1.sudoコマンドの紹介
sudo コマンドは、英語の「super user do」の略語から来ており、中国語では「スーパー ユーザーのみが実行できること」と訳されます。
sudo の機能は、一般ユーザーに管理者コマンドの実行を許可し、一般ユーザーが停止、再起動、シャットダウン、init などの一部またはすべての root コマンドを実行できるようにすることです。
これにより、root ユーザーのログインと管理時間が短縮されるだけでなく、セキュリティも向上します。sudo はシェルの代替であり、各コマンドを指向しています。
sudo と su コマンドの最大の違いは次のとおりです。
su コマンドを使用してユーザーの ID を変更するには、管理者のアカウントのパスワードを他人に教える必要があり、いつも不安に感じます。ここで sudo コマンドが役に立ちます。
sudo サービスを使用すると、サーバーのセキュリティを確保するための作業要件を満たしながら、権限を最小限に抑えて、指定されたユーザーに特定のコマンドを実行する権限を与えることができます。
sudo の構成は /etc/sudoers ファイルを編集して行う必要があり、このファイルを変更できるのはスーパーユーザーのみです。
sudo の主な機能:
sudo は、ユーザーが特定のコマンドを特定のホスト上でのみ実行するように制限できます。
sudo は豊富なログを提供し、各ユーザーが行ったことを詳細に記録します。ログを中央ホストまたはログ サーバーに送信できます。
sudo は、タイムスタンプ付きのファイルログを使用して、同様の「チケットチェック」システムを実行します。ユーザーが sudo を呼び出してパスワードを入力すると、ユーザーは有効期間が 5 分のチケットを取得します (この値は /etc/sudoers で設定できます)。
sudo 設定ファイルは /etc/sudoers で、属性は 0440 である必要があります。これにより、システム管理者はユーザーの権限とホストの使用状況を一元管理できます。
2. 構文形式と共通オプション
sudo --help を使用して、構文形式と一般的に使用されるコマンドを表示します。
[root@doc ~]# sudo --help
多くの人にとって、sudo は非常に複雑なコマンドです。これは、コマンドが難しいからではなく、コマンド自体に設定ファイルが必要なためです。
3. sudo設定ファイルの詳細説明
3.1 sudo設定ファイル
デフォルトの sudo 設定ファイルは /etc/sudoers です。
一般的には Linux 専用の編集ツール visudo が使用されますが、このツールの利点はエラーチェックができることです。
visudo を使用して文法規則に準拠しないルールを追加すると、保存して終了するときにエラー メッセージが表示されます。構成後、承認された通常のユーザーに切り替えて、sudo -l を使用してどのコマンドを確認することができます。実行可能または禁止されています。
/etc/sudoers ファイルの各行はルールです。その前の # 記号はコメントの内容とみなされ、実行されません。ルールが非常に長い場合は、複数の列に記述できます。 \ 記号を使用して行を続けることができます。
