Последнее изменение файла: 2007.06.22
Скопировано с www.bog.pp.ru: 2012.02.04

Bog BOS: sudo: выполнение программ от чужого имени

Пакет sudo позволяет системному администратору давать права определенным пользователям (или группам) на исполнение конкретных программ с правами другого пользователя (и записывать эти действия в журнал). Возможна привязка списка допустимых команд к имени хоста, что позволяет использовать один файл настройки на нескольких хостах с различными полномочиями. Обычно требует аутентификации пользователя (например, ввода пароля). Позволяет избегать слишком частого ввода пароля (по умолчанию - 5 минут). Для борьбы с подменой динамических библиотек из окружения удаляются переменные типа LD_* и т.п., а также IFS, ENV, BASH_ENV, KRB_CONF, KRB5_CONFIG, LOCALDOMAIN, RES_OPTIONS, HOSTALIASES. Можно также удалять текущую директорию из PATH.

Текущая версия 1.6.8p12 (ноябрь 2005).

Лицензия - ISC-style (BSD-like).

Состоит из файла настройки /etc/sudoers, программы его редактирования visudo и клиентской программы sudo. В статье также описывается процедура установки из исходных текстов и ключи configure.

visudo позволяет осуществить безопасное редактирование sudoers, она проверяет файл на корректность после выхода из текстового редактора. Ключи:

• -c [-q] (только проверить существующий файл без вызова редактора)
• -f имя-файла (указать другой файл sudoers)
• -s (более строгая проверка)

В файле /etc/sudoers описываются права пользователей на выполнение команд с помощью sudo. Состоит из операторов трех типов: определение синонимов (Alias), переопределение конфигурационных параметров и описание прав пользователей. Если для одного пользователя подходит несколько описаний, то действует последнее. Комментарии начинаются с символа '#', если это не uid. Продолжение команды на следующей строке обозначается символом '\' в конце строки.

Синонимы (предопределен синоним ALL):

• User_Alias имя = список-пользователей-через-запятую
• Runas_Alias имя = список-пользователей-через-запятую
• Host_Alias имя = список-хостов-через-запятую
• Cmnd_Alias имя = список-команд-через-запятую

Имя может состоять из прописных латинских букв, цифр и подчеркивания. Предопределены синонимы 'ALL' для каждого типа. На одной строке может размещать несколько описаний синонимов, разделяя их символом ':'. netgroup - это NIS.

Пользователь может определяться (восклицательный знак перед именем означает отрицание):

• имя
• %имя-группы
• +netgroup
• User_Alias

Эффективный пользователь может определяться (восклицательный знак перед именем означает отрицание):

• имя
• #uid
• %имя-группы
• +netgroup
• Runas_Alias

Хост может определяться (восклицательный знак перед именем означает отрицание; сетевая маска записывается в точечной записи или CIDR; при указании имени хоста можно использовать шаблоны в стиле shell, но лучше при этом использовать опцию fqdn; не стоит использовать имя localhost):

• имя-хоста
• IP-адрес
• network/netmask
• +netgroup
• Host_Alias

Команда может определяться (восклицательный знак перед именем означает отрицание; можно использовать шаблоны в стиле shell для имени файла и аргументов; необходимо защищать обратным слешом от интерпретации разборщика символы запятой, двоеточия, равенства и обратного слеша; пустой список аргументов обозначается как ""; полное имя каталога должно оканчиваться на "/", разрешает выполнить любую команду из данного каталога, но не из подкаталога):

• полное-имя-файла
• полное-имя-файла аргументы
• каталог
• Cmnd_Alias

Конфигурационные параметры можно переопределить для всех пользователей, для определенных пользователей, для определенных хостов, для команд, выполняемых от имени указанного пользователя:

• Defaults список-параметров-через-запятую
• Defaults:имя-пользователя список-параметров-через-запятую
• Defaults@имя-хоста список-параметров-через-запятую
• Defaults>имя-пользователя список-параметров-через-запятую

Параметр задаётся в виде "имя = значение", "имя += значение", "имя -= значение", "имя" или "!имя" из следующего списка (необходимо использовать символы '"' и '\' в значениях при необходимости; += и -= добавляют и удаляют элементы списка):

