[[282961]]

覺得你已經(jīng)了解了 sudo 的所有知識了嗎？再想想。

大家都知道 sudo，對嗎？默認(rèn)情況下，該工具已安裝在大多數(shù) Linux 系統(tǒng)上，并且可用于大多數(shù) BSD 和商業(yè) Unix 變體。不過，在與數(shù)百名 sudo 用戶交談之后，我得到的最常見的答案是 sudo 是一個(gè)使生活復(fù)雜化的工具。

有 root 用戶和 su 命令，那么為什么還要使用另一個(gè)工具呢？對于許多人來說，sudo 只是管理命令的前綴。只有極少數(shù)人提到，當(dāng)你在同一個(gè)系統(tǒng)上有多個(gè)管理員時(shí)，可以使用 sudo 日志查看誰做了什么。

那么，sudo 是什么？ 根據(jù) sudo 網(wǎng)站：

“sudo 允許系統(tǒng)管理員通過授予某些用戶以 root 用戶或其他用戶身份運(yùn)行某些命令的能力，同時(shí)提供命令及其參數(shù)的審核記錄，從而委派權(quán)限。”

默認(rèn)情況下，sudo 只有簡單的配置，一條規(guī)則允許一個(gè)用戶或一組用戶執(zhí)行幾乎所有操作（在本文后面的配置文件中有更多信息）：

%wheel ALL=(ALL) ALL

在此示例中，參數(shù)表示以下含義：

• 第一個(gè)參數(shù)（%wheel）定義組的成員。
• 第二個(gè)參數(shù)（ALL）定義組成員可以在其上運(yùn)行命令的主機(jī)。
• 第三個(gè)參數(shù)（(ALL)）定義了可以執(zhí)行命令的用戶名。
• 最后一個(gè)參數(shù)（ALL）定義可以運(yùn)行的應(yīng)用程序。

因此，在此示例中，wheel 組的成員可以以所有主機(jī)上的所有用戶身份運(yùn)行所有應(yīng)用程序。但即使是這個(gè)一切允許的規(guī)則也很有用，因?yàn)樗鼤?huì)記錄誰在計(jì)算機(jī)上做了什么。

別名

當(dāng)然，它不僅可以讓你和你最好的朋友管理一個(gè)共享機(jī)器，你還可以微調(diào)權(quán)限。你可以將以上配置中的項(xiàng)目替換為列表：用戶列表、命令列表等。多數(shù)情況下，你可能會(huì)復(fù)制并粘貼配置中的一些列表。

在這種情況下，別名可以派上用場。在多個(gè)位置維護(hù)相同的列表容易出錯(cuò)。你可以定義一次別名，然后可以多次使用。因此，當(dāng)你對一位管理員不再信任時(shí)，將其從別名中刪除就行了。使用多個(gè)列表而不是別名，很容易忘記從具有較高特權(quán)的列表之一中刪除用戶。

為特定組的用戶啟用功能

sudo 命令帶有大量默認(rèn)設(shè)置。不過，在某些情況下，你想覆蓋其中的一些情況，這時(shí)你可以在配置中使用 Defaults 語句。通常，對每個(gè)用戶都強(qiáng)制使用這些默認(rèn)值，但是你可以根據(jù)主機(jī)、用戶名等將設(shè)置縮小到一部分用戶。這里有個(gè)我那一代的系統(tǒng)管理員都喜歡玩的一個(gè)示例：“羞辱”。這些只不過是一些有人輸入錯(cuò)誤密碼時(shí)的有趣信息：

czanik@linux-mewy:~> sudo ls
[sudo] password for root:
Hold it up to the light --- not a brain in sight!  # 把燈舉高點(diǎn)，腦仁太小看不到
[sudo] password for root:
My pet ferret can type better than you!     # 我的寵物貂也比你輸入的好
[sudo] password for root:
sudo: 3 incorrect password attempts
czanik@linux-mewy:~>

由于并非所有人都喜歡系統(tǒng)管理員的這種幽默，因此默認(rèn)情況下會(huì)禁用這些羞辱信息。以下示例說明了如何僅對經(jīng)驗(yàn)豐富的系統(tǒng)管理員（即 wheel 組的成員）啟用此設(shè)置：

