sudo 表示 “superuser do”,它允许已验证的用户以其他用户的身份来运行命令。其他用户可以是普通用户或者超级用户。然而,大部分时候我们用它来提权运行命令,以替代直接使用 root 用户的操作。sudo 命令与安全策略配合使用,安全策略可以通过文件 /etc/sudoers 来配置。其安全策略具有高度可拓展性,支持插件扩展。默认情况下 /etc/sudoers 是不能被任何人直接编辑的,因为它的权限是 440,虽然也可以对其赋予写权限后再编辑,但推荐使用 visudo 命令编辑该文件。
简述其使用工作流程和配置文件配置!
- # 允许 sudo 组执行所有命令
- %sudo ALL=(ALL:ALL) ALL
- # 允许用户执行所有命令,且无需输入密码
- escape ALL =(ALL) NOPASSWD: ALL
- # 仅允许用户执行 echo, ls 命令
- escape ALL =(ALL) NOPASSWD: /bin/echo /bin/ls
- # 运行本机的用户执行关机命令
- escape localhost=/sbin/shutdown -h now
- # 允许 users 用户组中的用户像 root 用户一样使用 mount、unmount、chrom 命令
- %users ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom
- # 指定用户尝试输入密码的次数,默认值为3
- Defaults passwd_tries=5
- # 设置密码超时时间,默认为 5 分钟
- Defaults passwd_timeout=2
- 默认 sudo 询问用户自己的密码,添加 targetpw 或 rootpw 配置可以让 sudo 询问 root 密码
- Defaults targetpw
- # 指定自定义日志文件
- Defaults logfile="/var/log/sudo.log"
- # 要在自定义日志文件中记录主机名和四位数年份,可以加上 log_host 和 log_year 参数
- Defaults log_host, log_year, logfile="/var/log/sudo.log"
- # 保持当前用户的环境变量
- Defaults env_keep += "LANG LC_ADDRESS LC_CTYPE COLORS DISPLAY HOSTNAME EDITOR"
- Defaults env_keep += "ftp_proxy http_proxy https_proxy no_proxy"
- # 安置一个安全的 PATH 环境变量
- Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
主要介绍使用 sudo 相关命令的使用技巧和问题处理方式!
当我使用 visudo 命令的时候,它总是用 nano 编辑器打开它,对应平时习惯使用 vi 或者 vim 的用户来说,显得有些别扭,以及操作不够自如。所以,如何更好的将 visudo 编辑器从 nano 更改为 vim 就变得非常重要了。
最佳的解决办法,就是调用命令,永久的将终端的编辑器更换成为 vim 编辑器,一劳永逸。我们只需要执行如下命令,输入自己需要的编辑器序号并按下回车键即可。下次执行 visudo 命令的时候,就会使用 vim 编辑器打开文件。
- # 因为/etc/sudoers普通用户无法打开和使用
- $ sudo update-alternatives --config editor
- There are 4 choices for the alternative editor (providing /usr/bin/editor).
- Selection Path Priority Status
- ------------------------------------------------------------
- * 0 /bin/nano 40 auto mode
- 1 /bin/ed -100 manual mode
- 2 /bin/nano 40 manual mode
- 3 /usr/bin/vim.basic 30 manual mode
- 4 /usr/bin/vim.tiny 10 manual mode
- Press enter to keep the current choice[*], or type selection number: 3
其次的解决方法,就是通过环境变量修改当前终端的默认编辑器。
- # 在.zshrc或.profile文件中
- $ export EDITOR=vim;
- # 希望执行对visudo生效
- $ sudo EDITOR=vim visudo
- # 或者修改/etc/sudoers文件的默认编辑器
- Defaults editor=/usr/bin/vim
在使用 vim 的时候,当以普通用户打开一个只有 root 用户才有权限操作的文件时,在编辑完成之后保存时发现,这个文件没有权限修改。好不容易把文件编辑完了,却无法保存,就只能放弃,然后退出,再以 root 权限打开,重新编辑,是在痛苦!那有没有好的方法来解决这个问题呢?咳咳咳,肯定是有的。
- # Vim命令模式下执行即可强制保存
- # w: 表示保存文件
- # !: 表示执行外部命令
- # tee: 表示把数据重定向到给定文件和屏幕上
- # %: 在执行外部命令时,%会扩展成当前文件名
- :w !sudo tee %
上述方式非常完美的解决了不能保存只读文件的问题,但毕竟命令还是有些长,为了避免每次输入一长串的命令,可以将它映射为一个简单的命令加到 .vimrc 中。这样,简单的运行 :w!! 即可,命令后半部分 > /dev/null 作用为显式的丢掉标准输出的内容。
- " Allow saving of files as sudo when I forgot to start vim using sudo.
