CentOS下的sudo相关配置的总结归纳

作者: 关于计算机  发布:2019-12-27

CentOS下的sudo相关配置的总计回顾

CentOS下的sudo相关配置的总括归咎

1 幼功部分

1.1 常用的命令行

1 2 3 4 5 6 man sudoers #参阅帮助 visudo #编辑sudoers的命令 sudo -l #查看可执行或禁止执行的命令 sudo -u user1 /bin/ls #指定user1用户的身份执行命令 sudo -g gp1 /bin/ls #指以gp1组的身份执行 sudo -u user1 -g gp1 /bin/ls #指定用户和组的身份执行

1.2 配置文件路线

1 /etc/sudoers

1.3 sudoers的规行矩步分类

sudoers的平整分为以下两类:

1)小名定义(可选)

2)授权法规(必选)

1.4 特殊符号的用法

1 2 3 4 5 6 7 "#" 用于注释 "x" 转义字符 "" 使用到物理行行尾则把下行的物理行连接成一个逻辑行 "*" 匹配零个或多个字符 "?" 匹配单个字符 "[...]" 匹配指定范围的字符 "[!...]" 匹配非指定范围的字符

2 Alias(别名)

2.1 别称的连串

带有以下各样别称:User_Alias,Runas_Alias,Host_Alias,Cmnd_Alias

注:以上外号类型的书写大小写敏感

1 2 3 4 Alias ::= 'User_Alias'  User_Alias (':' User_Alias)* |           'Runas_Alias' Runas_Alias (':' Runas_Alias)* |           'Host_Alias'  Host_Alias (':' Host_Alias)* |           'Cmnd_Alias'  Cmnd_Alias (':' Cmnd_Alias)*

2.2 别称的定义格式

2.2.1 单个别称的书写方式

1 Alias_Type NAME = item1, item2, ...

注:别称成员以“,”号分隔

2.2.2 多少个小名的书写方式

1 Alias_Type NAME = item1, item2, item3 : NAME = item4, item5

注:以“:”号分隔

2.2.3 二种书写简式

1 2 3 4 5 6 7 User_Alias ::= NAME '=' User_List    Runas_Alias ::= NAME '=' Runas_List    Host_Alias ::= NAME '=' Host_List    Cmnd_Alias ::= NAME '=' Cmnd_List

2.3 小名定义NAME的平价字符**

1 NAME ::= [A-Z]([A-Z][0-9]_)*

2.4 管见所及的概念表率

 

2.4.1 命令行外号的概念榜样

功效:定义顾客外号和别名中包罗能还是不能够运营的指令

范例:

1 2 ## Networking Cmnd_Alias NETWORKING = /sbin/route/sbin/ifconfig/bin/ping/sbin/dhclient/usr/bin/net/sbin/iptables/usr/bin/rfcomm/usr/bin/wvdial/sbin/iwconfig/sbin/mii-tool

2.4.2 客户小名的概念典范

功能:定义客户外号和小名中含有的顾客

1 2 ## User Aliases User_Alias NETWORKINGADMINS = user1, user2, %gp1

注:

1)组后边加“%”号

2)客户名必得是系统有效的顾客

2.4.3 主机别称的定义范例

效果与利益:定义主机外号和别称中蕴涵的主机

范例:

1 2 ## Host Aliases Host_Alias     FILESERVERS = fs1, fs2

注:

1)服务器fs1和fs2属于FILESERVERS组

2卡塔尔(英语:State of Qatar)主机能够是主机名称、IP(192.168.0.8卡塔尔(قطر‎、或网段(192.168.0.0/24)、子网掩码(255.255.255.0卡塔尔国

 

3 授权法则

3.1 授权法则的格式

1 2 3 4 5 6 7 8 9 10 ## Next comes the main part: which users can run what software on ## which machines (the sudoers file can be shared between multiple ## systems). ## Syntax: ## ##      user    MACHINE=COMMANDS ## ## The COMMANDS section may have other options added to it. ## ## Allow root to run any commands anywhere

事实上就这几个意思:

1 用户名或%组名 主机名称=能否运行的命令

注:以上都能够利用外号替代

3.2 授权法规的表率

3.2.1 不接受别称的概念情势

依附系统顾客名的概念

1 user1 fs1=/sbin/mount /mnt/cdrom/sbin/umount /mnt/cdrom

听说系统组的概念

 

1 %gp1 fs1=/sbin/mount /mnt/cdrom/sbin/umount /mnt/cdrom

行使ALL关键字的概念

 

1 root    ALL=(ALL)       ALL

3.2.2 使用别名的概念方式

1 NETWORKINGADMINS FILESERVERS=(NETWORKADMINS)

注:

1)NETWO奥迪Q5KINGADMINS代表定义过的客户或组:user1, user2, %gp1

2)FILESE奥迪Q5VE奇骏S代表定义过的服务器:fs1, fs2

3)NETWO途胜KADMINS代表定义过的一声令下:/sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool

 

3.2.3 关闭密码验证提醒

在指令列前参加关键字“NOPASSWD: ”,详细如下:

1 %wheel        ALL=(ALL)       NOPASSWD: ALL

1 %wheel        ALL=(ALL)       NOPASSWD: /sbin/route

4 别的指令

4.1 导入子法规

1 includedir /etc/sudoers.d

使定义于/etc/sudoers.d目录下的杜鹃则生效

4.2 关闭sudo命令的提醒

此选项适用于采取shell中调用sudo推行命令时候屏蔽以下提醒:

1 sudo: sorry, you must have a tty to run sudo

4.2.1 方法一

表明掉以下行:

1 #Defaults    requiretty

4.2.2 方法二

增添以下行:

1 Defaults:user1 !requiretty

4.3 指虞诩全的实践路线

1 Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin

5 开启监视日志**

5.1 创设日志文件

1 touch /var/log/sudo.log

5.2 开启sudo的日志功效

1 visudo

出席如下行:

1 2 3 Defaults logfile=/var/log/sudo.log Defaults loglinelen=0 Defaults !syslog

5.3 配置系统日志

5.3.1 校订日志配置文件

1 vim /etc/rsyslog.conf

“local7.*”行后参预如下行:

1 local2.debug                                            /var/log/sudo.log

5.3.2 重启系统日志服务

1 service rsyslog restart

5.4 测验日志

5.4.1 命令行监视日志

1 tail -f /var/log/sudo.log

5.4.2 执行命令测量检验

1 sudo /usr/bin/ssh [email protected]

6 用加入景

6.1 消释某个采取的现象

6.1.2 配置须要

1 2 禁止某用户使用:su命令 允许某用户使用:su除外命令

注:幸免的原因是因为客商能够选拔此命令提权

1 sudo su - root

6.1.2 建设方案

1卡塔尔 查询客商的所属组

1  id mail

展现如下:

1 uid=8(mail) gid=12(mail) groups=12(mail)

2卡塔尔 定义方法

1 2 %mail ALL=(root) NOPASSWD: ALL mail ALL=(root) NOPASSWD: !/bin/su

注:定义所属组允许实行全体命令,但否决客户施行su命令

3卡塔尔国 相对好的定义方法

1 2 %mail ALL=(root) NOPASSWD: /sbin/*,/bin/*,/usr/sbin/*,/usr/bin/* mail ALL=(root) NOPASSWD: !/bin/su

可防御客商选拔如下方法破解:

1 2 sudo cp /bin/su assu sudo ./assu - root

4卡塔尔国 相对越来越好的定义方法

1 2 3 %mail ALL=(root) NOPASSWD: /sbin/*,/bin/*,/usr/sbin/*,/usr/bin/* mail ALL=(root) NOPASSWD: !/*/* /sbin/*,!/*/* /bin/*,!/*/* /usr/sbin/*,!/*/* /usr/bin/*,                              !/bin/su

注:禁绝客户选用允许的命令操作运转命令的目录的文本

可防止顾客接纳如下方法破解:

1 2 3 4 5  sudo mv /bin/su /bin/assu  #或者  sudo cp /bin/su /bin/assu  #然后  sudo assu - root

5)实际上,小编提出做如下配置

1 2 3 %mail ALL=(root) NOPASSWD: /sbin/*,/bin/*,/usr/sbin/*,/usr/bin/* mail ALL=(root) NOPASSWD: !/*/* /sbin/*,!/*/* /bin/*,!/*/* /usr/sbin/*,!/*/* /usr/bin/*,                              !/bin/su,!/usr/bin/passwd *root*,!/*/* */root/*

可防备顾客使用passwd命令操作root客商:

1 2 3  sudo su - root  sudo passwd -l root  sudo passwd -u root

或应用别的命令去操作root的家目录

1 2  sudo ls /root/  sudo ls -l /root/

如何?脑洞大开吗?sudo是相对安全的对啊?O(∩_∩)O哈哈~

注:以上个人总括,如有错漏迎接指正,在下感激涕零。

 本文长久更新链接地址:

CentOS下的sudo相关配置的计算归咎 1 基本功部分 1.1 常用的一声令下行 123456 man sudoers #参谋补助 visudo #编辑sudoers的...

本文由金沙澳门官网送注册58发布于关于计算机,转载请注明出处:CentOS下的sudo相关配置的总结归纳

关键词:

上一篇:mysql数据库优化,小贝_mysql优化学习
下一篇:没有了