案例-配置sudo用户免密功能(工作实战-亲测成功-20210410)

最新推荐文章于 2024-06-14 16:05:13 发布
最新推荐文章于 2024-06-14 16:05:13 发布
阅读量2.5k 收藏 5
点赞数 2
分类专栏: Linux 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39246554/article/details/115586109
版权

案例-配置sudo用户免密功能(工作实战-亲测成功-20210410)

​ 在有些场景下,比如在脚本中,不希望每次执行sudo命令时都输入自己的密码,可以通过NOPASSWD实现此功能。
​ 另,关于自己工作中配置sudo用户免密功能,遇到了很多坑,这里记录下,方便大家look。

1、自己遇到的坑

​ 关于如何配置sudo用户免密功能,百度搜了下,无非就是配置参数NOPASSWD。但配置在哪里,就很关键了。这里也是很多小伙伴踩坑的地方。

​ 如果配置在root行下面,经实际测试是不能实现sudo免密功能的,需要再配置下%wheel组,这样才会实现免密功能,很无语。看网上给出的原因,是单单配置了用户时不生效的,还需要再配置下wheel组才行。但如果配置了组wheel的话,那么该组下的任何sudo成员都会具有sudo免密功能的。这里总感觉权限被过于被放大。

下面是实际的测试过程:

(1)只在root行下面配置某用户的sudo免密 => 经实际测试,用户sudo免密功能是不会生效的

vim /etc/sudoers #root用户进行配置sudoers内容

image-20210318141644242

image-20210318141838229

注意:在shell终端不断连情况,等待5min后:再次进行登录icnoc用户,测试第一次登录是否需要密码?–>需要密码
注意:每打开一次shell第一次都需要输入密码;

image-20210318142718026

由以上现象可知=> 这种方法并不能实现sudo免密功能!!!

但是

(2)如果仅仅直接把NOPASSWD参数配置在%wheel层面(这里就不用再单独针对用户配置NOPASSWD参数) => (所有sudo用户都是免密的,这个是一劳永逸的!

测试过程如下:
vim /etc/sudoers #root用户进行配置sudoers内容

image-20210318143657819

重新用icnoc用户登录机器,查看现象:
image-20210318143849474

由以上现象可知=> 这种可以实现sudo免密功能。

​ 虽然,直接在wheel组层配置NOPASSWD参数可以实现sudo用户免密功能,但是这里总感觉权限过于被放大,因此自己工作中建议选择如下配置方法(即简单又安全)。

2、推荐配置方法(重要)

​ 注意,这种方法也是配置在用户层面,但是是直接追加在/etc/sudoers文件末尾的,经测试,也是可以实现sudo用户免密功能的。

实际过程如下:

image-20210409144729335

image-20210409144744287

经测试:这种直接追加配置到末尾的方法很实用,可以实现sudo免密功能,也方便脚本编写。

image-20210409144826080

  • 另:自己工作中实现写的sudoers文件内容如下,大家可以参考下:
[icnoc@test-centos78-template ~]$ sudo grep ^[^#] /etc/sudoers
Defaults   !visiblepw
Defaults    always_set_home
Defaults    match_group_by_gid
Defaults    always_query_group_plugin
Defaults    env_reset
Defaults    env_keep =  "COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS"
Defaults    env_keep += "MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE"
Defaults    env_keep += "LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES"
Defaults    env_keep += "LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE"
Defaults    env_keep += "LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY"
Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin
root	ALL=(ALL) 	ALL
%wheel	ALL=(ALL)	ALL
Defaults log_host,log_year,logfile=/var/log/sudo.log
Defaults: jt_DCMonitor !requiretty
jt_DCMonitor ALL=(root) NOPASSWD:/usr/sbin/lvdisplay
jt_DCMonitor ALL=(root) NOPASSWD:/usr/sbin/vgdisplay
jt_DCMonitor ALL=(root) NOPASSWD:/usr/sbin/pvdisplay
jt_DCMonitor ALL=(root) NOPASSWD:/usr/sbin/lvscan
jt_DCMonitor ALL=(root) NOPASSWD:/usr/sbin/vgscan
jt_DCMonitor ALL=(root) NOPASSWD:/usr/sbin/pvscan
jt_DCMonitor ALL=(root) NOPASSWD:/usr/sbin/lvs
jt_DCMonitor ALL=(root) NOPASSWD:/usr/sbin/vgs
jt_DCMonitor ALL=(root) NOPASSWD:/usr/sbin/pvs
jt_DCMonitor ALL=(root) NOPASSWD:/usr/sbin/dmidecode
jt_DCMonitor ALL=(root) NOPASSWD:/usr/sbin/fdisk -l
jt_DCMonitor ALL=(root) NOPASSWD:/usr/sbin/smartctl
jt_DCMonitor ALL=(root) NOPASSWD:/sbin/lvdisplay
jt_DCMonitor ALL=(root) NOPASSWD:/sbin/vgdisplay
jt_DCMonitor ALL=(root) NOPASSWD:/sbin/pvdisplay
jt_DCMonitor ALL=(root) NOPASSWD:/sbin/lvscan
jt_DCMonitor ALL=(root) NOPASSWD:/sbin/vgscan
jt_DCMonitor ALL=(root) NOPASSWD:/sbin/pvscan
jt_DCMonitor ALL=(root) NOPASSWD:/sbin/dmidecode
jt_DCMonitor ALL=(root) NOPASSWD:/sbin/fdisk -l
jt_DCMonitor ALL=(root) NOPASSWD:/sbin/smartctl
jt_DCMonitor ALL=(root) NOPASSWD:/bin/cat
jt_DCMonitor ALL=(root) NOPASSWD:/bin/rm -f ./jtdc_rw_tmp_file
jt_DCMonitor ALL=(root) NOPASSWD:/usr/bin/tee ./jtdc_rw_tmp_file
jt_DCMonitor ALL=(root) NOPASSWD:/usr/bin/tail
icnoc	ALL=(ALL) 	NOPASSWD:ALL
[icnoc@test-centos78-template ~]$

3、其它(扩展部分)

注意:也可以对单个命令进行配置sudo免密功能(比较少用)

  • 使用方法:
[root@test ~]# visudo
HG      ALL=    /bin/mount,/bin/umount,sudoedit,NOPASSWD:/bin/cat /var/log/messages #注意,哪个命令需要免密就在前面加上NOPASSWD:即可,其他没加这个参数的命令再次使用依然需要输入自己的密码的
  • 测试过程:
测试过程:
[wang@test ~]$ ll  /var/log/messages
-rw------- 1 root root 90047 Feb 13 17:57 /var/log/messages
[wang@test ~]$ cat !$
cat /var/log/messages
cat: /var/log/messages: Permission denied
[wang@test ~]$ sudo cat  /var/log/messages
Sorry, user wang is not allowed to execute '/bin/cat /var/log/messages' as root on test.
[wang@test ~]$ sudoedit /etc/sudoers
## Allow root to run any commands anywhere
root    ALL=(ALL)       ALL
wang    ALL=    /bin/mount,/bin/umount,sudoedit,NOPASSWD:/bin/cat /var/log/messages #添加NOPASSWD参数

[wang@test ~]$ sudo cat /var/log/messages
[wang@test ~]$ 
Feb 13 17:59:56 test prometheus: level=warn ts=2021-02-13T09:59:56.561Z caller=scrape.go:1094 component="scrape manager" scrape_pool=prometheus target=http://localhost:9090/metrics msg="Appending scrape report failed" err="out of bounds"
Feb 13 17:59:58 test prometheus: level=warn ts=2021-02-13T09:59:58.995Z caller=scrape.go:1094 component="scrape manager" scrape_pool=node2 target=http://192.168.10.12:9100/metrics msg="Appending scrape report failed" err="out of bounds"