• флаги
  • authenticate (on; пользователь должен вводить свой пароль)
  • env_editor (off; visudo будет использовать переменную окружения VISUAL или EDITOR; очень не рекомендуется)
  • env_reset (сбросить переменные окружения, кроме HOME, LOGNAME, PATH, SHELL, TERM, USER)
  • fqdn (off; помещать в журнал и sudoers полное доменное имя хоста с использованием запросов DNS вместо простого `hostname`)
  • ignore_dot (off; игнорировать "." в $PATH; не реализовано)
  • log_host (off; записывать имя хоста в файл)
  • log_year (off; записывать в файл год в четырёхзначном формате
  • mail_always (off; посылать письмо при каждом выполнении sudo)
  • mail_badpass (off; посылать письмо при вводе неправильного пароля)
  • mail_no_user (on; посылать письмо, если пользователя нет в sudoers)
  • mail_no_host (off; пользователь есть в sudoers, но не для этого хоста)
  • mail_no_perms (off; пользователь есть в sudoers, но нет прав на эту команду)
  • noexec (off; )
  • path_info (off; уточнять причину отказа выполнения команды)
  • preserve_groups (off; не менять список групп)
  • runaspw (off; запрашивать пароль указанного в runas_default пользователя вместо пароля текущего пользователя)
  • requiretty (off; выполнять команду только при запуске с реального tty)
  • root_sudo (on; очень рекомендуется запретить использование sudo для root)
  • rootpw (off; запрашивать пароль root вместо пароля пользователя)
  • shell_noargs (off; разрешать запуск sudo без параметров - выход в shell)
  • targetpw (off; запрашивать пароль указанного ключом -u пользователя вместо пароля текущего пользователя)
  • tty_tickets (off; отдельный интервал истечения времени действия пароля для каждого терминала)
• числа
  • loglinelen (80; длина строк в файле; 0 - бесконечная)
  • timestamp_timeout (5 минут; интервал действия пароля)
  • umask (022; umask для выполняемой команды)
• строки
  • editor (/bin/vi; список редакторов через ":", используемых visudo)
  • exempt_group (; пользователи из данной группы не должны вводить пароль)
  • lecture (закатывать лекцию при первом вызове: never, once, always; раньше это был флаг)
  • lecture_file
  • listpw (any; запрашивать ли пароль при использовании ключа "-l": all, any, never, always)
  • logfile (/var/log/sudo.log)
  • mailerflags (-t)
  • mailerpath
  • mailsub ("*** SECURITY information for %h ***"; текст темы письма)
  • mailto (root; кому посылать письма; рекомендуется заключать в кавычки)
  • passprompt ("Password:" (%h расширяется в имя хоста, %u - в имя пользователя)
  • runas_default (root)
  • syslog (local2; syslog facilities: authpriv, auth, daemon, user, local0-7)
  • syslog_badpri (alert; какой приоритет syslog использовать при неудачах)
  • syslog_goodpri (notice; какой приоритет syslog использовать при удачном выполнении)
  • timestampdir (/var/run/sudo)
  • verifypw (all; запрашивать ли пароль при использовании ключа "-v": all, any, never, always)
• список
  • env_check (переменные окружения удаляются, если содержат '%' или '/')
  • env_delete
  • env_keep (список переменных, не сбрасываемых по env_reset)

Описание прав пользователей (списки через запятую, теги и имена целевых пользователей наследуются):
список-пользователей список-хостов = список-описаний-команд [: список-хостов = список-описаний-команд]

описание-команды ::= [ ( список-целевых-пользователей ) ] {тег:} команда

Теги: NOPASSWD (не запрашивать пароль текущего пользователя), PASSWD, NOEXEC, EXEC.

Команда sudo выполняет указанную в качестве параметра команду от имени другого пользователя в зависимости от настроек. При отсутствии команды от имени другого пользователя выполняется редактор (-e) или командная оболочка (-s) или имитируется начальный вход в систему (-i). Устанавливается требуемый реальный идентификатор пользователя и группы, euid, egid и список групп. Может запрашиваться пароль текущего пользователя.

