参考:http://yangrong.blog.51cto.com/6945369/1289452, https://wiki.archlinux.org/index.php/Sudo_(%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87)
sudo : 以他人身份执行命令,默认为root。可在文件/etc/sudoers中配置。
若其未经授权的用户企图使用sudo,则会发出警告的邮件给管理员。用户使用sudo时,必须先输入当前用户密码,之后有5分钟的有效期限,超过期限则必须重新输入密码。
1. sudo命令语法
语法:
sudo [-bhHpV][-s ][-u <用户>][指令] 或 sudo [-klv] 或
sudo [-AbEHknPS] [-r role] [-t type] [-C num] [-g group] [-h host] [-p prompt] [-u user] [VAR=value]
[-i|-s] [<command>]
参数:
| 参数 | 参数别名 |
描述 |
|
-A |
--askpass |
密码提示使用辅助程序 |
|
-b |
--background |
在后台执行指令 |
|
-C |
--close-from=num |
关闭所有文件描述符 >=num |
|
-E |
--preserve-env |
运行命令时保存用户环境 |
|
-e |
--edit |
编辑文件,代替执行命令 |
|
-g |
--group=group |
以指定的用户组名或ID执行命令 |
|
-H |
--set-home |
将HOME环境变量设为新身份的HOME环境变量 |
|
-h |
--help |
显示帮助信息和文本 |
|
-h |
--hoe=host |
在主机上运行命令(如果插件支持) |
|
-k |
--reset-timestamp |
无效的时间戳文件 结束密码的有效期限,也就是下次再执行sudo时便需要输入密码 |
|
-K |
--remove-timestamp |
同-k, 彻底删除文件的时间戳 |
|
-l |
--list |
列出目前用户可执行与无法执行的指令;列出用户的权限或检查一个特定的命令;使用两次更长的格式 |
|
-n |
--non-interactive |
非交互模式,无提示使用 |
|
-P |
--preserve-groups |
保存组向量,而不是设置为目标的 |
|
-p |
--prompt=prompt |
改变询问密码的提示符号 |
|
-S |
--stdin |
从标准输入读取密码 |
|
-s |
--shell |
执行指定的shell |
|
-t |
-type=type |
创建指定类型的SELinux的安全上下文 |
|
-U |
--other-user=user |
在列表模式下,显示用户的权限 |
|
-u |
--user=user |
以指定的用户作为新的身份。若不加上此参数,则预设以root作为新的身份 |
|
-v |
--version |
延长密码有效期限5分钟 |
|
-V |
--validate |
显示版本信息 |
|
-- |
|
停止处理命令行参数 |
2. sudo工作流程
1)当用户执行 sudo 时,系统于 /etc/sudoers 档案中搜寻该使用者是否有执行 sudo 的权限;
2)若使用者具有可执行 sudo 的权限后,便让使用者输入用户自己的密码来确认(是否需要输入密码,可配置);
3)若密码输入成功,便开始进行 sudo 后续接的指令(但 root 执行 sudo 时,不需要输入密码);
4)若欲切换的身份与执行者身份相同,那也不需要输入密码。
4. visudo单用户授权
visudo是直接操作/etc/sudoers文件,我们也可以直接 vi /etc/sudoers,但是visudo命令的好处在于,退出/etc/sudoers文件时,系统会检查/etc/sudoers语法是否正确。
[root@www ~]# visudo
....(前面省略)....
root ALL=(ALL) ALL #<==找到这一行,大约在80 行左右
yang1 ALL=(ALL) ALL #<==新增这行!则yang1用户通过sudo拥有所有权限
....(前面省略)....
语法解释:
| root |
ALL=(ALL) |
ALL |
|
使用者账号 |
登入者的来源主机名=(可切换的身份) |
可下达的指令 |
|
详细解释: |
||
|
使用者帐号 |
代表哪个用户使用sudo的权限 |
|
|
来源主机名称 |
指定信任用户,即根据w查看[使用者帐号]的来源主机 |
|
|
可切换的身份 |
代表可切换的用户角色,和sudo -u结合使用,默认是切换为root. |
|
|
可下达的指令 |
用于权限设置,也可使用!来表示不可执行的命令 |
|
举例:
[root@www ~]# visudo
yang2 ALL=(root) !/usr/bin/passwd,!/usr/bin/passwd root
#允许yang2用户通过sudo来修改所有其它用户的密码,但不能修改root的密码
4. visudo利用群组授权
[root@www ~]# visudo
....(前面省略)....
%test ALL=(ALL) ALL
# 在最左边加上 % ,代表后面接的是一个群组,格式和单用户授权一样
[root@www ~]# usermod -a -G test test #<==将test 加入root 的组中
任何加入test这个群组的使用者,就能够使用 sudo 切换任何身份来操作任何指令
不需要密码即可使用 sudo
[root@www ~]# visudo
....(前面省略)....
