当前位置: > CentOS入门 > 系统配置 >

CentOS下的sudo命令相关配置的总结归纳

时间:2016-06-22 01:10来源:blog.51cto.com 作者:“老谭linux集群博客 举报 点击:

1 基础部分

1.1 常用的命令行

man sudoers #参阅帮助
visudo #编辑sudoers的命令
sudo -l #查看可执行或禁止执行的命令
sudo -u user1 /bin/ls #指定user1用户的身份执行命令
sudo -g gp1 /bin/ls #指以gp1组的身份执行
sudo -u user1 -g gp1 /bin/ls #指定用户和组的身份执行

1.2 配置文件路径

 
/etc/sudoers

1.3 sudoers的规则分类

sudoers的规则分为以下两类:

1)别名定义(可选)

2)授权规则(必选)

1.4 特殊符号的用法

"#" 用于注释
"\x" 转义字符
"\" 使用到物理行行尾则把下行的物理行连接成一个逻辑行
"*" 匹配零个或多个字符
"?" 匹配单个字符
"[...]" 匹配指定范围的字符
"[!...]" 匹配非指定范围的字符

2 Alias(别名)

2.1 别名的类型

包含以下四种别名:User_Alias,Runas_Alias,Host_Alias,Cmnd_Alias

注:以上别名类型的书写大小写敏感

Alias ::= 'User_Alias'  User_Alias (':' User_Alias)* |
          'Runas_Alias' Runas_Alias (':' Runas_Alias)* |
          'Host_Alias'  Host_Alias (':' Host_Alias)* |
          'Cmnd_Alias'  Cmnd_Alias (':' Cmnd_Alias)*

2.2 别名的定义格式

2.2.1 单个别名的书写方式

 
Alias_Type NAME = item1, item2, ...

注:别名成员以“,”号分隔

2.2.2 多个别名的书写方式

 
Alias_Type NAME = item1, item2, item3 : NAME = item4, item5

注:以“:”号分隔

2.2.3 四种书写简式

User_Alias ::= NAME '=' User_List
 
Runas_Alias ::= NAME '=' Runas_List
 
Host_Alias ::= NAME '=' Host_List
 
Cmnd_Alias ::= NAME '=' Cmnd_List

2.3 别名定义NAME的有效字符

 
NAME ::= [A-Z]([A-Z][0-9]_)*

2.4 常见的定义范例

 

2.4.1 命令行别名的定义范例

作用:定义用户别名和别名中包含能否运行的命令

范例:

## Networking
Cmnd_Alias NETWORKING = /sbin/route/sbin/ifconfig/bin/ping/sbin/dhclient/usr/bin/net/sbin/iptables/usr/bin/rfcomm/usr/bin/wvdial/sbin/iwconfig/sbin/mii-tool

2.4.2 用户别名的定义范例

作用:定义用户别名和别名中包含的用户

## User Aliases
User_Alias NETWORKINGADMINS = user1, user2, %gp1

注:

1)组前面加“%”号

2)用户名必须是系统有效的用户

2.4.3 主机别名的定义范例

作用:定义主机别名和别名中包含的主机

范例:

## Host Aliases
Host_Alias     FILESERVERS = fs1, fs2

注:

1)服务器fs1和fs2属于FILESERVERS组

2)主机可以是主机名称、IP(192.168.0.8)、或网段(192.168.0.0/24)、子网掩码(255.255.255.0)

 

3 授权规则

3.1 授权规则的格式

## Next comes the main part: which users can run what software on
## which machines (the sudoers file can be shared between multiple
## systems).
## Syntax:
##
##      user    MACHINE=COMMANDS
##
## The COMMANDS section may have other options added to it.
##
## Allow root to run any commands anywhere

其实就这个意思:

 
用户名或%组名 主机名称=能否运行的命令

注:以上都可以使用别名代替

3.2 授权规则的范例

3.2.1 不使用别名的定义方式

基于系统用户名的定义

 
user1 fs1=/sbin/mount /mnt/cdrom/sbin/umount /mnt/cdrom

基于系统组的定义

 

 
%gp1 fs1=/sbin/mount /mnt/cdrom/sbin/umount /mnt/cdrom

使用ALL关键字的定义

 

 
root    ALL=(ALL)       ALL

3.2.2 使用别名的定义方式

 
NETWORKINGADMINS FILESERVERS=(NETWORKADMINS)

注:

1)NETWORKINGADMINS代表定义过的用户或组:user1, user2, %gp1

2)FILESERVERS代表定义过的服务器:fs1, fs2

3)NETWORKADMINS代表定义过的命令:/sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool

 

