sudo的安全策略:阻止/允许用户执行特定命令

最新推荐文章于 2024-02-07 13:22:39 发布
最新推荐文章于 2024-02-07 13:22:39 发布
阅读量1w 收藏 15
点赞数 4
分类专栏: linux 文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/saga1979/article/details/87929605
版权

应用场景

我们知道sudo用户组的用户可以使用sudo以root权限运行命令。某些应用场景可能要求对用户的sudo执行权限细分,比如可以执行部分命令,或者不能执行部分命令。这时可以通过配置sudo的默认安全策略插件sudoers来达到目的。

  • 将用户移除sudo用户组(如果原来在的话)
  • 确认/etc/sudoers配置策略
    要使用visudo来编辑,默认该文件带有描述:“This file MUST be edited with the ‘visudo’ command as root”。如果没有改动过该文件,其大致如下:
# User privilege specification
root	ALL=(ALL:ALL) ALL
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
# Allow members of group sudo to execute any command
%sudo	ALL=(ALL:ALL) ALL
# See sudoers(5) for more information on "#include" directives:
#includedir /etc/sudoers.d
  • 编辑用户安全策略配置
    在/etc/sudoers.d/目录下建立与用户同名的策略文件,比如:
visudo -f /etc/sudoers.d/test #其中“test”为测试建立的用户名

比如,我们期望用户test 可以以管理员权限执行/usr/bin、/bin下的所有命令,但是不能修改其他用户密码以及kill其他用户进程,可以配置如下:

test ALL=/usr/bin/, !/usr/bin/passwd, /bin/,  !/bin/kill

测试一下,会发现passwd被阻止了:

test@zzz:/home/sscm$ sudo passwd
[sudo] password for test: 
Sorry, user test is not allowed to execute '/usr/bin/passwd' 
as root on zzz.
test@zzz:/home/sscm$

