Portuguese
English
Portuguese
SpanishUsar um sudousuário para acessar um servidor e executar comandos no nível de raiz é uma prática muito comum entre o Linux e o Unix Systems Administrator. O uso de um sudousuário é frequentemente associado ao desabilitar o acesso direto ao servidor, em um esforço para impedir o acesso não autorizado.
Neste tutorial, abordaremos as etapas básicas para desabilitar o acesso direto ao root, criar um usuário sudo e configurar o grupo sudo no CentOS, no Debian e no FreeBSD.
Pré-requisitos
- Um servidor Linux recém-instalado com sua distribuição preferida.
- Um editor de texto instalado no servidor seja nano, vi, vim, emacs.
Etapa 1: instalando o sudo
Debian
apt-get install sudo -y
CentOS
yum install sudo -y
FreeBSD
cd /usr/ports/security/sudo/ && make install clean
ou
pkg install sudo
Etapa 2: Adicionando o usuário sudo
Um sudousuário é uma conta de usuário normal em uma máquina Linux ou Unix.
Debian
adduser mynewusername
CentOS
adduser mynewusername
FreeBSD
adduser mynewusername
Etapa 3: Adicionando o novo usuário ao grupo wheel (opcional)
O grupo wheel é um grupo de usuários que limita o número de pessoas que podem sufazer root. Adicionar seu sudousuário ao wheelgrupo é totalmente opcional, mas é aconselhável.
Nota: No Debian, o sudogrupo é frequentemente encontrado em vez de wheel. Você pode, entretanto, adicionar manualmente o wheelgrupo usando o groupaddcomando. Para o propósito deste tutorial, usaremos o sudogrupo para o Debian.
A diferença entre wheele sudo.
No CentOS e no Debian, um usuário pertencente ao wheelgrupo pode executar sue ascender diretamente a ele root. Enquanto isso, um sudousuário teria usado o sudo suprimeiro. Essencialmente, não há diferença real, exceto pela sintaxe usada para se tornar root , e usuários pertencentes a ambos os grupos podem usar o sudocomando.
Debian
usermod -aG sudo mynewusername
CentOS
usermod -aG wheel mynewusername
FreeBSD
pw group mod wheel -m mynewusername
Etapa 4: verificar se o sudoersarquivo está configurado corretamente
É importante garantir que o sudoersarquivo localizado /etc/sudoersesteja configurado corretamente para permitir sudo userso uso efetivo do sudocomando. Para conseguir isso, vamos ver o conteúdo /etc/sudoerse editá-los, quando aplicável.
Debian
vim /etc/sudoers
ou
visudo
CentOS
vim /etc/sudoers
ou
visudo
FreeBSD
vim /etc/sudoers
ou
visudo
Nota: O visudocomando será aberto /etc/sudoersusando o editor de texto preferido do sistema (geralmente vi ou vim) .
Comece a rever e editar abaixo desta linha:
# Allow members of group sudo to execute any command
Esta seção /etc/sudoersgeralmente é assim:
# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL
Em alguns sistemas, você pode não encontrar em %wheelvez de %sudo; Nesse caso, essa seria a linha sob a qual você começaria a modificar.
Se a linha que inicia %sudono Debian ou %wheelno CentOS e no FreeBSD não estiver comentado (prefixado por #) , isso significa que o sudo já está configurado e está ativado. Você pode então passar para o próximo passo.
Etapa 5: Permitir que um usuário que não pertença ao wheelnem ao sudogrupo execute o sudocomando
É possível permitir que um usuário que não esteja em nenhum dos grupos de usuários execute o sudocomando simplesmente adicionando-os da /etc/sudoersseguinte maneira:
anotherusername ALL=(ALL) ALL
Etapa 6: Reiniciando o Servidor SSHD
Para aplicar as alterações feitas /etc/sudoers, você precisa reiniciar o servidor SSHD da seguinte maneira:
Debian
/etc/init.d/sshd restart
CentOS 6
/etc/init.d/sshd restart
CentOS 7
systemctl restart sshd.service
FreeBSD
/etc/rc.d/sshd start
Etapa 7: teste
Depois de ter reiniciado o servidor SSH, efetue logout e, em seguida, efetue login novamente como seu e sudo user, em seguida, tente executar alguns comandos de teste da seguinte maneira:
sudo uptime
sudo whoami
Qualquer um dos comandos abaixo permitirá que o sudo userse torne root.
sudo su -
sudo -i
sudo -S
Notas:
- O
whoamicomando retornarárootquando acopladosudo. - Você será solicitado a inserir a senha do usuário ao executar o
sudocomando, a menos que você instrua explicitamente o sistema a não solicitarsudo userssuas senhas. Por favor, note que não é uma prática recomendada.
Opcional: permitindo sudosem digitar a senha do usuário
Como explicado anteriormente, essa não é uma prática recomendada e está incluída neste tutorial apenas para fins de demonstração.
Para permitir que você sudo userexecute o sudocomando sem ser solicitado pela senha, sufixe a linha de acesso /etc/sudoerscom NOPASSWD: ALLo seguinte:
%sudo ALL=(ALL:ALL) ALL NOPASSWD: ALL
Nota: Você precisa reiniciar seu servidor SSHD para aplicar as mudanças.
Etapa 8: Desabilitar o acesso root direto
Agora que você confirmou que pode usar o seu sudo usersem problemas, é hora da oitava e última etapa, desabilitando o acesso direto à raiz.
Primeiro, abra /etc/ssh/sshd_configusando seu editor de texto favorito e encontre a linha que contém a seguinte string. Pode ser prefixado com um #caractere.
PermitRootLogin
Independentemente do prefixo ou do valor da opção /etc/ssh/sshd_config, você precisa alterar essa linha para o seguinte:
PermitRootLogin no
Por fim, reinicie seu servidor SSHD.
Nota: Não esqueça de testar suas mudanças tentando SSH em seu servidor como root. Se você não conseguir, isso significa que você concluiu com êxito todas as etapas necessárias.
Isso conclui nosso tutorial.
