Chuyển đến nội dung chính

Khám phá Sudo trong Linux

Sudo là một công cụ cho phép một số user được định nghĩa trong file cấu hình /etc/sudoers có thể chạy một số lệnh xác định với quyền hạn root hoặc với quyền hạn của một user khác.
khi chạy những lệnh đó phải bắt đầu bằng từ “sudo” theo sau là cú pháp lệnh như bình thường.
Khi thực hiện lệnh người dùng được yêu cầu nhập password trước khi thực hiện chúng.
Tất cả các lệnh được chạy băng sudo sẽ bị ghi log lại trong file /var/log/messages.
file cấu hình /etc/sudoers thường được chỉnh sửa bằng lệnh visudo với quyền hạn root, nó được sử dụng giống như trình soạn thảo vi.

Bản thân sudo là một chương trình dạng setuid binary, bạn có thể xem permission của nó

---s--x--x 1 root root 81644 Jan 14 15:36 /usr/bin/sudo

s có nghĩa là “setuid”, khi đó mọi user đều có quyền chạy chương trình này. do bởi đây là một chương trình dạng setuid và owner bởi root nên các user có thể có quyền hạn root khi họ nhận được shell từ sudo, nên bạn cần thận trọng khi sử dụng sudo.

Cấu trúc file cấu hình /etc/sudoers có dạng

usernames/group target-servername = command

- tên group được phân biệt với tên user bằng ký tự % đứng đằng trước
- bạn có thể đặt nhiều user trên cùng một dòng và phân cách nhau bằng dấu phẩy.
- từ khoá ALL có nghĩa là tất cả các user, tất cả các nhóm, tất cả các lệnh, tất cả các máy.
- nếu các thiết lập dài hơn một dòng bạn có thể dùng dấu “\” để viết tiếp xuống dòng tiếp theo
- từ khoá NOPASSWD cung cấp khả năng thực thi lệnh mà không yêu cầu nhập password.

một số ví dụ:
cung cấp cho user “jim” khả năng truy cập với quyền root

# User privilege specification
root ALL=(ALL) ALL
jim ALL=(ALL) ALL

bình thương user “jim” không có khả năng xem nội dung file /etc/shadow

[jim@lnxserve jim]$ cat /etc/shadow
Permission denied

nhưng nếu thực hiện bằng sudo

[jim@lnxserve jim]$ sudo cat /etc/shadow
Password:
root:$1$bukQnNBS$dkGDMUTf1.W5r1VE4OYLy.:11595:0:99999:7:::
bin:*:11595:0:99999:7:::
daemon:*:11595:0:99999:7:::
adm:*:11595:0:99999:7:::
lp:*:11595:0:99999:7:::

password mà user “jim” nhập vào không phải là password root, điều này khiến cho người quản trị (root) biết được các hoạt động của “jim”.
Mặc định sudo nhớ password trong vòng năm phút. Do đó trong khoảng thời gian này user “jim” co thể thực hiện các thao tác khác đòi hỏi quyền root mà không cần phải nhập password.
hành động nhập password hoàn toàn có thể thay đổi nhờ cấu, ví dụ như sau

# Defaults specification
Defaults:jim timestamp_timeout=0, runaspw, passwd_tries=1

lúc này user “jim” cần phải có password để thực hiện sudo (runaswd), password không được nhớ (timestamp_timeout=0) và chỉ có thể nhập password một lần (passwd_tries=1, mặc định là ba lần).
nếu đặt timestamp_timeout = -1 thì user “jim” chỉ cần xác thực password một lần duy nhất.
những user khác nhau có thể có những thiết lập default khác nhau ví dụ

# sudoers file.
#
# This file MUST be edited with the 'visudo' command as root.
#
Defaults:jim timestamp_timeout=0
Defaults:linda timestamp_timeout=-1, runaspw


# User privilege specification
root ALL=(ALL) ALL
jim ALL=(ALL) ALL
linda ALL=(ALL) ALL
những default mà không theo sau bởi dấu “:” và tên một user thì nó được dùng cho mọi user.

cho phép user peter và tất cả các thành viên của nhóm operator truy cập tất cả các file chương trình trong thư mục /sbin, /usr/sbin và có quyền chạy script /usr/local/apps/check.pl

peter, %operator ALL= /sbin/, /usr/sbin, /usr/local/apps/check.pl

với lệnh sudo -u cho phép bạn thực hiện một lệnh với quyến hạn của một user khác, trước tiên phải gán quyền trong file /etc/sudoers.

peter ALL=(accounts) /bin/kill, /usr/bin/kill, /usr/bin/pkill

khi đó user peter có thể kill một chương trình với quyền hạn của user accounts như sau


sudo -u accounts pkill monthend

cho phép tất cả các user trong nhóm operator được phép thực thi các chương trình nằm trong thư mục /sbin.

%operator ALL= NOPASSWD: /sbin/

bằng cách sử dụng alias sudo cho phép gộp các user hay hay các lệnh cùng chức năng thành một nhóm tăng tính mềm dẻo cho việc cấu hình

Cmnd_Alias SHELLS = /usr/bin/sh, /usr/bin/csh, \
/usr/bin/ksh, /usr/local/bin/tcsh, \
/usr/bin/rsh, /usr/local/bin/zsh


User_Alias ADMINS = peter, bob, bunny, %operator
ADMINS ALL = !/usr/bin/su, !SHELLS

với cấu hình trên các user peter, bob, bunny và các user trong nhóm operator không được quyền thực hiện lệnh su và chạy các shell.

bình thường sudo chỉ gửi những lỗi xác thực cho syslog ghi vào /var/log/messages nhưng với việc thêm một khai báo default như sau:

Defaults logfile=/var/log/sudolog

sudo sẽ ghi lại mọi lệnh mà nó thực thi. Thông tin sudo ghi log lại có dạng sau

# /var/log/sudolog
Feb 24 06:56:59 : jim : TTY=tty4 ; PWD=/home/jim ; USER=root ; COMMAND=/bin/cat /etc/shadow
Feb 24 06:58:49 : jim : TTY=tty4 ; PWD=/var/log ; USER=root ; COMMAND=/bin/cat /etc/shadow

nhìn vào đây người quản trị có thể dễ dàng biết được những hoạt động của những user được gán quyền thực thi thông qua sudo.

Bài đăng phổ biến từ blog này

Các phím tắt dùng trong Notepad ++

All the keyboard shortcuts : Ctrl-CCopyCtrl-XCutCtrl-VPasteCtrl-ZUndoCtrl-YRedoCtrl-ASelect AllCtrl-FLaunch Find DialogCtrl-HLaunch Find / Replace DialogCtrl-DDuplicate Current LineCtrl-LDelete Current LineCtrl-TSwitch the current line position with the previous line positionF3Find NextShift-F3Find PreviousCtrl-Shift-FFind in FilesCtrl-F3Find (volatil) NextCtrl-Shift-F3Find (volatil) PreviousCtrl-Shift-IIncremental SearchCtrl-SSave FileCtrl-Alt-SSave AsCtrl-Shift-SSave AllCtrl-OOpen FileCtrl-NNew FileCtrl-F2Toggle BookmarkF2Go To Next BookmarkShift-F2Go To Previous BookmarkCtrl-GLaunch GoToLine DialogCtrl-WClose Current DocumentAlt-Shift-Arrow keys or
Alt + Left mouse click
Column Mode SelectF5Launch Run DialogCtrl-SpaceLaunch CallTip ListBoxAlt-SpaceLaunch Word Completion ListBoxTab (selection of several lines)Insert Tabulation or Space (Indent)Shift-Tab (selection of several lines)Remove Tabulation or Space (outdent)Ctrl-(Keypad-/Keypad+) or
Ctrl + mouse wheel button (if any)
Zoom in (+…

Alon Video Joiner - Ghép nối video clip miễn phí

Bạn sưu tập được rất nhiều các video clip hay trên mạng và nay muốn ghép nối chúng lại với nhau để ghi lên đĩa, xem trên điện thoại... Hiện nay có rất nhiều phần mềm hỗ trợ bạn thực hiện chức năng này tuy nhiên hầu hết là các phần mềm thương mại, vậy thì Alon Video Joiner sẽ là một sự lựa chọn hợp lý trong trường hợp này.

Với giao diện đơn giản, và được cung cấp hoàn toàn miễn phí Alon Video Joiner giúp bạn nhanh chóng ghép nối các video clip riêng lẻ với các định dạng AVI, MP4, MOV, 3GP, RMVB, MPEG/MPG và WMV/ASF thành một tập tin video duy nhất một cách nhanh chóng.
Chương trình có dung lượng 2,06 MB, tương thích với hệ điều hành Windows. Bạn có thể tải về dùng miễn phí tại http://www.alonsys.com/Alonvideojoiner.exe.



 Sử dụng chương trình cũng khá là dễ dàng.

- Từ giao diện chính của chương trình, bạn bấm nút Add Task, trong hộp thoại mới xuất hiện bạn bấm nút Add Files để chọn các video clip riêng lẻ. Bạn có thể chọn cùng lúc nhiều file video có định dạng nguồn khác nhau đều được. C…

Cài đặt nhiều hệ điều hành trên máy ảo.

Hình1: cửa sổ Linux RedHat 7.1 trong XP

Hình 2: XP trong Linux RedHat                          

Bài viết này mong muốn trình bày một cách ngắn gọn về khái niệm máy ảo và hướng dẫn cách cài đặt phần mềm tạo máy ảo VMware Workstation 3.0 trong các hệ điều hành  Windows XP và Linux Red Hat 7.1. Tác giả cũng mong muốn chia sẻ những kinh nghiệm về cách cài đặt Windows XP và Red Hat 7.1 trong môi trường máy ảo. Máy ảo là gì?
Bạn là người yêu thích tìm tòi, học hỏi. Bạn muốn khảo nghiệm một hệ điều hành (HĐH) mới mà không muốn làm ảnh hưởng tới HĐH đang dùng. Bạn có một phần mềm thú vị nhưng lại không chạy trên HĐH hiện hành. Bạn muốn cài đặt nhiều HĐH trên một PC một cách đơn giản nhất. Bạn là một lập trình viên và đang mong muốn thử chương trình mình viết trên các nền tảng khác nhau. Ban muốn chạy những ứng dụng mạng trên PC không nối mạng của mình. Bạn có thể làm tâ…