Defaults !insults
Defaults:%wheel insults

我想，感謝我將這些消息帶回來的人用兩只手也數(shù)不過來吧。

摘要驗(yàn)證

當(dāng)然，sudo 還有更嚴(yán)肅的功能。其中之一是摘要驗(yàn)證。你可以在配置中包括應(yīng)用程序的摘要：

peter ALL = sha244:11925141bb22866afdf257ce7790bd6275feda80b3b241c108b79c88 /usr/bin/passwd

在這種情況下，sudo 在運(yùn)行應(yīng)用程序之前檢查應(yīng)用程序摘要，并將其與配置中存儲的摘要進(jìn)行比較。如果不匹配，sudo 拒絕運(yùn)行該應(yīng)用程序。盡管很難在配置中維護(hù)此信息（沒有用于此目的的自動(dòng)化工具），但是這些摘要可以為你提供額外的保護(hù)層。

會(huì)話記錄

會(huì)話記錄也是 sudo 鮮為人知的功能。在演示之后，許多人離開我的演講后就計(jì)劃在其基礎(chǔ)設(shè)施上實(shí)施它。為什么？因?yàn)槭褂脮?huì)話記錄，你不僅可以看到命令名稱，還可以看到終端中發(fā)生的所有事情。你可以看到你的管理員在做什么，要不他們用 shell 訪問了機(jī)器而日志僅會(huì)顯示啟動(dòng)了 bash。

當(dāng)前有一個(gè)限制。記錄存儲在本地，因此具有足夠的權(quán)限的話，用戶可以刪除他們的痕跡。所以請繼續(xù)關(guān)注即將推出的功能。

插件

從 1.8 版開始，sudo 更改為基于插件的模塊化體系結(jié)構(gòu)。通過將大多數(shù)功能實(shí)現(xiàn)為插件，你可以編寫自己的功能輕松地替換或擴(kuò)展 sudo 的功能。已經(jīng)有了 sudo 上的開源和商業(yè)插件。

在我的演講中，我演示了 sudo_pair 插件，該插件可在 GitHub 上獲得。這個(gè)插件是用 Rust 開發(fā)的，這意味著它不是那么容易編譯，甚至更難以分發(fā)其編譯結(jié)果。另一方面，該插件提供了有趣的功能，需要第二個(gè)管理員通過 sudo 批準(zhǔn)（或拒絕）運(yùn)行命令。不僅如此，如果有可疑活動(dòng)，可以在屏幕上跟蹤會(huì)話并終止會(huì)話。

在最近的 All Things Open 會(huì)議上的一次演示中，我做了一個(gè)臭名昭著的演示：

czanik@linux-mewy:~> sudo  rm -fr /

看著屏幕上顯示的命令。每個(gè)人都屏住呼吸，想看看我的筆記本電腦是否被毀了，然而它逃過一劫。

日志

正如我在開始時(shí)提到的，日志記錄和警報(bào)是 sudo 的重要組成部分。如果你不會(huì)定期檢查 sudo 日志，那么日志在使用 sudo 中并沒有太多價(jià)值。該工具通過電子郵件提醒配置中指定的事件，并將所有事件記錄到 syslog 中。可以打開調(diào)試日志用于調(diào)試規(guī)則或報(bào)告錯(cuò)誤。

警報(bào)

電子郵件警報(bào)現(xiàn)在有點(diǎn)過時(shí)了，但是如果你使用 syslog-ng 來收集日志消息，則會(huì)自動(dòng)解析 sudo 日志消息。你可以輕松創(chuàng)建自定義警報(bào)并將其發(fā)送到各種各樣的目的地，包括 Slack、Telegram、Splunk 或 Elasticsearch。你可以從我在 syslong-ng.com 上的博客中了解有關(guān)此功能的更多信息。

配置

我們談?wù)摿撕芏?sudo 功能，甚至還看到了幾行配置。現(xiàn)在，讓我們仔細(xì)看看 sudo 的配置方式。配置本身可以在 /etc/sudoers 中獲得，這是一個(gè)簡單的文本文件。不過，不建議直接編輯此文件。相反，請使用 visudo，因?yàn)榇斯ぞ哌€會(huì)執(zhí)行語法檢查。如果你不喜歡 vi，則可以通過將 EDITOR 環(huán)境變量指向你的首選編輯器來更改要使用的編輯器。

在開始編輯 sudo 配置之前，請確保你知道 root 密碼。（是的，即使在默認(rèn)情況下 root 用戶沒有密碼的 Ubuntu 上也是如此。）雖然 visudo 會(huì)檢查語法，但創(chuàng)建語法正確而將你鎖定在系統(tǒng)之外的配置也很容易。

