手机

iphone11大小尺寸是多少？苹果iPhone11和iPhone13的区别是什么？

警方通报辅警执法直播中被撞飞：犯罪嫌疑人已投案

家电

个人使用 sudo 方法

2023-01-17 15:59:08 来源：博客园

sudo

作用：允许 系统管理员授予某些用户或用户组以 其他用户身份运行某些或所有命令的权限

su 用于变更为其他使用者的身份的命令，一般需要键入该使用者的密码
sudo 则是对 su 使用的简化，不需要 su 琐碎的操作步骤，更佳的便捷且对权限的操纵更细腻
Sudo 是免费软件，遵守 ISC 式许可证，相关详情

基本安装

虽然 sudo 在大多数 Linux 系统上会自带，但这不是绝对的事情

如果是使用 Debian 系统或其分支系统使用如下命令，想了解 Debian 包管理可以查看此处

【资料图】
```
apt install sudo
```
如果是使用 Ret Hat 相关的系统及其分支可以使用如下命令
```
yum install sudo
```
如果需要想有更多自定义可以进行源码手动编译安装，官方安装说明

配置 sudo

sudo 支持用于安全策略、审计和输入或输出日志记录的插件架构

默认安全策略是 sudoers，sudoers 策略插件作用是 控制用户使用 sudo 时权限的范围
第三方可以开发和分发他们自己的插件以与 sudo 前端无缝协作，一般并情况并不会运用到，如果想要了解可查看此处

sudoers

sudoers 安全策略要求大多数用户在使用 sudo 之前进行 身份验证，如果满足下列条件则不需要密码

调用用户是root用户
目标用户与调用用户相同
策略已禁用用户或命令的身份验证
可能支持凭证缓存，以允许用户在 sudo 一段时间内再次运行而无需身份验证，默认情况下会以每个终端为基础缓存凭据 5 分钟

注意：与 su 不同之处在 sudoers 需要身份验证时，它会验证 调用用户的凭据而不是 目标用户或根用户的凭据

如果 sudo 是由 root 用户运行的，并且设置了 SUDO_USER环境变量，sudoers 策略将使用该值来确定实际用户是谁
即使调用了根 shell，用户也可以使用该值通过 sudo 记录命令
允许 -e选项在通过 sudo 运行脚本或程序调用时仍然有用

sudoers 的管理方式通过以下两种方法

/etc/sudoers 文件，此方法适合个人使用
可选地在 LDAP 中驱动，此方法适用于大型分布式环境，后面不提想要了解可以点击此处

使用 /etc/sudoers 配置文件

对于默认安全策略 sudoers，应使用 visudo 程序更改配置文件，这将确保不会引入语法错误

visudo 使用 vi 打开 /etc/sudoers 文件，但是在保存退出时，visudo 会检查内部语法，避免用户输入错误信息
所以使用 visudo 建议查询一下 vi 用法，它与 vim 相比使用时会有些许出入

sudoers 文件格式

由两种类型的条目组成：别名（基本上是变量）和用户规范（指定谁可以运行什么）
sudoers 文件语法将使用 EBNF 描述

别名 Aliases

分四类：User_Alias, Runas_Alias, Host_Alias, Cmnd_Alias

Alias ::= "User_Alias"  User_Alias_Spec (":" User_Alias_Spec)* |          "Runas_Alias" Runas_Alias_Spec (":" Runas_Alias_Spec)* |          "Host_Alias"  Host_Alias_Spec (":" Host_Alias_Spec)* |          "Cmnd_Alias"  Cmnd_Alias_Spec (":" Cmnd_Alias_Spec)* |          "Cmd_Alias"   Cmnd_Alias_Spec (":" Cmnd_Alias_Spec)*User_Alias ::= NAMEUser_Alias_Spec ::= User_Alias "=" User_ListUser_List ::= User |              User "," User_ListUser ::= "!"* user name |         "!"* #user-ID |         "!"* %group |         "!"* %#group-ID |         "!"* +netgroup |         "!"* %:nonunix_group |         "!"* %:#nonunix_gid |         "!"* User_AliasRunas_Alias ::= NAMERunas_Alias_Spec ::= Runas_Alias "=" Runas_List ::= Runas_Member |               Runas_Member "," Runas_ListRunas_Member ::= "!"* user name |                 "!"* #user-ID |                 "!"* %group |                 "!"* %#group-ID |                 "!"* %:nonunix_group |                 "!"* %:#nonunix_gid |                 "!"* +netgroup |                 "!"* Runas_Alias |                 "!"* ALLHost_Alias ::= NAMEHost_Alias_Spec ::= Host_Alias "=" Host_ListHost_List ::= Host |              Host "," Host_ListHost ::= "!"* host name |         "!"* ip_addr |         "!"* network(/netmask)? |         "!"* +netgroup |         "!"* Host_Alias |         "!"* ALLCmnd_Alias ::= NAMECmnd_Alias_Spec ::= Cmnd_Alias "=" Cmnd_ListCmnd_List ::= Cmnd |              Cmnd "," Cmnd_ListCmnd ::= Digest_List? "!"* command |         "!"* directory |         "!"* Edit_Spec |         "!"* Cmnd_AliasDigest_List ::= Digest_Spec |                Digest_Spec "," Digest_ListDigest_Spec ::= "sha224" ":" digest |                "sha256" ":" digest |                "sha384" ":" digest |                "sha512" ":" digestdigest ::= [A-Fa-f0-9]+ |           [A-Za-z0-9\+/=]+command ::= command name |            command name args |            command name regex |            command name """" |            ALLcommand name ::= regex |                 file nameEdit_Spec ::= "sudoedit" file name+ |              "sudoedit" regex |              "sudoedit"NAME ::= [A-Z][0-9A-Z]*

