Beyond Linux® From Scratch (System V Utgave) - Versjon -wip

Kapittel 4. Sikkerhet

Sudo-1.9.16

Introduksjon til Sudo

Sudo pakken tillater en systemadministrator å gi visse brukere (eller grupper av brukere) muligheten til å kjøre noen (eller alle) kommandoer som root eller en annen bruker mens kommandoer og argumenter logges.

[Notat]

Notat

Utviklingsversjoner av BLFS kan ikke bygge eller kjøre noen pakker riktig hvis LFS eller avhengigheter har blitt oppdatert siden den siste stabile versjonene av bøkene.

Pakkeinformasjon

  • Nedlasting (HTTP): https://www.sudo.ws/dist/sudo-1.9.16.tar.gz

  • Nedlasting MD5 sum: d584d756e0cd72f1019e8f0aec9e1564

  • Nedlastingsstørrelse: 5.2 MB

  • Estimert diskplass som kreves: 54 MB (legg til 18 MB for tester)

  • Estimert byggetid: 0.2 SBU (med parallellitet=4; legg til 0,1 SBU for tester)

Sudo Avhengigheter

Valgfri

Linux-PAM-1.6.1, MIT Kerberos V5-1.21.3, OpenLDAP-2.6.8, MTA (som gir en sendmail kommando), AFS, libaudit, Opie, og Sssd

Installasjon av Sudo

Installer Sudo ved å kjøre følgende kommandoer: 

./configure --prefix=/usr              \
            --libexecdir=/usr/lib      \
            --with-secure-path         \
            --with-env-editor          \
            --docdir=/usr/share/doc/sudo-1.9.16 \
            --with-passprompt="[sudo] password for %p: " &&
make

For å teste resultatene, utsted: env LC_ALL=C make check |& tee make-check.log. Sjekk resultatene med grep failed make-check.log.

Nå, som root bruker: 

make install

Parameterforklaringer

--libexecdir=/usr/lib: Denne bryteren kontrollerer hvor private programmer er installert. Alt i den mappen er et bibliotek, så de hører under /usr/lib i stedet for /usr/libexec.

--with-secure-path: Denne bryteren legger transparent til /sbin og /usr/sbin mappene til PATH miljøvariabelen.

--with-env-editor: Denne bryteren muliggjør bruk av miljøvariabel EDITOR for visudo.

--with-passprompt: Denne bryteren angir passordforespørselen. %p utvides til navnet på brukeren hvis passord blir bedt om.

--without-pam: Denne bryteren unngår bygging av Linux-PAM støtte når Linux-PAM er installert på systemet.

--with-all-insults: Denne bryteren inkluderer alle sudo insult sett. Insults skrives ut hvis brukeren skriver en dårlig passord, og hvis aktivert i /etc/sudoers. Bruk --with-insults for å ha dem aktivert som standard. Ulike sett med insults kan velges med noen andre brytere.

[Notat]

Notat

Det er mange alternativer til sudo sin configure kommandoen. Undersøk configure --help utdata for en fullstendig liste.

Konfigurere Sudo

Konfigurasjonsfil

/etc/sudoers

Konfigurasjonsinformasjon

sudoers fil kan være ganske komplisert. Den er sammensatt av to typer oppføringer: aliaser (i utgangspunktet variabler) og brukerspesifikasjoner (som spesifiserer hvem som kan kjøre hva). Installasjonen installerer en standardkonfigurasjon som ikke har noen rettigheter installert for noen bruker.

Et par vanlige konfigurasjonsendringer er å angi banen for superbruker og for å tillate medlemmer av wheel gruppen å utføre alle kommandoer etter å ha oppgitt sin egen legitimasjon. Bruk følgende kommandoer for å lage /etc/sudoers.d/00-sudo konfigurasjonsfilen som root bruker: 

cat > /etc/sudoers.d/00-sudo << "EOF"
Defaults secure_path="/usr/sbin:/usr/bin"
%wheel ALL=(ALL) ALL
EOF
[Notat]

Notat

I svært enkle installasjoner hvor det kun er en bruker, kan det være lettere å bare redigere /etc/sudoers filen direkte. I så fall secure_path oppføring er kanskje ikke nødvendig og bruke sudo -E ... kan importer den ikke-privilegerte brukerens fullstendige miljø inn i privilegert økt.

Filene i /etc/sudoers.d mappen analyseres i sortert leksikalsk rekkefølge. Vær forsiktig med at oppføringer i en tillagt fil ikke overskriv tidligere oppføringer.

For detaljer, se man sudoers.

[Notat]

Notat

Sudo utviklere anbefaler på det sterkeste å bruke visudo programmet for å redigere sudoers filen. Dette vil gi grunnleggende tilregnelighetssjekk som syntaksanalyse og filtillatelse for å unngå noen mulige feil som kan føre til en sårbar konfigurasjon.

Hvis PAM er installert på systemet, Sudo er bygget med PAM støtte. Kjør i så fall følgende kommando som root bruker for å opprette PAM konfigurasjonsfil: 

cat > /etc/pam.d/sudo << "EOF"
# Begin /etc/pam.d/sudo

# include the default auth settings
auth      include     system-auth

# include the default account settings
account   include     system-account

# Set default environment variables for the service user
session   required    pam_env.so

# include system session defaults
session   include     system-session

# End /etc/pam.d/sudo
EOF
chmod 644 /etc/pam.d/sudo

Innhold

Installerte Programmer: cvtsudoers, sudo, sudo_logsrvd, sudo_sendlog, sudoedit (symbollenke), sudoreplay, og visudo
Installerte Biblioteker: audit_json.so, group_file.so, libsudo_util.so, sudoers.so, sudo_intercept.so, sudo_noexec.so, og system_group.so
Installerte Mapper: /etc/sudoers.d, /usr/lib/sudo, /usr/share/doc/sudo-1.9.16, og /var/lib/sudo

Korte Beskrivelser

cvtsudoers

konverterer mellom sudoers filformater

sudo

utfører en kommando som en annen bruker som tillatt av /etc/sudoers konfigurasjonsfil

sudo_logsrvd

er en sudo hendelse og I/O loggserver

sudo_sendlog

sender sudo I/O logger til loggserveren

sudoedit

er en symbolkobling til sudo som innebærer -e alternativet for å påkalle et skriveprogram som en annen bruker

sudoreplay

brukes til å spille av eller vise utdataens logger opprettet av sudo

visudo

gir mulighet for sikrere redigering av sudoers filen