- cmap w!! w !sudo tee > /dev/null %
Sudoedit 是一个内置命令,允许用户安全地编辑文件。根据 sudo 手册页,sudoedit 等效于使用 -e 命令行选项执行 sudo。
那么这个命令会做什么呢,它会首先创建你要编辑的文件的临时副本。然后,命令将搜索 SUDO_EDITOR,VISUAL 和 EDITOR 环境变量(按此顺序),以确定应调用哪个编辑器来打开刚刚创建的临时副本。用户完成修改工作后,更改将复制回原始文件。
- # Sudo命令手册页
- -e, --edit
- Edit one or more files instead of running a command. In lieu of a path name,
- the string "sudoedit" is used when consulting the security policy. If the user
- is authorized by the policy, the followingsteps are taken:
- 1. Temporary copies are made of the files to be edited with
- the owner set to the invoking user.
- 2. The editor specified by the policy is run to edit the
- temporary files. The sudoers policy uses the
- SUDO_EDITOR, VISUAL and EDITOR environment variables (in
- that order). If none of SUDO_EDITOR, VISUAL or EDITOR
- are set, the first program listed in the editor
- sudoers(5) option is used.
- 3. If they have been modified, the temporary files are
- copied back to their original location and the temporary
- versions are removed.
- If the specified file does not exist, it will be created. Note that unlike most
- commands run by sudo, the editor is run with the invoking user is environment
- unmodified. If, for some reason, sudo is unable to update a file with its edited
- version, the user will receive a warning and the edited copy will remain in a
- temporary file.
其中 sudo 命令是权限委派的命令,在生产环境中是非常常用的,默认情况下 sudo 命令会话时间是在 15 分钟。要设置 sudo 密码超时的值,需要使用 passwd_timeout 参数进行设置。
可以以分钟设置为你所需的任何时间,它会在超时之前一直等待。如果要为每个执行的 sudo 命令弹出密码提示,你也可以将时间设置为 0,或者通过设置值 -1 永久禁用密码提示。
- # 设置timeout时间
- # 意味着sudo密码提示将会在用户使用20分钟后过期
- Defaults env_reset,timestamp_timeout=20
如何我们管理的服务器,开发或者其他人员需要登录该服务器,进行环境调试或者问题复现等情况。这时,就需要我们给对应的用户开通登录的访问权限。但是如果我们直接编辑 /etc/sudoers 文件的话,之后当对方使用完成之后我就还需要手动进行清理。如果我们忘记的话,该开发或者其他人员将一直可以登录该服务器,会有一定程度的安全问题。
不幸的是,对应临时授权的话,/etc/sudoers 文件中没有对应的配置,可以对某个用户或者用户组进行指定范围的时间授权。当用户到达指定时间点之后,将拒绝该用户再次进行登录了。对应此种情况,我们可以通过 crontab 定时任务与 /etc/sudoers.d 目录的机制可以完美的解决上述问题。
我们通过定时任务的定时执行目录,来定时刷掉 /etc/sudoers.d/ 目录下的用户或者用户组的授权配置文件。比如,我们需要定时每日刷掉今日临时授权的用户或者用户,可以在 /etc/cron.daily 目录下面创建用于删除 /etc/sudoers.d/ 目录的 rm -rf 命令,之后在固定的时间会自动删除。对应授权用户,我们使用在 /etc/sudoers.d/ 目录下创建单独的配置文件,而不是直接修改 /etc/sudoers 文件。
