CentOS 7.4 基礎設定 (5) - 設定 sudo 管理員帳號管理機制 ~ 不自量力の Weithenn

前言

最近工作關係開始玩 CentOS 了，本次實作環境中採用的是 CentOS 7.4 (1709) Kernel 3.10.0-693.el7.x86_64) 映像檔，也就是新版 CentOS 7.4 最小化安裝版本 (Minimal Install)，那麼開始來玩玩吧。💪

實作環境

Windows Server 2016 Hyper-V
CentOS 7.4 (1709) Kernel 3.10.0-693.el7.x86_64
sudo-1.8.19p2-10.el7.x86_64

設定 sudo 管理員帳號管理機制

在 CentOS 作業系統當中 root 使用者帳號被稱為超級使用者帳號，此帳號為整個作業系統中權限最大的管理帳號，權限大到可以直接將作業系統自我毀滅。由於 root 超級使用者帳號權限如此之大，因此強烈建議您應該使用一般使用者帳號登入主機進行操作，待需要執行的動作需要提升權限時才切換為管理帳號進行操作，以免因為一時疏忽或者不慎手誤，造成系統或服務損壞，例如，GitLab 史上最大危機：工程師誤刪大量資料，導致線上服務崩潰 | TechNews 科技新報。💣

當您所管理的 CentOS 主機同時擁有多個管理者進行管理時，您該如何確定是其中哪個管理者使用了 root 管理帳號對系統做了什麼事情？例如，當您想要得知是哪個管理者在哪個時間切換為 root 管理帳號並且對系統執行了哪些指令，傳統的切換方式 su – 就不符合這樣的需求了，有鑑於此我們可以透過設定 sudo 來達成這樣的查核需求。

Sudo 套件就是為了彌補作業系統中內建的身份切換指令 su 不足所發展出來的軟體套件，透過設定此套件後我們可以建立相關的使用者權限群組，並且給予不同權限的指令來達到控管使用者權限的目的，同時配合相關參數設定我們可以隨時查閱哪位使用者執行過 sudo 指令來提升權限，並且能查出該使用者對於系統在權限提升之後執行了哪些動作，以便進行事後的追查。

首先，請先使用 rpm 及 which 指令來查詢系統中是否已經安裝 sudo 套件（預設情況下會安裝此套件）以及相關指令是否存在，確認目前系統中有安裝此套件時請接著使用 visudo 指令來修改 sudo 設定檔內容。建議您不要直接使用 VI 或 VIM 編輯器來修改 sudo 設定檔，原因除了 visudo 指令會自行尋找 sudo 設定檔 (/etc/sudoers) 並且進入編輯模式之外，當我們修改完成後若設定檔內容中有發生語法或斷行等錯誤時，系統會在顯示警告訊息提醒我們哪裡發生語法錯誤。

# rpm -qa sudo

sudo-1.8.19p2-10.el7.x86_64

# which sudo visudo

/usr/bin/sudo

/usr/sbin/visudo

在此次實作中我們會修改 sudo 設定檔內容為將 wheel 群組那行的註解符號拿掉，並且加上 Log 記錄檔的內容「/var/log/sudo.log」，當此 sudo 設定檔設定完畢後，後續只要有人執行 sudo 指令提升權限至管理者身份時便會觸發到剛才設定檔中的 Log 設定，此時系統會自動產生 Log 檔案並將相關資訊寫入其中。相關操作如下所示：

# visudo

%wheel  ALL=(ALL)       ALL                 

 Defaults log_host, logfile=/var/log/sudo.log  //加上此行

上述 sudo 設定檔內容表示只要屬於 wheel 群組內的使用者帳號，便可以使用 sudo 指令來暫時提升權限為管理者帳號進行操作。當使用者第 1 次執行 sudo 指令時系統會再次詢問該使用者密碼，當成功通過密碼驗證 (Authentication) 之後便會暫時切換授權 (Authorization) 身份為管理者帳號 root 來執行其指令，並且在 5 分鐘之內若該使用者再次執行 sudo 指令時，系統便不會再次詢問使用者密碼。

接下來我們著手來測試剛才設定的 sudo 記錄檔機制是否正常運作，請您另外開啟一個 SSH Client 視窗並使用一般使用者帳號遠端登入 CentOS 主機。例如，使用 weithenn 這個一般使用者帳號（請確定該使用者帳號已加入 wheel 群組）登入系統並嘗試執行 vipw 指令試圖修改使用者帳號設定檔內容，相信會得到權限被拒絕 (Permission denied) 的錯誤訊息回應。此時您可以使用 sudo 指令搭配剛才的 vipw 指令再次執行即可修改使用者帳號設定檔內容。

[weithenn@centos74 ~]$ vipw  //嘗試修改使用者帳號設定

vipw: Permission denied.

vipw: Couldn't lock file: Permission denied

vipw: /etc/passwd is unchanged

[weithenn@centos74 ~]$ id  //確認已加入 wheel 群組

uid=1000(weithenn) gid=1000(weithenn) groups=1000(weithenn),10(wheel) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

[weithenn@centos74 ~]$ sudo vipw  //搭配 sudo 機制提升權限



We trust you have received the usual lecture from the local System

Administrator. It usually boils down to these three things:



#1) Respect the privacy of others.

#2) Think before you type.

#3) With great power comes great responsibility.



[sudo] password for weithenn:  //鍵入密碼，通過驗證程序執行提升權限



vipw: /etc/passwd is unchanged

圖、測試 sudo 機制

當上述指令執行完畢後您可以接著查看 sudo 記錄檔便會看到相關的記錄內容，從 sudo 記錄檔內容中我們可以確定 sudo 記錄檔機制目前正確運作中。從 sudo 記錄檔中可以清楚得知是在什麼時間點 (Oct 24 12:16:20)、系統中哪個使用者帳號 (weithenn)、在哪一台主機上 (centos74)、從遠端登入此台主機 (pts/1)、在系統中哪個路徑 (/home/user/weithenn)、切換成什麼身份 (root)、執行什麼指令 (/sbin/vipw)。

[weithenn@centos74 ~]$ sudo tail /var/log/sudo.log

Oct 24 12:16:20 : weithenn : HOST=centos74 : TTY=pts/1 ; PWD=/home/user/weithenn ;

    USER=root ; COMMAND=/sbin/vipw

Oct 24 12:16:45 : weithenn : HOST=centos74 : TTY=pts/1 ; PWD=/home/user/weithenn ;

    USER=root ; COMMAND=/bin/tail /var/log/sudo.log