简介
特权分离是 Linux 和类 Unix 操作系统中实施的基本安全范例之一。普通用户以有限权限操作,以减少其影响范围仅限于其自身环境,而不是更广泛的操作系统。
一个名为 root 的特殊用户拥有 超级用户 权限。这是一个没有普通用户限制的管理账户。用户可以以多种不同的方式以超级用户或 root 权限执行命令。
在本文中,我们将讨论如何正确且安全地获取 root 权限,特别关注编辑 /etc/sudoers 文件。
我们将在 Ubuntu 20.04 服务器上完成这些步骤,但大多数现代 Linux 发行版,如 Debian 和 CentOS,应该以类似的方式操作。
本指南假定您已经完成了此处讨论的初始服务器设置。以常规非 root 用户身份登录到服务器,然后继续以下操作。
如何获取 Root 权限
有三种基本方法可以获取 root 权限,它们在复杂程度上有所不同。
以 Root 用户身份登录
获取 root 权限的最简单和最直接的方法是直接以 root 用户登录到服务器。
如果您正在登录到本地计算机(或在虚拟服务器上使用带外控制台功能),在登录提示符处输入 root 作为用户名,然后在要求时输入 root 密码。
如果您通过 SSH 登录,请在 SSH 连接字符串中的 IP 地址或域名之前指定 root 用户:
ssh root@server_domain_or_ip
如果您尚未为 root 用户设置 SSH 密钥,请在提示时输入 root 密码。
使用 su 切换为 Root 用户
直接以 root 用户登录通常不建议,因为很容易开始将系统用于非管理任务,这是危险的。
获得超级用户权限的下一种方法允许您在需要时随时成为 root 用户。
我们可以通过调用 su 命令来实现这一点,su 代表 “substitute user”。要获取 root 权限,请输入:
su
然后会提示您输入 root 用户的密码,之后您将进入一个 root shell 会话。
完成需要 root 权限的任务后,通过输入以下内容返回到正常 shell:
exit
使用 sudo 以 Root 用户身份执行命令
我们将讨论的最后一种获取 root 权限的方法是使用 sudo 命令。
sudo 命令允许您以 root 权限执行一次性命令,而无需生成新的 shell。执行方式如下:
sudo command_to_execute
与 su 不同,sudo 命令将请求 当前 用户的密码,而不是 root 密码。
由于其安全性影响,sudo 访问默认情况下不会授予用户,并且必须在其正常运行之前进行设置。查看我们的 Ubuntu 和 CentOS 的 如何创建新的启用 sudo 的用户 快速入门教程,了解如何设置 sudo 启用用户。
在接下来的部分,我们将更详细地讨论如何修改 sudo 配置。
什么是 Visudo?
sudo 命令通过位于 /etc/sudoers 的文件进行配置。
由于 /etc/sudoers 文件中的不正确语法可能导致系统损坏,从而无法获取提升的权限,因此使用 visudo 命令编辑文件非常重要。
visudo 命令打开一个像普通文本编辑器一样的文本编辑器,但在保存时会验证文件的语法。这可以防止配置错误阻止 sudo 操作,而这可能是您获取 root 权限的唯一方式。
传统上,visudo 使用 vi 文本编辑器打开 /etc/sudoers 文件。但是,Ubuntu 已经配置 visudo 使用 nano 文本编辑器。
如果您想将其更改回 vi,请发出以下命令:
sudo update-alternatives --config editor
有 4 个选择可用于替代编辑器(提供 /usr/bin/editor)。 选择 路径 优先级 状态 ------------------------------------------------------------ * 0 /bin/nano 40 自动模式 1 /bin/ed -100 手动模式 2 /bin/nano 40 手动模式 3 /usr/bin/vim.basic 30 手动模式 4 /usr/bin/vim.tiny 10 手动模式 按 <enter> 保留当前选择[*],或键入选择编号:
选择对应于您想要进行的选择的编号。
在 CentOS 上,您可以通过将以下行添加到 ~/.bashrc 来更改此值:
export EDITOR=`which name_of_editor`
源文件以实施更改:
. ~/.bashrc
配置了 visudo 后,执行以下命令以访问 /etc/sudoers 文件:
sudo visudo
如何修改 Sudoers 文件
您将在所选的文本编辑器中看到 /etc/sudoers 文件。
我已经从 Ubuntu 20.04 复制并粘贴了该文件,删除了注释。CentOS 的 /etc/sudoers 文件有更多行,其中一些我们在本指南中不会讨论。