3.2.3 关闭密码验证提示

在命令列前加入关键字“NOPASSWD: ”,详细如下:

 
%wheel        ALL=(ALL)       NOPASSWD: ALL

 
%wheel        ALL=(ALL)       NOPASSWD: /sbin/route

4 其他指令

4.1 导入子规则

 
includedir /etc/sudoers.d

使定义于/etc/sudoers.d目录下的子规则生效

4.2 关闭sudo命令的提示

此选项适用于使用shell中调用sudo执行命令时候屏蔽以下提示:

 
sudo: sorry, you must have a tty to run sudo

4.2.1 方法一

注释掉以下行:

 
#Defaults    requiretty

4.2.2 方法二

添加以下行:

 
Defaults:user1 !requiretty

4.3 指定安全的执行路径

 
Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin

5 开启监视日志

5.1 创建日志文件

 
touch /var/log/sudo.log

5.2 开启sudo的日志功能

 
visudo

加入如下行:

Defaults logfile=/var/log/sudo.log
Defaults loglinelen=0
Defaults !syslog

5.3 配置系统日志

5.3.1 修改日志配置文件

 
vim /etc/rsyslog.conf

“local7.*”行后加入如下行:

 
local2.debug                                            /var/log/sudo.log

5.3.2 重启系统日志服务

 
service rsyslog restart

5.4 测试日志

5.4.1 命令行监视日志

 
tail -f /var/log/sudo.log

5.4.2 执行指令测试

 
sudo /usr/bin/ssh root@127.0.0.1

6 应用场景

6.1 排除部分使用的情景

6.1.2 配置要求

禁止某用户使用:ssh命令
允许某用户使用:ssh除外命令

 

6.1.2 解决方案

1) 查询用户的所属组

 
 id mail

显示如下:

 
uid=8(mail) gid=12(mail) groups=12(mail)

2) 定义方法

%mail ALL=(root) NOPASSWD: ALL
mail ALL=(root) NOPASSWD: !/usr/bin/ssh

注:定义所属组允许执行所有命令,但拒绝用户执行ssh命令

3) 相对好的定义方法

%mail ALL=(root) NOPASSWD: /sbin/*,/bin/*,/usr/sbin/*,/usr/bin/*
mail ALL=(root) NOPASSWD: !/usr/bin/ssh

可防止用户使用如下方法破解:

 sudo cp /usr/bin/ssh a
 sudo ./a root@10.168.0.106

4) 相对更好的定义方法

%mail ALL=(root) NOPASSWD: /sbin/*,/bin/*,/usr/sbin/*,/usr/bin/*
mail ALL=(root) NOPASSWD: !/sbin//sbin/*,!/sbin//bin/*, /sbin//usr/sbin/*, /sbin//usr/bin/*,\
                             !/bin//sbin/*,!/bin//bin/*,!/bin//usr/sbin/*,!/bin//usr/bin/*,\
                             !/usr/sbin//sbin/*,!/usr/sbin//bin/*,!/usr/sbin//usr/sbin/*,!/usr/sbin//usr/bin/*,\
                             !/usr/bin//sbin/*,!/usr/bin//bin/*,!/usr/bin//usr/sbin/*,!/usr/bin//usr/bin/*,\
                             !/usr/bin/ssh

注:禁止用户使用允许的命令操作运行命令的目录的文件

可防止用户使用如下方法破解:

 sudo mv /usr/bin/ssh /usr/bin/a
 #或者
 sudo cp /usr/bin/ssh /usr/bin/a
 #然后
 sudo /usr/bin/a root@10.168.0.106

怎样?脑洞大开吧?sudo是相对安全的O(∩_∩)O哈哈~

6.2 防止用户操作日志

%mail ALL=(root) NOPASSWD: /sbin/*,/bin/*,/usr/sbin/*,/usr/bin/*
mail ALL=(root) NOPASSWD: !/sbin//var/log/sudo.log,!/bin//var/log/sudo.log,\
                             !/usr/sbin//var/log/sudo.log,!/usr/bin//var/log/sudo.log

------------------------------------------------------------

参阅文献

官方文档:

https://www.sudo.ws/man/1.8.17/sudoers.man.html

非官方文档:

http://my.oschina.net/aiguozhe/blog/38706

http://www.jbxue.com/LINUXjishu/22920.html

http://blog.csdn.net/julius819/article/details/7735070

http://longcentod.blog.51cto.com/9060910/1533644

http://blog.csdn.net/xyz846/article/details/26406955

------分隔线----------------------------
发表评论
为了和诣的生活,我关闭了评论页面,请大家到QQ群里交流吧:348944156,也欢迎关注本站微信公众号:centoscn