az átfogó útmutató a Master Sudoers fájlhoz.
Mi a Sudoers Fájlt?
a sudoers fájl olyan, mint bármely más fájl a Linux operációs rendszeren., De létfontosságú szerepet játszik annak kezelésében, hogy egy “felhasználó” vagy “csoport felhasználói” mit tehetnek a rendszeren.
miért a sudoers név?
a sudo szó a “Super User Do”kifejezés rövidítése. Ahogy világosan sugallja — ez olyan, mint mondani a Kernel/OS ” nincs más választása, csak csináld!”. Tehát a sudo engedéllyel rendelkező felhasználókat Sudo felhasználóknak hívják. Ezeknek a sudo felhasználóknak a kezelése egy sudoers fájlnak nevezett fájlon keresztül történik. Ez a fájl az /etc könyvtárban is él, mint bármely más konfigurációs fájl.,
miért sudoers Fájl?
a Linux normál felhasználójának számos korlátozása lesz a rendszerben. Például-a felhasználó alapértelmezés szerint nem tud elindítani egy szolgáltatást, megváltoztatni egy konfigurációs fájlt vagy végrehajtani egy szkriptet a rendszeren. Biztonsági szempontból ez tökéletesnek tűnik.,
de vegyünk egy példát-Ön, mint rendszeradminisztrátor, kezelnie kell az összes felhasználót és azok vezérlőit. Van egy honlap házigazdája Apache az egyik szerverek. Már van egy Web-Admin kezelni. A felhasználót létre kell hozni neki a webszerveren. Ez a felhasználó számára lehetővé kell tenni, hogy két dolgot, amit egy normál felhasználó nem:
- Start / Restart Apache szolgáltatás esetén leáll.
- szerkessze az Apache konfigurációs fájlját.
alapértelmezés szerint két felhasználói lehetősége van:
- Root felhasználó, amely rendelkezik a rendszer összes engedélyével, beleértve az Apache-t is.,
- egy normál felhasználó, amely alapértelmezés szerint nem tudja elindítani a Szolgáltatást, vagy szerkeszteni a rendszer konfigurációs fájljait.
Ez az, amikor egy sudoers fájl hasznos lesz az Ön számára. A sudoers fájlban pontosan meghatározhatjuk:
- Web-Admin felhasználó csak az Apache szolgáltatást indíthatja el &
- csak az Apache Config fájlt szerkesztheti.
játszik a Sudoers Fájl
elég elmélet, kezdjük ezzel az igazi cucc most. Néhány példával elmagyarázom a Sudoers fájl minden szakaszát., Alapértelmezés szerint egy sudoers fájl így néz ki —
Cmnd_Alias <ALIAS Name> = <cmd1>,<cmd2>, <cmd3>…
Example: Cmnd_Alias SYSADMIN = /usr/sbin/apache2, /usr/bin/cat
Usage: systemadmin ALL = (root) SYSADMIN
If i need to permit a user to execute a set of commands as SUDO, i can define them under a Cmnd_Alias Section and use this ALIAS name while delegating the access., Ez a rész a” mi ” mezőhöz tartozik a Mestermondatban.
NOPASSWD mód:
ez még egy speciális funkció a Sudoers-ben, amely lehetővé teszi a sudoers fájlban lévő felhasználó számára, hogy kiváltságos parancsot hajtson végre a jelszó megadása nélkül., Ez nagyon hasznos, ha normál felhasználóként automatizált szkripteket futtat a rendszerben, előfordulhat, hogy a szkriptnek kiváltságos parancsot kell végrehajtania. De már tudjuk, mi történik, ha bármely felhasználó SUDO-t használ, meg kell adnia a jelszavát!
ne feledje, hogy még akkor is, ha szkript vagy folyamat, felhasználóként kell futnia, önmagában nem futhat.
az összes automatizált szkript nem elég intelligens ahhoz, hogy jelszót adjon meg, amikor a rendszer kéri. De lehetséges a jelszó automatikus megadása. Egyelőre ne gondoljunk az intelligens szkriptekre., Tehát összefoglalva, a felhasználó kiváltságos parancsot használhat a jelszó megadása nélkül.
példa egy script igénylő Nopasswd: Supervisor Linux.A felügyelőről egy másik cikkben fogunk beszélni.
szintaxis : sysadmin ALL = (root) nopasswd:/usr/sbin/apache2
paraméter kizárás ÁLNEVEKBEN
olyan paramétereket is hozzáadhatunk, amelyeket ki kell zárni az ÁLNEVEKBEN. Például —
USER_ALIAS EXCEPT_ROOT = ALL,!,root
sysadmin ALL = (EXCEPT_ROOT)/usr/sbin/apache2
Ez User_Alias lehet használni, hogy megbizonyosodjon arról, hogy a felhasználó tudja végrehajtani a megadott parancsot, mint “minden felhasználó, kivéve ROOT”.
Ez a fajta kizárás lehet tenni az összes álnevek, nem csak User_Alias. Bármely ÁLNÉVBEN a kizárási szintaxis ugyanaz marad.
sudoers fájl kezelése gondossággal
mostanra már meg kellett értened, hogy mit tehet egy sudoers fájl, és mennyire fontos a fájl gondos kezelése. A Linux már végrehajtja a mechanizmust annak biztosítására, hogy a Sudoers fájlt megfelelően kezelje.,
mindig ajánlott, hogy ne szerkessze közvetlenül az /etc/sudoers fájlt. Van egy eszköz, amit “visudo” – nak hívnak. Ezzel biztonságosan módosíthatja a sudoers fájlt. Amikor a visudo segítségével szerkeszti a sudoers fájlt, a visudo beépített funkcióval rendelkezik, hogy ellenőrizze a szintaxist a fájl mentése előtt, ha hibát követ el, akkor azonnal megmutatja a sort, ahol a szintaxis nem megfelelő. A visudo ezen funkciója megakadályozza a fájl és a rendszer véletlen károsodását.
következtetés:
a sudoers fájl mindig fontos szerepet játszik a felhasználói Vezérlőkezelésben., Bár számos módja van annak, hogy kezelni és irányítani, amit a felhasználó tud és nem tud a rendszer, Sudoers módszer mindig hatékony és robusztus ahhoz, hogy kezelni és irányítani semmilyen nem. a felhasználók. Egy másik hasonló módszer, amelyet érdemes megemlíteni, a SUID és az SGID. Egy másik cikkben SUIDRÓL és SGID-ről fogunk beszélni.