Cách sử dụng Sudo trên Debian, CentOS và FreeBSD

• Điều kiện tiên quyết
• Bước 1: Cài đặt sudo
• Bước 2: Thêm người dùng sudo
• Bước 3: Thêm người dùng mới vào nhóm bánh xe (tùy chọn)
• Sự khác biệt giữa bánh xe và sudo.
• Bước 4: Đảm bảo tệp sudoers của bạn được thiết lập đúng
• Bước 5: Cho phép người dùng không thuộc nhóm bánh xe hay nhóm sudo thực hiện lệnh sudo
• Bước 6: Khởi động lại máy chủ SSHD
• Bước 7: Kiểm tra
• Bước 8: Vô hiệu hóa quyền truy cập root trực tiếp

Sử dụng sudongười dùng để truy cập máy chủ và thực thi các lệnh ở cấp gốc là một cách làm rất phổ biến giữa Quản trị viên hệ thống Linux và Unix. Việc sử dụng sudongười dùng thường được kết hợp bằng cách vô hiệu hóa quyền truy cập root trực tiếp vào máy chủ của một người trong nỗ lực ngăn chặn truy cập trái phép.

Trong hướng dẫn này, chúng tôi sẽ trình bày các bước cơ bản để vô hiệu hóa quyền truy cập root trực tiếp, tạo người dùng sudo và thiết lập nhóm sudo trên CentOS, Debian và FreeBSD.

Điều kiện tiên quyết

• Một máy chủ Linux mới được cài đặt với phân phối ưa thích của bạn.
• Một trình soạn thảo văn bản được cài đặt trên máy chủ cho dù đó là nano, vi, vim, emacs.

Bước 1: Cài đặt sudo

Debian

apt-get install sudo -y

CentOS

yum install sudo -y

FreeBSD

cd /usr/ports/security/sudo/ && make install clean

hoặc là

pkg install sudo

Bước 2: Thêm người dùng sudo

Người sudodùng là tài khoản người dùng bình thường trên máy Linux hoặc Unix.

Debian

adduser mynewusername

CentOS

adduser mynewusername

FreeBSD

adduser mynewusername

Bước 3: Thêm người dùng mới vào nhóm bánh xe (tùy chọn)

Nhóm bánh xe là nhóm người dùng giới hạn số người có khả năng suroot. Thêm sudongười dùng của bạn vào wheelnhóm là hoàn toàn tùy chọn, nhưng nó được khuyến khích.

Lưu ý: Trong Debian, sudonhóm thường được tìm thấy thay vì wheel. Tuy nhiên, bạn có thể thêm wheelnhóm bằng tay bằng cách sử dụng groupaddlệnh. Với mục đích của hướng dẫn này, chúng tôi sẽ sử dụng sudonhóm cho Debian.

Sự khác biệt giữa wheelvà sudo.

Trong CentOS và Debian, người dùng thuộc wheelnhóm có thể thực thi suvà trực tiếp lên root. Trong khi đó, một sudongười dùng sẽ sử dụng sudo suđầu tiên. Về cơ bản, không có sự khác biệt thực sự ngoại trừ cú pháp được sử dụng để trở thành root và người dùng thuộc cả hai nhóm có thể sử dụng sudolệnh.

Debian

usermod -aG sudo mynewusername

CentOS

usermod -aG wheel mynewusername

FreeBSD

pw group mod wheel -m mynewusername

Bước 4: Đảm bảo sudoerstệp của bạn được thiết lập đúng

Điều quan trọng là đảm bảo rằng sudoerstệp nằm trong /etc/sudoersđược thiết lập đúng để cho phép sudo userssử dụng hiệu quả sudolệnh. Để thực hiện điều đó, chúng tôi sẽ xem nội dung /etc/sudoersvà chỉnh sửa chúng nếu có.

Debian

vim /etc/sudoers

hoặc là

visudo

CentOS

vim /etc/sudoers

hoặc là

visudo

FreeBSD

vim /etc/sudoers

hoặc là

visudo

Lưu ý: Các visudolệnh sẽ mở ra /etc/sudoerssử dụng soạn thảo văn bản ưa thích của hệ thống (thường là vi hoặc vim) .

