul 5: Permiterea unui utilizator care nu aparține nici grupului, wheelnici sudogrupului să execute sudocomanda

Este posibil să permiteți unui utilizator care nu este din niciun grup de utilizatori să execute sudocomanda, adăugându-le pur și simplu /etc/sudoersdupă cum urmează:

anotherusername ALL=(ALL) ALL

Pasul 6: repornirea serverului SSHD

Pentru a aplica modificările aduse /etc/sudoers, trebuie să reporniți serverul SSHD după cum urmează:

Debian

/etc/init.d/sshd restart

CentOS 6

/etc/init.d/sshd restart

CentOS 7

systemctl restart sshd.service

FreeBSD

/etc/rc.d/sshd start

Pasul 7: Testare

După ce ați repornit serverul SSH, deconectați-vă și apoi deconectați-vă ca dvs. sudo user, apoi încercați să executați unele comenzi de testare după cum urmează:

sudo uptime
sudo whoami

Oricare dintre comenzile de mai jos va permite sudo userdevenirea root.

sudo su -
sudo -i
sudo -S

Note:

  • whoamiComanda va reveni rootatunci când este cuplat cu sudo.
  • Vi se va solicita să introduceți parola utilizatorului dvs. atunci când executați sudocomanda, dacă nu instruiți în mod explicit sistemul să nu solicite sudo usersparolele lor. Vă rugăm să rețineți că nu este o practică recomandată.

Opțional: permitând sudofără a introduce parola utilizatorului

Așa cum am explicat anterior, aceasta nu este o practică recomandată și este inclusă în acest tutorial doar în scop demonstrativ.

Pentru a permite dumneavoastră sudo usersă execute sudocomanda fără a fi solicitat parola lor, sufix linia de acces în /etc/sudoerscu NOPASSWD: ALLdupă cum urmează:

%sudo   ALL=(ALL:ALL) ALL   NOPASSWD: ALL

Notă: Trebuie să reporniți serverul SSHD pentru a aplica modificările.

Pasul 8: Dezactivați accesul direct la rădăcină

Acum că ați confirmat că vă puteți folosi sudo userfără probleme, este timpul pentru a opta și ultima etapă, dezactivând accesul direct la root.

În primul rând, deschideți /etc/ssh/sshd_configfolosind editorul de text preferat și găsiți linia care conține șirul următor. Poate fi prefixat cu un #personaj.

PermitRootLogin

Indiferent de prefix sau de valoarea opțiunii din /etc/ssh/sshd_config, trebuie să schimbați această linie la următoarele:

PermitRootLogin no

În cele din urmă, reporniți serverul SSHD.

Notă: Nu uitați să vă testați modificările încercând să SSH pe serverul dvs. ca atare root. Dacă nu puteți face acest lucru, acest lucru înseamnă că ați finalizat cu succes toate etapele necesare.

Acest lucru încheie tutorialul nostru.



Leave a Comment

O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1

O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1

O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1

6 lucruri extrem de nebunești despre Nintendo Switch

6 lucruri extrem de nebunești despre Nintendo Switch

Mulți dintre voi cunoașteți Switch care va fi lansat în martie 2017 și noile sale funcții. Pentru cei care nu știu, am pregătit o listă de funcții care fac din „Switch” un „gadget obligatoriu”.

Promisiuni tehnologice care sunt încă nelivrate

Promisiuni tehnologice care sunt încă nelivrate

Aștepți ca giganții tehnologiei să-și îndeplinească promisiunile? vezi ce a ramas nelivrat.

Funcționalitățile straturilor arhitecturii de referință pentru Big Data

Funcționalitățile straturilor arhitecturii de referință pentru Big Data

Citiți blogul pentru a cunoaște diferitele straturi din Arhitectura Big Data și funcționalitățile acestora în cel mai simplu mod.

Cum poate AI să ducă automatizarea proceselor la următorul nivel?

Cum poate AI să ducă automatizarea proceselor la următorul nivel?

Citiți asta pentru a afla cum devine populară inteligența artificială în rândul companiilor la scară mică și cum crește probabilitățile de a le face să crească și de a le oferi concurenților avantaje.

CAPTCHA: Cât timp poate rămâne o tehnică viabilă pentru distincția uman-AI?

CAPTCHA: Cât timp poate rămâne o tehnică viabilă pentru distincția uman-AI?

CAPTCHA a devenit destul de dificil de rezolvat pentru utilizatori în ultimii ani. Va fi capabil să rămână eficient în detectarea spam-ului și a botului în viitor?

Singularitatea tehnologică: un viitor îndepărtat al civilizației umane?

Singularitatea tehnologică: un viitor îndepărtat al civilizației umane?

Pe măsură ce Știința Evoluează într-un ritm rapid, preluând multe dintre eforturile noastre, crește și riscurile de a ne supune unei Singularități inexplicabile. Citiți, ce ar putea însemna singularitatea pentru noi.

Telemedicină și îngrijire medicală la distanță: viitorul este aici

Telemedicină și îngrijire medicală la distanță: viitorul este aici

Ce este telemedicina, îngrijirea medicală la distanță și impactul acesteia asupra generației viitoare? Este un loc bun sau nu în situația de pandemie? Citiți blogul pentru a găsi o vedere!

Te-ai întrebat vreodată cum câștigă hackerii bani?

Te-ai întrebat vreodată cum câștigă hackerii bani?

Poate ați auzit că hackerii câștigă mulți bani, dar v-ați întrebat vreodată cum câștigă acești bani? sa discutam.

Actualizarea suplimentului macOS Catalina 10.15.4 cauzează mai multe probleme decât rezolvă

Actualizarea suplimentului macOS Catalina 10.15.4 cauzează mai multe probleme decât rezolvă

Recent, Apple a lansat macOS Catalina 10.15.4 o actualizare suplimentară pentru a remedia problemele, dar se pare că actualizarea provoacă mai multe probleme care duc la blocarea mașinilor Mac. Citiți acest articol pentru a afla mai multe