Linux安全之提权命令

Posted 2023-03-31 GLAB-Mary

sudo是 linux 系统管理指令，是允许系统管理员让普通用户执行一些或者全部的 root 命令的一个工具，如 halt，reboot，su 等等。这样不仅减少了 root 用户的登录 和管理时间，同样也提高了安全性。sudo 不是对 shell 的一个代替，它是面向每个命令的。

Linux安全之提权命令

1. su 命令

su是Switch User的缩写，用于切换当前用户身份到其他用户身份

命令参数

-c <指令>：执行完指定的指令后，即恢复原来的身份
-s：指定切换用户身份之后想要执行的shell版本
-f：适用于csh与tsch，使shell不用去读取启动文件
-m/-p：变更身份时，不要变更环境变量
-l：改变身份时也同时变更工作目录，以及HOME、SHELL、USER、PATH变量
注意事项

su的特殊用法
root用户切换身份，输入su [用户名]，则直接切换至普通用户不需要密码
普通用户切换身份，输入su [用户名]，需要输入用户的密码进行验证合法性
su与su -的区别
su是切换到其他用户，但是不切换环境变量
su -是完整的切换到一个用户环境，包括环境变量
可以使用export命令查看一下，就知道两个命令的区别了
实战演示

#切换到指定用户
su -l root

#临时切换用户身份执行指令并退出
su -l root -c ‘ls’

2. sudo 命令

命令参数
-u <用户>：以指定的用户作为新的身份，若不加上此参数则预设以root作为新的身份
-l：列出目前用户可执行与无法执行的指令
-s：执行指定的shell或是/etc/passwd里所指定的shell
-p：改变询问密码的提示符号，%u会代替为使用者账号、%h会显示主机名称
-b：将要执行的指令放在后台执行
-H：将HOME环境变量设为新身份的HOME环境变量
-v：延长密码有效期限5分钟，5分钟内没有执行操作就需要重新输入当前用户密码，默认为5分钟
-k：结束密码的有效期限，也就是下次再执行sudo时便需要输入密码
-V：显示版本信息
-h：显示帮助
su和sudo的区别

由于 su 对切换到超级权限用户 root 后，权限是无限制性的，所以 su 并不能担任多个管理员所管理的系统。如果用 su 来切换到超级用户来管理系统，也不能明确哪些工作是由哪个管理员进行的操作。特别是对于服务器的管理有多人参与管理时，最好是针对每个管理员的技术特长和管理范围，并且有针对性的下放给权限，并且约定其使用哪些工具来完成与其相关的工作，这时我们就有必要用到 sudo。

通过 sudo，我们能把某些超级权限有针对性的下放，并且不需要普通用户知道 root 密码，所以 sudo 相对于权限无限制性的 su 来说，还是比较安全的，所以 sudo 也能被称为受限制的 su。另外 sudo 是需要授权许可的，所以也被称为授权许可的 su。

sudo 执行命令的流程是当前用户切换到 root（或其它指定切换到的用户），然后以 root（或其它指定的切换到的用户）身份执行命令，执行完成后，直接退回到当前用户；而这些的前提是要通过 sudo 的配置文件/etc/sudoers 来进行授权；

实战演示

#以指定身份运行命令
sudo -u centos whoami

3. sudo 授权配置

使用sudo授权之后，能够让某用户以另外一个用户的身份运行命令

配置文件/etc/sudoers或者使用visudo
使用visudo的原因，防止两个用户同时修改它，也能进行有限的语法检查
可以使用man sudoers查询配置文件格式信息等
sudoers文件的属主和属组ID必须都是0，文件权限位是0440(-r–r-----)
配置文件格式

#配置文件格式
#user: 运行命令者的身份
#host: 通过哪些主机
#runas: 以哪个用户的身份
#command: 运行哪些命令
user host=(runas) command
格式参数

#users列表: 多个用逗号分隔，可以使用!取反
username # 直接给出用户名
#uid # 用户UID
user_alias # 用户别名
%group_name # 用户组
%#gid # 组GID

#host列表: 多个用逗号分隔，可以使用!取反
ip # IP地址
hostname # 主机名
netaddr # 网络地址

#runas列表: 多个用逗号分隔，可以使用!取反
username # 直接给出用户名
#uid # 用户UID
user_alias # 用户别名
%group_name # 用户组
%#gid # 组GID

#command列表: 多个用逗号分隔，可以使用!取反
command name # 命令名称
directory # 目录下的所以命令
sudoedit # 拥有sudo授权能力
配置文件实例

