[[215886]]

學(xué)習(xí)怎么在保護 root 密碼的安全性的同時，為可信用戶賦予所管理的網(wǎng)絡(luò)功能和特定服務(wù)的權(quán)限。

我最近寫了一個簡短的 Bash 程序來將 MP3 文件從一臺網(wǎng)絡(luò)主機的 USB 盤中拷貝到另一臺網(wǎng)絡(luò)主機上去?？截惓鰜淼奈募娣旁谝慌_志愿者組織所屬服務(wù)器的特定目錄下，在那里，這些文件可以被下載和播放。

我的程序還會做些其他事情，比如為了自動在網(wǎng)頁上根據(jù)日期排序，在拷貝文件之前會先對這些文件重命名。在驗證拷貝完成后，還會刪掉 USB 盤中的所有文件。這個小程序還有一些其他選項，比如 -h 會顯示幫助， -t 進入測試模式等等。

我的程序需要以 root 運行才能發(fā)揮作用。然而，這個組織中之后很少的人對管理音頻和計算機系統(tǒng)有興趣的，這使得我不得不找那些半吊子的人來，并培訓(xùn)他們登錄到用于傳輸?shù)挠嬎銠C，運行這個小程序。

倒不是說我不能親自運行這個程序，但由于外出和疾病等等各種原因， 我不是時常在場的。 即使我在場，作為一名 “懶惰的系統(tǒng)管理員”， 我也希望別人能替我把事情給做了。 因此我寫了一些腳本來自動完成這些任務(wù)并通過 sudo 來指定某些人來運行這些腳本。 很多 Linux 命令都需要用戶以 root 身份來運行。 sudo 能夠保護系統(tǒng)免遭一時糊涂造成的意外損壞以及惡意用戶的故意破壞。 

盡可能的使用 sudo

sudo 是一個很方便的工具，它讓我一個具有 root 權(quán)限的管理員可以分配所有或者部分管理性的任務(wù)給其他用戶， 而且還無需告訴他們 root 密碼， 從而保證主機的高安全性。

假設(shè)，我給了普通用戶 ruser 訪問我 Bash 程序 myprog 的權(quán)限， 而這個程序的部分功能需要 root 權(quán)限。 那么該用戶可以以 ruser 的身份登錄，然后通過以下命令運行 myprog。

sudo myprog

sudo 程序會檢查 /etc/sudoers 文件，并確認 ruser 是否被許可運行 myprog。如被許可，sudo 會要求該用戶輸入其密碼——而非 root 密碼。在 ruser 輸入他的密碼之后，該程序就運行了。此外，sudo 也記錄 myprog 該程序運行的日期和時間、完整的命令，以及誰在運行它。這個數(shù)據(jù)會記錄在 /var/log/security 中。

我發(fā)現(xiàn)在培訓(xùn)時記錄下每個用 sudo 執(zhí)行的命令會很有幫助。我可以看到誰執(zhí)行了哪些命令，他們是否輸對了。

我委派了權(quán)限給自己和另一個人來運行那一個程序；然而，sudo 可以做更多的事情。 它允許系統(tǒng)管理員委派所管理的網(wǎng)絡(luò)功能或特定的服務(wù)給某個受信的人或某組人。這可以讓你在保護了 root 密碼的安全性的同時，也賦予了那些功能。 

配置 sudoers 文件

作為一名系統(tǒng)管理員，我使用 /etc/sudoers 文件來設(shè)置某些用戶或某些用戶組可以訪問某個命令，或某組命令，或所有命令。 這種靈活性是使用 sudo 進行委派時能兼顧功能與簡易性的關(guān)鍵。

我一開始對 sudoers 文件感到很困惑，因此下面我會拷貝并分解我所使用主機上的完整 sudoers 文件。 希望在分析的過程中不會讓你感到困惑。 我意外地發(fā)現(xiàn)， 基于 Red Hat 的發(fā)行版中默認的配置文件都會很多注釋以及例子來指導(dǎo)你如何做出修改，這使得修改配置文件變得簡單了很多，也不需要在互聯(lián)網(wǎng)上搜索那么多東西了。

