统信服务器操作系统 [su sudo 用户权限控制]
统信服务器操作系统 [su sudo 用户权限控制]
sudo和su之间的区别
- su用于用户之间的切换
- sudo用于普通用户可以使用root权限来执行命令
su命令是当前用户用来切换到另外一个用户的命令,参数为用户名。执行时会要求输入密码,这个密码是你要切换到的用户的密码。
sudo 表示 “superuser do”。它允许已验证的用户以其他用户的身份来运行命令。其他用户可以是普通用户或者超级用户。然而,绝大部分时候我们用它来以提升的权限来运行命令。
sudo命令工作流程
- sudo会读取和解析/etc/sudoers文件,查找调用的用户及权限
- 提示调用该命令用户的密码,如果有NOPASSWD标志则跳过密码验证.
- sudo会创建一个子进程,调用setuid来切换到目标用户
- 最后在子进程中执行给定的shell命令
sudoers配置文件格式
USER/GROUP HOST=(USER[:GROUP]) [NOPASSWD:] COMMANDS- USER/GROUP: 表示要被授权的用户或组,如果是组要以%开头
- HOST: 表示允许从哪些主机登录的用户运行sudo,ALL表示允许任何终端机器访问.
- (USER[:GROUP]): 表示使用 sudo 可切换的用户或者组,组可以不指定;ALL 表示可以切换到系统的所有用户.
- NOPASSWD:如果指定,则该用户或者组使用sudo时就不用输入密码
- COMMANDS:表示运行指定的命令,ALL表示允许指定任何命令,可配置命令1,命令2,...
用户执行sudo命令(需要输入用户密码)
vi /etc/sudoers
指定执行命令
ytzmdz ALL=(ALL) /bin/less,/bin/ls
执行所有命令
ytzmdz ALL=(ALL) ALL用户执行sudo命令(不需要输入用户密码)
ytzmdz ALL=(ALL) NOPASSWD: ALL%wheel 组中用户执行sudo命令(需要输入密码)
%wheel ALL=(ALL) ALL%wheel 组中用户执行sudo命令(不需要输入密码)
%wheel ALL=(ALL) NOPASSWD: ALL
查看sudo操作记录
进入visudo文件输入Defaults logfile = “/var/log/sudo”命令保存并退出
查看sudo 命令日志
将用户添加wheel组
usermod -G wheel ytzmdz查看用户组
id ytzmdz
groups ytzmdz撤销用户附加wheel组
方法一:gpasswd
sudo gpasswd -d ytzmdz wheel
方法二:修改/etc/group文件
[root@localhost ~]# cat /etc/group |grep wheel
wheel:x:10:ytzmdz
[root@localhost ~]# sed -i 's#wheel:x:10:ytzmdz#wheel:x:10:#g' /etc/group
[root@localhost ~]# groups ytzmdz
ytzmdz : ytzmdz
[root@localhost ~]#sudo的原理
[root@localhost ~]# ls -l /usr/bin/sudo
---s--x--x 1 root root 178264 Apr 13 2023 /usr/bin/sudosudo 执行程序上启用了setuid位。当任何用户运行这个二进制文件时,它将以拥有该文件的用户(root用户)权限运行。
当使用sudo执行 id 命令时,将显示用户 ytzmdz的 id
[ytzmdz@localhost ~]$ id
uid=1001(ytzmdz) gid=1001(ytzmdz) groups=1001(ytzmdz)使用sudo id时,将显示用户root的id
[ytzmdz@localhost ~]$ sudo id
uid=0(root) gid=0(root) groups=0(root)不切换用户终端,sudo 指定用户执行命令
sudo -u ytzmdz whoamisu
`su` 命令用于切换用户。如果不加任何参数,它会要求输入目标用户的密码,然后提供一个该用户的登录shell(不切换环境变量)。
- 如果使用 `su -`(注意有一个短横线),它会尝试模拟一个完整的登录过程,包括加载用户的profile文件和环境变量,更像是一个完整的用户切换(切换环境变量)。
su命令使每个用户都具有反复尝试其他用户的登陆密码的能力,具有安全隐患,若是su -root用户,则风险更大。所以需要加强su命令的使用控制,可以借助PAM认证模块,仅允许特定用户可使用su命令进行切换,授权wheel组中用户使用使用su命令,修改/etc/pam.d/su认证配置以启用pam wheel 认证。
启用pam_wheel认证模块
vim /etc/pam.d/su
取消auth required pam_wheel.so use_uid注释
auth required pam_wheel.so use_uid
在/etc/ pam.d/su文件账户su控制介绍
auth sufficient pam_ rootok.so
#auth required pam_ wheel.so use__uid以上两行是默认状态(即开启第一行,注释第二行),这种状态下是允许所有用户间使用su命令进行切换的
两行都注释也是运行所有用户都能使用su命令,但root下使用su切换到其他普通用户需要输入密码;如果第一行不注释,则root使用su切换普通用户就不需要输入密码
(pam_rootok)so模块的主要作用是使uid为0的用户,即root用户能够直接通过认证而不用输入密码如果开启第二行,表示只有root用户和wheel组内的用户才可以使用su命令
如果注释第一行,开启第二行,表示只有wheel组内的用户才能使用su命令,root用户也被禁用su命令
su命令继承用户环境变量禁止引入提权
如果通过su切换用户后系统会自动初始化环境变量PATH,则可以有效防范由于继承环境变量PATH而导致的提权问题。
检查/etc/login.defs中是否配置了自动初始化环境变量PATH,即ALWAYS_SET_PATH=yes
cat /etc/login.defs | grep ALWAYS_SET_PATH
ALWAYS_SET_PATH=yessudo
`sudo` 命令允许授权的用户以root用户的权限来执行命令。它会保留当前用户的环境变量和工作目录。`sudo` 默认会询问密码,密码是执行命令的用户的密码,可在sudoer 配置文件设置用户执行sudo命令免密。
sudo -i
`sudo -i` 命令会启动一个新的 shell,并且提供 root 用户登录的环境。它会将用户放置在 root 用户的 home 目录中,并加载 root 用户的 shell 配置文件。
sudo su
`sudo su` 命令实际上是先使用 `sudo` 以root用户的权限执行 `su` 命令。用于获取一个 root 用户的 shell,但不会加载 root 用户的完整环境。使用 `sudo su -`,它将更接近于 `sudo -i` 的效果,提供一个完整的 root 用户环境。
sudo -s
`sudo -s` 命令启动一个新的 shell,但允许用户指定一个 shell 提示符。它不会改变用户的 home 目录,但会提供一个 root 用户的 shell 环境。