Linux sudo 指令

⇒

sudo

1.0 sudo 越俎代庖
visudo 修改 /etc/sudoers
/etc/sudoers 設定檔
Alias 別名設定
TAG 標籤設定
sudo 使用範例

1.0 sudo 越俎代庖

有時系統管理員太忙分身乏術,有些工作事實上可請別人代勞,如帳號管理工作可請人資部人員來管理。雖簡單的用指令 su 可讓代勞人員變更為系統管理員來處理,但 su 最大問題是要把密碼要告訴代理人員;所以可能會造成安全上的問題。

有沒辦法讓代理人員執行某一必要任務時才拿到軍符提昇權限至最高指揮官等級的〝root〞但又不至於到〝將在外軍令有所不從〞不受控的地步?是有這東西就是 sudo (superuser do)指令。

系統管理員可利用 sudo 釋出部分的權限給代理人員來分擔工作,這些代理人員又叫〝sudoer〞,而 sudo 和 su 相比特點有 :

不用把系統管理員密碼給代理人。
可適當的分權,決定要釋出那些的權力給代理人員。
可決定多少的代理人。
可決定特定主機才可執行某些指令。
代理人員(sudoer)的每一動作都會被紀錄在〝var/log/sudo.log〞[註],系統管理員必要時可追蹤代理人員做了什麼。

總之 sudo 特點為可不用繳械把系統管理員密碼給代理人,而代理人員又可〝越俎代庖〞執行部分系統管理員才可執行的指令,但又可防止代理人員〝功高震主〞如自行篡改〝root〞帳號密碼或不小心把系統給弄的一團亂。

因系統無法預測系統管理員要分權給誰和釋出多少權限,故預設的情形一般的帳號是無法使用 sudo 的(〝root〞除外),要使用 sudo 系統管理員要編輯 sudoer 列表〝/etc/sudoers〞後才能使用(使用 sudo 的用戶叫做〝sudoer〞)。

visudo 修改 /etc/sudoers
指令 visodo 就是用 vi 來開啓和編輯 sudoer 列表檔〝/etc/sudoers〞,但多了檢查基本語法的功能比較不易出錯,因錯誤的語法會讓 sudo 指令失效,故建議用 visudo 來編輯 /etc/sudoers。
visudo 只有 Superuser 使用者才可執行。

/etc/sudoers 設定檔
sudo 設定檔〝/etc/sudoers〞可簡可難,還好大部份的應用並不複雜,且此檔內已有許多的樣本範例可參考來避免出錯的機會。

〝/etc/sudoers〞中以〝#〞開頭的大部分是註解不會被 sudo 解讀,所以許多的樣本暫時以〝#〞為開頭使之成為註解,可自行修改一下再把〝#〞拿掉就可套用。

〝/etc/sudoers〞其基本的格式為「帳號主機=[(欲分權的帳號)] [TAG:] 可執行的指令」。
其中〝[ ]〞內為可省略,如省略〝欲分權的帳號欄〞,預設帳號為 root。

例如用 Superuser 登入後執行 visudo 編輯〝/etc/sudoers〞時,搜尋如下文字:

root	ALL	=	(ALL)	ALL
↑	↑		↑	↑
帳號	主機		(欲分權的帳號)	可執行的指令

上例敘述表示〝root〞這個帳號可在任何主機可分權給任何的帳號和可執行任何的指令。
(ALL 表示任何條件者成立)

因帳號〝root〞本來就是萬能的,故 sudo 對其授權本來就火力全開,但我們可依樣畫葫蘆,新增如下:

root	ALL	=	(ALL)	ALL
aaa	ALL	=	(ALL)	ALL ←依樣畫葫蘆增加的行
↑	↑		↑	↑
帳號	主機		(欲分權的帳號)	可執行的指令