Defaults env_reset Defaults mail_badpass Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin" root ALL=(ALL:ALL) ALL %admin ALL=(ALL) ALL %sudo ALL=(ALL:ALL) ALL #includedir /etc/sudoers.d
让我们来看看这些行的作用。
默认行
第一行 Defaults env_reset 重置终端环境以删除任何用户变量。这是一项安全措施,用于清除 sudo 会话中可能有害的环境变量。
第二行 Defaults mail_badpass 告诉系统将坏的 sudo 密码尝试的通知发送到配置的 mailto 用户。默认情况下,这是 root 账户。
第三行以 Defaults secure_path=... 开头,指定了用于 sudo 操作的 PATH(操作系统在文件系统中查找应用程序的位置)。这可以防止使用可能有害的用户路径。
用户权限行
第四行规定了 root 用户的 sudo 权限,与前面的行不同。让我们来看看不同字段的含义:
root ALL=(ALL:ALL) ALL
第一个字段表示规则适用的用户名(root)。root ALL=(ALL:ALL) ALL
第一个 “ALL” 表示此规则适用于所有主机。root ALL=(ALL:ALL) ALL
这个 “ALL” 表示 root 用户可以作为所有用户运行命令。root ALL=(ALL:ALL) ALL
这个 “ALL” 表示 root 用户可以作为所有组运行命令。root ALL=(ALL:ALL) ALL
最后的 “ALL” 表示这些规则适用于所有命令。
这意味着我们的 root 用户可以使用 sudo 运行任何命令,只要他们提供密码。
组权限行
接下来的两行类似于用户权限行,但它们指定了组的 sudo 规则。以 % 开头的名称表示组名称。
在这里,我们看到 admin 组可以在任何主机上以任何用户的身份执行任何命令。同样,sudo 组具有相同的权限,但也可以作为任何组执行。
包含 /etc/sudoers.d 行
最后一行乍一看可能像是注释:
. . . #includedir /etc/sudoers.d
它确实以 # 开头,通常表示注释。但是,这行实际上表示将在 /etc/sudoers.d 目录中的文件也被引用和应用。该目录中的文件遵循与 /etc/sudoers 文件本身相同的规则。任何不以 ~ 结尾且没有 . 的文件都将被读取并附加到 sudo 配置中。
这主要用于应用程序在安装时修改 sudo 权限。将所有相关规则放在 /etc/sudoers.d 目录中的单个文件中,可以轻松查看哪些权限与哪些帐户关联,并且可以轻松地撤消凭据,而无需尝试直接操作 /etc/sudoers 文件。
与 /etc/sudoers 文件本身一样,您应该始终使用 visudo 编辑 /etc/sudoers.d 目录中的文件。编辑这些文件的语法将是:
sudo visudo -f /etc/sudoers.d/file_to_edit
如何给用户赋予 Sudo 权限
用户在管理 sudo 权限时最常见的操作是授予新用户一般的 sudo 访问权限。如果您想要给一个帐户完全的管理访问权限,这将非常有用。
在设置了通用目的管理组的系统上,比如本指南中的 Ubuntu 系统,最简单的方法实际上是将相关用户添加到该组中。
例如,在 Ubuntu 20.04 上,sudo 组具有完整的管理员权限。我们可以通过将用户添加到该组来授予用户相同的权限:
sudo usermod -aG sudo username
也可以使用 gpasswd 命令:
sudo gpasswd -a username sudo
这两种方法都可以实现相同的效果。
在 CentOS 上,通常是 wheel 组而不是 sudo 组:
sudo usermod -aG wheel username
或者,使用 gpasswd:
sudo gpasswd -a username wheel
在 CentOS 上,如果立即将用户添加到组中不起作用,您可能需要编辑 /etc/sudoers 文件以取消注释组名称:
sudo visudo
. . . %wheel ALL=(ALL) ALL . . .
如何设置自定义规则
现在我们已经熟悉了文件的一般语法,让我们创建一些新规则。
如何创建别名
sudoers 文件可以通过使用各种类型的“别名”更轻松地组织。
例如,我们可以创建三个不同的用户组,其成员有重叠:
. . . User_Alias GROUPONE = abby, brent, carl User_Alias GROUPTWO = brent, doris, eric, User_Alias GROUPTHREE = doris, felicia, grant . . .
组名必须以大写字母开头。然后,我们可以创建规则允许GROUPTWO的成员更新apt数据库,规则如下:
. . . GROUPTWO ALL = /usr/bin/apt-get update . . .
