5. ansible之sudo提权
Posted 站在巨人的肩上
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了5. ansible之sudo提权相关的知识,希望对你有一定的参考价值。
在linux中为了安全,一般root(超级管理员权限)是不可能随便给人用的,但是在linux中有些命令只有root才能执行,因此我们用普通用户执行这些命令时需要给他们添加sudo权限
配置文件/etc/sudoers 注意:这个配置只要root用户才有权限进行修改
这里使用ansible批量创建一个普通用户,然后给这个用户用sudo提权
# 创建用户alice ansible test -m user -a "name=alice password=\'123\'|password_hash(\'sha512\')" # sudo权限,让alice可以执行任何命令 ansible test -m lineinfile -a "path=/etc/sudoers line=\'alice ALL=(ALL) NOPASSWD:ALL\'
修改主配置文件ansible.cfg
[defaults] inventory = ~/ansible/hosts remote_user = alice #以什么用户远程被管理主机 [privilege_escalation] become = true # 是否需要切换用户 become_method = sudo # 如何切换用户 become_user = root # 切换成什么用户 become_ask_pass = False # sudo是否需要输入密码
当在控制机上用ansible批量管理其他节点(如果用alice用户管理),需要加上上面的配置文件,且需要控制机到各个节点的实现免密
for i in db01 db01 do ssh-copy-id alice@$i done
这样就可以用普通用户管理其他节点了
补充:我们用ansible配置host文件时,账户和密码以及端口都是统计管理,但是如果需要做特别设置(自定义),这里我们可以改一下hosts文件
修改主机清单文件,添加变量(多个变量可以用空格分隔) [test] db01 ansible_ssh_port=220 #自定义远程ssh端口 db02 ansible_ssh_user=alice #自定义远程连接账户 [servers] db03 ansible_ssh_pass=密码 #自定义远程连接密码 db04 ansible_ssh_private_key_file=密钥文件 #自定义远程连接密钥 db05
Linux安全之提权命令
sudo是 linux 系统管理指令,是允许系统管理员让普通用户执行一些或者全部的 root 命令的一个工具,如 halt,reboot,su 等等。这样不仅减少了 root 用户的登录 和管理时间,同样也提高了安全性。sudo 不是对 shell 的一个代替,它是面向每个命令的。
Linux安全之提权命令
1. su 命令
su是Switch User的缩写,用于切换当前用户身份到其他用户身份
命令参数
-c <指令>:执行完指定的指令后,即恢复原来的身份
-s:指定切换用户身份之后想要执行的shell版本
-f:适用于csh与tsch,使shell不用去读取启动文件
-m/-p:变更身份时,不要变更环境变量
-l:改变身份时也同时变更工作目录,以及HOME、SHELL、USER、PATH变量
注意事项
su的特殊用法
root用户切换身份,输入su [用户名],则直接切换至普通用户不需要密码
普通用户切换身份,输入su [用户名],需要输入用户的密码进行验证合法性
su与su -的区别
su是切换到其他用户,但是不切换环境变量
su -是完整的切换到一个用户环境,包括环境变量
可以使用export命令查看一下,就知道两个命令的区别了
实战演示
#切换到指定用户
su -l root
#临时切换用户身份执行指令并退出
su -l root -c ‘ls’
2. sudo 命令
命令参数
-u <用户>:以指定的用户作为新的身份,若不加上此参数则预设以root作为新的身份
-l:列出目前用户可执行与无法执行的指令
-s:执行指定的shell或是/etc/passwd里所指定的shell
-p:改变询问密码的提示符号,%u会代替为使用者账号、%h会显示主机名称
-b:将要执行的指令放在后台执行
-H:将HOME环境变量设为新身份的HOME环境变量
-v:延长密码有效期限5分钟,5分钟内没有执行操作就需要重新输入当前用户密码,默认为5分钟
-k:结束密码的有效期限,也就是下次再执行sudo时便需要输入密码
-V:显示版本信息
-h:显示帮助
su和sudo的区别
由于 su 对切换到超级权限用户 root 后,权限是无限制性的,所以 su 并不能担任多个管理员所管理的系统。如果用 su 来切换到超级用户来管理系统,也不能明确哪些工作是由哪个管理员进行的操作。特别是对于服务器的管理有多人参与管理时,最好是针对每个管理员的技术特长和管理范围,并且有针对性的下放给权限,并且约定其使用哪些工具来完成与其相关的工作,这时我们就有必要用到 sudo。
通过 sudo,我们能把某些超级权限有针对性的下放,并且不需要普通用户知道 root 密码,所以 sudo 相对于权限无限制性的 su 来说,还是比较安全的,所以 sudo 也能被称为受限制的 su。另外 sudo 是需要授权许可的,所以也被称为授权许可的 su。
sudo 执行命令的流程是当前用户切换到 root(或其它指定切换到的用户),然后以 root(或其它指定的切换到的用户)身份执行命令,执行完成后,直接退回到当前用户;而这些的前提是要通过 sudo 的配置文件/etc/sudoers 来进行授权;
实战演示
#以指定身份运行命令
sudo -u centos whoami
3. sudo 授权配置
使用sudo授权之后,能够让某用户以另外一个用户的身份运行命令
配置文件/etc/sudoers或者使用visudo
使用visudo的原因,防止两个用户同时修改它,也能进行有限的语法检查
可以使用man sudoers查询配置文件格式信息等
sudoers文件的属主和属组ID必须都是0,文件权限位是0440(-r–r-----)
配置文件格式
#配置文件格式
#user: 运行命令者的身份
#host: 通过哪些主机
#runas: 以哪个用户的身份
#command: 运行哪些命令
user host=(runas) command
格式参数
#users列表: 多个用逗号分隔,可以使用!取反
