Linux 下使用 sudo 進行賦權

我最近寫了一個簡短的 Bash 程序來將 MP3 文件從一台網路主機的 USB 盤中拷貝到另一台網路主機上去。拷貝出來的文件存放在一台志願者組織所屬伺服器的特定目錄下，在那裡，這些文件可以被下載和播放。

我的程序還會做些其他事情，比如為了自動在網頁上根據日期排序，在拷貝文件之前會先對這些文件重命名。在驗證拷貝完成後，還會刪掉 USB 盤中的所有文件。這個小程序還有一些其他選項，比如 -h 會顯示幫助， -t 進入測試模式等等。

我的程序需要以 root 運行才能發揮作用。然而，這個組織中之後很少的人對管理音頻和計算機系統有興趣的，這使得我不得不找那些半吊子的人來，並培訓他們登錄到用於傳輸的計算機，運行這個小程序。

倒不是說我不能親自運行這個程序，但由於外出和疾病等等各種原因， 我不是時常在場的。 即使我在場，作為一名 「懶惰的系統管理員」， 我也希望別人能替我把事情給做了。 因此我寫了一些腳本來自動完成這些任務並通過 sudo 來指定某些人來運行這些腳本。 很多 Linux 命令都需要用戶以 root 身份來運行。 sudo 能夠保護系統免遭一時糊塗造成的意外損壞以及惡意用戶的故意破壞。

儘可能的使用 sudo

sudo 是一個很方便的工具，它讓我一個具有 root 許可權的管理員可以分配所有或者部分管理性的任務給其他用戶， 而且還無需告訴他們 root 密碼， 從而保證主機的高安全性。

假設，我給了普通用戶 ruser 訪問我 Bash 程序 myprog 的許可權， 而這個程序的部分功能需要 root 許可權。 那麼該用戶可以以 ruser 的身份登錄，然後通過以下命令運行 myprog。

sudo myprog

sudo 程序會檢查 /etc/sudoers 文件，並確認 ruser 是否被許可運行 myprog。如被許可，sudo 會要求該用戶輸入其密碼——而非 root 密碼。在 ruser 輸入他的密碼之後，該程序就運行了。此外，sudo 也記錄 myprog 該程序運行的日期和時間、完整的命令，以及誰在運行它。這個數據會記錄在 /var/log/security 中。

我發現在培訓時記錄下每個用 sudo 執行的命令會很有幫助。我可以看到誰執行了哪些命令，他們是否輸對了。

我委派了許可權給自己和另一個人來運行那一個程序；然而，sudo 可以做更多的事情。 它允許系統管理員委派所管理的網路功能或特定的服務給某個受信的人或某組人。這可以讓你在保護了 root 密碼的安全性的同時，也賦予了那些功能。

配置 sudoers 文件

作為一名系統管理員，我使用 /etc/sudoers 文件來設置某些用戶或某些用戶組可以訪問某個命令，或某組命令，或所有命令。 這種靈活性是使用 sudo 進行委派時能兼顧功能與簡易性的關鍵。

我一開始對 sudoers 文件感到很困惑，因此下面我會拷貝並分解我所使用主機上的完整 sudoers 文件。 希望在分析的過程中不會讓你感到困惑。 我意外地發現， 基於 Red Hat 的發行版中默認的配置文件都會很多注釋以及例子來指導你如何做出修改，這使得修改配置文件變得簡單了很多，也不需要在互聯網上搜索那麼多東西了。

不要直接用編輯器來修改 sudoers 文件，而應該用 visudo 命令，因為該命令會在你保存並退出編輯器後就立即生效這些變更。 visudo 也可以使用除了 Vi 之外的其他編輯器。

讓我們首先來分析一下文件中的各種別名。

主機別名

主機別名這一節用於創建主機分組，授予該組主機可以訪問哪些命令或命令別名。 它的基本思想是，該文件由組織中的所有主機共同維護，然後拷貝到每台主機中的 /etc 中。 其中有些主機， 例如各種伺服器， 可以配置成一個組來賦予用戶訪問特定命令的許可權， 比如可以啟停類似 HTTPD、DNS 以及網路服務；可以掛載文件系統等等。

在設置主機別名時也可以用 IP 地址替代主機名。

## Host Aliases
## Groups of machines. You may prefer to use hostnames (perhaps using 
## wildcards for entire domains) or IP addresses instead.
# Host_Alias     FILESERVERS = fs1, fs2
# Host_Alias     MAILSERVERS = smtp, smtp2

用戶別名

用戶別名允許 root 將用戶整理成別名組中，並按組來分配特定的 root 許可權。在這部分內容中我加了一行 User_Alias AUDIO = dboth, ruser，定義了一個別名 AUDIO 用來指代了兩個用戶。

正如 sudoers 文件中所闡明的，也可以直接使用 /etc/groups 中定義的組而不用自己設置別名。 如果你定義好的組（假設組名為 audio）已經能滿足要求了， 那麼在後面分配命令時只需要在組名前加上 % 號，像這樣: %audio。

## User Aliases
## These aren't often necessary, as you can use regular groups
## (ie, from files, LDAP, NIS, etc) in this file - just use %groupname 
## rather than USERALIAS
# User_Alias ADMINS = jsmith, mikem
User_Alias AUDIO = dboth, ruser

