Beyond Linux® From Scratch. 4. Безопасность

Наши партнеры

Книги по Linux (с отзывами читателей)

Библиотека сайта rus-linux.net

На главную -> MyLDP -> Электронные книги по ОС Linux

Beyond Linux From Scratch. Version 2011-12-30
Назад	4. Безопасность	Вперед

Пакет Sudo-1.1.8.2

Знакомимся с пакетом Sudo

Пакет sudo позволяет системному администратору предоставить определенным пользователям (или группам пользователей) возможность запускать некоторые (или все) команды в роли пользователя root или в роли другого пользователя, указываемого в командах или в аргументах.

Известно, что пакет правильно собирается и работает на платформе LFS-7.0.

Информация о пакете

Загрузка (HTTP): http://www.sudo.ws/sudo/dist/sudo-1.8.2.tar.gz
Загрузка (FTP): ftp://ftp.twaren.net/Unix/Security/Sudo/sudo-1.8.2.tar.gz
Контрольная сумма MD5: 000f458e7391be9fdf459a9ad6a4912a
Размер загружаемого пакета: 1.4 MB
Оценочный размер требуемого дискового пространства: 13 MB
Оценочное время сборки: 0,2 SBU

Зависимости пакета Sudo

Необязательные

Linux-PAM-1.1.5, Opie, SecurID, FWTK, MTA (в котором реализована команда sendmail), krb4, Heimdal-1.4 илиMIT Kerberos V5-1.6, OpenLDAP-2.4.23 и AFS

Замечания для пользователей: http://wiki.linuxfromscratch.org/blfs/wiki/sudo

Установка пакета Sudo

Установите пакет sudo с помощью следующих команд:

./configure --prefix=/usr \
            --libexecdir=/usr/lib \
            --with-ignore-dot \
            --with-all-insults \
            --enable-shell-sets-home \
            --disable-root-sudo \
            --with-logfac=auth \
            --without-pam \
            --without-sendmail &&
make

В этом пакете набор тестов отсутствует.

Теперь в роли пользователя root выполните:

make install

Пояснение команд

--with-ignore-dot: С помощью этого переключателя указывается, что sudo должно игнорировать '.' в переменной PATH.

--with-all-insults: Этот переключатель включает все наборы insult команды sudo.

--enable-shell-sets-home: Этот переключатель устанавливает значение HOME, равное значению, используемому в режиме командной оболочки для пользователя, в роль которого осуществляется переключение.

--disable-root-sudo: Этот переключатель указывает, что с помощью команды sudo запрещается переходить в роль пользователя root, что запретит пользователям переключаться в режим командной оболочки суперпользователя.

--with-logfac=auth: Этот переключатель требует использовать авторизацию при обращении к команде sudo.

--without-pam: С помощью этого переключателя отключается использование аутентификации PAM. Не указывайте, если у вас установлен PAM.

--without-sendmail: Этот переключатель отменяет использование команды sendmail. Удалите, если у вас есть агент MTA, совместимый с sendmail.

--enable-noargs-shell: Этот переключатель позволяет команде sudo запускать командную оболочку, если команда вызывается без аргументов.

Замечание

В команде configure для sudo есть много параметров. Полный список параметров можно получить с помощью команды configure --help.

Конфигурирование пакета Sudo

Конфигурационный файл

/etc/sudoers

Подробнее о конфигурировании

Файл sudoers может быть довольно сложным. В нем присутствуют два типа записей: алиасы (в основном переменные) и спецификации пользователя (в которых указывается, кто какие команды может запускать). Во время установки формируется конфигурация, используемая по умолчанию, в которой ни для кого из пользователей привилегий не делается.

Одним из примеров использования является случай, когда системному администратору разрешается без ввода пароля выполнять любую программу с привилегиями пользователя root. Настройку можно сделать следующим образом:

# Спецификация алиаса пользователя
User_Alias  ADMIN = YourLoginId

# Всем, входящим в группу ADMIN, разрешается запускать все программы без ввода пароля
ADMIN       ALL = NOPASSWD: ALL

Подробности смотрите с помощью команды man sudoers.

Замечание

Разработчики Sudo настоятельно рекомендуют для редактирования файла sudoers использовать программу visudo. Она обеспечит основную проверку правильности настройки, например, синтаксиса и прав доступа к файлам, что позволит избежать некоторых возможных ошибок, которые могут привести к уязвимости в конфигурации.

Если вы создали Sudo с поддержкой PAM, то в роли пользователя root выполните следующую команду с тем, чтобы создать конфигурационный файл PAM:

cat > /etc/pam.d/sudo < "EOF" &&
# Начало /etc/pam.d/sudo

# Добавляет настройку auth, используемую по умолчанию
auth      include     system-auth

# Добавляет настройку account, используемую по умолчанию
account   include     system-account

# Используются ключи xauth (если они есть)
session   optional    pam_xauth.so

# Устанавливает для пользователя сервиса переменные среды окружения, используемые по умолчанию
session   required    pam_env.so

# Добавляет системную сессию, используемую по умолчанию
session   include     system-session

# Окончание /etc/pam.d/sudo
EOF
chmod 644 /etc/pam.d/sudo

Описание пакета

Установленные программы: sudo, sudoedit и visudo

Установленные библиотеки: sudo_noexec.so

Установленные директории: Нет

Краткое описание

sudo	выполняет команды от имени другого пользователя, разрешенные в конфигурационном файле `/etc/sudoers`
sudoedit	является жесткой ссылкой на sudo, которая подразумевает использование параметра `-e` для вызова текстового редактора от имени другого пользователя.
visudo	позволяет безопасно редактировать файл `sudoers`.
`sudo_noexec.so`	включает поддержку режима "noexec", который предотвращает ситуацию, когда динамически связанная программа запускается с помощью sudo из другой уже запущенной программы (например, при выходе из командной оболочки).

Перевод сделан с варианта оригинала, датированного 2011-12-06 19:16:56 +0000

Предыдущий раздел:	Оглавление	Следующий раздел:
Пакет Stunnel-4.46		Пакет TCP Wrappers-7.6