上例新增的文字表示帳號〝aaa〞可在任何主機 (包括遠端登入) 執行任何帳號所授權的任何指令。

但對帳號〝aaa〞授權可執行任何指令實在太危險,一般應用皆會縮減可執行指令的範圍,實用的例子如下:

aaa	ALL	=	(root)	/sbin/shutdown
↑	↑		↑	↑
帳號	主機		(欲分權的帳號)	可執行的指令

上例新增的文字表示帳號〝aaa〞可在任何主機 (包括遠端登入)執行帳號〝root〞所授權的 shutdwon 指令。

接下來請用帳號〝aaa〞在另一終端機登入測試看可否越俎代庖執行 superuser 才可執行的 shutdown 。

例:(以帳號〝aaa〞登入測試透過 sudo 執行〝root〞才可執行的 shutdown)

$ sudo /sbin/shutdown -k now ←如指令不在環境變數〝$PATH〞內,所下的指令要輸入路徑
Passwd: ←此輸入的為帳號〝aaa〞的密碼,並不是〝root〞的密碼哦!

Broadcast message from root (tty1) (The Oct 8 12:45 2016): ←開始執行 shutdown

以上的例子是蠻常用的,因許多主機不讓一般的帳號隨便下關機指令,只有 superuser 才可執行 shutdown 來關機,其餘如 reboot 和 poweroff 皆會刪除或改權限。

如公司中帳號〝aaa〞總是最晚下班,此時系統管理員可如上的修改即可請帳號〝aaa〞下班時透過 sudo 執行 shutdown 來關機節能減碳。

此外〝/etc/sudoers〞中的帳號欄也可為群組,但群組的開頭要加上〝%〞來區別,如下範例

%wheel ALL=(root) /sbin/shutdown

因透過 sudo 來提權執行指令時,如指令不在使用者環境變數〝$PATH〞內,所下的指令要輸入路徑。如覺得透過 sudo 來執行指令時還要輸入自己的密碼很煩[註1A],可在語法的[TAG:]中加入〝NOPASSWD:〞(TAG 一定要用大寫且用冒帳結尾)如下:

aaa ALL=(root) NOPASSWD: /sbin/shutdown ←TAG 的地方加入 NOPASSWD:

往後帳號〝aaa〞透過 sudo 來執行指令時就不用再輸入自己的密碼了。

^ back on top ^

Alias 別名設定
上例中,如果另一帳號〝bbb〞也時常最晚下班,也要賦予下班時也可執行 shutdown 或 halt 來關機,是不是在〝/etc/sudoers〞中類似的敘述要為不同的帳號再寫一次?當然可不用那麼麻煩,可如下把帳號〝bbb〞和指令 halt 用〝,〞間隔再加上去即可,如下:

aaa,bbb	ALL	=	(root)	/sbin/shutdown, /sbin/halt
↑	↑		↑	↑
帳號	主機		(欲分權的帳號)	可執行的指令

但當 sudoer 帳號很多,且不同的帳號可執行的指令又不同時,上述用〝,〞間隔硬加上〝/etc/sudoers〞就不是很有條理的作法,用〝Alias〞別名設定就比較方便。

因〝/etc/sudoers〞基本的格式為「帳號主機=[(欲分權的帳號)] 可執行的指令」,每一欄都可用別名來設定,故共有四種別名類別(Alias Type),套上剛才的範例各如下:

帳號	主機		欲分權的帳號	可執行的指令
aaa,bbb	ALL	=	(root)	/sbin/shutdown, /sbin/halt
↑	↑		↑	↑
User_Alias 使用者別名	Host_Alias 主機別名		Runas_Alias 操作者別名	Cmnd_Alias 指令別名

Alias 別名設定語法為「Alias_Type NAME = item1, item2, ...」。
其中〝Alias_Type〞可為 User_Alias、Runas_Alias、Host_Alias 或 Cmnd_Alias 這四種 Alias 類別。

以〝User Alias〞使用者別名來舉例,例如〝User Alias ACC = john,candy,lily〞表示為〝ACC〞這一使用者別名 = 帳號〝john〞,〝candy〞和〝lily〞。

別名語法 Alias_Type NAME = item1, item2, ...的〝NAME〞自取的別名一定要大寫如上例的〝ACC〞。往後要增減〝ACC〞這一使用者別名帳號只要改此行即可。

