Nhazi Sudoers 10 bara uru maka ịtọlite sudo na Linux
Na Linux na sistemụ arụmọrụ Unix ndị ọzọ, naanị onye ọrụ mgbọrọgwụ nwere ike ịgba ọsọ iwu niile ma rụọ ọrụ ụfọdụ dị oke egwu na sistemụ dịka ịwụnye na melite, wepụ ngwugwu, mepụta ndị ọrụ na otu, gbanwee faịlụ nhazi usoro dị mkpa na ihe ndị ọzọ.
Otú ọ dị, onye nchịkwa usoro nke na-ewere ọrụ nke onye ọrụ mgbọrọgwụ nwere ike ikwe ka ndị ọrụ usoro ndị ọzọ na-arụ ọrụ nkịtị site n'enyemaka nke iwu sudo na nhazi ole na ole na-agba ọsọ ụfọdụ iwu yana ịrụ ọtụtụ ọrụ usoro dị mkpa gụnyere ndị a kpọtụrụ aha n'elu.
N'aka nke ọzọ, onye na-ahụ maka sistemụ nwere ike ịkekọrịta paswọọdụ onye ọrụ mgbọrọgwụ (nke na-abụghị usoro akwadoro) ka ndị ọrụ sistemu nkịtị wee nweta akaụntụ onye ọrụ mgbọrọgwụ site na iwu su.
sudo na-enye ohere onye ọrụ ikike ime iwu dị ka mgbọrọgwụ (ma ọ bụ onye ọrụ ọzọ), dị ka amụma nchekwa akọwapụtara:
- Ọ na-agụ ma na-atụgharị /etc/sudoers, na-enyocha onye ọrụ na-akpọ oku na ikike ya,
- wee kpalite onye na-akpọ oku maka paswọọdụ (ọ na-abụkarị paswọọdụ onye ọrụ, mana ọ nwekwara ike bụrụ paswọọdụ onye ọrụ ebumnuche. Ma ọ bụ enwere ike ịwụfe ya na mkpado NOPASSWD),
- Mgbe nke ahụ gasịrị, sudo na-emepụta usoro ụmụaka nke ọ na-akpọ setuid() ka ọ gbanwee gaa na onye ọrụ ebumnuche
- ọzọ, ọ na-eme shei ma ọ bụ iwu enyere dị ka arụmụka na usoro ụmụaka dị n'elu.
N'okpuru bụ nhazi faịlụ iri /etc/sudoers iji gbanwee omume nke iwu sudo site na iji ndenye Default.
$ sudo cat /etc/sudoers
# # This file MUST be edited with the 'visudo' command as root. # # Please consider adding local content in /etc/sudoers.d/ instead of # directly modifying this file. # # See the man page for details on how to write a sudoers file. # Defaults env_reset Defaults mail_badpass Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin" Defaults logfile="/var/log/sudo.log" Defaults lecture="always" Defaults badpass_message="Password is wrong, please try again" Defaults passwd_tries=5 Defaults insults Defaults log_input,log_output
Defaults parameter, parameter_list #affect all users on any host [email _List parameter, parameter_list #affects all users on a specific host Defaults:User_List parameter, parameter_list #affects a specific user Defaults!Cmnd_List parameter, parameter_list #affects a specific command Defaults>Runas_List parameter, parameter_list #affects commands being run as a specific user
Maka oke ntuziaka a, anyị ga-agbada n'ụdị nke mbụ n'ụdị dị n'okpuru. Oke nwere ike ịbụ ọkọlọtọ, ụkpụrụ integer, eriri, ma ọ bụ ndepụta.
Ị ga-arịba ama na ọkọlọtọ bụ boolean n'ezoghị ọnụ na enwere ike gbanyụọ ya site na iji onye ọrụ !
, na ndepụta nwere ndị ọrụ ọrụ abụọ ọzọ, +=
(tinye na ndepụta) na >> - =
(wepụ na ndepụta).
Defaults parameter OR Defaults parameter=value OR Defaults parameter -=value Defaults parameter +=value OR Defaults !parameter
1. Tọọ ụzọ echekwabara
Nke a bụ ụzọ a na-eji maka iwu ọ bụla na-agba ọsọ na sudo, ọ nwere ihe abụọ dị mkpa:
- A na-eji ya mgbe onye njikwa sistemu atụkwasịghị ndị ọrụ sudo ka ha nwee mgbanwe gburugburu PATH echekwara echekwabara
- Ikewapụ\root path na\ụzọ onye ọrụ , naanị ndị ọrụ akọwapụtara site na exempt_group adịghị emetụta ntọala a.
Ka ịtọọ ya, tinye ahịrị:
Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin"
2. Kwado sudo na nnọkọ nbanye onye ọrụ TTY
Iji mee ka a kpọọ sudo site na ezigbo tty mana ọ bụghị site na ụzọ dị ka cron ma ọ bụ cgi-bin scripts, tinye ahịrị:
Defaults requiretty
3. Gbaa Sudo Command Iji pty
Oge ole na ole, ndị na-awakpo nwere ike iji sudo mee ihe omume ọjọọ (dị ka nje ma ọ bụ malware) na-eji sudo, nke ga-emegharị usoro ndabere nke na-anọgide na ngwaọrụ njedebe onye ọrụ ọbụlagodi mgbe mmemme bụ isi mechaa.