Ключи:

• -H (установить HOME как описано в /etc/passwd для целевого пользователя)
• -L (показать список возможных параметров с оисанием)
• -P (не устанавливать список групп)
• -S (читать пароль с stdin вместо tty)
• -V (показать версию sudo; для root выдаются также параметры установки)
• -k (обнулить допустимое время использования sudo без повторного введения пароля)
• -K (аналогично, но более действенным способом)
• -b (выполнить команду в фоновом режиме)
• -e имя-файла (редактировать указанный файл, в настройках должно быть разрешено выполнять команду sudoedit)
• -h (вывести описание команды)
• -i (имитируется начальный вход в систему)
• -l (показать список разрешенных команд)
• -p формат (задаёт текст приглашения при вводе пароля)
• -s (запустить командную оболочку)
• -u имя-пользователя (с правами какого пользователя исполнить команду; по умолчанию - root)
• -u #uid
• -v (продлевает допустимое время использования sudo без повторного введения пароля на очередные 5 минут)
• -- (не интерпретировать остальные параметры)

1. скачать и разархивировать
2. make distclean
3. ./configure --sysconfdir=/usr/local/etc  --with-pam --with-logfac=authpriv --with-goodpri=info --with-badpri=err --with-ignore-dot --with-mailto=... --with-fqdn --disable-root-sudo
4. отредактировать Makefile
5. make
6. make install
   1. /usr/local/bin/sudo
   2. /usr/local/bin/visudo
   3. /usr/local/etc/sudoers
   4. /usr/local/man
      1. man5/sudoers.5
      2. man8/sudo.8
      3. man8/visudo.8
7. настройка (visudo, samples.sudoers)
8. настройка syslog.conf (sample.syslog.conf)
9. /etc/pam.d/sudo (в качестве образца: sample.pam или /etc/pam.d/su)

Некоторые ключи configure:

• --prefix=/usr/local
• --sysconfigdir=/etc
• --with-skey (S/Key One Time Password)
• --with-opie (NRL OPIE One Time Password)
• --with-SecurID
• --with-fwtk (TIS Firewall Toolkit authsrv)
• --with-kerb4
• --with-kerb5
• --with-ldap
• --with-ldap-conf-file[=/etc/ldap.conf]
• --with-pam (можно сделать /etc/pam.d/sudo на основе /etc/pam.d/su)
• --disable-root-mailer (запускать почтовую программу от имени пользователя, а не root)
• --with-sudoers-mode=0440 (права доступа к конфигурационным файлам)
• --with-sudoers-uid=0
• --with-sudoers-gid=0
• настройки sudoers по умолчанию
  • --with-logging=syslog (syslog, file или both)
  • --with-logfac= (syslog facilities: authpriv, auth, daemon, user, local0-7)
  • --with-goodpri= (какой приоритет syslog использовать при удачном выполнении)
  • --with-badpri= (какой приоритет syslog использовать при неудачах)
  • --with-logpath=/var/log/sudo.log
  • --with-loglen=80 (длина строк в файле; 0 - бесконечная)
  • --with-ignore-dot (игнорировать "." в $PATH)
  • --with-mailto=root (кому посылать письма)
  • --with-mailsubject="*** SECURITY information for %h ***"
  • --without-mail-if-no-user (не ябедничать, если пользователя нет в sudoers)
  • --with-mail-if-no-host (ябедничать, если хоста нет в sudoers)
  • --with-mail-if-noperms (ябедничать, если команды нет в списке разрешённых)
  • --with-passprompt="Password:" (%h расширяется в имя хоста, %u - в имя пользователя)
  • --with-fqdn (помещать в журнал и sudoers полное доменное имя хоста)
  • --with-umask=022 (umask для выполняемой команды)
  • --without-umask (не менять umask при выполнении команды)
  • --with-runas-default=root
  • --with-exempt=группа (пользователи из данной группы не должны вводить пароль, лучше использовать NOPASSWD в sudoers)
  • --with-secure-path=/bin:/usr/ucb:/usr/bin:/usr/sbin:/sbin:/usr/etc:/etc (использовать вместо $PATH, не действует на пользователей из группы исключений)
  • --without-lecture (не закатывать лекцию при первом вызове)
  • --with-editor=имя-программы (текстовый редактор, используемый visudo)
  • --with-env-editor (visudo будет использовать переменную окружения VISUAL или EDITOR; очень не рекомендуется)
  • --disable-authentication (не запрашивать пароль)
  • --disable-root-sudo (запрещать использование sudo для root, очень рекомендуется)
  • --enable-log-host (записывать имя хоста в журнал)
  • --enable-noargs-shell (разрешать запуск sudo без параметров - выход в shell)
  • --disable-path-info (не уточнять причину отказа выполнения команды)

• сайт разработчиков
• официальное зеркало