如果我们没有指定要作为哪个用户/组运行,如上所示,sudo 默认为 root 用户。
我们可以创建一个“命令别名”,并在GROUPTHREE的规则中使用它,以允许GROUPTHREE的成员关闭和重启机器:
. . . Cmnd_Alias POWER = /sbin/shutdown, /sbin/halt, /sbin/reboot, /sbin/restart GROUPTHREE ALL = POWER . . .
我们创建了一个名为POWER的命令别名,其中包含关闭和重启机器的命令。然后我们允许GROUPTHREE的成员执行这些命令。
我们还可以创建“Run as”别名,它可以替换规则中指定要以哪个用户执行命令的部分:
. . . Runas_Alias WEB = www-data, apache GROUPONE ALL = (WEB) ALL . . .
这将允许GROUPONE的任何成员以www-data用户或apache用户的身份执行命令。
请记住,当两个规则之间存在冲突时,后面的规则将覆盖前面的规则。
如何锁定规则
有许多方法可以更好地控制sudo对调用的反应。
与mlocate软件包相关联的updatedb命令在单用户系统上相对无害。如果我们希望允许用户以 root 权限执行它而无需输入密码,我们可以创建如下规则:
. . . GROUPONE ALL = NOPASSWD: /usr/bin/updatedb . . .
NOPASSWD 是一个“标签”,表示不会请求密码。它有一个伴随的命令叫做 PASSWD,这是默认行为。标签对于规则的其余部分是相关的,除非在后续规则中被它的“双胞胎”标签覆盖。
例如,我们可以有如下行:
. . . GROUPTWO ALL = NOPASSWD: /usr/bin/updatedb, PASSWD: /bin/kill . . .
另一个有用的标签是 NOEXEC,它可以用于阻止某些程序中的危险行为。
例如,一些程序,比如 less,可以通过在其界面内输入以下内容来生成其他命令:
!command_to_run
这基本上以与less相同权限执行用户给出的任何命令,这可能非常危险。
为了限制这一点,我们可以使用如下行:
. . . username ALL = NOEXEC: /usr/bin/less . . .
其他信息
在处理sudo时,还有一些信息可能会有用。
如果在配置文件中指定了要“以其身份运行”的用户或组,您可以分别使用 -u 和 -g 标志以这些用户的身份执行命令:
sudo -u run_as_user command sudo -g run_as_group command
为了方便起见,默认情况下,sudo会在一个终端中保存您的身份验证详细信息一段时间。这意味着在该计时器到期之前,您不必再次输入密码。
出于安全目的,如果您希望在完成运行管理命令时清除此计时器,您可以运行:
sudo -k
另一方面,如果您想“激活”sudo命令,以便以后不会提示,或者更新您的sudo租约,您可以随时输入:
sudo -v
您将被提示输入密码,该密码将被缓存以供以后的sudo使用,直到sudo时间段到期。
如果您只是想知道为您的用户名定义了什么样的权限,您可以输入:
sudo -l
这将列出适用于您的用户的/etc/sudoers文件中的所有规则。这让您对作为任何用户使用sudo时将被允许或不允许做什么有一个很好的概念。
有许多时候,您会执行一个命令,但由于忘记使用sudo作为前缀,它会失败。为了避免不得不重新输入命令,您可以利用一个bash功能,即“重复上一个命令”:
sudo !!
双感叹号将重复上一个命令。我们在前面加上sudo,以便快速将非特权命令更改为特权命令。
作为一些有趣的事情,您可以使用visudo将以下行添加到您的/etc/sudoers文件中:
sudo visudo
. . . Defaults insults . . .
这将导致当用户为sudo输入不正确的密码时,sudo会返回一个愚蠢的侮辱。我们可以使用sudo -k来清除之前sudo缓存的密码来尝试它:
sudo -k sudo ls
[sudo] password for demo: # 在这里输入一个不正确的密码以查看结果 Your mind just hasn't been the same since the electro-shock, has it? [sudo] password for demo: My mind is going. I can feel it.
结论
现在,您应该基本了解如何阅读和修改 sudoers 文件,以及掌握各种方法来获取 root 权限。
请记住,超级用户权限并不是随意给予普通用户的。重要的是,您要理解每个以 root 权限执行的命令的作用。不要轻视这份责任。学会最佳地运用这些工具来满足您的使用场景,并锁定任何不必要的功能。