%wheel ALL=(ALL) NOPASSWD: ALL
#在指令处加入NOPASSWD:ALL即可
5. visudo利用别名授权
公司有很多部门,要方便管理,就可使用别名的方式,如:开发部,运维部,技术支持部,每个部门里多个人,部门之间拥有的命令权限也不一样,同一部门权限一样。如果一条一条写的话,写也麻烦,改就更麻烦了。
别名的使用方法:
使用方法可通过 man sudoers后面的举例找到
| root |
ALL= |
(ALL) |
ALL |
|
使用者账号 |
登入者的来源主机名 |
可切换的身份 |
可下达的指令 |
|
User_Alias FULLTIMERS = millert, mikef, dowdy |
Host_Alias CSNETS = 128.138.243.0, 128.138.204.0/24, 128.138.242.0 |
Runas_Alias OP = root, operator |
Cmnd_Alias PRINTING = /usr/sbin/lpc, /usr/bin/lprm |
例:
[root@www ~]# visudo
User_Alias ADMPW = pro1,pro2, pro3, myuser1, myuser2 #配置用户别名ADMPW
Cmnd_Alias ADMPWCOM =!/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root
#配置命令别名ADMPWCOM
ADMPW ALL=(root) ADMPWCOM #指定用户别名里的成员,拥有命令别名里的权限
6. visudo与环境变量
1)现象描述:test1用户sudo命令已经有所有的权限,但不能查看网卡信息。
[test1@test ~]$ sudo -l
…省略…
User test1 may run thefollowing commands on this host:
(ALL) ALL
sudo权限已经全部有了
[test1@test ~]$ sudo ifconfig eth0
sudo: ifconfig: command notfound
不可以查看!提示这个命令找不到?为什么?这是因为系统环境变量导致的。
2) root环境变量与普通用户环境变量比较
test1用户找不到which命令在哪里,而root用户可以。
[test1@test ~]$ which ifconfig
/usr/bin/which: no ifconfig in(/application/mysql/bin:/usr/kerberos/bin:/usr/local/bin:/bin:/usr/bin:/home/test1/bin)
[test1@test ~]$ su - root
Password:
[root@test ~]# which ifconfig
/sbin/ifconfig
这是为什么呢?
3)查看两个test1和root的PATH变量
[root@test ~]# echo $PATH
/application/mysql/bin:/usr/kerberos/sbin:/usr/kerberos/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin
[root@test ~]# su - test1
[test1@test ~]$ echo $PATH
/application/mysql/bin:/usr/kerberos/bin:/usr/local/bin:/bin:/usr/bin:/home/test1/bin
发现普通用户都没有sbin的路径,而很多命令都放在这些路径下。
4)在普通用户变量文件添加上述路径,cd ~ && vi ~.profile
在PATH后加入:/sbin:/usr/sbin:/usr/local/sbin
[test1@test ~]$ cat .bash_profile |grep PATH
PATH=$PATH:$HOME/bin:/sbin:/usr/sbin:/usr/local/sbin
[test1@test ~]$ source .bash_profile #使修改的变量文件生效
#修改变量后,接下来继续查看网卡信息
[test1@test ~]$ sudo ifconfigeth0
eth0 Link encap:Ethernet HWaddr 00:0C:29:3B:DA:97
inet addr:10.0.0.239 Bcast:10.0.0.255 Mask:255.255.255.0
可以正常执行了!
5) 为防止不出现用户找不到的命令,有两个方法
5.1)把上述路径添加到环境变量中,~/.bash_profile文件(普通用户可编辑),或/etc/profile全局文件(需root用户编辑)
5.2)执行命令用绝对路径,如: /sbin/ifconfig eth0
注:centos6.4没有此问题
7. 配置sudo日志文件跟踪
操作步骤:
1)查询sample.sudoers文件位置
[root@yang1 ~]# rpm -ql sudo
/usr/share/doc/sudo-1.7.2p1/sample.sudoers
/usr/share/doc/sudo-1.7.2p1/sample.syslog.conf
2)查看sample.sudoers中的日志相关配置
sample.syslog.conf这个文件为官方配置sudo日志配置笔记
[root@yang1 ~]# cat /usr/share/doc/sudo-1.7.2p1/sample.sudoers | grep "log"
Defaults syslog=auth
Defaults> root !set_logname
Defaults@SERVERS log_year, logfile=/var/log/sudo.log
3)创建日志文件
touch /var/log/sudo.log
4)把sudo日志文件加入系统日志
把下面命令添加到/etc/syslog.conf末尾
local2.debug /var/log/sudo.log
注:空白处不能用空格,必须用tab
centos6.4的日志服务为rsyslog
5)在/etc/sudoers中添加日志路径(也可用visudo编辑)
加在/etc/sudoers末尾:
echo 'Defaults logfile=/var/log/sudo.log' >> /etc/sudoers
6)测试
[root@yang1 ~]# cat/var/log/sudo.log #测试前sudo.log为空
[root@yang1 ~]# su - yang1 #进入普通用户(事先已授权)
[yang1@yang1 ~]$ sudo -l #查看当前用户sudo可执行的命令
[sudo] password for yang1:
Matching Defaults entries foryang1 on this host:
requiretty, !visiblepw, env_reset, env_keep="COLORS DISPLAYHOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS MAIL PS1 PS2 QTDIR
USERNAME LANG LC_ADDRESS LC_CTYPE LC_COLLATE LC_IDENTIFICATIONLC_MEASUREMENT LC_MESSAGES LC_MONETARY LC_NAME LC_NUMERIC
LC_PAPER LC_TELEPHONE LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSETXAUTHORITY", logfile=/var/log/sudo.log
Runas and Command-specificdefaults for yang1:
User yang1 may run the followingcommands on this host:
(ALL)!/usr/sbin/useradd, (ALL) !/usr/sbin/userdel, (ALL) /bin/touch #发现不能创建删除用户,能创建文件。
[yang1@yang1 ~]$ sudo touchyangrong #使用sudo创建一个文件
[yang1@yang1 ~]$ cat/var/log/sudo.log #查看sudo.log文件,已有记录,测试成功
9月 5 12:37:46 : yang1 : TTY=pts/2; PWD=/home/yang1 ; USER=root ; COMMAND=list
9月 5 12:38:05 : yang1 : TTY=pts/2; PWD=/home/yang1 ; USER=root ;
COMMAND=/bin/touch yangrong
测试成功!
上述为简单的审计,复杂点的可以把日志集中存储,更复杂点的可以对用户行为做录像回放,过滤分析等。