Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Команда SUDO




Команда SU

Лучше получать доступ к учетной записи root с помощью команды su. Будучи вызванной без аргументов, она выдает приглашение на ввод пароля суперпользователя, а затем запускает интерпретатор команд с правами пользователя root. Интерпретатор будет выполняться в привилегированном режиме, пока не завершит работу. Команда su не фиксирует действия, производимые в среде интерпретатора, но добавляет запись в журнальный файл с указанием, кто и когда вошел в систему под именем суперпользователя.

Зная чей-либо пароль, можно непосредственно зарегистрироваться в системе под его именем, введя команду su имя_пользователя. В ответ будет выдан запрос на ввод пароля. Возможен и другой вариант: сначала стать суперпользователем, воспользовавшись командой su, а затем с помощью этой же команды перейти в другую учетную запись. В таком случае вводить пароль не потребуется.

В системе Ubuntu Linux по умолчанию система не содержит никакого действующего пароля для учетной записи root, и в ней необходимо использовать команду sudo.

Поскольку полномочия суперпользователя разделить (по крайней мере, произвольным образом) нельзя, трудно предоставить кому-то право выполнять конкретную административную операцию (например, создавать резервные копии), не предоставив возможность свободно работать в системе. Если же учетная запись root доступна целой группе администраторов, то вы не будете иметь понятия о том, кто ею пользуется и что он при этом делает.

Наиболее часто используемое решение заключается в использовании утилиты sudo.

Утилита sudo в качестве аргумента принимает командную строку, которая подлежит выполнению от имени пользователя root (или другого уполномоченного пользователя). Утилита обращается к файлу /etc/sudoers, где содержится список пользователей, имеющих разрешение на ее выполнение, и перечень команд, которые они могут вводить на конкретном компьютере. Если запрашиваемая команда разрешена, утилита sudo приглашает пользователя ввести его собственный пароль, и выполняет команду от имени суперпользователя.

Далее утилита sudo позволяет, не вводя пароль, выполнять другие команды, но только до тех пор, пока не наступит пятиминутный период бездействия (его продолжительность можно менять). Такая мера служит защитой от тех привилегированных пользователей, которые оставляют свои терминалы без присмотра. Утилита sudo ведет журнал, где регистрируются выполненные команды, компьютеры, на которых они выполнялись, и вызвавшие их пользователи, а также каталоги, из которых запускались команды, и время их вызова. Эта информация может направляться в систему Syslog или сохраняться в любом журнальном файле по усмотрению пользователя.

Строка журнального файла, содержащая данные о пользователе randy, который выполнил команду sudo /bin/cat etc/sudoers, может выглядеть следующим образом:

Dec 7 10:57:19 tigger sudo: randy: TTY=ttyp0; PWD=/tigger/users/randy;

USER=root; COMMAND=/bin/cat /etc/sudoers

 

Существует единая версия файла /etc/sudoers, которая используется на всех компьютерах. Сам файл выглядит примерно так:

# Псевдонимы для факультетов физики и вычислительной техники

Host_Alias CS = tigger, anchor, piper, moet, sigi

Host_Alias PHYSICS = eprince, pprince, icarus

# Набор команд

Cmnd_Alias DUMP = /sbin/dump, /sbin/restore

Cmnd_Alias PRINTING = /usr/sbin/lpc, /usr/bin/lprm

Cmnd_Alias SHELLS = /bin/sh, /bin/tcsh, /bin/csh, /bin/bash, /bin/ash,

# Права доступа

mark, ed PHYSICS = ALL

herb CS = /usr/sbin/tcpdump: PHYSICS = (operator) DUMP

lynda ALL = (ALL) ALL,!SHELLS

%wheel ALL,!PHYSICS = NOPASSWD: PRINTING

По аналогичной причине не рекомендуется включать запись "." (текущий каталог) в переменную path интерпретатора команд. Несмотря на очевидное удобство, подобная конфигурация приводит к тому, что можно непреднамеренно запустить "специальную" версию какой-нибудь системной команды, оставленной злоумышленником в качестве приманки. Пользователю root следует быть бдительным вдвойне.

Первые пять строк (не считая комментариев) определяют набор компьютеров и команд, на которые имеются ссылки в спецификациях прав доступа. Списки элементов можно включать в спецификации в полном виде, но работать с псевдонимами проще, к тому же они делают файл /etc/sudoers понятнее, и в него легче вносить изменения. Разрешается также создавать псевдонимы для различных групп пользователей.

В каждую спецификацию прав доступа включается информация о:

· пользователях, к которым относится запись;

· компьютерах, на которых пользователям разрешено выполнять соответствующие действия;

· командах, которые могут выполняться указанными пользователями;

· пользователях, от имени которых могут выполняться команды.

Первая строка спецификаций применяется к пользователям mark и ed, которые регистрируются в системе на компьютерах группы PHYSICS (eprince, pprince и icarus). Встроенный псевдоним ALL разрешает им вводить любые команды. Поскольку дополнительный список пользователей в скобках не указан, утилита sudo будет выполнять команды только от имени суперпользователя. Пользователь herb может запускать утилиту tcpdump на компьютерах группы CS, а также выполнять команды резервного копирования на компьютерах группы PHYSICS. Однако вторая группа команд получит привилегии не пользователя root, а пользователя operator.

Для модификации файла /etc/sudoers предназначена специальная команда visudo, которая проверяет, не редактируется ли файл кем-то посторонним, затем открывает его в редакторе, а перед инсталляцией файла выполняет синтаксический контроль. Последний этап особенно важен, поскольку ошибка в файле /etc/sudoers может не позволить повторно вызвать утилиту sudo для исправления файла.

Использование утилиты sudo имеет следующие преимущества:

· благодаря регистрации команд значительно повышается степень административного контроля над системой;

· операторы могут выполнять специальные задачи, не имея неограниченных привилегий;

· настоящий пароль суперпользователя могут знать всего один-два человека;

· вызывать утилиту sudo быстрее, чем выполнять команду su или входить в систему под именем root;

· пользователя можно лишить привилегий, не меняя пароль суперпользователя;

· ведется список всех пользователей с правами пользователя root;

· меньше вероятность того, что интерпретатор команд, запущенный суперпользователем, будет оставлен без присмотра;

· управлять доступом ко всей сети можно с помощью одного файла.

Утилита sudo имеет и недостатки. Самый большой из них заключается в том, что любая брешь в системе защиты того или иного привилегированного пользователя эквивалентна нарушению безопасности самой учетной записи root. Противостоять этому нелегко. Можно лишь предупредить тех, кто имеют право выполнять утилиту sudo, о необходимости максимально защищать свои учетные записи. Можно также регулярно запускать утилиту John the Ripper, проверяя стойкость паролей привилегированных пользователей.

Другой недостаток – возможность обмануть утилиту sudo с помощью таких уловок, как временный выход в интерпретатор команд из разрешенной программы либо выполнение команд sudo sh или sudo su, если они допустимы.




Поделиться с друзьями:


Дата добавления: 2014-12-07; Просмотров: 540; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2025) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.011 сек.