不要直接用編輯器來修改 sudoers 文件，而應(yīng)該用 visudo 命令，因為該命令會在你保存并退出編輯器后就立即生效這些變更。 visudo 也可以使用除了 Vi 之外的其他編輯器。

讓我們首先來分析一下文件中的各種別名。 

主機別名

主機別名這一節(jié)用于創(chuàng)建主機分組，授予該組主機可以訪問哪些命令或命令別名。 它的基本思想是，該文件由組織中的所有主機共同維護，然后拷貝到每臺主機中的 /etc 中。 其中有些主機， 例如各種服務(wù)器， 可以配置成一個組來賦予用戶訪問特定命令的權(quán)限， 比如可以啟停類似 HTTPD、DNS 以及網(wǎng)絡(luò)服務(wù)；可以掛載文件系統(tǒng)等等。

在設(shè)置主機別名時也可以用 IP 地址替代主機名。

## Host Aliases
## Groups of machines. You may prefer to use hostnames (perhaps using 
## wildcards for entire domains) or IP addresses instead.
# Host_Alias     FILESERVERS = fs1, fs2
# Host_Alias     MAILSERVERS = smtp, smtp2 

用戶別名

用戶別名允許 root 將用戶整理成別名組中，并按組來分配特定的 root 權(quán)限。在這部分內(nèi)容中我加了一行 User_Alias AUDIO = dboth, ruser，定義了一個別名 AUDIO 用來指代了兩個用戶。

正如 sudoers 文件中所闡明的，也可以直接使用 /etc/groups 中定義的組而不用自己設(shè)置別名。 如果你定義好的組（假設(shè)組名為 audio）已經(jīng)能滿足要求了， 那么在后面分配命令時只需要在組名前加上 % 號，像這樣: %audio。

## User Aliases
## These aren't often necessary, as you can use regular groups
## (ie, from files, LDAP, NIS, etc) in this file - just use %groupname 
## rather than USERALIAS
# User_Alias ADMINS = jsmith, mikem
User_Alias AUDIO = dboth, ruser 

命令別名

再后面是命令別名的部分。這些別名表示的是一系列相關(guān)的命令， 比如網(wǎng)絡(luò)相關(guān)命令，或者 RPM 包管理命令。 這些別名允許系統(tǒng)管理員方便地為一組命令分配權(quán)限。

該部分內(nèi)容已經(jīng)設(shè)置好了許多別名，這使得分配權(quán)限給某類命令變得方便很多。

## Command Aliases
## These are groups of related commands...
 
## Networking
# Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool
 
## Installation and management of software
# Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum
 
## Services
# Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig
 
## Updating the locate database
# Cmnd_Alias LOCATE = /usr/bin/updatedb
 
## Storage
# Cmnd_Alias STORAGE = /sbin/fdisk, /sbin/sfdisk, /sbin/parted, /sbin/partprobe, /bin/mount, /bin/umount
 
## Delegating permissions
# Cmnd_Alias DELEGATING = /usr/sbin/visudo, /bin/chown, /bin/chmod, /bin/chgrp 
 
## Processes
# Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall
 
## Drivers
# Cmnd_Alias DRIVERS = /sbin/modprobe 

環(huán)境默認值

下面部分內(nèi)容設(shè)置默認的環(huán)境變量。這部分最值得關(guān)注的是 !visiblepw 這一行， 它表示當(dāng)用戶環(huán)境設(shè)置成顯示密碼時禁止 sudo 的運行。 這個安全措施不應(yīng)該被修改掉。

 
# Defaults specification
 
#
# Refuse to run if unable to disable echo on the tty.
#
Defaults   !visiblepw
 
Defaults    env_reset
Defaults    env_keep =  "COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS"
Defaults    env_keep += "MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE"
Defaults    env_keep += "LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES"
Defaults    env_keep += "LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE"
Defaults    env_keep += "LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY"
 
