CentOS下的sudo相关配置的总结归纳
1 基础部分
1.1 常用的命令行
1
2
3
4
5
6
|
man sudoers #参阅帮助
visudo #编辑sudoers的命令
sudo -l #查看可执行或禁止执行的命令
sudo -u user1 /bin/ls #指定user1用户的身份执行命令
sudo -g gp1 /bin/ls #指以gp1组的身份执行
sudo -u user1 -g gp1 /bin/ls #指定用户和组的身份执行
|
1.2 配置文件路径
1
|
/etc/sudoers
|
1.3 sudoers的规则分类
sudoers的规则分为以下两类:
1)别名定义(可选)
2)授权规则(必选)
1.4 特殊符号的用法
1
2
3
4
5
6
7
|
"#" 用于注释
"\x" 转义字符
"\" 使用到物理行行尾则把下行的物理行连接成一个逻辑行
"*" 匹配零个或多个字符
"?" 匹配单个字符
"[...]" 匹配指定范围的字符
"[!...]" 匹配非指定范围的字符
|
2 Alias(别名)
2.1 别名的类型
包含以下四种别名:User_Alias,Runas_Alias,Host_Alias,Cmnd_Alias
注:以上别名类型的书写大小写敏感
1
2
3
4
|
Alias ::= 'User_Alias' User_Alias ( ':' User_Alias)* |
'Runas_Alias' Runas_Alias ( ':' Runas_Alias)* |
'Host_Alias' Host_Alias ( ':' Host_Alias)* |
'Cmnd_Alias' Cmnd_Alias ( ':' Cmnd_Alias)*
|
2.2 别名的定义格式
2.2.1 单个别名的书写方式
1
|
Alias_Type NAME = item1, item2, ...
|
注:别名成员以“,”号分隔
2.2.2 多个别名的书写方式
1
|
Alias_Type NAME = item1, item2, item3 : NAME = item4, item5
|
注:以“:”号分隔
2.2.3 四种书写简式
1
2
3
4
5
6
7
|
User_Alias ::= NAME '=' User_List
Runas_Alias ::= NAME '=' Runas_List
Host_Alias ::= NAME '=' Host_List
Cmnd_Alias ::= NAME '=' Cmnd_List
|
2.3 别名定义NAME的有效字符
1
|
NAME ::= [A-Z]([A-Z][0-9]_)*
|
2.4 常见的定义范例
2.4.1 命令行别名的定义范例
作用:定义用户别名和别名中包含能否运行的命令
范例:
1
2
|
## Networking
Cmnd_Alias NETWORKING = /sbin/route , /sbin/ifconfig , /bin/ping , /sbin/dhclient , /usr/bin/net , /sbin/iptables , /usr/bin/rfcomm , /usr/bin/wvdial , /sbin/iwconfig , /sbin/mii-tool
|
2.4.2 用户别名的定义范例
作用:定义用户别名和别名中包含的用户或组
1
2
|
## User Aliases
User_Alias NETWORKINGADMINS = user1, user2, %gp1
|
注:
1)组前面加“%”号
2)用户名必须是系统有效的用户
2.4.3 主机别名的定义范例
作用:定义主机别名和别名中包含的主机
范例:
1
2
|
## Host Aliases
Host_Alias FILESERVERS = fs1, fs2
|
注:
1)服务器fs1和fs2属于FILESERVERS组
2)主机可以是主机名称、IP(192.168.0.8)、或网段(192.168.0.0/24)、子网掩码(255.255.255.0)