#配置文件实例
root ALL=(ALL) ALL # 以指定用户
%wheel ALL=(ALL) ALL # 组内的用户
定义别名 Alias
格式：Alias_Type NAME = item1, item2, …
NAME：必须使用全大写字母
Alias_Type：可以为User_Alias、Host_Alias、Runas_Alias、Cmnd_Alias

#定义用户别名
User_Alias NETADMIN = netuser1, netuser2

#定义命令别名，passwd命令必须指定用户且以a-z开头，并不能修改root用户
Cmnd_Alias USERADMINCMNDS = /usr/sbin/useradd, /usr/bin/passwd [a-z]*, !/usr/bin/passwd root

#NETADMIN用户只能使用USERADMINCMNDS指定的命令
NETADMIN ALL=(ALL) USERADMINCMNDS

#定义用户别名
User_Alias USERADMIN = poweruser1, poweruser2

#定义命令别名
Cmnd_Alias USERADMINCMNDS = /usr/sbin/useradd, /usr/sbin/usermod

#NOPASSWD参数用于定义sudo切换的使用不用输入密码
USERADMIN ALL=(ALL) USERADMINCMNDS
USERADMIN ALL=(ALL) NOPASSWD: USERADMINCMNDS

4. sudo 日志功能

sudo为安全考虑得很周到，不仅可以记录日志，还能在有必要时向系统管理员报告。但是，sudo的日志功能不是自动的，必须由管理员开启。

#创建日志保存文件
touch /var/log/sudo.log

#默认情况下，sudo日志通过syslog3，但要指定自定义日志文件，请使用logfile参数
Defaults logfile=“/var/log/sudo.log”

#要在自定义日志文件中记录主机名和四位数年份，请分别使用log_host和log_year参数
Defaults log_host, log_year, logfile=“/var/log/sudo.log”

5. sudo 使用技巧

特殊配置

#要不询问某个用户的密码
Defaults:USER_NAME !authenticate

#密码过期时间，之后就需要密码验证了
Defaults:用户名 timestamp_timeout=20 # 这里密码过期时间为20分钟

#禁止root登陆
passwd -l root # 使用passwd命令锁住root用户
root:!:12345:::::: # 编辑/etc/shadow文件，将root的加密口令列替换为“!”

#增加sudo密码尝试限制，默认值为3次
Defaults passwd_tries=5

#输入错误的sudo密码时显示自定义消息
Defaults badpass_message=“Password is wrong, please try again，thank you！”

#在TTY用户登录会话上启用sudo
Defaults requiretty
权限 Umask
sudo 会统一用户的 umask 值和它自己的 umask(默认是 0022)。这会阻止 sudo 创建比该用户的 umask 允许的打开权限更多的文件。这默认是合理的，因为没有使用自定义 umask。但是这可能导致用 sudo 运行一个命令和 root 运行一个命令建立的文件权限不同。如果这导致了问题，sudo 提供了一个方法来修复 umask，即使想要的 umask 比用户指定的 umask 权限还要多。

#添加下面内容 (使用visudo) 会覆盖sudo的默认行为
#这会将sudo的umask设置为root的默认umask(0022)，覆盖掉默认行为
#无论用户的umask设置成什么都会使用这里设定的值
Defaults umask = 0022
Defaults umask_override
让sudo使用/etc/sudoers.d中的文件

sudo 可以解析/etc/sudoers.d/目录中的文件，这样就不需要编辑单一的/etc/sudoers 文件，可以单独修改一个设置然后放入此目录。
目录中配置的格式和/etc/sudoers 一样，如果新配置有问题，可以删除这个文件而不用编辑/etc/sudoers。
/etc/sudoers.d/目录中的文件是按字母顺序加载的，. 或 ~ 开头的文件会被跳过。
文件名应该以双字母开头，例如 01_foo，请注意配置文件的顺序以避免相互覆盖。
经典案例

#1.用户别名组中的用户可以在FILESERVERS这组host里面调用root用户执行OTHERS命令组的权限
#多个命令组用逗号分隔
ADMINS FILESERVERS=(ALL) NOPASSWD:OTHERS

#2.用户chenmh这个用户可以在本机以调用root用户来执行所有的命令
chenmh localhost=(root) NOPASSWORD:ALL

#3.用户chenmh可以调用root用户创建目录test，也只能创建test目录
chenmh ALL=(ALL) NOPASSWD: /bin/mkdir test

#4.dev组的用户可以执行关机shutdown命令
%dev ALL=(ALL) NOPASSWD:/sbin/shutdown

文章作者: Escape
文章链接: https://www.escapelife.site/posts/74dcf4f9.html