Beyond Linux® From Scratch (System V Utgave) - Versjon 12.0

Chapter 4. Sikkerhet

Sudo-1.9.14p3

Introduksjon til Sudo

Sudo pakken tillater en systemadministrator å gi visse brukere (eller grupper av brukere) muligheten til å kjøre noen (eller alle) kommandoer som root eller en annen bruker mens kommandoer og argumenter logges.

Denne pakken er kjent for å bygge og fungere riktig ved å bruke en LFS 12.0 plattform.

Pakkeinformasjon

Sudo Avhengigheter

Valgfri

Linux-PAM-1.5.3, MIT Kerberos V5-1.21.2, OpenLDAP-2.6.6, MTA (som gir en sendmail kommando), AFS, FWTK, og Opie

Redaktørens notater: https://wiki.linuxfromscratch.org/blfs/wiki/sudo

Installasjon av Sudo

Installer Sudo ved å kjøre følgende kommandoer: 

./configure --prefix=/usr              \
            --libexecdir=/usr/lib      \
            --with-secure-path         \
            --with-all-insults         \
            --with-env-editor          \
            --docdir=/usr/share/doc/sudo-1.9.14p3 \
            --with-passprompt="[sudo] password for %p: " &&
make

For å teste resultatene, kjør: env LC_ALL=C make check 2>&1 | tee make-check.log. Sjekk resultatene med grep failed make-check.log.

Nå, som root bruker: 

make install &&
ln -sfv libsudo_util.so.0.0.0 /usr/lib/sudo/libsudo_util.so.0

Parameterforklaringer

--libexecdir=/usr/lib: Denne bryteren kontrollerer hvor private programmer er installert. Alt i den mappen er et bibliotek, så de hører under /usr/lib i stedet for /usr/libexec.

--with-secure-path: Denne bryteren legger transparent til /sbin og /usr/sbin mappene til PATH miljøvariabelen.

--with-all-insults: Denne bryteren inkluderer alle sudo insult sett.

--with-env-editor: Denne bryteren muliggjør bruk av miljøvariabel EDITOR for visudo.

--with-passprompt: Denne bryteren angir passordforespørselen. %p utvides til navnet på brukeren hvis passord blir bedt om.

--without-pam: Denne bryteren unngår bygging av Linux-PAM støtte når Linux-PAM er installert på systemet.

[Note]

Note

Det er mange alternativer til sudo sin configure kommandoen. Undersøk configure --help utdata for en fullstendig liste.

ln -sfv libsudo_util...: Jobber rundt en feil i installasjonsprosessen, som kobler til den tidligere installerte versjonen (hvis det er en) i stedet for den nye.

Konfigurere Sudo

Konfigurasjonsfil

/etc/sudoers

Konfigurasjonsinformasjon

sudoers fil kan være ganske komplisert. Den er sammensatt av to typer oppføringer: aliaser (i utgangspunktet variabler) og brukerspesifikasjoner (som spesifiserer hvem som kan kjøre hva). Installasjonen installerer en standardkonfigurasjon som ikke har noen rettigheter installert for noen bruker.

Et par vanlige konfigurasjonsendringer er å angi banen for superbruker og for å tillate medlemmer av wheel gruppen å utføre alle kommandoer etter å ha oppgitt sin egen legitimasjon. Bruk følgende kommandoer for å lage /etc/sudoers.d/00-sudo konfigurasjonsfilen som root bruker: 

cat > /etc/sudoers.d/00-sudo << "EOF"
Defaults secure_path="/usr/sbin:/usr/bin"
%wheel ALL=(ALL) ALL
EOF
[Note]

Note

I svært enkle installasjoner hvor det kun er en bruker, kan det være lettere å bare redigere /etc/sudoers filen direkte. I så fall secure_path oppføring er kanskje ikke nødvendig og bruke sudo -E ... kan importer den ikke-privilegerte brukerens fullstendige miljø inn i privilegert økt.

Filene i /etc/sudoers.d mappen analyseres i sortert leksikalsk rekkefølge. Vær forsiktig med at oppføringer i en tillagt fil ikke overskriv tidligere oppføringer.

For detaljer, se man sudoers.

[Note]

Note

Sudo utviklere anbefaler på det sterkeste å bruke visudo programmet for å redigere sudoers filen. Dette vil gi grunnleggende tilregnelighetssjekk som syntaksanalyse og filtillatelse for å unngå noen mulige feil som kan føre til en sårbar konfigurasjon.

Hvis PAM er installert på systemet, Sudo er bygget med PAM støtte. Kjør i så fall følgende kommando som root bruker for å opprette PAM konfigurasjonsfil: 

cat > /etc/pam.d/sudo << "EOF"
# Begin /etc/pam.d/sudo

# include the default auth settings
auth      include     system-auth

# include the default account settings
account   include     system-account

# Set default environment variables for the service user
session   required    pam_env.so

# include system session defaults
session   include     system-session

# End /etc/pam.d/sudo
EOF
chmod 644 /etc/pam.d/sudo

Innhold

Installerte Programmer: cvtsudoers, sudo, sudo_logsrvd, sudo_sendlog, sudoedit (symbollenke), sudoreplay, og visudo
Installerte Biblioteker: audit_json.so, group_file.so, libsudo_util.so, sample_approval.so, sudoers.so, sudo_noexec.so, og system_group.so
Installerte Mapper: /etc/sudoers.d, /usr/lib/sudo, /usr/share/doc/sudo-1.9.14p3, og /var/lib/sudo

Korte Beskrivelser

cvtsudoers

konverterer mellom sudoers filformater

sudo

utfører en kommando som en annen bruker som tillatt av /etc/sudoers konfigurasjonsfil

sudo_logsrvd

er en sudo hendelse og I/O loggserver

sudo_sendlog

sender sudo I/O logger til loggserveren

sudoedit

er en symbolkobling til sudo som innebærer -e alternativet for å påkalle et skriveprogram som en annen bruker

sudoreplay

brukes til å spille av eller vise utdataens logger opprettet av sudo

visudo

gir mulighet for sikrere redigering av sudoers filen