命令別名

再後面是命令別名的部分。這些別名表示的是一系列相關的命令， 比如網路相關命令，或者 RPM 包管理命令。 這些別名允許系統管理員方便地為一組命令分配許可權。

該部分內容已經設置好了許多別名，這使得分配許可權給某類命令變得方便很多。

## Command Aliases
## These are groups of related commands...

## Networking
# Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool

## Installation and management of software
# Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum

## Services
# Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig

## Updating the locate database
# Cmnd_Alias LOCATE = /usr/bin/updatedb

## Storage
# Cmnd_Alias STORAGE = /sbin/fdisk, /sbin/sfdisk, /sbin/parted, /sbin/partprobe, /bin/mount, /bin/umount

## Delegating permissions
# Cmnd_Alias DELEGATING = /usr/sbin/visudo, /bin/chown, /bin/chmod, /bin/chgrp 

## Processes
# Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall

## Drivers
# Cmnd_Alias DRIVERS = /sbin/modprobe

環境默認值

下面部分內容設置默認的環境變數。這部分最值得關注的是 !visiblepw 這一行， 它表示當用戶環境設置成顯示密碼時禁止 sudo 的運行。 這個安全措施不應該被修改掉。

# Defaults specification

#
# Refuse to run if unable to disable echo on the tty.
#
Defaults   !visiblepw

Defaults    env_reset
Defaults    env_keep =  "COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS"
Defaults    env_keep += "MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE"
Defaults    env_keep += "LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES"
Defaults    env_keep += "LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE"
Defaults    env_keep += "LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY"

Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin

命令部分

命令部分是 sudoers 文件的主體。不使用別名並不會影響你完成要實現的效果，別名只是讓整個配置工作大幅簡化而已。

這部分使用之前定義的別名來告訴 sudo 哪些人可以在哪些機器上執行哪些操作。一旦你理解了這部分內容的語法，你會發現這些例子都非常的直觀。 下面我們來看看它的語法。

ruser           ALL=(ALL) ALL 

意即 ruser 可以在任意主機上以任意用戶身份運行任意命令

這是一條為用戶 ruser 做出的配置。行中第一個 ALL 表示該條規則在所有主機上生效。 第二個 ALL 允許 ruser 以任意其他用戶的身份運行命令。 默認情況下， 命令以 root 用戶的身份運行， 但 ruser 可以在 sudo 命令行指定程序以其他用戶的身份運行。 最後這個 ALL 表示 ruser 可以運行所有命令而不受限制。 這讓 ruser 實際上就變成了 root。

注意到下面還有一條針對 root 的配置。這允許 root 能通過 sudo 在任何主機上運行任何命令。

root    ALL=(ALL) ALL 

意即 root 可以在任意主機上以任意用戶身份運行任意命令

為了實驗一下效果，我注釋掉了這行， 然後以 root 的身份試著直接運行 chown。 出乎意料的是這樣是能成功的。 然後我試了下 sudo chown，結果失敗了，提示信息 「Root is not in the sudoers file。 This incident will be reported」。 也就是說 root 可以直接運行任何命令， 但當加上 sudo 時則不行。 這會阻止 root 像其他用戶一樣使用 sudo 命令來運行其他命令， 但是 root 有太多種方法可以繞過這個約束了。

下面這行是我新增來控制訪問 myprog 的。它指定了只有上面定義的 AUDIO 組中的用戶才能在 guest1 這台主機上使用 myprog 這個命令。

AUDIO   guest1=/usr/local/bin/myprog

允許 AUDIO 組成員在 guest1 主機上訪問 myprog

注意，上面這一行只指定了允許訪問的主機名和程序，而沒有說用戶可以以其他用戶的身份來運行該程序。

省略密碼

你也可以通過 NOPASSWORD 來讓 AUDIO 組中的用戶無需密碼就能運行 myprog。像這樣：

AUDIO   guest1=NOPASSWORD : /usr/local/bin/myprog

允許 AUDIO 組成員在 guest1 主機上不用輸入密碼即可訪問 myprog

我並沒有這樣做，因為我覺得使用 sudo 的用戶必須要停下來想清楚他們正在做的事情，這對他們有好處。 我這裡只是舉個例子。

wheel

sudoers 文件中命令部分的 wheel 說明（如下所示）允許所有在 wheel 組中的用戶在任何機器上運行任何命令。wheel 組在 /etc/group 文件中定義， 用戶必須加入該組後才能工作。 組名前面的 % 符號表示 sudo 應該去 /etc/group 文件中查找該組。

%wheel          ALL = (ALL) ALL

運行所有定義在 /etc/group 文件中的 「wheel」 組成員可以在任意主機上運行全部命令

這種方法很好的實現了為多個用戶賦予完全的 root 許可權而不用提供 root 密碼。只需要把該用戶加入 wheel 組中就能給他們提供完整的 root 的能力。 它也提供了一種通過 sudo 創建的日誌來監控他們行為的途徑。 有些 Linux 發行版， 比如 Ubuntu， 會自動將用戶的 ID 加入 /etc/group 中的 wheel 組中， 這使得他們能夠用 sudo 命令運行所有的特權命令。

結語

我這裡只是小試了一把 sudo — 我只是給一到兩個用戶以 root 許可權運行單個命令的許可權。完成這些只添加了兩行配置（不考慮注釋）。 將某項任務的許可權委派給其他非 root 用戶非常簡單，而且可以節省你大量的時間。 同時它還會產生日誌來幫你發現問題。

sudoers 文件還有許多其他的配置和能力。查看 sudo 和 sudoers 的 man 手冊可以深入了解詳細信息。

via: https://opensource.com/article/17/12/using-sudo-delegate

作者：David Both 譯者：lujun9972 校對：wxy

本文由 LCTT 原創編譯，Linux中國 榮譽推出

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive