linux命令sudu,Linux中设置’sudo’的10个小技巧

最新推荐文章于 2023-01-01 00:56:03 发布
最新推荐文章于 2023-01-01 00:56:03 发布
阅读量217 收藏
点赞数
文章标签: linux命令sudu

导读

在Linux和其他类Unix操作系统中,只有root用户可以运行所有命令并在系统上执行某些关键操作,如安装和更新,删除包,创建用户和组,修改重要的系统配置文件等。然而,承担root用户角色的系统管理员可以允许其他正常系统用户在sudo命令和几个配置的帮助下运行某些命令以及执行包括上述的一些重要系统操作。或者,系统管理员可以共享root用户密码(这不是推荐的方法),以便正常系统用户可以通过su命令访问root用户帐户。

19f771339e1fad7b5fcf49bc641dbb6c.png

sudo允许用户以root用户身份(或另一个用户)执行安全策略指定的命令:它读取并解析/etc sudoers,查找调用的用户及其权限,然后提示调用用户输入密码(通常是用户的密码,但也可以是目标用户的密码,也可以使用NOPASSWD取消密码验证),之后,sudo创建一个子进程,在其中调用setuid()切换到目标用户next,它执行一个shell或在上面的子进程中作为参数给出的命令。

以下是十个/etc/sudoers文件配置,以使用Defaults条目修改sudo命令的行为。

sudo cat /etc/sudoers | less

1.设置安全路径

这是用于每个使用sudo运行的命令的路径,它有两个重要性:

在系统管理员不信任sudo用户具有安全的PATH环境变量时使用

要分离“根路径”和“用户路径”,只有由exempt_group定义的用户不受此设置的影响。

要设置它,请添加行:

Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin"

2.在TTY用户登录会话上启用sudo

要启用从真实tty调用sudo,而不是通过cron或cgi-bin脚本等方法调用,请添加以下行:

Defaults requiretty

3.运行Sudo命令使用pty

有些时候,攻击者可以使用sudo运行恶意程序(例如病毒或恶意软件),这将再次分叉保留在用户的终端设备上的后台进程,即使在主程序已经完成执行时。

为了避免这种情况,您可以将sudo配置为仅使用use_pty参数从psuedo-pty运​​行其他命令,无论I /O日志是否已打开,如下所示:

Defaults use_pty1

4.创建Sudo日志文件

默认情况下,sudo日志通过syslog(3)。但是,要指定自定义日志文件,请使用logfile参数,如:

Defaults logfile="/var/log/sudo.log"

要在自定义日志文件中记录主机名和四位数年份,请分别使用log_host和log_year参数,如下所示:

Defaults log_host, log_year, logfile="/var/log/sudo.log"

5.记录Sudo命令输入/输出

log_input和log_output参数允许sudo在伪tty中运行命令,并记录所有用户输入和所有输出发送到屏幕。

默认I / O日志目录为/var/log/sudo-io,如果有会话序列号,则存储在此目录中。您可以通过iolog_dir参数指定自定义目录。

Defaults log_input, log_output1

支持一些转义序列,例如%{seq},其扩展为单调递增的基础36序列号,例如000001,其中每两个数字用于形成新的目录,例如。00/00/01,如下例所示:

[root@linuxprobe ~]# cd /var/log/sudo-io/

[root@linuxprobe sudo-io]# ll

total 8

drwx------ 3 root root 4096 Jan 12 18:58 00

-rw------- 1 root root 7 Jan 12 19:08 seq

[root@linuxprobe sudo-io]# cd 00/00/06/

[root@linuxprobe 06]# ls

log stderr stdin stdout timing ttyin ttyout

[root@linuxprobe 06]# cat log

1484219333:root:root::/dev/pts/0

/root

/bin/bash

6.讲解​​Sudo用户

要讲授sudo用户关于系统上的密码使用,请使用如下所示的lecture参数。

它有3个可能的值:

always - 总是讲一个用户。

once - 只在用户第一次执行sudo命令时使用(当没有指定值时使用)

never - 从不讲授用户。

Defaults lecture="always"

此外,您可以使用lecture_file参数设置自定义讲义文件,在文件中键入相应的消息:

Defaults lecture_file="/path/to/file"

7.输入错误的sudo密码时显示自定义消息

当用户输入错误的密码时,命令行上将显示特定的消息。默认消息是“sorry,try again”,您可以使用badpass_message参数修改消息,如下所示:

Defaults badpass_message="Password is wrong, please try again,thank you!"

