Linux中如何利用sudo進(jìn)行賦權(quán)

這篇文章主要介紹Linux中如何利用sudo進(jìn)行賦權(quán)，文中介紹的非常詳細(xì)，具有一定的參考價值，感興趣的小伙伴們一定要看完！

學(xué)習(xí)怎么在保護(hù) root 密碼的安全性的同時，為可信用戶賦予所管理的網(wǎng)絡(luò)功能和特定服務(wù)的權(quán)限。

我最近寫了一個簡短的 Bash 程序來將 MP3 文件從一臺網(wǎng)絡(luò)主機(jī)的 USB 盤中拷貝到另一臺網(wǎng)絡(luò)主機(jī)上去。拷貝出來的文件存放在一臺志愿者組織所屬服務(wù)器的特定目錄下，在那里，這些文件可以被下載和播放。

我的程序還會做些其他事情，比如為了自動在網(wǎng)頁上根據(jù)日期排序，在拷貝文件之前會先對這些文件重命名。在驗(yàn)證拷貝完成后，還會刪掉 USB 盤中的所有文件。這個小程序還有一些其他選項(xiàng)，比如 -h 會顯示幫助， -t 進(jìn)入測試模式等等。

我的程序需要以 root 運(yùn)行才能發(fā)揮作用。然而，這個組織中之后很少的人對管理音頻和計(jì)算機(jī)系統(tǒng)有興趣的，這使得我不得不找那些半吊子的人來，并培訓(xùn)他們登錄到用于傳輸?shù)挠?jì)算機(jī)，運(yùn)行這個小程序。

倒不是說我不能親自運(yùn)行這個程序，但由于外出和疾病等等各種原因， 我不是時常在場的。 即使我在場，作為一名 “懶惰的系統(tǒng)管理員”， 我也希望別人能替我把事情給做了。 因此我寫了一些腳本來自動完成這些任務(wù)并通過 sudo 來指定某些人來運(yùn)行這些腳本。 很多 Linux 命令都需要用戶以 root 身份來運(yùn)行。 sudo 能夠保護(hù)系統(tǒng)免遭一時糊涂造成的意外損壞以及惡意用戶的故意破壞。

盡可能的使用 sudo

sudo 是一個很方便的工具，它讓我一個具有 root 權(quán)限的管理員可以分配所有或者部分管理性的任務(wù)給其他用戶， 而且還無需告訴他們 root 密碼， 從而保證主機(jī)的高安全性。

假設(shè)，我給了普通用戶 ruser 訪問我 Bash 程序 myprog 的權(quán)限， 而這個程序的部分功能需要 root 權(quán)限。 那么該用戶可以以 ruser 的身份登錄，然后通過以下命令運(yùn)行 myprog 。

sudo myprog

sudo 程序會檢查 /etc/sudoers 文件，并確認(rèn) ruser 是否被許可運(yùn)行 myprog 。如被許可， sudo 會要求該用戶輸入其密碼——而非 root 密碼。在 ruser 輸入他的密碼之后，該程序就運(yùn)行了。此外， sudo 也記錄 myprog 該程序運(yùn)行的日期和時間、完整的命令，以及誰在運(yùn)行它。這個數(shù)據(jù)會記錄在 /var/log/security 中。

我發(fā)現(xiàn)在培訓(xùn)時記錄下每個用 sudo 執(zhí)行的命令會很有幫助。我可以看到誰執(zhí)行了哪些命令，他們是否輸對了。

我委派了權(quán)限給自己和另一個人來運(yùn)行那一個程序；然而， sudo 可以做更多的事情。 它允許系統(tǒng)管理員委派所管理的網(wǎng)絡(luò)功能或特定的服務(wù)給某個受信的人或某組人。這可以讓你在保護(hù)了 root 密碼的安全性的同時，也賦予了那些功能。

配置 sudoers 文件

作為一名系統(tǒng)管理員，我使用 /etc/sudoers 文件來設(shè)置某些用戶或某些用戶組可以訪問某個命令，或某組命令，或所有命令。 這種靈活性是使用 sudo 進(jìn)行委派時能兼顧功能與簡易性的關(guān)鍵。

我一開始對 sudoers 文件感到很困惑，因此下面我會拷貝并分解我所使用主機(jī)上的完整 sudoers 文件。 希望在分析的過程中不會讓你感到困惑。 我意外地發(fā)現(xiàn)， 基于 Red Hat 的發(fā)行版中默認(rèn)的配置文件都會很多注釋以及例子來指導(dǎo)你如何做出修改，這使得修改配置文件變得簡單了很多，也不需要在互聯(lián)網(wǎng)上搜索那么多東西了。