Bắt đầu xem xét và chỉnh sửa bên dưới dòng này:

# Allow members of group sudo to execute any command

Phần này /etc/sudoersthường trông như thế này:

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

Trong một số hệ thống, bạn có thể không tìm thấy %wheelthay vì %sudo; trong trường hợp này, đây sẽ là dòng mà bạn sẽ bắt đầu sửa đổi.

Nếu dòng bắt đầu bằng %sudoDebian hoặc %wheeltrong CentOS và FreeBSD không được nhận xét (tiền tố là #) , điều này có nghĩa là sudo đã được thiết lập và được bật. Sau đó bạn có thể chuyển sang bước tiếp theo.

Bước 5: Cho phép người dùng không thuộc nhóm wheelnào cũng không sudothực hiện sudolệnh

Có thể cho phép người dùng trong cả hai nhóm người dùng thực thi sudolệnh bằng cách thêm chúng vào /etc/sudoersnhư sau:

anotherusername ALL=(ALL) ALL

Bước 6: Khởi động lại máy chủ SSHD

Để áp dụng các thay đổi bạn đã thực hiện /etc/sudoers, bạn cần khởi động lại máy chủ SSHD như sau:

Debian

/etc/init.d/sshd restart

CentOS 6

/etc/init.d/sshd restart

CentOS 7

systemctl restart sshd.service

FreeBSD

/etc/rc.d/sshd start

Bước 7: Kiểm tra

Sau khi bạn đã khởi động lại máy chủ SSH, hãy đăng xuất và sau đó đăng nhập lại với tên của bạn sudo user, sau đó thử thực hiện một số lệnh kiểm tra như sau:

sudo uptime
sudo whoami

Bất kỳ lệnh nào dưới đây sẽ cho phép sudo usertrở thành root.

sudo su -
sudo -i
sudo -S

Ghi chú:

• Các whoamilệnh sẽ trở lại rootkhi kết hợp với sudo.
• Bạn sẽ được nhắc nhập mật khẩu người dùng khi thực hiện sudolệnh trừ khi bạn chỉ thị rõ ràng cho hệ thống không nhắc sudo usersmật khẩu của họ. Xin lưu ý rằng đó không phải là một thực hành được khuyến nghị.

Tùy chọn: cho phép sudomà không cần nhập mật khẩu của người dùng

Như đã giải thích trước đây, đây không phải là một thực tiễn được đề xuất và được bao gồm trong hướng dẫn này chỉ nhằm mục đích trình diễn.

Để cho phép của bạn sudo userđể thực hiện sudolệnh mà không bị nhắc nhở cho mật khẩu của họ, hậu tố dòng truy cập trong /etc/sudoersvới NOPASSWD: ALLnhư sau:

%sudo   ALL=(ALL:ALL) ALL   NOPASSWD: ALL

Lưu ý: Bạn cần khởi động lại máy chủ SSHD của mình để áp dụng các thay đổi.

Bước 8: Vô hiệu hóa quyền truy cập root trực tiếp

Bây giờ bạn đã xác nhận rằng bạn có thể sử dụng sudo usermà không gặp sự cố, đã đến lúc bước thứ tám và cuối cùng, vô hiệu hóa quyền truy cập root trực tiếp.

Đầu tiên, mở /etc/ssh/sshd_configbằng trình soạn thảo văn bản yêu thích của bạn và tìm dòng chứa chuỗi sau đây. Nó có thể được bắt đầu bằng một #ký tự.

PermitRootLogin

Bất kể tiền tố hoặc giá trị của tùy chọn trong /etc/ssh/sshd_config, bạn cần thay đổi dòng đó thành như sau:

PermitRootLogin no

Cuối cùng, khởi động lại máy chủ SSHD của bạn.

Lưu ý: Đừng quên kiểm tra các thay đổi của bạn bằng cách thử SSH vào máy chủ của bạn dưới dạng root. Nếu bạn không thể làm như vậy, điều này có nghĩa là bạn đã hoàn thành tất cả các bước cần thiết.

Điều này kết thúc hướng dẫn của chúng tôi.