8.增加sudo密码尝试限制

参数passwd_tries用于指定用户尝试输入密码的次数。 默认值为3:

Defaults passwd_tries=5

9.让Sudo输入错误的密码时输入提示

Defaults insults

10.了解更多Sudo配置

枣泥酥
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux安全基线(六)配置6小项(CentOS 8)
bigwood99的博客
10-12 804
1.确保sudo日志文件存在 sudo可以使用自定义日志文件 编辑文件/etc/sudoers或/etc/sudoers.d/的文件并添加以下行:
Ubuntusudo命令的使用
12-04
说明的Ubuntusudu命令的含义及用法。希望对大家有帮助。
10个有用的Sudoers配置在Linux设置sudo
01-11 766
Linux和其他类Unix操作系统,只有root用户可以运行所有命令和执行诸如安装和更新,删除软件包,系统上的某些关键操作创建用户和组 ,修改重要的系统配置文件等等。 然而,系统管理员谁承担root用户的角色可以允许其他系统正常用户的帮助下sudo命令和一些配置来运行一些命令,以及开展一些重要的系统操作,包括上面提到的那些的。 另外,系统管理员可以共享root用户的密码(这不是一个推
linux配置选项大全,Linux下的十项实用“sudo”配置选项
weixin_42510026的博客
05-17 490
无论是Linux还是其他类的UNIX系统,都只允许root用户运行全部命令并执行软件包的安装、更新、移除以及其他一些会对系统造成重要修改的特定操作。然而,也有部分系统管理员允许其他用户正常使用sudo配置以运行此类重要命令并进行关键性系统操作。也有一些系统管理员会共享root用户密码(这种作法并不推荐),这意味着普通系统用户也能够通过su命令访问root用户账户。另外,sudo也允许用户作为roo...
sudo命令python提权
qq_40898302的博客
05-10 3919
python的提权
linux默认开启sudo_系统运维|在 Linux 设置 sudo 的十条 sudoers 实用配置
weixin_39726873的博客
12-22 402
Linux 和其他的类 Unix 操作系统,只有 root 用户可以运行所有的命令,才能在系统执行那些需要鉴权的操作,比如安装、升级和移除软件包、创建用户和用户组、修改系统重要的配置文件等等。然而,系统管理员,比如说 root 用户,可以通过 sudo 命令和一些配置选项来给普通用户进行授权,从而让该普通用户可以运行某些命令已经上述的那些相当重要的系统级操作。另外,系统管理员还可以分享 ...
乌班图必须知道的60个命令
11-22
乌班图必须知道的60个命令 很经典的命令,实用,学习必用。
万能门店 sudu8_page 7.41安装更新一体包 带九大插件安装更新包.zip微信小程序模板源码
08-12
万能门店 sudu8_page 7.41安装更新一体包 带九大插件安装更新包.zip微信小程序模板源码
sudo-for-cygwin:cygwin的不良sudo克隆
05-21
在cygwin仿真Unix sudo。 您可以像这样使用: $ sudo vim /etc/hosts$ sudo cp foo.txt /cygdrive/c/Program Files/$ suco cygstart cmd # open elevated standard command prompt$ sudo cygstart regedit$ sudo ...
mentohust linux 安装包
10-12
mentohust linux 的deb安装包.2018年10月12号测试可以链接到锐捷校园网 安装好 直接 sudu mentohust -b3 -w 可以后台使用。要退出 可以使用 sudo mentohust -k.
Linux杂谈之sudo
wzj_110的博客
01-01 4803
sudo配置文件/etc/sudoers介绍,编辑/etc/sudoers的细节
linux文件增加自定义属性,在 Linux 设置 sudo 的十条 sudoers 实用配置
weixin_39603265的博客
04-30 160
root 用户,可以通过 sudo 命令 和一些配置选项来给普通用户进行授权,从而让该普通用户可以运行某些命令已经上述的那些相当重要的系统级操作。-- Aaron Kili本文导航-1、 安置一个安全的 PATH 环境变量33%-2、 允许 tty 用户会话使用 sudo39%-3、 使用 pty 运行 sudo 命令42%-4、 创建 sudo 日志文件47%-5、 记录 sudo 命令的输入/...
linux命令
weixin_30673715的博客
08-29 909
1.sudo:暂时切换到超级用户模式以执行超级用户权限,提示输入密码时该密码为当前用户的密码,而不是超级账户的密码。不过有时间限制,Ubuntu默认为一次时长15分钟。su:切换到某某用户模式,提示输入密码时该密码为切换后账户的密码,用法为“su账户名称”。如果后面不加账户时系统默认为root账户,密码也为超级账户的密码。没有时间限制。sudo-i:为了频繁的执行某些只有超级用户...