如果在緊急情況下，而你手頭有 root 密碼，你也可以直接編輯配置。當(dāng)涉及到 sudoers 文件時(shí)，有一件重要的事情要記住：從上到下讀取該文件，以最后的設(shè)置為準(zhǔn)。這個(gè)事實(shí)對你來說意味著你應(yīng)該從通用設(shè)置開始，并在末尾放置例外情況，否則，通用設(shè)置會(huì)覆蓋例外情況。

你可以在下面看到一個(gè)基于 CentOS 的簡單 sudoers 文件，并添加我們之前討論的幾行：

Defaults !visiblepw
Defaults always_set_home
Defaults match_group_by_gid
Defaults always_query_group_plugin
Defaults env_reset
Defaults env_keep = "COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS"
Defaults env_keep += "MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE"
Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin
root ALL=(ALL) ALL
%wheel ALL=(ALL) ALL
Defaults:%wheel insults
Defaults !insults
Defaults log_output

該文件從更改多個(gè)默認(rèn)值開始。然后是通常的默認(rèn)規(guī)則：root 用戶和 wheel 組的成員對計(jì)算機(jī)具有完全權(quán)限。接下來，我們對 wheel 組啟用“羞辱”，但對其他所有人禁用它們。最后一行啟用會(huì)話記錄。

上面的配置在語法上是正確的，但是你可以發(fā)現(xiàn)邏輯錯(cuò)誤嗎？是的，有一個(gè)：后一個(gè)通用設(shè)置覆蓋了先前的更具體設(shè)置，讓所有人均禁用了“羞辱”。一旦交換了這兩行的位置，設(shè)置就會(huì)按預(yù)期進(jìn)行：wheel 組的成員會(huì)收到有趣的消息，但其他用戶則不會(huì)收到。

配置管理

一旦必須在多臺機(jī)器上維護(hù) sudoers 文件，你很可能希望集中管理配置。這里主要有兩種可能的開源方法。兩者都有其優(yōu)點(diǎn)和缺點(diǎn)。

你可以使用也用來配置其余基礎(chǔ)設(shè)施的配置管理應(yīng)用程序之一：Red Hat Ansible、Puppet 和 Chef 都具有用于配置 sudo 的模塊。這種方法的問題在于更新配置遠(yuǎn)非實(shí)時(shí)。同樣，用戶仍然可以在本地編輯 sudoers 文件并更改設(shè)置。

sudo 工具也可以將其配置存儲在 LDAP 中。在這種情況下，配置更改是實(shí)時(shí)的，用戶不能弄亂sudoers 文件。另一方面，該方法也有局限性。例如，當(dāng) LDAP 服務(wù)器不可用時(shí)，你不能使用別名或使用 sudo。

新功能

新版本的 sudo 即將推出。1.9 版將包含許多有趣的新功能。以下是最重要的計(jì)劃功能：

• 記錄服務(wù)可集中收集會(huì)話記錄，與本地存儲相比，它具有許多優(yōu)點(diǎn)：
  • 在一個(gè)地方搜索更方便。
  • 即使發(fā)送記錄的機(jī)器關(guān)閉，也可以進(jìn)行記錄。
  • 記錄不能被想要?jiǎng)h除其痕跡的人刪除。
• audit 插件沒有向 sudoers 添加新功能，而是為插件提供了 API，以方便地訪問任何類型的 sudo 日志。這個(gè)插件允許使用插件從 sudo 事件創(chuàng)建自定義日志。
• approval 插件無需使用第三方插件即可啟用會(huì)話批準(zhǔn)。
• 以及我個(gè)人最喜歡的：插件的 Python 支持，這使你可以輕松地使用 Python 代碼擴(kuò)展 sudo，而不是使用 C 語言進(jìn)行原生編碼。    ### 總結(jié)

希望本文能向你證明 sudo 不僅僅是一個(gè)簡單的命令前綴。有無數(shù)種可能性可以微調(diào)系統(tǒng)上的權(quán)限。你不僅可以微調(diào)權(quán)限，還可以通過檢查摘要來提高安全性。會(huì)話記錄使你能夠檢查系統(tǒng)上正在發(fā)生的事情。你也可以使用插件擴(kuò)展 sudo 的功能，或者使用已有的插件或編寫自己的插件。最后，從即將發(fā)布的功能列表中你可以看到，即使 sudo 已有數(shù)十年的歷史，它也是一個(gè)不斷發(fā)展的有生命力的項(xiàng)目。