 
Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin 

命令部分

命令部分是 sudoers 文件的主體。不使用別名并不會影響你完成要實現(xiàn)的效果，別名只是讓整個配置工作大幅簡化而已。

這部分使用之前定義的別名來告訴 sudo 哪些人可以在哪些機器上執(zhí)行哪些操作。一旦你理解了這部分內(nèi)容的語法，你會發(fā)現(xiàn)這些例子都非常的直觀。 下面我們來看看它的語法。

ruser           ALL=(ALL) ALL 

意即 ruser 可以在任意主機上以任意用戶身份運行任意命令

這是一條為用戶 ruser 做出的配置。行中第一個 ALL 表示該條規(guī)則在所有主機上生效。 第二個 ALL 允許 ruser 以任意其他用戶的身份運行命令。 默認情況下， 命令以 root 用戶的身份運行， 但 ruser 可以在 sudo 命令行指定程序以其他用戶的身份運行。 最后這個 ALL 表示 ruser 可以運行所有命令而不受限制。 這讓 ruser 實際上就變成了 root。

注意到下面還有一條針對 root 的配置。這允許 root 能通過 sudo 在任何主機上運行任何命令。

root    ALL=(ALL) ALL 

意即 root 可以在任意主機上以任意用戶身份運行任意命令

為了實驗一下效果，我注釋掉了這行， 然后以 root 的身份試著直接運行 chown。 出乎意料的是這樣是能成功的。 然后我試了下 sudo chown，結(jié)果失敗了，提示信息 “Root is not in the sudoers file。 This incident will be reported”。 也就是說 root 可以直接運行任何命令， 但當(dāng)加上 sudo 時則不行。 這會阻止 root 像其他用戶一樣使用 sudo 命令來運行其他命令， 但是 root 有太多種方法可以繞過這個約束了。

下面這行是我新增來控制訪問 myprog 的。它指定了只有上面定義的 AUDIO 組中的用戶才能在 guest1 這臺主機上使用 myprog 這個命令。

AUDIO   guest1=/usr/local/bin/myprog

允許 AUDIO 組成員在 guest1 主機上訪問 myprog

注意，上面這一行只指定了允許訪問的主機名和程序，而沒有說用戶可以以其他用戶的身份來運行該程序。 

省略密碼

你也可以通過 NOPASSWORD 來讓 AUDIO 組中的用戶無需密碼就能運行 myprog。像這樣：

AUDIO   guest1=NOPASSWORD : /usr/local/bin/myprog

允許 AUDIO 組成員在 guest1 主機上不用輸入密碼即可訪問 myprog

我并沒有這樣做，因為我覺得使用 sudo 的用戶必須要停下來想清楚他們正在做的事情，這對他們有好處。 我這里只是舉個例子。 

wheel

sudoers 文件中命令部分的 wheel 說明（如下所示）允許所有在 wheel 組中的用戶在任何機器上運行任何命令。wheel 組在 /etc/group 文件中定義， 用戶必須加入該組后才能工作。 組名前面的 % 符號表示 sudo 應(yīng)該去 /etc/group 文件中查找該組。

%wheel          ALL = (ALL) ALL

運行所有定義在 /etc/group 文件中的 “wheel” 組成員可以在任意主機上運行全部命令

這種方法很好的實現(xiàn)了為多個用戶賦予完全的 root 權(quán)限而不用提供 root 密碼。只需要把該用戶加入 wheel 組中就能給他們提供完整的 root 的能力。 它也提供了一種通過 sudo 創(chuàng)建的日志來監(jiān)控他們行為的途徑。 有些 Linux 發(fā)行版， 比如 Ubuntu， 會自動將用戶的 ID 加入 /etc/group 中的 wheel 組中， 這使得他們能夠用 sudo 命令運行所有的特權(quán)命令。 

結(jié)語

我這里只是小試了一把 sudo — 我只是給一到兩個用戶以 root 權(quán)限運行單個命令的權(quán)限。完成這些只添加了兩行配置（不考慮注釋）。 將某項任務(wù)的權(quán)限委派給其他非 root 用戶非常簡單，而且可以節(jié)省你大量的時間。 同時它還會產(chǎn)生日志來幫你發(fā)現(xiàn)問題。

sudoers 文件還有許多其他的配置和能力。查看 sudo 和 sudoers 的 man 手冊可以深入了解詳細信息。