Iji zere ọnọdụ dị otú ahụ, ị nwere ike hazie sudo ka ọ na-agba ọsọ iwu ndị ọzọ naanị site na psuedo-pty site na iji use_pty
paramita, ma agbanyere mbanye I/O ma ọ bụ na agbanyereghị dị ka ndị a:
Defaults use_pty
4. Mepụta Sudo Log File
Site na ndabara, sudo na-edekọ site na syslog(3). Agbanyeghị, iji kọwapụta faịlụ ndekọ ahaziri ahazi, jiri paramita logfile dị ka nke a:
Defaults logfile="/var/log/sudo.log"
Ka ịbanye aha nnabata na afọ ọnụọgụ anọ na faịlụ ndekọ ahaziri, jiri log_host na log_year kwa otu n'otu n'otu:
Defaults log_host, log_year, logfile="/var/log/sudo.log"
N'okpuru bụ ọmụmaatụ faịlụ log sudo omenala:
5. Log Sudo Command Input/mmepụta
Ihe log_input na log_output parameters na-enyere sudo aka ịme iwu na pseudo-tty wee debanye ndenye onye ọrụ na mmepụta niile ezigara na ihuenyo nke ọma.
Ndekọ ndekọ ndekọ I/O nke ndabara bụ /var/log/sudo-io, ma ọ bụrụ na enwere nọmba usoro nnọkọ, a na-echekwa ya na ndekọ a. Ị nwere ike ezipụta ndekọ aha omenala site na paramita iolog_dir.
Defaults log_input, log_output
Enwere ụfọdụ usoro mgbapụ akwadoro dị ka %{seq}
nke na-agbasa ruo n'ọnụọgụ usoro-36 na-abawanye n'otu n'otu, dị ka 000001, ebe a na-eji ọnụọgụ abụọ ọ bụla mepụta ndekọ ọhụrụ, dịka ọmụmaatụ. 00/00/01 dị ka ihe atụ n'okpuru:
$ cd /var/log/sudo-io/ $ ls $ cd 00/00/01 $ ls $ cat log
Ị nwere ike ịlele faịlụ ndị ọzọ dị na ndekọ ahụ site na iji iwu pusi.
6. Ndị ọrụ Sudo nkuzi nkuzi
Iji kụziere ndị ọrụ sudo gbasara ojiji okwuntughe na sistemụ, jiri oke nkuzi dị ka n'okpuru.
Ọ nwere ụkpụrụ atọ nwere ike ime:
- mgbe niile – na-ekwu okwu mgbe niile onye ọrụ.
- Otu ugboro – naanị nkuzi onye ọrụ oge izizi sudo (a na-eji nke a mgbe enweghị uru akọwapụtara)
- mgbe – emela onye ọrụ nkuzi nkuzi.
Defaults lecture="always"
Na mgbakwunye, ị nwere ike ịtọ faịlụ nkuzi omenala na paramita lecture_file, pịnye ozi kwesịrị ekwesị na faịlụ ahụ:
Defaults lecture_file="/path/to/file"
7. Gosi omenala ozi mgbe ị banyere ezighi ezi sudo Paswọdu
Mgbe onye ọrụ abanyela paswọọdụ na-ezighi ezi, a na-egosipụta ụfọdụ ozi n'ahịrị iwu. Ozi ndabara bụ \Ndo, nwaa ọzọ, ị nwere ike gbanwee ozi site na iji badpass_message parameter dị ka ndị a:
Defaults badpass_message="Password is wrong, please try again"
8. Dịkwuo sudo Paswọdu na-agbalị oke
A na-eji parameter passwd_tries kọwaa ugboro ole onye ọrụ nwere ike ịgbalị itinye paswọọdụ.
Uru ndabara bụ 3:
Defaults passwd_tries=5
Ka ịtọọ oge nkwụsịtụ paswọọdụ (ndabere bụ nkeji 5) site na iji passwd_timeout parameter, tinye ahịrị dị n'okpuru:
Defaults passwd_timeout=2
9. Ka Sudo kparịrị gị mgbe ị na-abanye paswọọdụ na-ezighi ezi
Ọ bụrụ na onye ọrụ pịnyere okwuntughe na-ezighi ezi, sudo ga-egosipụta mkparị na njedebe na oke mkparị. Nke a ga-agbanyụ paramita badpass_message ozugbo.
Defaults insults
Gụkwuo: Ka Sudo kparịrị gị mgbe itinyere paswọọdụ na-ezighi ezi
10. Mụtakwuo Sudo Configurations
Na mgbakwunye, ị nwere ike mụtakwuo nhazi iwu sudo site n'ịgụ: Ọdịiche n'etiti sudo na sudo na Otu esi ahazi sudo na Linux.
Ọ bụ ya! Ị nwere ike ịkekọrịta usoro iwu sudo ndị ọzọ bara uru ma ọ bụ aghụghọ na ndụmọdụ na ndị ọrụ Linux nọ ebe ahụ site na ngalaba nkọwa n'okpuru.