5. ansible之sudo提权

Posted 站在巨人的肩上

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了5. ansible之sudo提权相关的知识,希望对你有一定的参考价值。

在linux中为了安全,一般root(超级管理员权限)是不可能随便给人用的,但是在linux中有些命令只有root才能执行,因此我们用普通用户执行这些命令时需要给他们添加sudo权限

配置文件/etc/sudoers   注意:这个配置只要root用户才有权限进行修改

这里使用ansible批量创建一个普通用户,然后给这个用户用sudo提权

# 创建用户alice
ansible test -m user -a "name=alice password=\'123\'|password_hash(\'sha512\')"

# sudo权限,让alice可以执行任何命令
ansible test -m lineinfile -a "path=/etc/sudoers line=\'alice ALL=(ALL) NOPASSWD:ALL\'

修改主配置文件ansible.cfg

[defaults]
inventory = ~/ansible/hosts
remote_user = alice     #以什么用户远程被管理主机
[privilege_escalation]
become = true           # 是否需要切换用户
become_method = sudo    # 如何切换用户
become_user = root      # 切换成什么用户
become_ask_pass = False # sudo是否需要输入密码

当在控制机上用ansible批量管理其他节点(如果用alice用户管理),需要加上上面的配置文件,且需要控制机到各个节点的实现免密

for i in db01 db01

do

  ssh-copy-id  alice@$i

done

这样就可以用普通用户管理其他节点了

补充:我们用ansible配置host文件时,账户和密码以及端口都是统计管理,但是如果需要做特别设置(自定义),这里我们可以改一下hosts文件

修改主机清单文件,添加变量(多个变量可以用空格分隔)

[test]
db01    ansible_ssh_port=220               #自定义远程ssh端口
db02    ansible_ssh_user=alice               #自定义远程连接账户
[servers]
db03    ansible_ssh_pass=密码               #自定义远程连接密码
db04    ansible_ssh_private_key_file=密钥文件  #自定义远程连接密钥
db05

 

Linux安全之提权命令

sudo是 linux 系统管理指令,是允许系统管理员让普通用户执行一些或者全部的 root 命令的一个工具,如 halt,reboot,su 等等。这样不仅减少了 root 用户的登录 和管理时间,同样也提高了安全性。sudo 不是对 shell 的一个代替,它是面向每个命令的。

Linux安全之提权命令

1. su 命令

su是Switch User的缩写,用于切换当前用户身份到其他用户身份

命令参数

-c <指令>:执行完指定的指令后,即恢复原来的身份
-s:指定切换用户身份之后想要执行的shell版本
-f:适用于csh与tsch,使shell不用去读取启动文件
-m/-p:变更身份时,不要变更环境变量
-l:改变身份时也同时变更工作目录,以及HOME、SHELL、USER、PATH变量
注意事项

su的特殊用法
root用户切换身份,输入su [用户名],则直接切换至普通用户不需要密码
普通用户切换身份,输入su [用户名],需要输入用户的密码进行验证合法性
su与su -的区别
su是切换到其他用户,但是不切换环境变量
su -是完整的切换到一个用户环境,包括环境变量
可以使用export命令查看一下,就知道两个命令的区别了
实战演示

#切换到指定用户
su -l root

#临时切换用户身份执行指令并退出
su -l root -c ‘ls’

2. sudo 命令

命令参数
-u <用户>:以指定的用户作为新的身份,若不加上此参数则预设以root作为新的身份
-l:列出目前用户可执行与无法执行的指令
-s:执行指定的shell或是/etc/passwd里所指定的shell
-p:改变询问密码的提示符号,%u会代替为使用者账号、%h会显示主机名称
-b:将要执行的指令放在后台执行
-H:将HOME环境变量设为新身份的HOME环境变量
-v:延长密码有效期限5分钟,5分钟内没有执行操作就需要重新输入当前用户密码,默认为5分钟
-k:结束密码的有效期限,也就是下次再执行sudo时便需要输入密码
-V:显示版本信息
-h:显示帮助
su和sudo的区别

由于 su 对切换到超级权限用户 root 后,权限是无限制性的,所以 su 并不能担任多个管理员所管理的系统。如果用 su 来切换到超级用户来管理系统,也不能明确哪些工作是由哪个管理员进行的操作。特别是对于服务器的管理有多人参与管理时,最好是针对每个管理员的技术特长和管理范围,并且有针对性的下放给权限,并且约定其使用哪些工具来完成与其相关的工作,这时我们就有必要用到 sudo。

通过 sudo,我们能把某些超级权限有针对性的下放,并且不需要普通用户知道 root 密码,所以 sudo 相对于权限无限制性的 su 来说,还是比较安全的,所以 sudo 也能被称为受限制的 su。另外 sudo 是需要授权许可的,所以也被称为授权许可的 su。

sudo 执行命令的流程是当前用户切换到 root(或其它指定切换到的用户),然后以 root(或其它指定的切换到的用户)身份执行命令,执行完成后,直接退回到当前用户;而这些的前提是要通过 sudo 的配置文件/etc/sudoers 来进行授权;

实战演示

#以指定身份运行命令
sudo -u centos whoami

3. sudo 授权配置

使用sudo授权之后,能够让某用户以另外一个用户的身份运行命令

配置文件/etc/sudoers或者使用visudo
使用visudo的原因,防止两个用户同时修改它,也能进行有限的语法检查
可以使用man sudoers查询配置文件格式信息等
sudoers文件的属主和属组ID必须都是0,文件权限位是0440(-r–r-----)
配置文件格式

#配置文件格式
#user: 运行命令者的身份
#host: 通过哪些主机
#runas: 以哪个用户的身份
#command: 运行哪些命令
user host=(runas) command
格式参数