/etc/sudoers のルールは 2 つのカテゴリに分類できます。
1 つのタイプは認可ルールです
もう 1 つのカテゴリはエイリアス定義です。
エイリアス定義は必須ではありませんが、認可ルールは必須です。
3.2 設定ファイルのコメント
設定ファイルを見てみましょう この設定ファイルは centos7.9 をベースにしています
[root@mufeng ~]# cat /etc/sudoers
## Sudoers allows particular users to run various commands as
## the root user, without needing the root password.
##该文件允许特定用户像root用户一样使用各种各样的命令,而不需要root用户的密码
## Examples are provided at the bottom of the file for collections
## of related commands, which can then be delegated out to particular
## users or groups.
## 在文件的底部提供了很多相关命令的示例以供选择,这些示例都可以被特定用户或
## ## 用户组所使用
## This file must be edited with the 'visudo' command.
## 该文件必须使用"visudo"命令编辑
## Host Aliases
#主机别名
## Groups of machines. You may prefer to use hostnames (perhap using
## wildcards for entire domains) or IP addresses instead.
## 对于一组服务器,你可能会更喜欢使用主机名(可能是全域名的通配符)
## 或IP地址代替,这时可以配置主机别名
# Host_Alias FILESERVERS = fs1, fs2
# Host_Alias MAILSERVERS = smtp, smtp2
## User Aliases
#用户别名
## These aren't often necessary, as you can use regular groups
## (ie, from files, LDAP, NIS, etc) in this file - just use %groupname
## rather than USERALIAS
## 这并不很常用,因为你可以通过使用组来代替一组用户的别名
# User_Alias ADMINS = jsmith, mikem
## Command Aliases
## These are groups of related commands...
## 指定一系列相互关联的命令(当然可以是一个)的别名,通过赋予该别名sudo权限,
## 可以通过sudo调用所有别名包含的命令,下面是一些示例
## Networking
#网络操作相关命令别名
Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient,
/usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig,
/sbin/mii-tool
## Installation and management of software
#软件安装管理相关命令别名
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum
## Services
#服务相关命令别名
Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig
## Updating the locate database
#本地数据库升级命令别名
Cmnd_Alias LOCATE = /usr/sbin/updatedb
## Storage
#磁盘操作相关命令别名
Cmnd_Alias STORAGE = /sbin/fdisk, /sbin/sfdisk, /sbin/parted, /sbin/partprobe, /bin/mount, /bin/umount
## Delegating permissions
#代理权限相关命令别名
Cmnd_Alias DELEGATING = /usr/sbin/visudo, /bin/chown, /bin/chmod, /bin/chgrp
## Processes
#进程相关命令别名
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall
## Drivers
#驱动命令别名
Cmnd_Alias DRIVERS = /sbin/modprobe
#环境变量的相关配置
# Defaults specification
#
# Disable "ssh hostname sudo <cmd>", because it will show the password in clear.
# You have to run "ssh -t hostname sudo <cmd>".
#
Defaults requiretty
Defaults env_reset
Defaults env_keep = "COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR \
LS_COLORS MAIL PS1 PS2 QTDIR USERNAME \
LANG LC_ADDRESS LC_CTYPE LC_COLLATE LC_IDENTIFICATION \
LC_MEASUREMENT LC_MESSAGES LC_MONETARY LC_NAME LC_NUMERIC \
LC_PAPER LC_TELEPHONE LC_TIME LC_ALL LANGUAGE LINGUAS \
_XKB_CHARSET XAUTHORITY"
## Next comes the main part: which users can run what software on
## which machines (the sudoers file can be shared between multiple
## systems).
## 下面是规则配置:什么用户在哪台服务器上可以执行哪些命令(sudoers文件可以在多个系统上共享)
## Syntax:
##语法
## user MACHINE=COMMANDS
## 用户 登录的主机=(可以变换的身份) 可以执行的命令
##
## The COMMANDS section may have other options added to it.
## 命令部分可以附带一些其它的选项
##
## Allow root to run any commands anywhere
## 允许root用户执行任意路径下的任意命令
root ALL=(ALL) ALL
## Allows members of the 'sys' group to run networking, software,
## service management apps and more.
# %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS
## 允许sys中户组中的用户使用NETWORKING等所有别名中配置的命令
## Allows people in group wheel to run all commands
# %wheel ALL=(ALL) ALL
## 允许wheel用户组中的用户执行所有命令
## Same thing without a password
## 允许wheel用户组中的用户在不输入该用户的密码的情况下使用所有命令
# %wheel ALL=(ALL) NOPASSWD: ALL
## Allows members of the users group to mount and unmount the
## cdrom as root
## 允许users用户组中的用户像root用户一样使用mount、unmount、chrom命令
# %users ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom
## Allows members of the users group to shutdown this system
# %users localhost=/sbin/shutdown -h now
## 允许users用户组中的用户像root用户一样使用shutdown命令
visudo –c コマンドには構文チェック機能があります