不要直接用編輯器來修改 sudoers 文件，而應(yīng)該用 visudo 命令，因?yàn)樵撁顣谀惚４娌⑼顺鼍庉嬈骱缶土⒓瓷н@些變更。 visudo 也可以使用除了 Vi 之外的其他編輯器。

讓我們首先來分析一下文件中的各種別名。

主機(jī)別名

主機(jī)別名這一節(jié)用于創(chuàng)建主機(jī)分組，授予該組主機(jī)可以訪問哪些命令或命令別名。 它的基本思想是，該文件由組織中的所有主機(jī)共同維護(hù)，然后拷貝到每臺主機(jī)中的 /etc 中。 其中有些主機(jī)， 例如各種服務(wù)器， 可以配置成一個組來賦予用戶訪問特定命令的權(quán)限， 比如可以啟停類似 HTTPD、DNS 以及網(wǎng)絡(luò)服務(wù)；可以掛載文件系統(tǒng)等等。

在設(shè)置主機(jī)別名時也可以用 IP 地址替代主機(jī)名。

## Host Aliases
## Groups of machines. You may prefer to use hostnames (perhaps using 
## wildcards for entire domains) or IP addresses instead.
# Host_Alias  FILESERVERS = fs1, fs2
# Host_Alias  MAILSERVERS = smtp, smtp2

用戶別名

用戶別名允許 root 將用戶整理成別名組中，并按組來分配特定的 root 權(quán)限。在這部分內(nèi)容中我加了一行 User_Alias AUDIO = dboth, ruser ，定義了一個別名 AUDIO 用來指代了兩個用戶。

正如 sudoers 文件中所闡明的，也可以直接使用 /etc/groups 中定義的組而不用自己設(shè)置別名。 如果你定義好的組（假設(shè)組名為 audio ）已經(jīng)能滿足要求了， 那么在后面分配命令時只需要在組名前加上 % 號，像這樣: %audio 。

## User Aliases
## These aren't often necessary, as you can use regular groups
## (ie, from files, LDAP, NIS, etc) in this file - just use %groupname 
## rather than USERALIAS
# User_Alias ADMINS = jsmith, mikem
User_Alias AUDIO = dboth, ruser

命令別名

再后面是命令別名的部分。這些別名表示的是一系列相關(guān)的命令， 比如網(wǎng)絡(luò)相關(guān)命令，或者 RPM 包管理命令。 這些別名允許系統(tǒng)管理員方便地為一組命令分配權(quán)限。

該部分內(nèi)容已經(jīng)設(shè)置好了許多別名，這使得分配權(quán)限給某類命令變得方便很多。

## Command Aliases
## These are groups of related commands...

## Networking
# Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool

## Installation and management of software
# Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum

## Services
# Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig

## Updating the locate database
# Cmnd_Alias LOCATE = /usr/bin/updatedb

## Storage
# Cmnd_Alias STORAGE = /sbin/fdisk, /sbin/sfdisk, /sbin/parted, /sbin/partprobe, /bin/mount, /bin/umount

## Delegating permissions
# Cmnd_Alias DELEGATING = /usr/sbin/visudo, /bin/chown, /bin/chmod, /bin/chgrp 

## Processes
# Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall

## Drivers
# Cmnd_Alias DRIVERS = /sbin/modprobe

環(huán)境默認(rèn)值

下面部分內(nèi)容設(shè)置默認(rèn)的環(huán)境變量。這部分最值得關(guān)注的是 !visiblepw 這一行， 它表示當(dāng)用戶環(huán)境設(shè)置成顯示密碼時禁止 sudo 的運(yùn)行。 這個安全措施不應(yīng)該被修改掉。

# Defaults specification
#
# Refuse to run if unable to disable echo on the tty.
#
Defaults !visiblepw
Defaults env_reset
Defaults env_keep = "COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS"
Defaults env_keep += "MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE"
Defaults env_keep += "LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES"
Defaults env_keep += "LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE"
Defaults env_keep += "LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY"

Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin

命令部分

命令部分是 sudoers 文件的主體。不使用別名并不會影響你完成要實(shí)現(xiàn)的效果，別名只是讓整個配置工作大幅簡化而已。

這部分使用之前定義的別名來告訴 sudo 哪些人可以在哪些機(jī)器上執(zhí)行哪些操作。一旦你理解了這部分內(nèi)容的語法，你會發(fā)現(xiàn)這些例子都非常的直觀。 下面我們來看看它的語法。

ruser   ALL=(ALL) ALL

意即 ruser 可以在任意主機(jī)上以任意用戶身份運(yùn)行任意命令

這是一條為用戶 ruser 做出的配置。行中第一個 ALL 表示該條規(guī)則在所有主機(jī)上生效。 第二個 ALL 允許 ruser 以任意其他用戶的身份運(yùn)行命令。 默認(rèn)情況下， 命令以 root 用戶的身份運(yùn)行， 但 ruser 可以在 sudo 命令行指定程序以其他用戶的身份運(yùn)行。 最后這個 ALL 表示 ruser 可以運(yùn)行所有命令而不受限制。 這讓 ruser 實(shí)際上就變成了 root 。

注意到下面還有一條針對 root 的配置。這允許 root 能通過 sudo 在任何主機(jī)上運(yùn)行任何命令。

root ALL=(ALL) ALL

意即 root 可以在任意主機(jī)上以任意用戶身份運(yùn)行任意命令

為了實(shí)驗(yàn)一下效果，我注釋掉了這行， 然后以 root 的身份試著直接運(yùn)行 chown 。 出乎意料的是這樣是能成功的。 然后我試了下 sudo chown ，結(jié)果失敗了，提示信息 “Root is not in the sudoers file。 This incident will be reported”。 也就是說 root 可以直接運(yùn)行任何命令， 但當(dāng)加上 sudo 時則不行。 這會阻止 root 像其他用戶一樣使用 sudo 命令來運(yùn)行其他命令， 但是 root 有太多種方法可以繞過這個約束了。

下面這行是我新增來控制訪問 myprog 的。它指定了只有上面定義的 AUDIO 組中的用戶才能在 guest1 這臺主機(jī)上使用 myprog 這個命令。

AUDIO guest1=/usr/local/bin/myprog

允許 AUDIO 組成員在 guest1 主機(jī)上訪問 myprog

注意，上面這一行只指定了允許訪問的主機(jī)名和程序，而沒有說用戶可以以其他用戶的身份來運(yùn)行該程序。

省略密碼

你也可以通過 NOPASSWORD 來讓 AUDIO 組中的用戶無需密碼就能運(yùn)行 myprog 。像這樣：

AUDIO guest1=NOPASSWORD : /usr/local/bin/myprog

允許 AUDIO 組成員在 guest1 主機(jī)上不用輸入密碼即可訪問 myprog

我并沒有這樣做，因?yàn)槲矣X得使用 sudo 的用戶必須要停下來想清楚他們正在做的事情，這對他們有好處。 我這里只是舉個例子。

wheel

sudoers 文件中命令部分的 wheel 說明（如下所示）允許所有在 wheel 組中的用戶在任何機(jī)器上運(yùn)行任何命令。 wheel 組在 /etc/group 文件中定義， 用戶必須加入該組后才能工作。 組名前面的 % 符號表示 sudo 應(yīng)該去 /etc/group 文件中查找該組。

%wheel   ALL = (ALL) ALL

運(yùn)行所有定義在 /etc/group 文件中的 “wheel” 組成員可以在任意主機(jī)上運(yùn)行全部命令

這種方法很好的實(shí)現(xiàn)了為多個用戶賦予完全的 root 權(quán)限而不用提供 root 密碼。只需要把該用戶加入 wheel 組中就能給他們提供完整的 root 的能力。 它也提供了一種通過 sudo 創(chuàng)建的日志來監(jiān)控他們行為的途徑。 有些 Linux 發(fā)行版， 比如 Ubuntu， 會自動將用戶的 ID 加入 /etc/group 中的 wheel 組中， 這使得他們能夠用 sudo 命令運(yùn)行所有的特權(quán)命令。

結(jié)語

我這里只是小試了一把 sudo — 我只是給一到兩個用戶以 root 權(quán)限運(yùn)行單個命令的權(quán)限。完成這些只添加了兩行配置（不考慮注釋）。 將某項(xiàng)任務(wù)的權(quán)限委派給其他非 root 用戶非常簡單，而且可以節(jié)省你大量的時間。 同時它還會產(chǎn)生日志來幫你發(fā)現(xiàn)問題。

sudoers 文件還有許多其他的配置和能力。查看 sudo 和 sudoers 的 man 手冊可以深入了解詳細(xì)信息。

以上是“Linux中如何利用sudo進(jìn)行賦權(quán)”這篇文章的所有內(nèi)容，感謝各位的閱讀！希望分享的內(nèi)容對大家有幫助，更多相關(guān)知識，歡迎關(guān)注億速云行業(yè)資訊頻道！