[[391590]]

Sudo 授權需謹慎，否則親人兩行淚！

sudo 表示 “superuser do”，它允許已驗證的用戶以其他用戶的身份來運行命令。其他用戶可以是普通用戶或者超級用戶。然而，大部分時候我們用它來提權運行命令，以替代直接使用 root 用戶的操作。sudo 命令與安全策略配合使用，安全策略可以通過文件 /etc/sudoers 來配置。其安全策略具有高度可拓展性，支持插件擴展。默認情況下 /etc/sudoers 是不能被任何人直接編輯的，因為它的權限是 440，雖然也可以對其賦予寫權限后再編輯，但推薦使用 visudo 命令編輯該文件。

1. 工作模式理解

簡述其使用工作流程和配置文件配置！

•  [1] 理解 sudo 命令的工作流程
  •  sudo 會讀取和解析 /etc/sudoers 文件，查找調用命令的用戶及其權限。
  •  然后提示調用該命令的用戶輸入密碼，或者也可以通過 NOPASSWD 標志來跳過密碼驗證。
  •  之后，sudo 創建一個子進程，調用 setuid() 來切換到目標用戶。
  •  最好，它會在上述子進程中執行參數給定的 shell 或命令。
•  [2] 理解 sudo 命令授權配置
  •  USER/GROUP HOST=(USER[:GROUP]) [NOPASSWD:] COMMANDS
  •  USER/GROUP: 表示需要被授權的用戶或者組；如果是組則需要以 % 開頭
  •  HOST: 表示允許從哪些主機登錄的用戶運行 sudo 命令；ALL 表示允許從任何終端、機器訪問
  •  (USER[:GROUP]): 表示使用 sudo 可切換的用戶或者組，組可以不指定；ALL 表示可以切換到系統的所有用戶
  •   NOPASSWD: 如果指定，則該用戶或組使用 sudo 時不必輸入密碼
  •   COMMANDS: 表示運行指定的命令；ALL 表示允許執行所有命令 

# 允許 sudo 組執行所有命令  
%sudo ALL=(ALL:ALL) ALL  
# 允許用戶執行所有命令，且無需輸入密碼  
escape ALL =(ALL) NOPASSWD: ALL  
# 僅允許用戶執行 echo, ls 命令  
escape ALL =(ALL) NOPASSWD: /bin/echo /bin/ls  
# 運行本機的用戶執行關機命令  
escape localhost=/sbin/shutdown -h now  
# 允許 users 用戶組中的用戶像 root 用戶一樣使用 mount、unmount、chrom 命令  
%users ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom 

•  [3] 配置 Defaults 選項 

# 指定用戶嘗試輸入密碼的次數，默認值為3  
Defaults passwd_tries=5  
# 設置密碼超時時間，默認為 5 分鐘  
Defaults passwd_timeout=2  
默認 sudo 詢問用戶自己的密碼，添加 targetpw 或 rootpw 配置可以讓 sudo 詢問 root 密碼  
Defaults targetpw  
# 指定自定義日志文件 
Defaults logfile="/var/log/sudo.log"  
# 要在自定義日志文件中記錄主機名和四位數年份，可以加上 log_host 和 log_year 參數  
Defaults log_host, log_year, logfile="/var/log/sudo.log"  
# 保持當前用戶的環境變量  
Defaults env_keep += "LANG LC_ADDRESS LC_CTYPE COLORS DISPLAY HOSTNAME EDITOR"  
Defaults env_keep += "ftp_proxy http_proxy https_proxy no_proxy"  
# 安置一個安全的 PATH 環境變量  
Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin" 

2. 使用技巧總結

主要介紹使用 sudo 相關命令的使用技巧和問題處理方式！

•  [1] 如何將 visudo 編輯器從 nano 更改為 vim？

當我使用 visudo 命令的時候，它總是用 nano 編輯器打開它，對應平時習慣使用 vi 或者 vim 的用戶來說，顯得有些別扭，以及操作不夠自如。所以，如何更好的將 visudo編輯器從 nano 更改為 vim 就變得非常重要了。

最佳的解決辦法，就是調用命令，永久的將終端的編輯器更換成為 vim 編輯器，一勞永逸。我們只需要執行如下命令，輸入自己需要的編輯器序號并按下回車鍵即可。下次執行visudo 命令的時候，就會使用 vim 編輯器打開文件。 

# 因為/etc/sudoers普通用戶無法打開和使用  
$ sudo update-alternatives --config editor  
There are 4 choices for the alternative editor (providing /usr/bin/editor).  
  Selection    Path                Priority   Status  
------------------------------------------------------------  
* 0            /bin/nano            40        auto mode  
  1            /bin/ed             -100       manual mode  
  2            /bin/nano            40        manual mode  
  3            /usr/bin/vim.basic   30        manual mode  
  4            /usr/bin/vim.tiny    10        manual mode   
Press enter to keep the current choice[*], or type selection number: 3 