username # 直接给出用户名
#uid # 用户UID
user_alias # 用户别名
%group_name # 用户组
%#gid # 组GID
#host列表: 多个用逗号分隔,可以使用!取反
ip # IP地址
hostname # 主机名
netaddr # 网络地址
#runas列表: 多个用逗号分隔,可以使用!取反
username # 直接给出用户名
#uid # 用户UID
user_alias # 用户别名
%group_name # 用户组
%#gid # 组GID
#command列表: 多个用逗号分隔,可以使用!取反
command name # 命令名称
directory # 目录下的所以命令
sudoedit # 拥有sudo授权能力
配置文件实例
#配置文件实例
root ALL=(ALL) ALL # 以指定用户
%wheel ALL=(ALL) ALL # 组内的用户
定义别名 Alias
格式:Alias_Type NAME = item1, item2, …
NAME:必须使用全大写字母
Alias_Type:可以为User_Alias、Host_Alias、Runas_Alias、Cmnd_Alias
#定义用户别名
User_Alias NETADMIN = netuser1, netuser2
#定义命令别名,passwd命令必须指定用户且以a-z开头,并不能修改root用户
Cmnd_Alias USERADMINCMNDS = /usr/sbin/useradd, /usr/bin/passwd [a-z]*, !/usr/bin/passwd root
#NETADMIN用户只能使用USERADMINCMNDS指定的命令
NETADMIN ALL=(ALL) USERADMINCMNDS
#定义用户别名
User_Alias USERADMIN = poweruser1, poweruser2
#定义命令别名
Cmnd_Alias USERADMINCMNDS = /usr/sbin/useradd, /usr/sbin/usermod
#NOPASSWD参数用于定义sudo切换的使用不用输入密码
USERADMIN ALL=(ALL) USERADMINCMNDS
USERADMIN ALL=(ALL) NOPASSWD: USERADMINCMNDS
4. sudo 日志功能
sudo为安全考虑得很周到,不仅可以记录日志,还能在有必要时向系统管理员报告。但是,sudo的日志功能不是自动的,必须由管理员开启。
#创建日志保存文件
touch /var/log/sudo.log
#默认情况下,sudo日志通过syslog3,但要指定自定义日志文件,请使用logfile参数
Defaults logfile=“/var/log/sudo.log”
#要在自定义日志文件中记录主机名和四位数年份,请分别使用log_host和log_year参数
Defaults log_host, log_year, logfile=“/var/log/sudo.log”
5. sudo 使用技巧
特殊配置
#要不询问某个用户的密码
Defaults:USER_NAME !authenticate
#密码过期时间,之后就需要密码验证了
Defaults:用户名 timestamp_timeout=20 # 这里密码过期时间为20分钟
#禁止root登陆
passwd -l root # 使用passwd命令锁住root用户
root:!:12345:::::: # 编辑/etc/shadow文件,将root的加密口令列替换为“!”
#增加sudo密码尝试限制,默认值为3次
Defaults passwd_tries=5
#输入错误的sudo密码时显示自定义消息
Defaults badpass_message=“Password is wrong, please try again,thank you!”
#在TTY用户登录会话上启用sudo
Defaults requiretty
权限 Umask
sudo 会统一用户的 umask 值和它自己的 umask(默认是 0022)。这会阻止 sudo 创建比该用户的 umask 允许的打开权限更多的文件。这默认是合理的,因为没有使用自定义 umask。但是这可能导致用 sudo 运行一个命令和 root 运行一个命令建立的文件权限不同。如果这导致了问题,sudo 提供了一个方法来修复 umask,即使想要的 umask 比用户指定的 umask 权限还要多。
#添加下面内容 (使用visudo) 会覆盖sudo的默认行为
#这会将sudo的umask设置为root的默认umask(0022),覆盖掉默认行为
#无论用户的umask设置成什么都会使用这里设定的值
Defaults umask = 0022
Defaults umask_override
让sudo使用/etc/sudoers.d中的文件
sudo 可以解析/etc/sudoers.d/目录中的文件,这样就不需要编辑单一的/etc/sudoers 文件,可以单独修改一个设置然后放入此目录。
目录中配置的格式和/etc/sudoers 一样,如果新配置有问题,可以删除这个文件而不用编辑/etc/sudoers。
/etc/sudoers.d/目录中的文件是按字母顺序加载的,. 或 ~ 开头的文件会被跳过。
文件名应该以双字母开头,例如 01_foo,请注意配置文件的顺序以避免相互覆盖。
经典案例
#1.用户别名组中的用户可以在FILESERVERS这组host里面调用root用户执行OTHERS命令组的权限
#多个命令组用逗号分隔
ADMINS FILESERVERS=(ALL) NOPASSWD:OTHERS
#2.用户chenmh这个用户可以在本机以调用root用户来执行所有的命令
chenmh localhost=(root) NOPASSWORD:ALL
#3.用户chenmh可以调用root用户创建目录test,也只能创建test目录
chenmh ALL=(ALL) NOPASSWD: /bin/mkdir test
#4.dev组的用户可以执行关机shutdown命令
%dev ALL=(ALL) NOPASSWD:/sbin/shutdown
文章作者: Escape
文章链接: https://www.escapelife.site/posts/74dcf4f9.html
以上是关于5. ansible之sudo提权的主要内容,如果未能解决你的问题,请参考以下文章
Ansible最佳实践之Playbook不同上下文提权Demo