エイリアスの種類 (Alias_Type): エイリアスの種類には次のものが含まれます
Host_Alias はホスト エイリアスを定義します。
User_Alias ユーザー エイリアス、エイリアスのメンバーはユーザーまたはユーザー グループにすることができます (先頭に % 記号を追加する必要があります)
Runas_Alias は runas エイリアスを定義するために使用されます。このエイリアスは「宛先ユーザー」、つまり sudo が切り替えることを許可されるユーザーを指定します。
Command_Alias はコマンド エイリアスを定義します。
エイリアスの下に複数のメンバーが存在する場合は、メンバーを半角カンマで区切る必要があり、メンバーは w で表示できるホスト名または IP アドレスである必要があり、ユーザー名は /etc/passwd に実際に存在する必要があります。
3.3 sudo 認可ルール
認可ルールは、権限を割り当てるための実行ルールです。前述したエイリアスの定義は、主に、より便利な認可とエイリアスへの参照を目的としています。システム内のユーザーが数人しかおらず、分散された権限が実際には比較的制限されている場合は、この必要はありません。エイリアスを定義しますが、システムの場合、ユーザーは直接認可されるため、認可ルールにエイリアスは必要ありません。
sudo の認可ルールは man sudoers で詳しく紹介されています。一緒に学びましょう:
形式: 許可されたユーザーのホスト = コマンドアクション
これら 3 つの要素は必須ですが、アクションを実行する前に特定のユーザーに切り替えるように指定することもできます。ここで指定したユーザーは括弧で囲む必要があります。コマンドを直接実行するためにパスワードが必要ない場合は、NOPASSWD パラメーターを追加する必要があります。
ケースその 1:
[root@mufenggrow ~]# grep mufeng /etc/sudoers
mufeng ALL=/usr/bin/chown,/usr/bin/chmod
[root@mufenggrow ~]#
この行を /etc/sudoers に追加すると、可能なホスト名を持つすべてのシステムで mufeng を使用できることを意味します。root ユーザーに切り替えて、/bin/chown および /bin/chmod コマンドを実行し、これらのコマンドを表示できます。 sudo -l
[mufeng@mufenggrow ~]$ sudo -l
[sudo] mufeng 的密码:
匹配 %2$s 上 %1$s 的默认条目:
!visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin, env_reset, env_keep="COLORS
DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS
LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY
LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET
XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin
用户 mufeng 可以在 mufenggrow 上运行以下命令:
(root) /usr/bin/chown, /usr/bin/chmod
[mufeng@mufenggrow ~]$
ケース2
mufeng ALL=(root)/usr/bin/chown,/usr/bin/chmod
mufeng ユーザーが root に切り替えて chown を実行でき、任意のユーザーに切り替えて chmod を実行できることを示します。
ケース 3:
mufeng ALL=(root) NOPASSWD/usr/bin/chown,/usr/bin/chmod
これは、mufeng が root に切り替えてパスワードを入力せずに chown を実行できること、および任意のユーザーに切り替えて chmod コマンドを実行できることを意味します。ただし、chmod コマンドを実行するときはパスワードを入力する必要があります。
ケース4
mufeng がユーザーではなくユーザー グループである場合は、% を追加する必要があります。
%mufeng ALL=(root)/usr/bin/chown,/usr/bin/*
これはユーザー グループ mufeng の下のユーザーを示し、次の * は bin の下のすべてのコマンドを示します。
4. 一般的な sudo パラメータの実践的なリファレンス ケース
テスト ユーザーを作成します。
[root@mufenggrow ~]# useradd mufeng
[root@mufenggrow ~]# echo 12345678 |passwd --stdin mufeng
更改用户 mufeng 的密码 。
passwd:所有的身份验证令牌已经成功更新。
[root@mufenggrow ~]# su - mufeng
[mufeng@mufenggrow ~]$ whoami
mufeng
4.1 現在のユーザーが sudo サービスによってどのコマンドを許可しているかを確認する
このとき、-l パラメータを使用できます。ここでは L の小文字を示します。
ケースを見てみましょう:
[mufeng@mufenggrow ~]$ sudo -l
[sudo] mufeng 的密码:
匹配 %2$s 上 %1$s 的默认条目:
!visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin, env_reset, env_keep="COLORS
DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS
LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY
LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET
XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin
用户 mufeng 可以在 mufenggrow 上运行以下命令:
(root) /usr/bin/chown, /usr/bin/chmod
visudo で直接設定できます。 注: visudo を実行すると、設定ファイルを直接開くことができます。前に vim を追加しないでください。設定方法は/etc/sudoersと同じです
4.2 パスワードの有効期限の終了
sudo コマンドを初めて実行するときは、パスワードを追加する必要があります。このコマンドを 2 回目に実行するときは、パスワードを追加する必要はありません。-k パラメータを使用してパスワードの有効性を終了するときは、期間中は、実行時にパスワードを使用する必要があります。
参考文献:
[root@mufenggrow ~]# su - mufeng
上一次登录:一 1月 30 19:47:47 CST 2023pts/0 上
[mufeng@mufenggrow ~]$ sudo useradd test1
[sudo] mufeng 的密码:
#可以看到第一次需要输入密码,下面第二次就不需要使用密码了
[mufeng@mufenggrow ~]$ sudo useradd test2
# 取消密码有效期
[mufeng@mufenggrow ~]$ sudo -k
[mufeng@mufenggrow ~]$ sudo useradd test3
[sudo] mufeng 的密码:
[mufeng@mufenggrow ~]$
4.3 ユーザー権限の制限
mufeng が chmod コマンドのみを実行できるように、mufeng の権限を制限します。
[root@mufenggrow ~]# visudo
最初の ALL はネットワーク内のホストを指します。2 番目の括弧内の ALL は、ターゲット ユーザー、つまりコマンドを実行する ID を指します。最後の ALL は命令名です。
したがって、ここで mufenggrow はホスト名、つまりホストです。
この記事の特典として、無料の C/C++ 開発学習教材パッケージ、技術ビデオ/コード、主要メーカーからの 1,000 件のインタビュー質問 (C++ の基礎、ネットワーク プログラミング、データベース、ミドルウェア、バックエンド開発/オーディオなど) を受け取ることができます。およびビデオ開発/Qt 開発/ゲーム開発/Linuxn カーネルなどの高度な学習教材と最適な学習ルート) ↓↓↓↓以下を参照↓↓記事の下部をクリックして無料で入手してください↓↓