其次的解決方法，就是通過環境變量修改當前終端的默認編輯器。 

# 在.zshrc或.profile文件中  
$ export EDITOR=vim;  
# 希望執行對visudo生效  
$ sudo EDITOR=vim visudo  
# 或者修改/etc/sudoers文件的默認編輯器  
Defaults editor=/usr/bin/vim 

•  [2] Vim 如何強制保存只讀文件？

在使用 vim 的時候，當以普通用戶打開一個只有 root 用戶才有權限操作的文件時，在編輯完成之后保存時發現，這個文件沒有權限修改。好不容易把文件編輯完了，卻無法保存，就只能放棄，然后退出，再以 root 權限打開，重新編輯，是在痛苦！那有沒有好的方法來解決這個問題呢？咳咳咳，肯定是有的。 

# Vim命令模式下執行即可強制保存  
# w: 表示保存文件  
# !: 表示執行外部命令  
# tee: 表示把數據重定向到給定文件和屏幕上  
# %: 在執行外部命令時，%會擴展成當前文件名  
:w !sudo tee % 

上述方式非常完美的解決了不能保存只讀文件的問題，但畢竟命令還是有些長，為了避免每次輸入一長串的命令，可以將它映射為一個簡單的命令加到 .vimrc 中。這樣，簡單的運行 :w!! 即可，命令后半部分 > /dev/null 作用為顯式的丟掉標準輸出的內容。 

" Allow saving of files as sudo when I forgot to start vim using sudo.  
cmap w!! w !sudo tee > /dev/null % 

•  [3] 如何更加安全地編輯文件？

Sudoedit 是一個內置命令，允許用戶安全地編輯文件。根據 sudo 手冊頁，sudoedit 等效于使用 -e 命令行選項執行 sudo。

那么這個命令會做什么呢，它會首先創建你要編輯的文件的臨時副本。然后，命令將搜索SUDO_EDITOR，VISUAL 和 EDITOR 環境變量（按此順序），以確定應調用哪個編輯器來打開剛剛創建的臨時副本。用戶完成修改工作后，更改將復制回原始文件。 

# Sudo命令手冊頁  
-e, --edit  
Edit one or more files instead of running a command. In lieu of a path name,  
the string "sudoedit" is used when consulting the security policy. If the user 
 is authorized by the policy, the followingsteps are taken:  
 1. Temporary copies are made of the files to be edited with  
 the owner set to the invoking user.  
 2. The editor specified by the policy is run to edit the  
 temporary files. The sudoers policy uses the  
 SUDO_EDITOR, VISUAL and EDITOR environment variables (in  
 that order). If none of SUDO_EDITOR, VISUAL or EDITOR  
 are set, the first program listed in the editor  
 sudoers(5) option is used.  
 3. If they have been modified, the temporary files are  
 copied back to their original location and the temporary  
 versions are removed. 
If the specified file does not exist, it will be created. Note that unlike most  
commands run by sudo, the editor is run with the invoking user is environment  
unmodified. If, for some reason, sudo is unable to update a file with its edited  
version, the user will receive a warning and the edited copy will remain in a 
temporary file.  
# Sudo命令手冊頁  
-e, --edit  
Edit one or more files instead of running a command. In lieu of a path name, 
the string "sudoedit" is used when consulting the security policy. If the user  
is authorized by the policy, the followingsteps are taken:  
 1. Temporary copies are made of the files to be edited with  
 the owner set to the invoking user.  
 2. The editor specified by the policy is run to edit the  
 temporary files. The sudoers policy uses the  
 SUDO_EDITOR, VISUAL and EDITOR environment variables (in  
 that order). If none of SUDO_EDITOR, VISUAL or EDITOR  
 are set, the first program listed in the editor  
 sudoers(5) option is used.  
 3. If they have been modified, the temporary files are  
 copied back to their original location and the temporary  
 versions are removed.   
If the specified file does not exist, it will be created. Note that unlike most  
commands run by sudo, the editor is run with the invoking user is environment  
unmodified. If, for some reason, sudo is unable to update a file with its edited  
version, the user will receive a warning and the edited copy will remain in a  
temporary file. 

