10 Awọn atunto Sudoers ti o wulo fun Ṣiṣeto sudo ni Linux

Ni Lainos ati awọn ọna ṣiṣe bii Unix miiran, olumulo gbongbo nikan le ṣiṣẹ gbogbo awọn aṣẹ ati ṣe awọn iṣẹ pataki kan lori eto bii fifi sori ẹrọ ati imudojuiwọn, yọ awọn idii, ṣẹda awọn olumulo ati awọn ẹgbẹ, ṣe atunṣe awọn faili iṣeto eto pataki ati bẹbẹ lọ.

Bibẹẹkọ, olutọju eto kan ti o gba ipa ti olumulo gbongbo le gba awọn olumulo eto deede miiran laaye pẹlu iranlọwọ ti aṣẹ sudo ati awọn atunto diẹ lati ṣiṣe diẹ ninu awọn ofin bii gbejade nọmba awọn iṣẹ eto pataki pẹlu awọn ti a darukọ loke.

Ni omiiran, alakoso eto le pin ọrọ igbaniwọle olumulo olumulo (eyiti kii ṣe ọna ti a ṣe iṣeduro) ki awọn olumulo eto deede ni aaye si akọọlẹ olumulo gbongbo nipasẹ aṣẹ su.

sudo gba olumulo laaye lati ṣe aṣẹ kan bi gbongbo (tabi olumulo miiran), bi a ti ṣalaye nipasẹ eto aabo:

  1. O ka ati pars/ati be be lo/sudoers, n wo olumulo ti n bẹ ati awọn igbanilaaye rẹ,
  2. lẹhinna tọ olumulo ti n pe fun ọrọ igbaniwọle kan (deede ọrọ igbaniwọle olumulo, ṣugbọn o le jẹ ọrọ igbaniwọle olumulo ti o fojusi. Tabi o le foju pẹlu aami NOPASSWD),
  3. lẹhin eyini, sudo ṣẹda ilana ọmọde ninu eyiti o pe ni setuid() lati yipada si olumulo afojusun
  4. atẹle, o ṣe ikarahun kan tabi aṣẹ ti a fun bi awọn ariyanjiyan ninu ilana ọmọde loke.

Ni isalẹ wa awọn atunto faili mẹwa/ati be be lo/sudoers lati yipada ihuwasi ti aṣẹ sudo nipa lilo awọn titẹ sii Awọn aiyipada.

$ sudo cat /etc/sudoers

#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults	env_reset
Defaults	mail_badpass
Defaults	secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
Defaults	logfile="/var/log/sudo.log"
Defaults	lecture="always"
Defaults	badpass_message="Password is wrong, please try again"
Defaults	passwd_tries=5
Defaults	insults
Defaults	log_input,log_output

Defaults                parameter,   parameter_list     #affect all users on any host
[email _List      parameter,   parameter_list     #affects all users on a specific host
Defaults:User_List      parameter,   parameter_list     #affects a specific user
Defaults!Cmnd_List      parameter,   parameter_list     #affects  a specific command 
Defaults>Runas_List     parameter,   parameter_list     #affects commands being run as a specific user

Fun dopin ti itọsọna yii, a yoo sọkalẹ si oriṣi akọkọ ti Awọn aiyipada ni awọn fọọmu ni isalẹ. Awọn wiwọn le jẹ awọn asia, awọn iye odidi, awọn okun, tabi awọn atokọ.

O yẹ ki o ṣe akiyesi pe awọn asia jẹ boolean lọna aitọ ati pe o le wa ni pipa nipa lilo onišẹ !! > - = (yọ kuro ninu atokọ).

Defaults     parameter
OR
Defaults     parameter=value
OR
Defaults     parameter -=value   
Defaults     parameter +=value  
OR
Defaults     !parameter

1. Ṣeto PATH ti o ni aabo

Eyi ni ọna ti a lo fun gbogbo aṣẹ ṣiṣe pẹlu sudo, o ni awọn agbewọle pataki meji:

  1. Ti lo nigbati oluṣakoso eto ko ba gbẹkẹle awọn olumulo sudo lati ni oniyipada Ayika PATH to ni aabo
  2. Lati yapa “ọna gbongbo” ati\“ọna olumulo”, awọn olumulo nikan ti o ṣalaye nipasẹ exempt_group ko ni ipa nipasẹ eto yii.

Lati ṣeto rẹ, ṣafikun laini naa:

Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin"

2. Jeki sudo lori Igbimọ Wiwọle Olumulo TTY

Lati jẹki sudo lati pe lati tty gidi ṣugbọn kii ṣe nipasẹ awọn ọna bii cron tabi awọn iwe afọwọkọ cgi-bin, ṣafikun laini naa:

Defaults  requiretty

3. Ṣiṣe Sudo Command Lilo pty kan

Awọn igba diẹ, awọn olupa le ṣiṣe eto irira (bii ọlọjẹ tabi malware) nipa lilo sudo, eyiti yoo tun ṣe ilana abẹlẹ kan ti o wa lori ẹrọ ebute olumulo paapaa nigbati eto akọkọ ti pari ṣiṣe.

