回顾前两节,在 001 中介绍了怎么添加用户及用户组,在 010 中介绍了从 client 端 ssh 到 server 的详细过程,那么接下来要介绍的就是是登陆到 server 之后如何切换用户了。
留一道真题: server 中有三个用户 lianhua,huasheng 和 lianhuasheng。lianhua 想把自己提权成 root,它自己没有权限去改 root 的文件,不过 huasheng 可以执行一些属于 root 的命令,试问这时候要怎么做才能让 lianhua 提权到 root?
 
su 
提权到 root 有两种方式,第一种就是 su 了,查看 su 的解释:
[root@controller-0 sudoers.d]# su --help

Usage:

su [options] [-] [USER [arg]...]

Change the effective user id and group id to that of USER.

A mere - implies -l.   If USER not given, assume root.

Options:

-m, -p, --preserve-environment  do not reset environment variables

-g, --group <group>             specify the primary group

-G, --supp-group <group>        specify a supplemental group

-, -l, --login                  make the shell a login shell

-c, --command <command>         pass a single command to the shell with -c

--session-command <command>     pass a single command to the shell with -c

                                 and do not create a new session

-f, --fast                      pass -f to the shell (for csh or tcsh)

-s, --shell <shell>             run shell if /etc/shells allows it

-h, --help     display this help and exit

-V, --version  output version information and exit
 
通过 su 加指定 user 的方式将当前用户提权到指定用户(一般是 root)。su 提示输的密码是要提权用户的密码:
[lianhua@***n ~]$ su - root

Password:

Last login: Sat Mar  7 17:55:48 CST 2020 on pts/0

[root@*** ~]# env

XDG_SESSION_ID=5763

HOSTNAME=***

SHELL=/bin/bash

TERM=xterm

HISTSIZE=1000

http_proxy=http://10.110.***.***

USER=root

LS_COLORS=36:*.xspf=01;36:

MAIL=/var/spool/mail/root

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin

PWD=/root

LANG=en_US.UTF-8

HISTCONTROL=ignoredups

SHLVL=1

HOME=/root

LOGNAME=root

LESSOPEN=||/usr/bin/lesspipe.sh %s

_=/bin/env
之所以登陆之后要 show 环境变量 env 的原因是因为加了 - 的提权方式是 login shell 的,也就是提权到指定用户之后环境变量都会变成指定用户的环境变量,如果不用 - 的话,会出现这样的情况:
[lianhua@*** ~]$ su root

Password:

[root@*** ~]# env

XDG_SESSION_ID=5763

HOSTNAME=***

TERM=xterm

SHELL=/bin/bash

HISTSIZE=1000

USER=lianhua

http_proxy=http://10.110.***.***

LS_COLORS=36:*.xspf=01;36:

PATH=/usr/local/bin:/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/home/lianhua/.local/bin:/home/lianhua/bin

MAIL=/var/spool/mail/lianhua

PWD=/home/lianhua

LANG=en_US.UTF-8

HISTCONTROL=ignoredups

HOME=/root

SHLVL=2

LOGNAME=lianhua

LESSOPEN=||/usr/bin/lesspipe.sh %s

_=/bin/env
可以看到虽然提前到 root 了,但是环境变量还是 huasheng 的,这也意味着要使用一些 root 用户才能用的命令需要使用绝对路径来指定该命令,相当麻烦!
 
虽然 su 可以提权到 root , 但是通过 su 提权需要知道 root 的密码,如果用户多的话,很容易泄露 root 账号的密码,这是很危险的。针对这种情况,一个更安全的提权方式 sudo 就派上用场了。
 
 
sudo
 
sudo 可以让非 root 用户在不需要知道 root 用户密码的情况下,提权到 root 执行 root 用户才能执行的命令。
 
查看 sudo 选项:
Options:

  -A, --askpass                 use a helper program for password prompting

  -b, --background              run command in the background

  -C, --close-from=num          close all file descriptors >= num

  -E, --preserve-env            preserve user environment when running command

      --preserve-env=list       preserve specific environment variables

  -e, --edit                    edit files instead of running a command

  -g, --group=group             run command as the specified group name or ID

  -H, --set-home                set HOME variable to target user's home dir

  -h, --help                    display help message and exit

  -h, --host=host               run command on host (if supported by plugin)

  -i, --login                   run login shell as the target user; a command may also be specified

  -K, --remove-timestamp        remove timestamp file completely

  -k, --reset-timestamp         invalidate timestamp file

  -l, --list                    list user's privileges or check a specific command; use twice for longer format

  -n, --non-interactive         non-interactive mode, no prompts are used

  -P, --preserve-groups         preserve group vector instead of setting to target's

  -p, --prompt=prompt           use the specified password prompt

  -r, --role=role               create SELinux security context with specified role

  -S, --stdin                   read password from standard input

  -s, --shell                   run shell as the target user; a command may also be specified

  -t, --type=type               create SELinux security context with specified type

  -T, --command-timeout=timeout terminate command after the specified time limit

  -U, --other-user=user         in list mode, display privileges for user

  -u, --user=user               run command (or edit file) as specified user name or ID

  -V, --version                 display version information and exit

  -v, --validate                update user's timestamp without running a command

  --                            stop processing command line arguments
 
可以通过 sudo -u <user> <command> 的方式来指定要提权的 user 所执行的 command,如果不指定 user 的话默认提权到 root。
 
对 lianhua 进行提权执行 passwd 命令:
[lianhua@*** ~]$ sudo passwd

[sudo] password for lianhua:

Sorry, user lianhua is not allowed to execute '/bin/passwd' as root on controller-0-forestgreen.
与 su 提权输入密码不一样的是:这里 sudo 需要输入的密码是 lianhua 密码,这点要注意。
那么问题来了,为什么 lianhua 不能执行 passwd 命令呢?
原因在于文件 /etc/sudoers 需要修改相应的配置才能让 lianhua 执行 passwd。
 
通过 visudo 工具查看 /etc/sudoers ,这个工具会检查 /etc/sudoers 有没有修改,修改的格式对不对。
[root@test ~]visudo

...

root ALL=(ALL) ALL

...
主要参数是 root ALL=(ALL) ALL 这一项,列出来单独讨论。
 
每项表示的意义是:
用户账号   登陆者的来源主机名=[可切换的身份] 可执行的命令

root       ALL       = (ALL)      ALL
 
用户账号: 要使用 sudo 命令的账号;
登陆者的来源主机名: 表示允许登陆的主机,如果不为 ALL 则表示授权用户只能在指定主机上登陆 server 执行 sudo 命令。
可切换的身份: 当前用户可以这个身份来执行后面的命令,默认提权到 root。
可执行的命令: 切换的身份可以执行的命令,这个命令是绝对路径,不能用相对路径!试想如果一个用户造了一个命令也叫 passwd,如果执行命令用相对路径,用户执行 passwd 的话执行到这个造出来的 passwd 命令,那是相当危险的!
 
查看 huasheng 这个用户在 /etc/sudoers 里的配置:
[root@*** ~]visudo

...

huasheng ALL=(ALL) NOPASSWD:/usr/sbin/visudo

...
与前面有一点点不一样的是,huasheng 多了一个 NOPASSWD 字段,这是因为使用 sudo 提权执行命令的时候会提示输入当前用户的密码,很麻烦,所以管理员也就是我给它加了个 NOPASSWD 字段,这样就不用每次输密码了。
 
好了,那我们好好玩一玩 huasheng,首先把登陆者的来源主机名改掉,改成 hostname 对应的 ip,然后把这个 ip 加到 huasheng 的登陆者来源主机名中:
[root@*** ~]# hostname

test

[root@*** ~]# hostname -I

10.57.0.1

[root@*** ~]# visudo

...

huasheng 10.57.0.1=(ALL) NOPASSWD:/usr/sbin/visudo

...

[root@*** ~]# su - huasheng

Last login: Sat Mar  7 16:06:10 CST 2020 on pts/0

[huasheng@*** ~]$ sudo visudo

visudo: /etc/sudoers.tmp unchanged
<关于 hostname 详解可看这里>
 
把这个 ip 改成其它主机的 ip 看看能不能执行 visudo:
[huasheng@*** ~]# visudo

...

huasheng 10.57.1.1=(ALL) NOPASSWD:/usr/sbin/visudo

...

[huasheng@*** ~]$ sudo visudo

[sudo] password for huasheng:

huasheng is not allowed to run sudo on test.  This incident will be reported.
提示 hausheng 不能在当前主机 test 上执行这个 visudo 命令!
 
把 ip 改回来,把 huasheng 的可切换身份改为 lianhua 执行 visudo 看看:
[root@test ~]# visudo

[root@test ~]# su - huasheng

Last login: Sat Mar  7 19:27:29 CST 2020 on pts/0

[huasheng@test ~]$ sudo visudo

[sudo] password for huasheng:

Sorry, user huasheng is not allowed to execute '/sbin/visudo' as root on test.
提示的很明显,huasheng 没有提权到 root,所以不能执行 visudo 命令!
 
 
真题演练
折腾半天 huasheng 了,也得看看 lianhua 咋滴了,他还是没法提权切不了 root 。再回看开头的问题,结合前面的分析应该知道怎么提权了,直接给答案:
[lianhua@test ~]$ su - huasheng

Password:

Last login: Sat Mar  7 19:52:44 CST 2020 on pts/0

[huasheng@test ~]$ which su

/bin/su

[huasheng@controller-0-forestgreen ~]$ sudo visudo

...

lianhua ALL=(ALL) NOPASSWD: /bin/su

...

[huasheng@test ~]$ exit

logout

[lianhua@test ~]$ sudo su

[root@test lianhua]#
 
题目还有个用户 lianhuasheng ,看看他的配置:
[root@test lianhua]# visudo

...

lianhuasheng ALL=(ALL) NOPASSWD: /bin/su

...
他的配置和 hausheng / lianhua 一样,那么把他们三个加到一个组,起名叫 ADMINGROUP ,这个组里的用户可以提权到 root。但是要给他们设置不能执行 passwd 和 passwd root 命令,不然他们就能把原来的 root 密码给改掉了,这样是很危险的! 
在 /etc/sudoers 中,组的配置是在组名前加 % 号表示,同时禁用某个命令是在命令前加 ! 号,* 号作为通配符表示可以执行目录下一系列命令。
[root@test lianhua]# groupadd ADMINGROUP

[root@test lianhua]# visudo

...

%ADMINGROUP ALL=(ALL) NOPASSWD: /bin/su, !/bin/passwd, !/bin/passwd root

...

[root@test lianhua]# usermod -G ADMINGROUP lianhua

[root@test lianhua]# usermod -G ADMINGROUP huasheng

[root@test lianhua]# usermod -G ADMINGROUP lianhuasheng

[root@test lianhua]# su - lianhua

Last login: Sat Mar  7 19:56:00 CST 2020 on pts/0

[lianhua@test ~]$ sudo su

[root@test lianhua]#
 
 
现在我们改提权的方式都是直接改的 /etc/sudoers 文件,但是系统推荐的更好的方式是在 /etc/sudoers.d/ 目录下新建配置的用户。/etc/sudoers 文件默认已经配置了该目录:
[root@test ~]# cat /etc/sudoers | grep sudoers.d

## Read drop-in files from /etc/sudoers.d (the # here does not mean a comment)

#includedir /etc/sudoers.d
再把 ADMINGROUP 移到 /etc/sudoers.d 目录下,重新配置这三个用户:
[root@test lianhua]# cd /etc/sudoers.d/

[root@test sudoers.d]# vi ADMINGROUP

%ADMINGROUP ALL=(ALL) NOPASSWD: /bin/su

[root@test sudoers.d]# visudo

[root@test sudoers.d]# su - lianhua

Last login: Sat Mar  7 20:17:35 CST 2020 on pts/0

[lianhua@test ~]$ sudo su

[root@test lianhua]#
 
 
(完)

每天学五分钟 Liunx 011 | sudo的更多相关文章

  1. 如何从40亿整数中找到不存在的一个 webservice Asp.Net Core 轻松学-10分钟使用EFCore连接MSSQL数据库 WPF实战案例-打印 RabbitMQ与.net core(五) topic类型 与 headers类型 的Exchange

    如何从40亿整数中找到不存在的一个 前言 给定一个最多包含40亿个随机排列的32位的顺序整数的顺序文件,找出一个不在文件中的32位整数.(在文件中至少确实一个这样的数-为什么?).在具有足够内存的情况 ...

  2. 零元学Expression Blend 4 - Chapter 42 五分钟快速完成扇形变圆形动画

    原文:零元学Expression Blend 4 - Chapter 42 五分钟快速完成扇形变圆形动画 零元学Expression Blend 4 - Chapter 42 五分钟快速完成扇形变圆形 ...

  3. 五分钟学Java:如何才能学好Java Web里这么多的技术

    原创声明 本文作者:黄小斜 转载请务必在文章开头注明出处和作者. 系列文章介绍 本文是<五分钟学Java>系列文章的一篇 本系列文章主要围绕Java程序员必须掌握的核心技能,结合我个人三年 ...

  4. 《sed的流艺术之一》-linux命令五分钟系列之二十一

    本原创文章属于<Linux大棚>博客,博客地址为http://roclinux.cn.文章作者为rocrocket. 为了防止某些网站的恶性转载,特在每篇文章前加入此信息,还望读者体谅. ...

  5. 五分钟搭建一个基于BERT的NER模型

    BERT 简介 BERT是2018年google 提出来的预训练的语言模型,并且它打破很多NLP领域的任务记录,其提出在nlp的领域具有重要意义.预训练的(pre-train)的语言模型通过无监督的学 ...

  6. 一门能让你五分钟学会的语言-Brainfuck

    看到标题,不出意外的话,你肯定开始骂我了:**标题党,什么编程语言五分钟就能学会? 其实我本来也是不相信的,但是学过了才知道这是真的. 1.Brainfuck 看到这个小标题,不要误会,我没有骂人. ...

  7. 用五分钟重温委托,匿名方法,Lambda,泛型委托,表达式树

    这些对老一代的程序员都是老生常谈的东西,没什么新意,对新生代的程序员却充满着魅力.曾经新生代,好多都经过漫长的学习,理解,实践才能掌握委托,表达式树这些应用.今天我尝试用简单的方法叙述一下,让大家在五 ...

  8. [分享] 史上最简单的封装教程,五分钟学会封装系统(以封装Windows 7为例)

    [分享] 史上最简单的封装教程,五分钟学会封装系统(以封装Windows 7为例) 踏雁寻花 发表于 2015-8-23 23:31:28 https://www.itsk.com/thread-35 ...

  9. JVM内存管理------GC算法精解(五分钟让你彻底明白标记/清除算法)

    相信不少猿友看到标题就认为LZ是标题党了,不过既然您已经被LZ忽悠进来了,那就好好的享受一顿算法大餐吧.不过LZ丑话说前面哦,这篇文章应该能让各位彻底理解标记/清除算法,不过倘若各位猿友不能在五分钟内 ...

  10. 转帖:用五分钟重温委托,匿名方法,Lambda,泛型委托,表达式树

    用五分钟重温委托,匿名方法,Lambda,泛型委托,表达式树 这些对老一代的程序员都是老生常谈的东西,没什么新意,对新生代的程序员却充满着魅力.曾经新生代,好多都经过漫长的学习,理解,实践才能掌握委托 ...

随机推荐

  1. OkHttp3发送http请求

    导入依赖 <!-- https://mvnrepository.com/artifact/com.squareup.okhttp3/okhttp --> <dependency> ...

  2. 华企盾DSC控制台无法登录常见处理方法

    1.查看服务器服务是否正常运行 2.服务器电脑的防火墙关闭了 3.telnet服务器IP和端口(服务器端口和数据库端口)是否是通的 4.如果是外网需要再控制台安装目录改setting配置文件 5.my ...

  3. elastic优化

    通过定义keyword 的 "null_value" :"NULL",使得搜索是不用单独使用exists查询.统一用terms查询就能查询到想要的结果 利用co ...

  4. Python函数加async,但没有加await可以异步吗

      在Python中,如果一个函数被标记为async,这意味着它是一个异步函数.但是,仅仅因为一个函数被标记为异步并不意味着它会自动异步执行.为了使异步函数真正异步,你需要在函数内部使用await关键 ...

  5. 斐波那契数Fibonacci

    509. 斐波那契数 斐波那契数,通常用 F(n) 表示,形成的序列称为斐波那契数列.该数列由 0 和 1 开始,后面的每一项数字都是前面两项数字的和.也就是: F(0) = 0,   F(1) = ...

  6. 从相识到相惜:Redis与计算存储分离四部曲

    摘要:协议兼容问题.性能问题.数据备份问题.数据容量问题--这些都是数据库在使用过程中必然会遇见的问题.就好比选择结婚对象,你需要去对比不同的方面,最后选出最好的.最合适的. 近期全国两会正在轰轰烈烈 ...

  7. Vue组件间的传值五大场景,你造吗?

    摘要:组件是 vue.js最强大的功能之一,这五个组件间传值场景你了解吗? 本文分享自华为云社区<你了解Vue组件间传值五大场景吗?>,作者:北极光之夜. . 父组件向子组件传值: 比如有 ...

  8. 一起玩转玩转LiteOS组件:Opus

    摘要:Opus编码器是一个开源的有损声音编码格式,适用于网络实时声音传输,标准格式为RFC 6716,相对于其他编码格式来说,保真性更好. 本文分享自华为云社区<LiteOS组件尝鲜-玩转Opu ...

  9. APP 备案公钥、签名 MD5、SHA-1、SHA-256获取方法。

    ​ 公钥和 MD5 值可以通过苹果开发工具.Keytool.appuploder 等多种工具获取,最简单的就是以 appuploader为例. 1.下载 appuploader工具 ,点击此处 下载 ...

  10. 2023年iOS App Store上架流程详解(上)

    ​ 很多开发者在开发完iOS APP.进行内测后,下一步就面临上架App Store,不过也有很多同学对APP上架App Store的流程不太了解,下面我们来说一下iOS APP上架App Store ...