4、总结

​ 一般工作中,机器需要被基线加固,sudo功能还是比较常用的,其中sudo免密功能也是非常实用的,关于sudo用法,我将会在后续文章中输出到博客上。
​ 好了,今天的简单分享就到这里了,good night!

image-20210410225215968

一念一生~one
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
如何在 Linux 中无需密码运行 sudo 命令?
网络技术联盟站
08-28 4981
Linux系统中,sudo是一个非常强大且常用的命令,它允许普通用户以超级用户(root)的权限来执行特定的命令,从而完成需要管理员权限的任务。然而,默认情况下,使用sudo时通常需要输入用户自己的密码,这是为了确保系统安全性。但在某些情况下,我们可能希望某些特定的用户或命令在执行sudo时无需输入密码。本文将介绍如何在Linux中实现无需密码运行sudo命令的方法。
第一课 大数据技术之Fink1.13的实战学习-部署使用和基础概念
QnHyn
06-11 1707
Flink
用户配置Sudo免密
ilifei的博客
03-25 3263
错误日志 We trust you have received the usual lecture from the local System Administrator 根本原因是mysql用户去执行脚本中的sudo命令时权限不够,所以我们需要为其配置sudo权限并加上免密配置。 ① 使用su命令切换超级用户(root用户) ② 我们需要在sudoers配置文件中修改,所以先为该文件配置写权限: chmod u+w /etc/sudoers // 给/etc下的sudoers文件加上wri
配置linuxsudo不用输入密码
最新发布
qq_39242438的博客
06-14 390
通过这些步骤,你可以配置Linux系统在使用 sudo 命令时不需要输入密码。请注意,这样做会降低系统的安全性,因此仅在必要时使用,并确保你完全理解这样做的风险。在Linux配置 sudo 命令时不需要输入密码,可以通过以下步骤来实现。这种配置需要谨慎使用,因为它会降低系统的安全性。这将打开 sudoers 文件,确保使用 visudo 编辑器,因为它会检查语法错误。运行一个需要 sudo 的命令,确认是否不再需要输入密码。按 Ctrl+O 保存文件,然后按 Ctrl+X 退出编辑器。
设置su和sudo为不需要密码
weixin_34061555的博客
08-07 315
一 设置sudo为不需要密码   有时候我们只需要执行一条root权限的命令也要su到root,是不是有些不方便?这时可以用sudo代替。默认新建的用户不在sudo组,需要编辑/etc/sudoers文件将用户加入,该文件只能使用visudo命令, 1) 首先需要切换到root, su - (注意有- ,这和su是不同的,在用命令"su"的时候只是切换到root,但没有把root的环境变量传...
Linux sudo命令免密码(设置普通用户可以直接使用sudo,不需要输入密码)
西京刀客
12-25 5727
Linux下,我们经常会使用su从普通账户切换到root账户,但默认情况下,切换到root账户都需要输入密码,比较麻烦,可以通过配置免密码切换到root账号
linux-运维自动化之ansible
m0_71514530的博客
09-12 424
YAML是一个可读性高的用来表达资料序列的格式。YAML参考了其他多种语言,包括:XML、C语言、Python、Perl以及电子邮件格式RFC2822等。Clark Evans在2001年在首次发表了这种语言,另外Ingy döt Net与Oren Ben-Kiki也是这语言的共同设计者YAML Ain't Markup Language,即YAML不是XML。不过,在开发的这种语言时,YAML的意思其实是:"Yet Another Markup Language"(仍是一种标记语言)特性。
谷粒商城 -->「P01-P44」
Darling_qi的博客
04-28 3529
微服务+分布式+全栈+集群+部署+自动化运维+可视化CICD,对标阿里P6/P7
红队专题-Perm权限提升与维持隐匿Privilege Escalation
aming小老弟
10-27 651
