CentOS下的sudo相关配置的总结归纳
|
1 基础部分 1.1 常用的命令行 mansudoers#参阅帮助 visudo#编辑sudoers的命令 sudo-l#查看可执行或禁止执行的命令 sudo-uuser1/bin/ls#指定user1用户的身份执行命令 sudo-ggp1/bin/ls#指以gp1组的身份执行 sudo-uuser1-ggp1/bin/ls#指定用户和组的身份执行 1.2 配置文件路径 /etc/sudoers 1.3 sudoers的规则分类 sudoers的规则分为以下两类: 1)别名定义(可选) 2)授权规则(必选) 1.4 特殊符号的用法 "#"用于注释 "x"转义字符 ""使用到物理行行尾则把下行的物理行连接成一个逻辑行 "*"匹配零个或多个字符 "?"匹配单个字符 "[...]"匹配指定范围的字符 "[!...]"匹配非指定范围的字符 2 Alias(别名) 2.1 别名的类型 包含以下四种别名:User_Alias,Runas_Alias,Host_Alias,Cmnd_Alias 注:以上别名类型的书写大小写敏感 Alias::='User_Alias'User_Alias(':'User_Alias)*|
'Runas_Alias'Runas_Alias(':'Runas_Alias)*|
'Host_Alias'Host_Alias(':'Host_Alias)*|
'Cmnd_Alias'Cmnd_Alias(':'Cmnd_Alias)*
2.2 别名的定义格式 2.2.1 单个别名的书写方式 Alias_TypeNAME=item1,item2,... 注:别名成员以“,”号分隔 2.2.2 多个别名的书写方式 Alias_TypeNAME=item1,item3:NAME=item4,item5 注:以“:”号分隔 2.2.3 四种书写简式 User_Alias::=NAME'='User_List Runas_Alias::=NAME'='Runas_List Host_Alias::=NAME'='Host_List Cmnd_Alias::=NAME'='Cmnd_List 2.3 别名定义NAME的有效字符 NAME::=[A-Z]([A-Z][0-9]_)* 2.4 常见的定义范例 2.4.1 命令行别名的定义范例 作用:定义用户别名和别名中包含能否运行的命令 范例: ##Networking Cmnd_AliasNETWORKING=/sbin/route,/sbin/ifconfig,/bin/ping,/sbin/dhclient,/usr/bin/net,/sbin/iptables,/usr/bin/rfcomm,/usr/bin/wvdial,/sbin/iwconfig,/sbin/mii-tool 2.4.2 用户别名的定义范例 作用:定义用户别名和别名中包含的用户 ##UserAliases User_AliasNETWORKINGADMINS=user1,user2,%gp1 注: 1)组前面加“%”号 2)用户名必须是系统有效的用户 2.4.3 主机别名的定义范例 作用:定义主机别名和别名中包含的主机 范例: ##HostAliases Host_AliasFILESERVERS=fs1,fs2 注: 1)服务器fs1和fs2属于FILESERVERS组 2)主机可以是主机名称、IP(192.168.0.8)、或网段(192.168.0.0/24)、子网掩码(255.255.255.0) 3 授权规则 3.1 授权规则的格式 ##Nextcomesthemainpart:whichuserscanrunwhatsoftwareon ##whichmachines(thesudoersfilecanbesharedbetweenmultiple ##systems). ##Syntax: ## ##userMACHINE=COMMANDS ## ##TheCOMMANDSsectionmayhaveotheroptionsaddedtoit. ## ##Allowroottorunanycommandsanywhere 其实就这个意思: 用户名或%组名主机名称=能否运行的命令 注:以上都可以使用别名代替 3.2 授权规则的范例 3.2.1 不使用别名的定义方式 基于系统用户名的定义 user1fs1=/sbin/mount/mnt/cdrom,/sbin/umount/mnt/cdrom 基于系统组的定义
%gp1fs1=/sbin/mount/mnt/cdrom,/sbin/umount/mnt/cdrom 使用ALL关键字的定义 rootALL=(ALL)ALL 3.2.2 使用别名的定义方式 NETWORKINGADMINSFILESERVERS=(NETWORKADMINS) 注: 1)NETWORKINGADMINS代表定义过的用户或组:user1,%gp1 2)FILESERVERS代表定义过的服务器:fs1,fs2 3)NETWORKADMINS代表定义过的命令:/sbin/route,/sbin/mii-tool
3.2.3 关闭密码验证提示 在命令列前加入关键字“NOPASSWD: ”,详细如下: %wheelALL=(ALL)NOPASSWD:ALL 或 %wheelALL=(ALL)NOPASSWD:/sbin/route 4 其他指令 4.1 导入子规则 includedir/etc/sudoers.d 使定义于/etc/sudoers.d目录下的子规则生效 4.2 关闭sudo命令的提示 此选项适用于使用shell中调用sudo执行命令时候屏蔽以下提示: sudo:sorry,youmusthaveattytorunsudo 4.2.1 方法一 注释掉以下行: #Defaultsrequiretty 4.2.2 方法二 添加以下行: Defaults:user1!requiretty 4.3 指定安全的执行路径 Defaultssecure_path=/sbin:/bin:/usr/sbin:/usr/bin 5 开启监视日志 5.1 创建日志文件 touch/var/log/sudo.log 5.2 开启sudo的日志功能 visudo 加入如下行: Defaultslogfile=/var/log/sudo.log Defaultsloglinelen=0 Defaults!syslog 5.3 配置系统日志 5.3.1 修改日志配置文件 vim/etc/rsyslog.conf “local7.*”行后加入如下行: local2.debug/var/log/sudo.log 5.3.2 重启系统日志服务 servicersyslogrestart 5.4 测试日志 5.4.1 命令行监视日志 tail-f/var/log/sudo.log 5.4.2 执行指令测试 sudo/usr/bin/sshroot@127.0.0.1 6 应用场景 6.1 排除部分使用的情景 6.1.2 配置要求 禁止某用户使用:ssh命令 允许某用户使用:ssh除外命令 6.1.2 解决方案 1) 查询用户的所属组 idmail 显示如下: uid=8(mail)gid=12(mail)groups=12(mail) 2) 定义方法 %mailALL=(root)NOPASSWD:ALL mailALL=(root)NOPASSWD:!/usr/bin/ssh 注:定义所属组允许执行所有命令,但拒绝用户执行ssh命令 3) 相对好的定义方法 %mailALL=(root)NOPASSWD:/sbin/*,/bin/*,/usr/sbin/*,/usr/bin/* mailALL=(root)NOPASSWD:!/usr/bin/ssh 可防止用户使用如下方法破解: sudocp/usr/bin/ssha sudo./aroot@10.168.0.106 (编辑:岳阳站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
