sudo深入解析（免密+权限精细分配的几种方案）

sudo深入解析（免密+权限精细分配的几种方案）

zsk_john 2020-12-21 17:19:54 133 收藏

分类专栏： Linux 文章标签： 运维 linux java centos 数据库

版权声明：本文为博主原创文章，遵循CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。

本文链接：https://blog.csdn.net/alwaysbefine/article/details/111471327

版权

 

                               sudo深入解析（免密+权限精细分配的几种方案）

在系统运维时，免不了需要配置sudo以提高系统的安全性，那么，具体的做法应该如何实现呢？请看如下场景：

场景一：

系统账号管理员需要使用普通账号zsk1来管理系统内的所有账号，包括，账号的增删，密码的设置，但是这个普通账号不能修改root密码，其余的权限都没有，这个如何实现？

场景二：

希望某一个普通用户zsk2，仅仅能够做系统的服务管理，比如使用systemctl 命令启停某个指定的服务或者所有服务，其余的高权限操作全部禁止，比如增加用户，rpm安装各类软件，这个如何实现？

场景三：

希望某一个普通用户zsk3，仅仅能够使用iptables 等防火墙配置相关的基础命令，并能够离线安装一部分rpm 包以完成网络配置工作，zsk3 这个用户可以关机，其余的操作全部禁止，包括yum安装，这个如何实现？

场景四：

希望普通用户zsk4具有所有权限，但不能更改任何用户的密码，包括自身的密码，如何实现？

---

---

sudo权限配置类似系统内的防火墙配置，第一个思路是，禁止所有权限，放行部分权限，第二个思路是放行全部权限，禁止部分权限，通常的做法是第一个思路：禁止所有权限，放行所需权限。

首先，sudo配置需要root账号运行visudo命令， 在root用户下执行visudo命令：

场景一的配置：visudo

98 ## Allow root to run any commands anywhere
     99 root    ALL=(ALL)       ALL
    100 zsk1    ALL=(ALL)       NOPASSWD: USERMANAGE
    101 Cmnd_Alias USERMANAGE = /usr/bin/passwd ,!/usr/bin/passwd root ,/usr/sbin/useradd ,/usr/sbin/userdel

验证：

[root@centos7 ~]# su - zsk1
Last login: Mon Dec 21 14:50:42 CST 2020 on pts/0
[zsk1@centos7 ~]$ sudo passwd zsk2
Changing password for user zsk2.
New password: 
BAD PASSWORD: The password is shorter than 8 characters
Retype new password: 
passwd: all authentication tokens updated successfully.
[zsk1@centos7 ~]$ sudo passwd root
Sorry, user zsk1 is not allowed to execute '/bin/passwd root' as root on centos7.
[zsk1@centos7 ~]$ sudo passwd 
Changing password for user root.

可以看到，不能修改root密码，可以修改其余用户密码，可以默认形式修改root密码（防君子不防小人）。当然，添加删除用户是没有任何问题的，没有演示，可自行实验。因此，为了彻底隔绝隐患，编写如下内容：

root    ALL=(ALL)       ALL
zsk1    ALL=(ALL)       NOPASSWD: USERMANAGE
Cmnd_Alias USERMANAGE = !/usr/bin/passwd ,!/usr/bin/passwd root ,/usr/sbin/useradd ,/usr/sbin/userdel ,/usr/bin/passwd zsk1 ,/usr/bin/passwd zsk2 ,/usr/bin/passwd zsk3

把需要管理密码的用户追加在 Cmnd_Alias  后面，现在用户zsk1用户可以sudo修改zsk1，zsk2，zsk3的密码，可以添加任意用户和删除任意用户，但root用户密码不可更改。（没办法的办法了）

---

场景二的实现：

执行visudo命令，编辑内容如下，在zsk1 下面添加一行，切换到zsk2用户后，可以启停所有服务，使得普通用户zsk2可以完成服务管理工作。：

root    ALL=(ALL)       ALL
zsk1    ALL=(ALL)       NOPASSWD: USERMANAGE
zsk2    ALL=(ALL)       NOPASSWD: /usr/bin/systemctl

验证：

[root@centos7 ~]# su - zsk2
Last login:   21 11:28:50 CST 2020 on pts/0
[zsk2@centos7 ~]$ systemctl restart docker
==== AUTHENTICATING FOR org.freedesktop.systemd1.manage-units ===
Authentication is required to manage system services or units.
Authenticating as: root
Password: 
[zsk2@centos7 ~]$ sudo systemctl restart docker

 可以看到，sudo服务可以正常启停。其余的需要root权限的命令不能执行。

场景三的实现：

执行visudo命令，编辑内容如下，在zsk2下面添加一行 NETMANAGE，

root    ALL=(ALL)       ALL
zsk1    ALL=(ALL)       NOPASSWD: USERMANAGE
zsk2    ALL=(ALL)       NOPASSWD: /usr/bin/systemctl
zsk3    ALL=(ALL)       NOPASSWD: NETMANAGE
Cmnd_Alias USERMANAGE = !/usr/bin/passwd ,!/usr/bin/passwd root ,/usr/sbin/useradd ,/usr/sbin/userdel ,/usr/bin/passwd zsk1 ,/usr/bin/passwd zsk2 ,/usr/bin/passwd zsk3
Cmnd_Alias NETMANAGE = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool ,/bin/rpm

场景四的实现：

root执行命令 visudo ，在zsk3这一行下面添加一行内容

zsk4    ALL=(ALL)       NOPASSWD: ALL,!/usr/bin/passwd

 验证：

[zsk4@centos7 ~]$ sudo passwd root
Sorry, user zsk4 is not allowed to execute '/bin/passwd root' as root on centos7.
[zsk4@centos7 ~]$ sudo passwd zsk4
Sorry, user zsk4 is not allowed to execute '/bin/passwd zsk4' as root on centos7.
[zsk4@centos7 ~]$ sudo cat /etc/shadow
root:$6$qd.f6L1o$l6K7gxiGMUBqpksi29WSOVRrF5WO1pwS2jPr/M..RuAWtCHMEMoMeMJlJbCUr/exp38Qx4b6yHoMgHkgilA2J1:18617:0:99999:7::

除了更改用户密码（所有的用户，包括root），其余的需要root权限的操作zsk4都可以实现。 

总结：

Cmnd_Alias 名称，然后在  用户名  hostname  命令  也就是第三列调用即可。默认是全部禁止，然后需要放行的权限写在分号后或者引用alias。！后的命令禁止， 命令1 空格，命令2 空格，的形式书写。

通过这些实现精细化的权限分配。

所有命令都需要绝对路径的形式书写。