#users列表: 多个用逗号分隔,可以使用!取反
username # 直接给出用户名
#uid # 用户UID
user_alias # 用户别名
%group_name # 用户组
%#gid # 组GID

#host列表: 多个用逗号分隔,可以使用!取反
ip # IP地址
hostname # 主机名
netaddr # 网络地址

#runas列表: 多个用逗号分隔,可以使用!取反
username # 直接给出用户名
#uid # 用户UID
user_alias # 用户别名
%group_name # 用户组
%#gid # 组GID

#command列表: 多个用逗号分隔,可以使用!取反
command name # 命令名称
directory # 目录下的所以命令
sudoedit # 拥有sudo授权能力
配置文件实例

#配置文件实例
root ALL=(ALL) ALL # 以指定用户
%wheel ALL=(ALL) ALL # 组内的用户
定义别名 Alias
格式:Alias_Type NAME = item1, item2, …
NAME:必须使用全大写字母
Alias_Type:可以为User_Alias、Host_Alias、Runas_Alias、Cmnd_Alias

#定义用户别名
User_Alias NETADMIN = netuser1, netuser2

#定义命令别名,passwd命令必须指定用户且以a-z开头,并不能修改root用户
Cmnd_Alias USERADMINCMNDS = /usr/sbin/useradd, /usr/bin/passwd [a-z]*, !/usr/bin/passwd root

#NETADMIN用户只能使用USERADMINCMNDS指定的命令
NETADMIN ALL=(ALL) USERADMINCMNDS

#定义用户别名
User_Alias USERADMIN = poweruser1, poweruser2

#定义命令别名
Cmnd_Alias USERADMINCMNDS = /usr/sbin/useradd, /usr/sbin/usermod

#NOPASSWD参数用于定义sudo切换的使用不用输入密码
USERADMIN ALL=(ALL) USERADMINCMNDS
USERADMIN ALL=(ALL) NOPASSWD: USERADMINCMNDS

4. sudo 日志功能

sudo为安全考虑得很周到,不仅可以记录日志,还能在有必要时向系统管理员报告。但是,sudo的日志功能不是自动的,必须由管理员开启。

#创建日志保存文件
touch /var/log/sudo.log

#默认情况下,sudo日志通过syslog3,但要指定自定义日志文件,请使用logfile参数
Defaults logfile=“/var/log/sudo.log”

#要在自定义日志文件中记录主机名和四位数年份,请分别使用log_host和log_year参数
Defaults log_host, log_year, logfile=“/var/log/sudo.log”

5. sudo 使用技巧

特殊配置

#要不询问某个用户的密码
Defaults:USER_NAME !authenticate

#密码过期时间,之后就需要密码验证了
Defaults:用户名 timestamp_timeout=20 # 这里密码过期时间为20分钟

#禁止root登陆
passwd -l root # 使用passwd命令锁住root用户
root:!:12345:::::: # 编辑/etc/shadow文件,将root的加密口令列替换为“!”

#增加sudo密码尝试限制,默认值为3次
Defaults passwd_tries=5

#输入错误的sudo密码时显示自定义消息
Defaults badpass_message=“Password is wrong, please try again,thank you!”

#在TTY用户登录会话上启用sudo
Defaults requiretty
权限 Umask
sudo 会统一用户的 umask 值和它自己的 umask(默认是 0022)。这会阻止 sudo 创建比该用户的 umask 允许的打开权限更多的文件。这默认是合理的,因为没有使用自定义 umask。但是这可能导致用 sudo 运行一个命令和 root 运行一个命令建立的文件权限不同。如果这导致了问题,sudo 提供了一个方法来修复 umask,即使想要的 umask 比用户指定的 umask 权限还要多。

#添加下面内容 (使用visudo) 会覆盖sudo的默认行为
#这会将sudo的umask设置为root的默认umask(0022),覆盖掉默认行为
#无论用户的umask设置成什么都会使用这里设定的值
Defaults umask = 0022
Defaults umask_override
让sudo使用/etc/sudoers.d中的文件

sudo 可以解析/etc/sudoers.d/目录中的文件,这样就不需要编辑单一的/etc/sudoers 文件,可以单独修改一个设置然后放入此目录。
目录中配置的格式和/etc/sudoers 一样,如果新配置有问题,可以删除这个文件而不用编辑/etc/sudoers。
/etc/sudoers.d/目录中的文件是按字母顺序加载的,. 或 ~ 开头的文件会被跳过。
文件名应该以双字母开头,例如 01_foo,请注意配置文件的顺序以避免相互覆盖。
经典案例

#1.用户别名组中的用户可以在FILESERVERS这组host里面调用root用户执行OTHERS命令组的权限
#多个命令组用逗号分隔
ADMINS FILESERVERS=(ALL) NOPASSWD:OTHERS

#2.用户chenmh这个用户可以在本机以调用root用户来执行所有的命令
chenmh localhost=(root) NOPASSWORD:ALL

#3.用户chenmh可以调用root用户创建目录test,也只能创建test目录
chenmh ALL=(ALL) NOPASSWD: /bin/mkdir test

#4.dev组的用户可以执行关机shutdown命令
%dev ALL=(ALL) NOPASSWD:/sbin/shutdown

文章作者: Escape
文章链接: https://www.escapelife.site/posts/74dcf4f9.html

以上是关于5. ansible之sudo提权的主要内容,如果未能解决你的问题,请参考以下文章

Ansible最佳实践之Playbook不同上下文提权Demo

Ansible最佳实践之Playbook不同上下文提权Demo

自动化运维工具Ansible之Roles测验详解

自动化运维工具Ansible之Roles测验详解

ansible系列第二篇(模块使用)

ansible系列第二篇(模块使用)