Lati yago fun iru oju iṣẹlẹ bẹ, o le tunto sudo lati ṣiṣẹ awọn ofin miiran nikan lati psuedo-pty nipa lilo paramita use_pty , boya buwolu I/O wa ni titan tabi kii ṣe bi atẹle:

Defaults  use_pty

4. Ṣẹda Faili Wọle Sudo

Nipa aiyipada, sudo ṣe igbasilẹ nipasẹ syslog (3). Sibẹsibẹ, lati ṣafihan faili faili aṣa, lo paramita logfile bii bẹẹ:

Defaults  logfile="/var/log/sudo.log"

Lati buwolu wọle orukọ olupin ati ọdun oni-nọmba mẹrin ni faili logọti aṣa, lo log_host ati awọn ipele log_year lẹsẹsẹ bi atẹle:

Defaults  log_host, log_year, logfile="/var/log/sudo.log"

Ni isalẹ jẹ apẹẹrẹ ti faili log sudo aṣa:

5. Wọle Sudo Command Input/Output

Awọn ipilẹ log_input ati log_output mu ki sudo ṣiṣẹ ni aṣẹ ni pseudo-tty ati buwolu wọle gbogbo iṣagbewọle olumulo ati gbogbo iṣẹjade ti a firanṣẹ si iboju ni gbigba.

Ilana itọsọna I/O aiyipada ni/var/log/sudo-io, ati pe ti nọmba itẹlera igba kan ba wa, o ti fipamọ sinu itọsọna yii. O le ṣalaye itọsọna aṣa nipasẹ paramita iolog_dir.

Defaults   log_input, log_output

Diẹ ninu awọn ọna abayo wa ni atilẹyin gẹgẹbi % {seq} eyiti o gbooro si ipilẹ ipilẹ-monotonically npọ-36 nọmba ọkọọkan, bii 000001, nibiti a lo gbogbo awọn nọmba meji lati ṣe itọsọna tuntun, fun apẹẹrẹ. 00/00/01 bi ninu apẹẹrẹ ni isalẹ:

$ cd /var/log/sudo-io/
$ ls
$ cd  00/00/01
$ ls
$ cat log

O le wo awọn iyokù awọn faili ninu itọsọna yẹn nipa lilo pipaṣẹ ologbo.

6. Lakotan Awọn olumulo Sudo

Lati ṣe ọjọgbọn awọn olumulo sudo nipa lilo ọrọ igbaniwọle lori eto, lo paramita ọjọgbọn bi isalẹ.

O ni awọn iye ti o ṣeeṣe mẹta:

  1. igbagbogbo - nigbagbogbo sọsọ fun olumulo kan.
  2. lẹẹkan - nikan sọsọ olumulo ni igba akọkọ ti wọn ṣe pipaṣẹ sudo (eyi ni a lo nigbati ko ba ṣe apejuwe iye kan)
  3. rara - maṣe ba olumulo sọrọ. 

 
Defaults  lecture="always"

Ni afikun, o le ṣeto faili ikowe aṣa pẹlu paramita lecture_file, tẹ ifiranṣẹ ti o baamu ninu faili naa:

Defaults  lecture_file="/path/to/file"

7. Fihan Ifiranṣẹ Aṣa Nigbati O ba Tẹ Ọrọigbaniwọle sudo ti ko tọ si

Nigbati olumulo kan ba tẹ ọrọigbaniwọle aṣiṣe, ifiranṣẹ kan kan ti han lori laini aṣẹ. Ifiranṣẹ aiyipada ni\"binu, gbiyanju lẹẹkansi", o le yipada ifiranṣẹ nipa lilo paramita badpass_message bii atẹle yii:

Defaults  badpass_message="Password is wrong, please try again"

8. Ṣe alekun sudo Ọrọ igbaniwọle Igbiyanju

Ti lo paramita passwd_tries lati ṣafihan iye awọn igba ti olumulo le gbiyanju lati tẹ ọrọ igbaniwọle sii.

Iye aiyipada jẹ 3:

Defaults   passwd_tries=5

Lati ṣeto akoko igbaniwọle ọrọigbaniwọle (aiyipada jẹ iṣẹju marun 5) nipa lilo paramita passwd_timeout, ṣafikun laini isalẹ:

Defaults   passwd_timeout=2

9. Jẹ ki Sudo Ṣọgan fun Ọ Nigbati O ba Tẹ Ọrọigbaniwọle aṣiṣe

Ni ọran ti olumulo kan ba tẹ ọrọigbaniwọle aṣiṣe, sudo yoo ṣe afihan awọn ẹgan lori ebute pẹlu paramita ẹgan. Eyi yoo pa adaṣe badpass_message laifọwọyi.

Defaults  insults

Ka Diẹ sii: Jẹ ki Sudo fi ẹgan rẹ Nigbati o ba tẹ Ọrọigbaniwọle ti ko tọ sii

10. Kọ ẹkọ diẹ sii Awọn atunto Sudo

Ni afikun, o le kọ diẹ sii awọn atunto aṣẹ sudo nipa kika: Iyato Laarin su ati sudo ati Bii o ṣe le Tunto sudo ni Linux.

O n niyen! O le pin awọn atunto aṣẹ sudo ti o wulo miiran tabi awọn ẹtan ati awọn imọran pẹlu awọn olumulo Linux ni ita nipasẹ apakan asọye ni isalẹ.