詳細 4 種別名類別用法各如下:

User_Alias 使用者別名
User Alias 專門用來設定使用者或群組的別名,如為群組,群組最前要加〝%〞。

先舉簡單的範例,帳號〝aaa〞和〝bbb〞都可執行 shutdown 來關機,其〝/etc/sudoers〞用使用者別名(User_Alias)範例如下:

User_Alias TURN_OFF = aaa,bbb ←〝TURN_OFF〞此別名=〝aaa〞和〝bbb〞這二個帳號
TURN_OFF ALL=(root) /sbin/shutdown

上例中使用者別名定義了〝TURN_OFF〞=〝aaa,bbb〞此二個使用者,往後要增減人來員來執行 shutdown 只要改〝User_Alias〞此行即可。

比較複雜用群組使用者別名範例如下:

#〞開頭為註解,雖不會被 sudo 解讀但方便日後的維護,建議加註解不要偷懶

User_Alias ADMI = %wheel
#↑〝ADMI〞這一別名=〝wheel〞這群組

User_Alias PRINT = ken,emma,cherry
#↑〝PRINT〞這一別名 =〝ken,emma,cherry〞這三個帳號

#可用〝!〞開頭來排除別名的成員
User_Alias PT = USER, PRINT, !ken, !ADMI
#↑別名〝PT〞=〝USER+PRINT"這二個別名的使用者,但排除〝ken〞這個帳號和〝ADMI〞這別名的使用者

續上例接下來用〝User_Alias〞來取代帳號名完整稱範例如下:

User_Alias ADMI = %wheel
User_Alias PRINT = ken,emma,cherry
User_Alias PT = USER, PRINT, !ken, !ADMI

ADMI    ALL=(root)   /usr/sbin/useradd, /user/sbin/userdel
PRINT     ALL=(ALL)     /usr/sbin/lpc,   /usr/sbin/lprm
PT        xxx=(xxx) NOPASSWD: xxx ←〝xxx〞由 user 自行定義

傳統的 Unix 會把〝wheel〞,〝adm〞等群組設為系統管理人員的附加群組(supplementary groups), 因平常的操作盡量不以〝root〞登入,故用群組來支援比較安全。

故如注意觀察檔案〝/etc/group〞,Fedora 系統安裝時就預設了許多以〝wheel〞,〝adm〞群組的範例暫時以〝#〞開頭當註解封起來,把其註解拿掉再改一下內容方便套用。

Host_Alias 主機別名
Host Alias 主要用來設定主機(host name) 或 IP Address(IP 位址) 或網路的別名。

例:(Host_Alias)

Host_Alias LAN = 192.168.0.0/255.255.255.0
#↑This is for all of network

Host_Alias SERVERS = master, mail, www
Host_Alias RD_DEP = net_sw, net_hw, !SERVERS

ADMI LAN=(root) /sbin/ip

Runas_Alias 執行者別名
Runas_Alias 主要用來設定欲分權的帳號,(被分權的帳號不一定只有 root 哦);帳號名稱亦可接受〝#〞再接 uid 號碼。

例:(Host_Alias)

Runas_Alias PT = #505, austin, jam, !WHEEL_GRP
Runas_Alias ADMIN = #0 ←〝uid〞=0 即 root

%wheel ALL=(ADMIN) ALL ←用〝Runas_Alias〞取代欲分權帳號的範例

Cmnd_Alias 指令別名
Cmnd_Alias 用來設定命令的別名,且要加上完整的路徑。

例:(Cmnd_Alias)

Cmnd_Alias SHUTDOWN_CMD = /sbin/shutdown, /sbin/halt
Cmnd_Alias ACC_CMD = /usr/sbin/useradd, /usr/sbin/passwd, /usr/sbin/visudo

aaa ALL=(root) SHUTDOWN_CMD ←用指令別名取代命令的範例

TAG 標籤設定
〝/etc/sudoers〞中的〝TAG〞標籤設定,主要是提供額外的功能,一定要用大寫且標籤的結束用〝:〞。

常用的 TAG 如下:

NOPASSWD
表示透過 sudo 來執行指令時就不用再輸入自己的密碼了。
NOEEXEC
標籤〝NOEXEC〞表示所執行的指令不能再系統呼叫(System call)其他的程式；例如透過 sudo 來執行　shutdown 也會失效,因　shutdown 指令會再　system call 指令 init 或執行 tar 時不能處理 tarball 檔因還要再 system call bz2 等壓縮/解壓縮程式。
NOSETENV
不保留目前使用者的環境變數,如和選項〝-E〞保留目前使用者的環境變數相沖時選項〝-E〞無效。

例:(〝NOPASSWD〞of TAG)

aaa ALL=(root) NOPASSWD: /sbin/shutdown, /sbin/init
#↑ 帳號〝aaa〞執行的指令〝shutdown〞不用再輸密碼

例:(〝NOPASSWD & NOEXEC〞of TAG)

aaa ALL=(root) NOPASSWD: NOEXEC: /sbin/shutdown, /sbin/init
#↑ 如果標籤不止一個時可再加上去

^ back on top ^

sudo 使用範例
sudo 指令用法比起其設定檔〝/etc/sudoers〞相對簡單多了,用法如下:

語法:sudo [-otpiton][--option] [USER_NAME][COMMAND]
指令名稱/功能/命令使用者	選項	功能
sudo/ (superuser do)/ Any	-b	在背景執行指令
	-E	保留目前使用者的環境變數
	-H	將 HOME 環境變數設為新身份的 HOME 環境變數
	-k	再執行 sudo 時需要輸入自己的密碼
	-l	(小寫的 L)列出被分權的指令
	-p [%u][%h][%H]	改變詢問密碼的提示符號,可接的選項有: 〝%u〞:以使用者為提示符號〝%h〞:以主機名稱為提示符號〝%H〞:以主機名稱 + domain 名稱為提示符號
	-u <帳號>	以指定的帳號執行指令(無此選項時預設是 root )
	-v	再延長密碼有效期限 5 分鐘
	-V	顯示版本訊息
	--help	指令自帶說明

例:

$ sudo -l ←如忘了有那些指令可透過 sudo 執行,用選項〝-l〞就對了
User aaa may run the following commands on this hust:
(root) /sbin/shutdown /sbin/halt
$ sudo -u lee cp fileA fileB ←雖〝sudo〞大部分是執行〝root〞授權的指令,如要指定其他授權者可用選項〝-u〞。此例〝fileB〞的檔案擁有者會變〝lee〞所有,可用於如要把某檔複製給別人修改時

其他比較不常用的用法如下:

例:

$ sudo -k ←下次再執行 sudo 時一定要輸入密碼
$ sudo -p %u /sbin/shutdown -k now ←以使用者名稱為密碼提示符號
$ sudo -H -u smith ←HOME 環境變數設為新身份〝smith〞的 HOME 環境變數
$ sudo cd /root ←利用 sduo 執行〝cd〞指令看看
sudo: cd: command not found ←sudo 是不支援 Shell 內建指令的(〝cd〞指令為 Shell 內建)

最後例子說明了 sudo 是不支援 shell 內建的指令的(可用 type 查詢指令是否為 shell 內建的),如 user 想透過 sudo cd 偷偷進入 /root 等軍事重地是行不通的。

另外〝/etc/sudoers〞如設定如下:

kevin SERVERS=(root) ALL

例中對帳號〝kevin〞的指令的授權用〝ALL〞是非常危險的,因只要此 user 下 sudo su 或 sudo /bin/bash 立刻就黃袍加身篡位成 Superuser。

^ back on top ^

[註]:Fedora 如沒有產生記錄檔〝/var/log/sudo.log〞,請在〝/etc/sudoers〞追加如下設定:

# Defaults specification
Defaults syslog=auth
Defaults log_year, logfile=/var/log/sudo.log

[註1A]:預設為間隔 5 分鐘內操作 sudo 就不用再輸入密碼。