3 授权规则
3.1 授权规则的格式
1
2
3
4
5
6
7
8
9
10
|
## Next comes the main part: which users can run what software on
## which machines (the sudoers file can be shared between multiple
## systems).
## Syntax:
##
## user MACHINE=COMMANDS
##
## The COMMANDS section may have other options added to it.
##
## Allow root to run any commands anywhere
|
其实就这个意思:
1
|
用户名或%组名 可管理的主机名称=能否运行的命令
|
注:以上都可以使用别名代替
3.2 授权规则的范例
3.2.1 不使用别名的定义方式
基于系统用户名的定义
1
|
user1 fs1= /sbin/mount /mnt/cdrom , /sbin/umount /mnt/cdrom
|
基于系统组的定义
1
|
%gp1 fs1= /sbin/mount /mnt/cdrom , /sbin/umount /mnt/cdrom
|
使用ALL关键字的定义
1
|
root ALL=(ALL) ALL
|
3.2.2 使用别名的定义方式
1
|
NETWORKINGADMINS FILESERVERS=(NETWORKADMINS)
|
注:
1)NETWORKINGADMINS代表定义过的用户或组:user1, user2, %gp1
2)FILESERVERS代表定义过的服务器:fs1, fs2
3)NETWORKADMINS代表定义过的命令:/sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool
3.2.3 关闭密码验证提示
在命令列前加入关键字“NOPASSWD: ”,详细如下:
1
|
%wheel ALL=(ALL) NOPASSWD: ALL
|
或
1
|
%wheel ALL=(ALL) NOPASSWD: /sbin/route
|
4 其他指令
4.1 导入子规则
1
|
includedir /etc/sudoers .d
|
使定义于/etc/sudoers.d目录下的子规则生效
4.2 关闭sudo命令的提示
此选项适用于使用shell中调用sudo执行命令时候屏蔽以下提示:
1
|
sudo : sorry, you must have a tty to run sudo
|
4.2.1 方法一
注释掉以下行:
1
|
#Defaults requiretty
|
4.2.2 方法二
添加以下行:
1
|
Defaults:user1 !requiretty
|
4.3 指定安全的执行路径
1
|
Defaults secure_path = /sbin : /bin : /usr/sbin : /usr/bin
|
5 开启监视日志
5.1 创建日志文件
1
|
touch /var/log/sudo .log
|
5.2 开启sudo的日志功能
1
|
visudo
|
加入如下行:
1
2
3
|
Defaults logfile= /var/log/sudo .log
Defaults loglinelen=0
Defaults !syslog
|
5.3 配置系统日志
5.3.1 修改日志配置文件
1
|
vim /etc/rsyslog .conf
|
“local7.*”行后加入如下行:
1
|
local2.debug /var/log/sudo .log
|
5.3.2 重启系统日志服务
1
|
service rsyslog restart
|
5.4 测试日志
5.4.1 命令行监视日志
1
|
tail -f /var/log/sudo .log
|
5.4.2 执行指令测试
1
|
sudo /usr/bin/ssh root@127.0.0.1
|
6 应用场景
6.1 排除部分使用的情景
6.1.2 配置要求
1
2
|
禁止某用户使用: su 命令
允许某用户使用: su 除外命令
|
注:禁止的原因是因为用户可以使用此命令提权
1
|
sudo su - root
|
6.1.2 解决方案
1) 查询用户的所属组
1
|
id mail
|
显示如下:
1
|
uid=8(mail) gid=12(mail) groups =12(mail)
|
2) 定义方法
1
2
|
%mail ALL=(root) NOPASSWD: ALL
mail ALL=(root) NOPASSWD: ! /bin/su
|
注:定义所属组允许执行所有命令,但拒绝用户执行su命令
3) 相对好的定义方法
1
2
|
%mail ALL=(root) NOPASSWD: /sbin/ *, /bin/ *, /usr/sbin/ *, /usr/bin/ *
mail ALL=(root) NOPASSWD: ! /bin/su
|
可防止用户使用如下方法破解:
1
2
|
sudo cp /bin/su assu
sudo . /assu - root
|
4) 相对更好的定义方法
1
2
3
|
%mail ALL=(root) NOPASSWD: /sbin/ *, /bin/ *, /usr/sbin/ *, /usr/bin/ *
mail ALL=(root) NOPASSWD: !/*/* /sbin/ *,!/*/* /bin/ *,!/*/* /usr/sbin/ *,!/*/* /usr/bin/ *,\
! /bin/su
|
注:禁止用户使用允许的命令操作运行命令的目录的文件
可防止用户使用如下方法破解:
1
2
3
4
5
|
sudo mv /bin/su /bin/assu
#或者
sudo cp /bin/su /bin/assu
#然后
sudo assu - root
|
5)实际上,我建议做如下配置
1
2
3
|
%mail ALL=(root) NOPASSWD: /sbin/ *, /bin/ *, /usr/sbin/ *, /usr/bin/ *
mail ALL=(root) NOPASSWD: !/*/* /sbin/ *,!/*/* /bin/ *,!/*/* /usr/sbin/ *,!/*/* /usr/bin/ *,\
! /bin/su ,! /usr/bin/passwd *root*,!/*/* * /root/ *
|
可防止用户使用passwd命令操作root用户:
1
2
3
|
sudo passwd root
sudo passwd -l root
sudo passwd -u root
|
或使用其他命令去操作root的家目录
1
2
|
sudo ls /root/
sudo ls -l /root/
|
怎样?脑洞大开吧?sudo是相对安全的对吧?O(∩_∩)O哈哈~
注:以上个人总结,如有错漏欢迎指正,在下感激不尽。
CentOS下的sudo相关配置的总结归纳相关推荐
- CentOS下torque集群配置(一)-torque安装与配置
CentOS下torque集群配置(一)-torque安装与配置 一.Centos7系统的安装及设置 1.给两台电脑安装CentOS7.0,光盘启动路径修改为:/dev/cdrom 修改主机名称 # ...
