Cum se utilizează Sudo pe Debian, CentOS și FreeBSD

• Cerințe preliminare
• Pasul 1: Instalarea sudo
• Pasul 2: Adăugarea utilizatorului sudo
• Pasul 3: Adăugarea noului utilizator la grupul de roți (opțional)
• Diferența dintre roată și sudo.
• Pasul 4: Asigurați-vă că fișierul dvs. sudoers este configurat corect
• Pasul 5: Permiterea unui utilizator care nu aparține nici roții, nici grupului sudo să execute comanda sudo
• Pasul 6: repornirea serverului SSHD
• Pasul 7: Testare
• Pasul 8: Dezactivați accesul direct la rădăcină

Utilizarea unui sudoutilizator pentru a accesa un server și a executa comenzi la nivel de rădăcină este o practică foarte frecventă între Linux și Unix Systems Administrator. Utilizarea unui sudoutilizator este adesea cuplată prin dezactivarea accesului direct la rădăcină la serverul său pentru a preveni accesul neautorizat.

În acest tutorial, vom acoperi pașii de bază pentru dezactivarea accesului direct la root, crearea unui utilizator sudo și configurarea grupului sudo pe CentOS, Debian și FreeBSD.

Cerințe preliminare

• Un server Linux recent instalat, cu distribuția preferată.
• Un editor de text instalat pe server, indiferent că este vorba de nano, vi, vim, emacs.

Pasul 1: Instalarea sudo

Debian

apt-get install sudo -y

CentOS

yum install sudo -y

FreeBSD

cd /usr/ports/security/sudo/ && make install clean

sau

pkg install sudo

Pasul 2: Adăugarea utilizatorului sudo

Un sudoutilizator este un cont de utilizator normal pe un aparat Linux sau Unix.

Debian

adduser mynewusername

CentOS

adduser mynewusername

FreeBSD

adduser mynewusername

Pasul 3: Adăugarea noului utilizator la grupul de roți (opțional)

Grupul de roți este un grup de utilizatori care limitează numărul de oameni care sunt capabili să suse rădăcinească. Adăugarea sudoutilizatorului dvs. în wheelgrup este complet opțională, dar este recomandabil.

Notă: În Debian, sudogrupul este adesea găsit în loc de wheel. Cu toate acestea, puteți adăuga manual wheelgrupul folosind groupaddcomanda. În scopul acestui tutorial, vom folosi sudogrupul pentru Debian.

Diferența dintre wheelși sudo.

În CentOS și Debian, un utilizator aparținând wheelgrupului poate să execute suși să urce direct la root. Între timp, un sudoutilizator ar fi folosit sudo suprimul. În esență, nu există nicio diferență reală, cu excepția sintaxei utilizate pentru a deveni root , iar utilizatorii aparținând ambelor grupuri pot utiliza sudocomanda.

Debian

usermod -aG sudo mynewusername

CentOS

usermod -aG wheel mynewusername

FreeBSD

pw group mod wheel -m mynewusername

Pasul 4: Asigurați-vă că sudoersfișierul dvs. este configurat corect

Este important să vă asigurați că sudoersfișierul localizat /etc/sudoerseste configurat corespunzător pentru a permite sudo usersutilizarea eficientă a sudocomenzii. Pentru a realiza acest lucru, vom vedea conținutul /etc/sudoersși le vom edita acolo unde este cazul.

Debian

vim /etc/sudoers

sau

visudo

CentOS

vim /etc/sudoers

sau

visudo

FreeBSD

vim /etc/sudoers

sau

visudo

Notă:visudo Comanda se va deschide , /etc/sudoersfolosind editorul de text preferat al sistemului ( de obicei , vi sau vim) .

Începeți să analizați și să editați sub această linie:

# Allow members of group sudo to execute any command

Această secțiune de /etc/sudoersmulte ori arată astfel:

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

În unele sisteme, este posibil să nu găsiți %wheelîn loc de %sudo; în acest caz, aceasta ar fi linia sub care ați începe să modificați.

Dacă linia care începe cu %sudoDebian sau %wheelCentOS și FreeBSD nu este comentată (prefixată de #) , aceasta înseamnă că sudo este deja configurat și este activat. Puteți trece apoi la pasul următor.

Pasul 5: Permiterea unui utilizator care nu aparține nici grupului, wheelnici sudogrupului să execute sudocomanda

Este posibil să permiteți unui utilizator care nu este din niciun grup de utilizatori să execute sudocomanda, adăugându-le pur și simplu /etc/sudoersdupă cum urmează:

anotherusername ALL=(ALL) ALL

Pasul 6: repornirea serverului SSHD

Pentru a aplica modificările aduse /etc/sudoers, trebuie să reporniți serverul SSHD după cum urmează:

Debian

/etc/init.d/sshd restart

CentOS 6

/etc/init.d/sshd restart

CentOS 7

systemctl restart sshd.service

FreeBSD

/etc/rc.d/sshd start

Pasul 7: Testare

După ce ați repornit serverul SSH, deconectați-vă și apoi deconectați-vă ca dvs. sudo user, apoi încercați să executați unele comenzi de testare după cum urmează:

sudo uptime
sudo whoami

Oricare dintre comenzile de mai jos va permite sudo userdevenirea root.

sudo su -
sudo -i
sudo -S

Note:

• whoamiComanda va reveni rootatunci când este cuplat cu sudo.
• Vi se va solicita să introduceți parola utilizatorului dvs. atunci când executați sudocomanda, dacă nu instruiți în mod explicit sistemul să nu solicite sudo usersparolele lor. Vă rugăm să rețineți că nu este o practică recomandată.

Opțional: permitând sudofără a introduce parola utilizatorului

Așa cum am explicat anterior, aceasta nu este o practică recomandată și este inclusă în acest tutorial doar în scop demonstrativ.

Pentru a permite dumneavoastră sudo usersă execute sudocomanda fără a fi solicitat parola lor, sufix linia de acces în /etc/sudoerscu NOPASSWD: ALLdupă cum urmează:

%sudo   ALL=(ALL:ALL) ALL   NOPASSWD: ALL

Notă: Trebuie să reporniți serverul SSHD pentru a aplica modificările.

Pasul 8: Dezactivați accesul direct la rădăcină

Acum că ați confirmat că vă puteți folosi sudo userfără probleme, este timpul pentru a opta și ultima etapă, dezactivând accesul direct la root.

În primul rând, deschideți /etc/ssh/sshd_configfolosind editorul de text preferat și găsiți linia care conține șirul următor. Poate fi prefixat cu un #personaj.

PermitRootLogin

Indiferent de prefix sau de valoarea opțiunii din /etc/ssh/sshd_config, trebuie să schimbați această linie la următoarele:

PermitRootLogin no

În cele din urmă, reporniți serverul SSHD.

Notă: Nu uitați să vă testați modificările încercând să SSH pe serverul dvs. ca atare root. Dacă nu puteți face acest lucru, acest lucru înseamnă că ați finalizat cu succes toate etapele necesare.

Acest lucru încheie tutorialul nostru.