User_Alias: 用户名别名
User_List: 一个或多个用户名或系统组名（以 %为前缀）、以 UID 或 GID（以 #或 %#为前缀）、网络组（以 +为前缀）、非 Unix 组组成名称和 ID（分别以 %:和 %:#为前缀）以及 User_Alias
Runas_Alias: 用户身份别名
Runas_List: 类似 User_List 但 ALL 是任意或任何的涵义
Host_Alias: 主机别名
Host_list: 由一个或多个主机名、IP 地址、网络号、网络组（以 +为前缀）和其他别名组成
Cmnd_Alias: 命令别名
Cmnd_list: 一个或多个命令、目录或别名的列表
Digest_List: 一个或多个 Digest_Spec 条目的逗号分隔列表
从 sudo 1.9.0开始，如果需要可以使用 Cmd_Alias 代替 Cmnd_Alias

别名定义都是以下形式
```
Alias_Type NAME = item1, item2, ...
```
- Alias_Type: 别名类型
- NAME: 由大写字母、数字、下划线字符组成的字符串，且必须以大写字母开头
- 可以将多个相同类型的别名定义放在一行中以冒号:分隔

用户规范

用户规范确定用户可以在指定主机上运行哪些命令

User_Spec ::= User_List Host_List "=" Cmnd_Spec_List \              (":" Host_List "=" Cmnd_Spec_List)*Cmnd_Spec_List ::= Cmnd_Spec |                   Cmnd_Spec "," Cmnd_Spec_ListCmnd_Spec ::= Runas_Spec? Option_Spec* (Tag_Spec ":")* CmndRunas_Spec ::= "(" Runas_List? (":" Runas_List)? ")"Option_Spec ::= (SELinux_Spec | Solaris_Priv_Spec | Date_Spec | Timeout_Spec | Chdir_Spec | Chroot_Spec)SELinux_Spec ::= ("ROLE=role" | "TYPE=type")Solaris_Priv_Spec ::= ("PRIVS=privset" | "LIMITPRIVS=privset")Date_Spec ::= ("NOTBEFORE=timestamp" | "NOTAFTER=timestamp")Timeout_Spec ::= "TIMEOUT=timeout"Chdir_Spec ::= "CWD=directory"Chroot_Spec ::= "CHROOT=directory"Tag_Spec ::= ("EXEC" | "NOEXEC" | "FOLLOW" | "NOFOLLOW" |             "LOG_INPUT" | "NOLOG_INPUT" | "LOG_OUTPUT" |             "NOLOG_OUTPUT" | "MAIL" | "NOMAIL" | "INTERCEPT" |             "NOINTERCEPT" | "PASSWD" | "NOPASSWD" | "SETENV" |             "NOSETENV")

用户规范的基本结构可以理解为 who where = (as_whom) what描述为 who 在 where 使用 as_whom 的身份执行 what 这件事
who: 指使用者，比如用户或用户组等
where: 使用场景，比如主机或网络组等
as_whom: 使用身份，比如用户或用户组等
what: 做什么，比如命令等

示例

# 允许用户 dgb 在主机 boulder 上可以 operator 的身份执行 /bin/ls、/bin/kill、/usr/bin/lprm 中任意命令dgb     boulder = (operator) /bin/ls, /bin/kill, /usr/bin/lprm# 允许用户 dgb 在主机 boulder 上可以用 operator 用户或 operator 组的身份执行 /bin/ls，# 可以用 root 身份执行 /bin/kill、/usr/bin/lprm 中任意命令dgbboulder = (operator : operator) /bin/ls, (root) /bin/kill,\/usr/bin/lprm# 用户 alan 可以作为用户 root 或 bin 运行任何命令，可选择将组设置为 operator 或 systemalan ALL = (root, bin : operator, system) ALL

使用

$ sudo -u operator /bin/ls$ sudo -u operator -g operator /bin/ls$ sudo -g operator /bin/ls