高权限不仅能对更多文件进行增删改查的操作,方便进一步收集主机系统中的敏感信息, system权限也可以提取内存中的密码Hash,为进一步的渗透提供更多信息。权限提升是从初始访问权限(通常是标准用户或应用程序帐户)一直提升到administrator, root甚至SYSTEM访问权限的艺术。常见技术或攻击手段来获得高权限帐户访问权限。用于检测和利用不同权限提升技术的手动方法,但会提到可以完成相同工作并节省您一些时间的自动化工具。 完美,它指向我们的有效负载。 使用net(也是默认安装的)启动此服务以获得
Linux设置sudo免密
weixin_33724659的博客
01-30 1277
sudo密码 第一步:apt install sudo 安装sudo 第二步:vim /etc/sudoers 打开sudo配置文件 第三步:yu ALL=(ALL...
配置密码 sudo
dc爱傲雪和技术
06-05 401
配置密码 sudo 需要谨慎操作,因为这会给你的系统安全带来一定的风险。在决定这么做之前,请确保你了解潜在的安全后果。
sudo命令免密sudo免密
热门推荐
qq_45704640的博客
02-16 2万+
sudo命令免密sudo密码 云服务上的普通用户可以免密码使用sudo,而我们的却不行,看来得配置一下,在网上查了资料有了答案,分享一下 虽然这样有安全隐患,但是我们只是个人用户,不是几个人共用一个系统,每次sudo都要输密码很烦人 切换root用户sudoers文件添加写入权限 编辑sudoers文件 找到下面这几行并改为我写的这样的 # User privilege specification root ALL=(ALL:ALL) ALL # Members of the admin grou
sudo 免密
weitao_11的博客
01-07 691
需求: 使用git ci 脚本部署服务,需要用到 sudo,但是正常sudo 是需要输入密码 过程: 因为使用的是脚本,所以不能有事没事输入一个密码,设置免密登录 sudo 免密, 可以通过修改 /etc/sudoers 来实现 查看 /etc/sudoers 是只读的文件无法修改,心想那不是很简单,修改文件权限,并修改文件内容 sudo chmod 777 /etc/sudoers vim /etc/sudoers #输入 user ALL=(ALL) NOPASSWD: ALL
sudo免密
03-30 7690
原文链接 有时我们需要用到sudo时,总是需要不停的输入密码, 下面的设置就是免密码使用sudo. 切换到root用户 su - 给文件/etc/sudoers赋予写入的权限 chmod u+w /etc/sudoers 修改文件 vi /etv/sudoers 在文件的末尾加上用户名 ALL=(ALL:ALL) NOPASSWD: ALL,下面示例是给用户leog赋予免密码执行sudo的权限. # User privilege specification root ALL=(ALL:ALL) ALL
linux小技巧】Ubuntu中免密sudo
qq_25559705的博客
02-08 2331
在Ubuntu系统中,sudo(超级用户do)是一种强大的权限管理工具,允许普通用户以超级用户的权限执行特定的命令或任务。默认情况下,sudo要求用户提供其密码来进行身份验证,以确保安全性。然而,对于某些用户或特定场景,频繁输入密码可能会降低操作效率。幸运的是,在Ubuntu中,我们可以通过一种简单的方式来配置免密sudo,使得指定的用户在执行sudo命令时无需输入密码。这项功能可以极大地简化权限管理,并提升用户在系统中的工作效率。
配置sudo免密登录
weixin_47297088的博客
06-13 77
【代码】配置sudo免密登录。
ubuntu 配置sudo免密
04-24
您可以使用以下步骤在 Ubuntu 中配置 sudo 免密: 1. 打开终端并输入 `sudo visudo` 命令以打开 sudoers 文件进行编辑。 2. 在文件的末尾添加以下行:`user_name ALL=(ALL) NOPASSWD: ALL`,其中 `user_name` 是您要配置用户名。 3. 保存并关闭 sudoers 文件。现在,该用户在运行 sudo 命令时不会提示输入密码。 请注意,此方法有一定的安全风险。因此,您应该只给予受信任的用户 sudo 免密访问权限。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值