- # Crontab有多种定时机制
- # 下述分别表示每天、每时、每月、每周定时执行
- $ ls -dl /etc/cron.* | grep -v cron.d$
- drwxr-xr-x 2 root root 4096 May 15 06:18 /etc/cron.daily
- drwxr-xr-x 2 root root 4096 Feb 14 2019 /etc/cron.hourly
- drwxr-xr-x 2 root root 4096 Feb 14 2019 /etc/cron.monthly
- drwxr-xr-x 2 root root 4096 Jun 18 09:57 /etc/cron.weekly
- # 创建单独的授权配置文件
- $ ls -lh /etc/sudoers.d/
- -r--r----- 1 root root 666 Oct 6 2017 lisi
- -r--r----- 1 root root 958 Jan 18 2018 zhangsan
- # 查看授权配置文件的内容
- $ cat /etc/sudoers.d/zhangsan
- ALL ALL = (root) NOPASSWD: zhangsan
我们日常在使用 sudo 命令的时候,常常会遇到,当切换用户之后,发现之前设置的环境变量怎么不见了呢?这是因为,我们执行 sudo 命令之后会切换用户,如果保留环境变量会有一定的安全问题,系统会默认重置环境变量为安全的环境变量。先前设置的变量都会失效,只有少数配置文件中指定的环境变量能够保存下来。
我们可以看一下 sudo 配置文件 /etc/sudoers 来找找作用原因。我们执行如下命令之后,可以看到如下输入(有可能和我这里的不一样)。其中 env_reset 表示默认会重置环境变量,因此我们自定义的变量会在 sudo 命令执行之后失效,也就不会正确获取变量值了。而 env_keep 则表示用于保留部分环境变量不被重置,需要保留的变量就写入双引号之中,可自行追加需要保留的变量。最后就是 secure_path 变量,其作用就是包含的路径将被当做 sudo 环境的 PATH 变量来使用。如果在 sudo 环境无法找到某些命令,那么可以将这些命令的路径加入该配置项之中。
- $ sudo sed '/^#/d;/^$/d' /etc/sudoers
- Defaults env_reset
- Defaults env_keep = "COLORS IDSPLAY HOSTNAME HISTSIZE LS_COLORS"
- Defaults env_keep += "MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS"
- Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin"
我们知道原因之后,就可以针对上述情况作出不用的处理方式,来解决 sudo 命令找不到环境变量的问题。
第一种解决方法,就是在使用的时候,使用 -E 参数。加上 -E 选项后,用户可以在 sudo 执行时保留当前用户已存在的环境变量,不会被 sudo 重置。另外,如果用户对于指定的环境变量没有权限,则会报错。需要注意的是,在内部测试机器中,安全性要求不高的情况下使用。
- $ sudo sudo -E
第二种解决方法,就是修改 sudo 配置文件。可以通过修改 /etc/sudoers 文件的 env_keep 和 secure_path 配置项,来指定 sudo 环境中需要保留的环境变量和路径。当然,我们也可以把配置文件的变量 !env_reset 给去掉,这样就不会有限制了。
- $ sudo vim /etc/sudoers
- Defaults !env_reset
下面一段简单的代码给大家介绍正则表达式截取身份证号码加密的方法,具体代码如...
一、问题描述 在利用github实现多人合作程序开发的过程中,我们有时会出现错误提...
1.当你失去一切时,你就会发现什么是你唯一需要的。 2.你来,信你不会走;你走...
今天看到一个帖子求项目完成的时间,需求是这样的: 给你一个项目的开始时间,给...
一般上传图片到服务器有两种方式: 1、把图片转换成二进制直接存储到数据库里 2...
强制刷新网页 <% '强制性刷新随机验证码 '让随机验证码每次按IE的后退按钮时,...
文件操作一直是Web程序员头疼的地方,而文件操作在CMS这样的系统中又是必须的。...
12 月 21 日 23 日,第十一届中国数据库技术大会(DTCC 2020)在北京召开,大会以 ...
问题描述 我们在进行数据处理时,可能经常需要对不同类型的字符进行抽...
2021-03-21 update: 经过一个多月的测试实践,修复了这个组件初版的诸多不足,...