标签 Tag_Spec

一个命令可能有零个或多个与之关联的标签，后续就会继承该标签，除非它被相反的标签覆盖
EXEC 和 NOEXEC
如果sudo编译时带有 noexec 支持并且底层操作系统支持它，则该 NOEXEC 标记可用于防止动态链接的可执行文件本身运行更多命令
```
# 用户 aaron 可以运行 /usr/bin/more, /usr/bin/vi，但将禁用 shell 转义。aaron shanty = NOEXEC: /usr/bin/more, /usr/bin/vi
```
FOLLOW 和 NOFOLLOW
从版本 1.8.15 开始，除非启用 sudoedit_follow 标志，sudoedit 否则将不会打开作为符号链接的文件，如果进行覆盖则可以打开，这对标签仅对 sudoedit 命令有效，对所有其他命令都将被忽略
LOG_INPUT 和 NOLOG_INPUT
在每个命令的基础上覆盖 log_input 标志的值
LOG_OUTPUT 和 NOLOG_OUTPUT
在每个命令的基础上覆盖 log_output 标志的值
MAIL 和 NOMAIL
这些标记通过在每个命令的基础上覆盖 mail_all_cmnds 标志的值，提供对当用户运行命令时是否发送邮件的细粒度控制
PASSWD 和 NOPASSWD
默认情况下，sudo 要求用户在运行命令之前进行身份验证，但可以通过 NOPASSWD 标签修改此行为，相反 PASSWD 标签可以用来颠倒事物
```
# 将允许用户 ray 在机器 rushmore 上以 root 身份运行没有密码的情况下运行 /bin/kill，对 /bin/ls, /usr/bin/lprm 则需要密码ray rushmore = NOPASSWD: /bin/kill, PASSWD: /bin/ls, /usr/bin/lprm
```
但是请注意，该标记对 exempt_group 设置 PASSWD 指定的组中的用户没有影响
SETENV 和 NOSETENV
这些标记在每个命令的基础上覆盖 setenv 标志的值
- 如果 SETENV 已为命令设置，则用户可以通过选项从命令行禁用env_reset标志
- -E选项，在命令行上设置的环境变量不受 env_check, env_delete, env_keep 施加的限制，因此只应允许受信任的用户以这种方式设置变量
- 如果匹配的命令是 ALL，则 SETENV 该命令隐含该标记，这个默认值可以通过使用 NOSETENV 标签来覆盖
INTERCEPT 和 NOINTERCEPT
如果 sudo 已使用拦截支持进行编译并且底层操作系统支持它，则该 INTERCEPT 标记可用于使命令生成的程序针对 sudoers 进行验证并记录下来，就像 sudo 直接运行它们一样
- 这与允许 shell 转义的命令（如 shell、编辑器、分页器）结合使用很有用
- 由于策略检查可能会在运行命令（例如执行大量子命令的 shell 脚本）时增加延迟，因此会产生额外的开销

在 sudoers 文件中的主机名、路径名和命令行参数中允许使用 POSIX.1 标准的通配符，从版本 1.9.10 开始可以对路径名和命令行参数使用正则表达式，使用 POSIX 扩展正则表达式，强烈建议不要对命令名称使用 取反类型的正则表达式，可能会存在规则绕过的问题

下列为 POSIX.1 标准的通配符，如果是 POSIX 扩展正则表达式可以自行查询

*: 匹配任意一组零个或多个字符（包括空格）
?: 匹配任何单个字符（包括空格）
[...]: 匹配指定范围内的任意字符
[!...]: 匹配不在指定范围内的任何字符
\: 转义特殊字符，从版本 1.9.10 开始，整个路径可以用双引号括起来，在这种情况下不需要转义

sudoers 文件范围

使用 @include和 @includedir指令从当前正在解析的 sudoers 文件中包含其他 sudoers 文件

除了本地的每台机器文件之外，还可以使用包含文件来保留站点范围的 sudoers 文件
- 站点范围的sudoers文件将是 /etc/sudoers 而每台机器的文件将是 /etc/sudoers.local
```
# 在 /etc/sudoers 中包含 /etc/sudoers.local@include /etc/sudoers.local
```
- @includedir指令可用于创建一个 sudoers.d 目录，系统包管理器可以将 sudoers 文件规则放入其中作为包安装的一部分，文件按排序的词法顺序进行解析
编写注意：特殊字符和保留字
- #在 sudoers 文件中作为 注释符
- !以用作列表或别名中的 逻辑非运算符
- \长行换行作为 续行符
- ALL一个内置别名，它总是使匹配成功，正如名称任何或所有
- 保留字：CHROOT, PRIVS, LIMITPRIVS, ROLE, TYPE, TIMEOUT, CWD, NOTBEFORE, NOTAFTER

关键词：身份验证的基础上安全策略