- PostgreSQL(Pgsql)快速开始/ ubuntu、centos下PostgreSQL数据库安装配置/查看已经编译的pg 编译选项
文章目录 一.PostgreSQL是什么 1. Pgsql和Mysql的对比 二.ubuntu 下安装配置postgres sql 数据库 1. [推荐]apt-get 安装postgres 安装和配 ...
- CentOS下MySQL安装后配置和设置
CentOS下MySQL安装后配置和设置: 1:安装完成路径: 1.数据库目录/var/lib/mysql/2.配置文件/usr/share/mysql(mysql.server命令及配置文件)3.启 ...
- CentOS下网卡启动、配置等ifcfg-eth0教程
CentOS下网卡启动.配置等ifcfg-eth0教程http://blog.csdn.net/ei__nino/article/details/7641183 分类: Linux2012-06-07 ...
- centos下tomcat通过keytool配置ssl服务器端证书及客户端证书
centos下tomcat通过keytool配置ssl证书 第一步切换目录 第二步执行命令生成服务端证书 第三步生成后复制证书文件到tomcat的conf目录下,命令如下 第四步配置conf下的ser ...
- nexus-3.6.0-02-unix.tar.gz安装(Centos下),maven setting.xml配置案例,项目root的pom.xml配置,parent-pom的pom.xml配置案例
1.下载nexus 进入:http://www.sonatype.org/nexus/downloads/ 说明: [OSS = Open Source Software,开源软件 – 免费] [FR ...
- CentOS下MySQL主从同步配置
(转自)http://apps.hi.baidu.com/share/detail/5882847centos下MySQL主从同步配置 一.环境 主机: master操作系统:centos 5.3 I ...
- Centos下MySQL安装与配置
一.mysql简介 说到数据库,我们大多想到的是关系型数据库,比如mysql.oracle.sqlserver等等,这些数据库软件在windows上安装都非常的方便,在Linux上如果要安装数据库,咱 ...
- centos下phpmyadmin的安装配置
centos下安装配置phpmyadmin,我花了二个晚上,郁闷的我不行,配置phpmyadmin简单吧,很简单,我刚工作的时候,就配置过,很顺利,5年后,竟然花了我二个晚上,感觉在centos下有好 ...
- Centos下无线网卡的安装配置
无线网卡的安装 实验环境:VMware workstation 10 centos 6.4 realtek 8192芯片网卡 问题一: 我们知道,一个硬件的识别或者说驱动是靠内核来完成的,但内核由于他 ...
最新文章
- vim之好用插件-ctrlp.vim
- win10装sql2000卡在选择配置_恢复win10系统安装SQL2000卡在MADC不动的妙计
- 依据imu姿态角计算z轴倾角_1. 姿态的表示方法
- 个人学习进度条------第二周
- 在线翻译英文html文件,copy html是什么意思
- 每天一个linux命令(40):wc命令
- 本周论文推荐(10.26-11.1)
- dell r620 升级idrac_DELL R630 如何利用IDRAC升级BIOS固件和IDARC
- 怎么制定合理的开发计划
- 远程连接GitHub仓库
- 6阶群的非平凡子群_子群和Lagrange定理
- poj2706 connect
- 各个认证记录及说明SRRC与CTA认证
- (小脚本) (python) 批量修改文件后缀名
- vert.x最新官网书籍下载
- hive修改表备注,字段备注
- 春节前最后一次送书活动【共40本】
- 阿里云ECS用docker建Discuz!论坛和mediawiki
- hangye5:2011医疗行业网络营销发展动态
- 1734: 炮兵阵地
热门文章
- 弃用 Notepad++,还有5款更牛逼的选择!
- Android Multimedia框架总结(二十)MediaCodec状态图及Codec与输入/输出Buffer过程(附实例)...
- python---用python实现冒泡排序
- 查看服务器文件命令大全,查看服务器文件的命令
- 怎么避免后台被搜索_优化亚马逊后台关键词的6个技巧,让买家快速找到你
- html中src中的url,HTML 中的 href\src\url
- 手工画图和计算机画图的内在联系,浅谈计算机绘图有关的论文(2)
- cryptapi双向认证_2019 08 28 netty案例,netty4.1中级拓展篇十三《Netty基于SSL实现信息传输过程中双向加密验证》...
- gin -get请求的小示例1-Handle处理GET请求
- 帆软决策报表JS实现点击超链切换TAB页