Linux设置'sudo'的10个技巧
静静是我女朋友
01-12 3731
Linux和其他类Unix操作系统,只有root用户可以运行所有命令并在系统上执行某些关键操作,如安装和更新,删除包,创建用户和组,修改重要的系统配置文件等。 然而,承担root用户角色的系统管理员可以允许其他正常系统用户在sudo命令和几个配置的帮助下运行某些命令以及执行包括上述的一些重要系统操作。 或者,系统管理员可以共享root用户密码(这不是推荐的方法),以便正常系统用
sudo命令自动输入密码的方法
pty_2007的专栏
01-05 7149
首先声明这种方法的安全性不高,但是也是一种方法.命令如下: echo "password" | sudo -S commander使用管道 ,然后sudo使用-S参数即可。
Linuxtty、pty、pts的概念区别
qingkongyeyue的博客
07-02 2343
转自http://blog.sina.com.cn/s/blog_638ac15c01012e0v.html 基本概念: 1> tty(终端设备的统称): tty一词源于Teletypes,或teletypewriters,原来指的是电传打字机,是通过串行线用打印机键盘通过阅读和发送信息的东西,后来这东西被键盘和显示器取代,所以现在叫终端比较合适。 终端是一种字符型设备,他有多种类型,
Linux系统通过文件/etc/sudoers设置用户使用sudo的权限/用户使用sudo的授权配置
liaowenxiong的博客
09-28 8824
使用 visudo 命令可以打开 /etc/sudoers 文件进行编辑设置 sudo,visodo 是编辑 /etc/sudoers 的命令,也可以不用这个命令,直接用 vi 来编辑 /etc/sudoers。不建议直接使用 vim,而是使用 visudo。因为修改 /etc/sudoers 文件需遵循一定的语法规则,使用 visudo 的好处就在于,当修改完毕 /etc/sudoers 文件,离开修改页面时,系统会自行检验 /etc/sudoers 文件的语法。 因此,修改 /etc/sudoers 文
linux操作命令日志 记录的方法
sean
09-03 2626
linux终端下,为方便检查操作可能出现的错误,以及避免屏幕滚屏的限制,我们可以把操作日志记录下来。常用的工具有screen,script,以及tee等。     1. screen — screen manager with VT100/ANSI terminal emulatio     > screen -L     >这里是我们的操作     > exit     结束后会生
linux 伪终端 pty 简介
whatday的专栏
02-23 2391
伪终端 伪终端(pseudo terminal,有时也被称为 pty)是指伪终端 master 和伪终端 slave 这一对字符设备。其的 slave 对应 /dev/pts/ 目录下的一个文件,而 master 则在内存标识为一个文件描述符(fd)。伪终端由终端模拟器提供,终端模拟器是一个运行在用户态的应用程序。 Master 端是更接近用户显示器、键盘的一端,slave 端是在虚拟终端...
linux命令sudu
最新发布
08-30
sudo命令Linux系统用于以其他身份来执行命令的工具。它主要用于分配系统的权限,允许普通用户提升权限来执行一些操作。sudo命令的预设身份是root用户,在/etc/sudoers配置文件设置了可执行sudo指令的用户。如果未经授权的用户尝试使用sudo命令,系统会发送警告邮件给管理员。使用sudo命令时,用户需要输入密码,在输入密码后有5分钟的有效期限,超过时间后需要重新输入密码。 sudo命令的作用是为了在不切换到root用户的情况下,临时授予用户权限来执行单个命令。这样可以减少用户因为错误执行命令而损坏系统的可能性。对于某些需要root权限的命令,可以使用sudo命令来代替直接切换到root用户来执行。 在使用sudo命令时,配置文件/etc/sudoers起着重要的作用。其,我们可以设置哪些用户可以执行sudo命令,以及可以执行哪些命令和在哪些主机上执行命令。例如,可以通过配置文件来指定某个用户在特定主机上以特定用户身份执行特定命令。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Linux命令 sudo用法详解](https://blog.csdn.net/weixin_42412250/article/details/116584839)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [linux命令sudo详解](https://blog.csdn.net/u011837804/article/details/130819086)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值