•  [4] 如何讓 sudo 會話時間隨心所欲？

其中 sudo 命令是權限委派的命令，在生產環境中是非常常用的，默認情況下 sudo 命令會話時間是在 15 分鐘。要設置 sudo 密碼超時的值，需要使用 passwd_timeout 參數進行設置。

可以以分鐘設置為你所需的任何時間，它會在超時之前一直等待。如果要為每個執行的 sudo 命令彈出密碼提示，你也可以將時間設置為 0，或者通過設置值 -1 永久禁用密碼提示。 

# 設置timeout時間  
# 意味著sudo密碼提示將會在用戶使用20分鐘后過期  
Defaults        env_reset,timestamp_timeout=20 

•  [5] 如何更加安全的授權服務器權限？

如何我們管理的服務器，開發或者其他人員需要登錄該服務器，進行環境調試或者問題復現等情況。這時，就需要我們給對應的用戶開通登錄的訪問權限。但是如果我們直接編輯/etc/sudoers 文件的話，之后當對方使用完成之后我就還需要手動進行清理。如果我們忘記的話，該開發或者其他人員將一直可以登錄該服務器，會有一定程度的安全問題。

不幸的是，對應臨時授權的話，/etc/sudoers 文件中沒有對應的配置，可以對某個用戶或者用戶組進行指定范圍的時間授權。當用戶到達指定時間點之后，將拒絕該用戶再次進行登錄了。對應此種情況，我們可以通過 crontab 定時任務與 /etc/sudoers.d 目錄的機制可以完美的解決上述問題。

我們通過定時任務的定時執行目錄，來定時刷掉 /etc/sudoers.d/ 目錄下的用戶或者用戶組的授權配置文件。比如，我們需要定時每日刷掉今日臨時授權的用戶或者用戶，可以在/etc/cron.daily 目錄下面創建用于刪除 /etc/sudoers.d/ 目錄的 rm -rf 命令，之后在固定的時間會自動刪除。對應授權用戶，我們使用在 /etc/sudoers.d/ 目錄下創建單獨的配置文件，而不是直接修改 /etc/sudoers 文件。 

# Crontab有多種定時機制  
# 下述分別表示每天、每時、每月、每周定時執行  
$ ls -dl /etc/cron.* | grep -v cron.d$  
drwxr-xr-x 2 root root 4096 May 15 06:18 /etc/cron.daily  
drwxr-xr-x 2 root root 4096 Feb 14  2019 /etc/cron.hourly  
drwxr-xr-x 2 root root 4096 Feb 14  2019 /etc/cron.monthly  
drwxr-xr-x 2 root root 4096 Jun 18 09:57 /etc/cron.weekly  
# 創建單獨的授權配置文件  
$ ls -lh /etc/sudoers.d/  
-r--r----- 1 root root 666 Oct  6  2017 lisi  
-r--r----- 1 root root 958 Jan 18  2018 zhangsan  
# 查看授權配置文件的內容  
$ cat /etc/sudoers.d/zhangsan  
ALL ALL = (root) NOPASSWD: zhangsan 

•  [6] 如何解決 sudo 命令找不到環境變量？

我們日常在使用 sudo 命令的時候，常常會遇到，當切換用戶之后，發現之前設置的環境變量怎么不見了呢？這是因為，我們執行 sudo 命令之后會切換用戶，如果保留環境變量會有一定的安全問題，系統會默認重置環境變量為安全的環境變量。先前設置的變量都會失效，只有少數配置文件中指定的環境變量能夠保存下來。

我們可以看一下 sudo 配置文件 /etc/sudoers 來找找作用原因。我們執行如下命令之后，可以看到如下輸入(有可能和我這里的不一樣)。其中 env_reset 表示默認會重置環境變量，因此我們自定義的變量會在 sudo 命令執行之后失效，也就不會正確獲取變量值了。而 env_keep 則表示用于保留部分環境變量不被重置，需要保留的變量就寫入雙引號之中，可自行追加需要保留的變量。最后就是 secure_path 變量，其作用就是包含的路徑將被當做 sudo 環境的 PATH 變量來使用。如果在 sudo 環境無法找到某些命令，那么可以將這些命令的路徑加入該配置項之中。 

$ sudo sed '/^#/d;/^$/d' /etc/sudoers  
Defaults    env_reset  
Defaults    env_keep =  "COLORS IDSPLAY HOSTNAME HISTSIZE LS_COLORS"  
Defaults    env_keep += "MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS"  
Defaults    secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin" 

我們知道原因之后，就可以針對上述情況作出不用的處理方式，來解決 sudo 命令找不到環境變量的問題。

第一種解決方法，就是在使用的時候，使用 -E 參數。加上 -E 選項后，用戶可以在sudo 執行時保留當前用戶已存在的環境變量，不會被 sudo 重置。另外，如果用戶對于指定的環境變量沒有權限，則會報錯。需要注意的是，在內部測試機器中，安全性要求不高的情況下使用。 

$ sudo sudo -E 

第二種解決方法，就是修改 sudo 配置文件。可以通過修改 /etc/sudoers 文件的 env_keep 和 secure_path 配置項，來指定 sudo 環境中需要保留的環境變量和路徑。當然，我們也可以把配置文件的變量 !env_reset 給去掉，這樣就不會有限制了。 

$ sudo vim /etc/sudoers  
Defaults !env_reset 

3. 參考鏈接地址

•  如何解決 sudo 命令找不到環境變量的問題