Повышение безопасности команд sudo в Linux

В задачах, которые мы ежедневно выполняем на наших компьютерах с Linux, использование команды sudo очень часто для выполнения команды с правами администратора. Хотя команда sudo дает нам административные привилегии, есть некоторые недостатки безопасности, которые мы увидим позже.

Что такое команда SUDO?

Слово sudo - это сокращение от S witch U be Do, и это позволяет пользователю выполнять его, чтобы иметь права суперпользователя или администратора.

Поскольку мы видим, что sudo - очень деликатная команда, которая неправильно используется, может привести к серьезным проблемам в оборудовании и операционных системах, мы должны быть в курсе и обеспечивать нашу команду как можно лучше, чтобы избавиться от будущих проблем.

примечание

Здесь мы будем использовать операционную систему CentOS 7, но она в равной степени относится к Debian, Ubuntu и т. Д.

1. Ошибки команд Судо

Хотя кажется, что sudo очень безопасен, на самом деле это так, давайте проанализируем, где у нас ошибка, которая может стать большой проблемой безопасности.

примечание

Для этого анализа мы ввели с пользователем resoltic, поскольку если мы введем как root, sudo не будет действительным.

Мы открываем нашу операционную систему и пытаемся запустить обновление системы с помощью команды:

 обновление sudo yum 

Давайте посмотрим, что для безопасности мы должны ввести пароль администратора, который идеально подходит, если кто-то пытается выполнить какое-либо действие в системе:

Мы вводим наши учетные данные и видим, что система обновляется в соответствии с нашим запросом.

Пока все нормально и безупречно на уровне безопасности; Предположим, что мы идем на кофе и оставляем сеанс открытым, приходит другой человек, который не имеет права видеть или выполнять какие-либо изменения и вводить команду:

 Судо Д.Ф. 

Поскольку вы хотите увидеть системные разделы и в чем заключается неожиданность и нарушение безопасности?, Ничего кроме sudo больше не запрашивает пароль для просмотра такой информации:

Причина этого недостатка безопасности заключается в том, что команда sudo сохраняет свой статус супер-администратора в течение некоторого времени, прежде чем вернуться к обычному пользователю без прав администратора, поэтому задачи можно выполнять в этот период без необходимости пароль, так как он хранится в кэш-памяти.

Solvetic объясняет, как исправить эту маленькую проблему безопасности sudo в Linux, вы увидите, что это не займет у нас много времени.

2. Как исправить кеширование пароля sudo

Мы выполним следующий процесс, чтобы разрешить запрашивать пароль каждый раз, когда мы используем команду sudo. Проверьте следующий учебник, чтобы убедиться, что у вас есть надежный пароль: Создание надежных паролей. Сначала мы собираемся перейти к корню системы, используя синтаксис:

 кд / 

Там мы введем следующий параметр для редактирования командного файла sudo, который мы введем:

 sudo nano / etc / sudoers 

Файл с текстом открыт, мы перейдем к концу этого файла, используя стрелки прокрутки, и мы должны ввести следующее:

 По умолчанию: ALL timestamp_timeout = 0 

С помощью этого значения мы указываем sudo, что время, когда пароль должен быть кэширован, должно быть равно нулю (0).

Мы сохраняем изменения, используя комбинацию клавиш:

Ctrl + O

И мы покидаем редактор, используя комбинацию:

Ctrl + X

3. Проверьте настройки sudo

Мы проверим, что мы эффективно решили эту ошибку в sudo. Давайте попробуем обновить систему еще раз, используя:

 обновление sudo yum 

И мы увидим, что вы просите нас ввести пароль администратора:

Если сейчас мы снова пойдем на кофе и другой человек придет «любопытно» и введет команду:

 судо бесплатно 

Для просмотра свободной оперативной памяти или любой другой команды вы увидите следующее:

$config[ads_text5] not found

Вы должны ввести пароль администратора, чтобы увидеть эту информацию. Человек не верит и пытается использовать команду:

 верхняя часть sudo 

И появляется следующее:

Вы также должны ввести пароль. Таким образом, мы повысили безопасность команды sudo, предотвращая сохранение пароля администратора в кэше и, таким образом, не позволяя любому пользователю выполнять задачи, которые не разрешены. Достаточно изменить файл sudoers и, таким образом, улучшить полезность sudo и случайно взять наш кофе, если мы оставим наш терминал открытым, хотя наиболее целесообразным и то, что мы должны сделать, это заблокировать наше оборудование всякий раз, когда мы отсутствуем.

Наконец, мы оставляем вам следующее руководство для защиты нашей виртуальной консоли: Блокируйте сеанс консоли Linux с помощью Vlock. И если вы хотите продолжать расширять свои знания и методы, вот все учебники по системам Linux:

Учебные пособия по Linux