Linux中設定’sudo’的10個小技巧

在Linux和其他類Unix作業系統中，隻有root使用者可以運作所有指令并在系統上執行某些關鍵操作，如安裝和更新，删除包，建立使用者群組，修改重要的系統配置檔案等。然而，承擔root使用者角色的系統管理者可以允許其他正常系統使用者在sudo指令和幾個配置的幫助下運作某些指令以及執行包括上述的一些重要系統操作。或者，系統管理者可以共享root使用者密碼（這不是推薦的方法），以便正常系統使用者可以通過su指令通路root使用者帳戶。

sudo允許使用者以root使用者身份（或另一個使用者）執行安全政策指定的指令：它讀取并解析/etc sudoers，查找調用的使用者及其權限，然後提示調用使用者輸入密碼（通常是使用者的密碼，但也可以是目标使用者的密碼，也可以使用NOPASSWD取消密碼驗證），之後，sudo建立一個子程序，在其中調用setuid（）切換到目标使用者next，它執行一個shell或在上面的子程序中作為參數給出的指令。

以下是十個/etc/sudoers檔案配置，以使用Defaults條目修改sudo指令的行為。

sudo cat /etc/sudoers | less           

1.設定安全路徑

這是用于每個使用sudo運作的指令的路徑，它有兩個重要性：

在系統管理者不信任sudo使用者具有安全的PATH環境變量時使用

要分離“根路徑”和“使用者路徑”，隻有由exempt_group定義的使用者不受此設定的影響。

要設定它，請添加行：

Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin"           

2.在TTY使用者登入會話上啟用sudo

要啟用從真實tty調用sudo，而不是通過cron或cgi-bin腳本等方法調用，請添加以下行：

Defaults requiretty           

3.運作Sudo指令使用pty

有些時候，攻擊者可以使用sudo運作惡意程式（例如病毒或惡意軟體），這将再次分叉保留在使用者的終端裝置上的背景程序，即使在主程式已經完成執行時。

為了避免這種情況，您可以将sudo配置為僅使用use_pty參數從psuedo-pty運​行其他指令，無論I /O日志是否已打開，如下所示：

Defaults use_pty1           

4.建立Sudo日志檔案

預設情況下，sudo日志通過syslog（3）。但是，要指定自定義日志檔案，請使用logfile參數，如：

Defaults logfile="/var/log/sudo.log"           

要在自定義日志檔案中記錄主機名和四位數年份，請分别使用log_host和log_year參數，如下所示：

Defaults log_host, log_year, logfile="/var/log/sudo.log"           

5.記錄Sudo指令輸入/輸出

log_input和log_output參數允許sudo在僞tty中運作指令，并記錄所有使用者輸入和所有輸出發送到螢幕。

預設I / O日志目錄為/var/log/sudo-io，如果有會話序列号，則存儲在此目錄中。您可以通過iolog_dir參數指定自定義目錄。

Defaults log_input, log_output1           

支援一些轉義序列，例如％{seq}，其擴充為單調遞增的基礎36序列号，例如000001，其中每兩個數字用于形成新的目錄，例如。00/00/01，如下例所示：

[root@linuxprobe ~]# cd /var/log/sudo-io/
[root@linuxprobe sudo-io]# ll
total 8
drwx------ 3 root root 4096 Jan 12 18:58 00
-rw------- 1 root root 7 Jan 12 19:08 seq
[root@linuxprobe sudo-io]# cd 00/00/06/
[root@linuxprobe 06]# ls
log stderr stdin stdout timing ttyin ttyout
[root@linuxprobe 06]# cat log
1484219333:root:root::/dev/pts/0
/root
/bin/bash           

6.講解​​Sudo使用者

要講授sudo使用者關于系統上的密碼使用，請使用如下所示的lecture參數。

它有3個可能的值：

always - 總是講一個使用者。

once - 隻在使用者第一次執行sudo指令時使用（當沒有指定值時使用）

never - 從不講授使用者。

Defaults lecture="always"           

此外，您可以使用lecture_file參數設定自定義講義檔案，在檔案中鍵入相應的消息：

Defaults lecture_file="/path/to/file"           

7.輸入錯誤的sudo密碼時顯示自定義消息

當使用者輸入錯誤的密碼時，指令行上将顯示特定的消息。預設消息是“sorry，try again”，您可以使用badpass_message參數修改消息，如下所示：

Defaults badpass_message="Password is wrong, please try again，thank you！"

8.增加sudo密碼嘗試限制

參數passwd_tries用于指定使用者嘗試輸入密碼的次數。 預設值為3：

Defaults passwd_tries=5           

9.讓Sudo輸入錯誤的密碼時輸入提示

Defaults insults           

10.了解更多Sudo配置

http://blog.csdn.net/wh211212/article/details/52923673

原文來自：http://blog.csdn.net/wh211212/article/details/54380930

本文位址： https://www.linuxprobe.com/sudo-skills.html ‎編輯：王輝，稽核員：嶽永

本文原創位址：https://www.linuxprobe.com/sudo-skills.html