在策略文件中配置:!/usr/bin/passwd user_name,该策略可以阻止修改特定用户的密码。也可以得知,该策略可以阻止特定参数的命令

_saga
关注
  • 4
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
11 - Debian如何限制sudo权限
傅老师的运维技术空间
04-01 641
特定用户使用su命令切换root。但是权限太大,而且root密码有泄露风险。那么能否在不泄露root密码的前提下对权限进行限制呢?答案就是用sudosudo可以使普通用户具备某些管理权限,同时又不知道管理员密码。
Linux中如何禁止普通用户使用su命令
永远在学习Linux之路上
10-29 1236
使用bob用户验证一下。系统应返回如下错误消息 "Sorry, user bob is not allowed to execute '/bin/su - user01' as root on localhost.localdomain."还可以禁用用户组的 su 访问权限。若要切换到 root 帐户,用户必须具有 root 密码。在此示例中,用户正在切换到 root 帐户。默认情况下,所有用户都可以使用 su 命令禁用普通用户的 su 访问权限,首先,备份以下。命令打开sudoers配置文件。
sudo限制特定指令
wantming的专栏
07-28 1097
编辑sudo文件,多个指令可以用','隔开 # cat /etc/sudoers ## Allow root to run any commands anywhere root ALL=(ALL) ALL test ALL=(ALL) NOPASSWD: /usr/local/nginx/sbin/nginx
Linux安全之禁用特定命令
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
01-11 1万+
背景 操作 1、禁用普通用户su到root 2、禁用普通用户执行某些命令 3、禁用root执行某些命令和授权sudo 1)禁止授权普通用户sudo: chmod u+w /etc/sudoers 2)vi /etc/sudoers ,编辑sudoers文件,找到以下行: xxx ALL = (ALL) ALL ## 将xxx替换为允许sudo的普通用户名,后面,ALL,限制sudo执行命令; 2)限制root执行某些命令 3)禁用内部命令 root下执行help可查看内部命令,然后执行:ena
linux管理sudo管理员权限
qq_17576885的博客
12-29 1611
说明 限制用户使用sudo权限,防止用户对系统做出破坏性更改或恶意提权操作。 检查方法 1)在终端中输入命令: [test@localhost ~]$ sudo visudo 2)查找未被“#”注释掉的部分,是否存在类似于: root ALL=(ALL) ALL 字段,有即为定义的sudo用户;如存在类似于 %wheel ALL=(ALL) ALL 字段,即为定义wheel组为sudo用户组。 修改建议 1)使用visudo命令检查可执行sudu命令用户用户组、主机、命令 2)设置的格式为: 用户或用.
禁用/禁止/阻止sudo -i,sudo -s,sudo su,su等获得root账户权限。
最新发布
2403_82842597的博客
02-07 1179
新手?基础?详细?有趣?
Linux——手把手教你解决sudo指令无法使用的问题
Forward♞的博客
11-10 4957
sudorootroot但是,如果是新创建的普通账户,一般来说一开始是不能执行sudosudoerssudosuduersrootsudosudoerssudorootsudoersroot。
不使用sudo 执行Docker命令的方法
09-30
在Linux系统中,Docker守护进程(Docker daemon)通常以root权限运行,因此,默认情况下,普通用户执行Docker命令时需要使用`sudo`。这确实会影响开发人员的工作效率,因为频繁输入`sudo`会增加操作的繁琐性。本文将...
sudo命令 以系统管理者的身份执行指令
01-09
sudo 允许一个已授权用户以超级用户或者其它用户的角色运行一个命令。当然,能做什么不能做什么都是通过安全策略来指定的。sudo 支持插件架构的安全策略,并能把输入输出写入日志。第三方可以开发并发布自己的安全...
sudo:以其他用户身份执行命令的实用程序
02-09
sudo:以其他用户身份执行命令的实用程序
Win10 WSL运行docker报错:Cannot connect to the Docker daemon at unix:///var/run/docker.sock.
01-20
sudo usermod -aG docker leo // 添加当前用户leo到docker用户组,然后重启WSL,docker用户组为安装docker时自动创建 sudo service docker start // 启动docker 安装完docker并启动后,试运行查看docker本地镜像...
sudosh2:项目移至github:https://github.com/squash/sudosh2-开源
05-08
sudosh是审核外壳过滤器,可以用作登录外壳。 Sudosh记录所有击键和输出,并且可以像VCR一样回放会话。 Sudosh2是sudosh发展的延续。 在sourceforge上不再进行开发,有关当前树,请参见...
限制su命令sudo机制提升 nmap和控制台命令netstat
LBP20001204的博客
07-19 983
安全控制 网络扫描NMAP和控制台命令Netstat
配置 sudo 命令可支持的用户
abcnull 的博客
01-05 506
文章目录 想要一些账号也可以执行sudo命令,可以使用visudo去修改/etc/sudoers,不建议使用vi这是因为 sudoers 中是有语法的,使用visudo编辑完,系统会自动检验语法 需求一: 想要单独设置某一用户可以执行 sudo 的所有命令,需进行如下设置 # Visual editor (Improved) Switch User Do 此命令会调出 /etc/sudoers 文...
17.sudo用法详解,授权文件,sudoers配置示例
细致-专业-实操
11-24 3508
sudo用法详解,授权文件,sudoers配置示例 文章目录概念用途和特性语法选项sudo -u授权文件(sudoers)用途原理授权文件修改授权文件含义示例1. 普通用户添加命令权限2. 普通用户添加多条命令权限3. 给组添加用户权限4. 使用别名5. 禁止某用户执行特定操作总结 Linux sudo命令用法详解:系统权限管理 概念 用途和特性 su 命令可以让普通用户切换到 root 身份去执行某些特权命令,但存在一些问题,比如说: 存在管理员密码泄露 为了一个特权操作使用root相当于直接赋予普
sudo命令及其配置
lurenyi168的专栏
07-22 4171
sudo是linux系统管理指令,英文全称为super user do,意思为以超级用户(root用户)的方式来执行命令。是允许普通用户执行一些或者全部的root命令的一个工具,如useradd、su等等。这样不仅减少了root用户的登录和管理时间,同样也提高了安全性。普通用户如果想要获取sudo命令执行权限,则需要在/etc/sudoers中进行配置。
Linux权限命令-sudo权限详解
热门推荐
鹅不糊涂的博客
05-19 2万+
本文将为初学者详细解释 Linux 系统下的 sudo 命令,完整阐述其用途、应用场景和实现方法。sudo 命令可以帮助你更好地管理系统。如果你是一名正在探索 Linux 的爱好者,那么本文将是你不可错过的入门指南!
sudo禁用的情况下,不切换root用户,使用root权限执行命令
qq_44737312的博客
05-25 895
sudo全称为super user do,即以超级用户(root)的方式执行命令。 某些情景下,sudo命令是被禁用掉的,不能直接用sudo直接执行命令
Linux下禁止普通用户通过 sudo su - 或 su - root 切换到root用户
山兔的博客
12-02 2314
修改/etc/pam.d/su配置#打开这个配置文件,找到如下行,并将行首”#”去掉,保存文件 修改/etc/login.defs文件在文件末尾添加 保存文件sudo su - 或 sudo su 切换到root或者通过 su - root 切换到root,发现失败,说明配置生效不要在/etc/sudoers里面添加可以执行root权限的普通用户,这会导致配置失效,并且普通用户切换至root用户将不需要输入密码,确记
:~/desktops sudo root sudo:/usr/bin/sudo必须属于用户 id 0(的用户)并且设置量s
12-29
sudo命令是在Linux和Unix系统中用于以root用户的权限执行命令的工具。当我们使用sudo命令执行某个命令时,系统会首先验证当前用户是否有使用sudo命令的权限,然后再执行相应的命令。 在给定的命令中,~/desktops表示当前用户的桌面目录,sudo root表示以root用户的权限执行命令sudo用户指令需要具有特殊的权限才能正常工作,这些权限可以通过用户的ID号和设置位来确定。 在Linux系统中,用户ID(UID)为0的用户通常是系统管理员,也就是root用户。这个用户拥有对系统的完全控制权,可以执行任意的命令,并且可以更改系统的任何配置。 而/usr/bin/sudosudo命令的实际执行路径,实际上是一个可执行文件。为了确保系统的安全性,只有当该可执行文件的拥有者为root用户(UID为0)并且设置了特殊权限s(setuid)时,才能使用sudo命令进行权限提升。 设置了setuid权限的可执行文件在执行时会暂时拥有该文件的所有者的权限。因此,只有当/usr/bin/sudo的拥有者为root用户,并且具有特殊权限s时,sudo命令才能正常工作。 总结起来,/usr/bin/sudo必须属于用户ID为0的用户(也就是root用户)并且设置有特殊权限s,才能确保使用sudo命令时能够正常地提升用户权限并执行相应的命令。这样可以保证系统的安全性,防止非授权用户滥用sudo命令

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值