Chuyển đến nội dung chính

Khám phá Sudo trong Linux

Sudo là một công cụ cho phép một số user được định nghĩa trong file cấu hình /etc/sudoers có thể chạy một số lệnh xác định với quyền hạn root hoặc với quyền hạn của một user khác.
khi chạy những lệnh đó phải bắt đầu bằng từ “sudo” theo sau là cú pháp lệnh như bình thường.
Khi thực hiện lệnh người dùng được yêu cầu nhập password trước khi thực hiện chúng.
Tất cả các lệnh được chạy băng sudo sẽ bị ghi log lại trong file /var/log/messages.
file cấu hình /etc/sudoers thường được chỉnh sửa bằng lệnh visudo với quyền hạn root, nó được sử dụng giống như trình soạn thảo vi.

Bản thân sudo là một chương trình dạng setuid binary, bạn có thể xem permission của nó

---s--x--x 1 root root 81644 Jan 14 15:36 /usr/bin/sudo

s có nghĩa là “setuid”, khi đó mọi user đều có quyền chạy chương trình này. do bởi đây là một chương trình dạng setuid và owner bởi root nên các user có thể có quyền hạn root khi họ nhận được shell từ sudo, nên bạn cần thận trọng khi sử dụng sudo.

Cấu trúc file cấu hình /etc/sudoers có dạng

usernames/group target-servername = command

- tên group được phân biệt với tên user bằng ký tự % đứng đằng trước
- bạn có thể đặt nhiều user trên cùng một dòng và phân cách nhau bằng dấu phẩy.
- từ khoá ALL có nghĩa là tất cả các user, tất cả các nhóm, tất cả các lệnh, tất cả các máy.
- nếu các thiết lập dài hơn một dòng bạn có thể dùng dấu “\” để viết tiếp xuống dòng tiếp theo
- từ khoá NOPASSWD cung cấp khả năng thực thi lệnh mà không yêu cầu nhập password.

một số ví dụ:
cung cấp cho user “jim” khả năng truy cập với quyền root

# User privilege specification
root ALL=(ALL) ALL
jim ALL=(ALL) ALL

bình thương user “jim” không có khả năng xem nội dung file /etc/shadow

[jim@lnxserve jim]$ cat /etc/shadow
Permission denied

nhưng nếu thực hiện bằng sudo

[jim@lnxserve jim]$ sudo cat /etc/shadow
Password:
root:$1$bukQnNBS$dkGDMUTf1.W5r1VE4OYLy.:11595:0:99999:7:::
bin:*:11595:0:99999:7:::
daemon:*:11595:0:99999:7:::
adm:*:11595:0:99999:7:::
lp:*:11595:0:99999:7:::

password mà user “jim” nhập vào không phải là password root, điều này khiến cho người quản trị (root) biết được các hoạt động của “jim”.
Mặc định sudo nhớ password trong vòng năm phút. Do đó trong khoảng thời gian này user “jim” co thể thực hiện các thao tác khác đòi hỏi quyền root mà không cần phải nhập password.
hành động nhập password hoàn toàn có thể thay đổi nhờ cấu, ví dụ như sau

# Defaults specification
Defaults:jim timestamp_timeout=0, runaspw, passwd_tries=1

lúc này user “jim” cần phải có password để thực hiện sudo (runaswd), password không được nhớ (timestamp_timeout=0) và chỉ có thể nhập password một lần (passwd_tries=1, mặc định là ba lần).
nếu đặt timestamp_timeout = -1 thì user “jim” chỉ cần xác thực password một lần duy nhất.
những user khác nhau có thể có những thiết lập default khác nhau ví dụ

# sudoers file.
#
# This file MUST be edited with the 'visudo' command as root.
#
Defaults:jim timestamp_timeout=0
Defaults:linda timestamp_timeout=-1, runaspw


# User privilege specification
root ALL=(ALL) ALL
jim ALL=(ALL) ALL
linda ALL=(ALL) ALL
những default mà không theo sau bởi dấu “:” và tên một user thì nó được dùng cho mọi user.

cho phép user peter và tất cả các thành viên của nhóm operator truy cập tất cả các file chương trình trong thư mục /sbin, /usr/sbin và có quyền chạy script /usr/local/apps/check.pl

peter, %operator ALL= /sbin/, /usr/sbin, /usr/local/apps/check.pl

với lệnh sudo -u cho phép bạn thực hiện một lệnh với quyến hạn của một user khác, trước tiên phải gán quyền trong file /etc/sudoers.

peter ALL=(accounts) /bin/kill, /usr/bin/kill, /usr/bin/pkill

khi đó user peter có thể kill một chương trình với quyền hạn của user accounts như sau


sudo -u accounts pkill monthend

cho phép tất cả các user trong nhóm operator được phép thực thi các chương trình nằm trong thư mục /sbin.

%operator ALL= NOPASSWD: /sbin/

bằng cách sử dụng alias sudo cho phép gộp các user hay hay các lệnh cùng chức năng thành một nhóm tăng tính mềm dẻo cho việc cấu hình

Cmnd_Alias SHELLS = /usr/bin/sh, /usr/bin/csh, \
/usr/bin/ksh, /usr/local/bin/tcsh, \
/usr/bin/rsh, /usr/local/bin/zsh


User_Alias ADMINS = peter, bob, bunny, %operator
ADMINS ALL = !/usr/bin/su, !SHELLS

với cấu hình trên các user peter, bob, bunny và các user trong nhóm operator không được quyền thực hiện lệnh su và chạy các shell.

bình thường sudo chỉ gửi những lỗi xác thực cho syslog ghi vào /var/log/messages nhưng với việc thêm một khai báo default như sau:

Defaults logfile=/var/log/sudolog

sudo sẽ ghi lại mọi lệnh mà nó thực thi. Thông tin sudo ghi log lại có dạng sau

# /var/log/sudolog
Feb 24 06:56:59 : jim : TTY=tty4 ; PWD=/home/jim ; USER=root ; COMMAND=/bin/cat /etc/shadow
Feb 24 06:58:49 : jim : TTY=tty4 ; PWD=/var/log ; USER=root ; COMMAND=/bin/cat /etc/shadow

nhìn vào đây người quản trị có thể dễ dàng biết được những hoạt động của những user được gán quyền thực thi thông qua sudo.

Bài đăng phổ biến từ blog này

[Game] - Dragon Ball Ilde - Code

(Code càng trên cùng, càng mới, khi mã hết hiệu lực hoặc dùng rồi sẽ không dùng được nữa) Liên kết chơi game trên website 25/07/2020: Code 500 gem: Fhf7id5 Code 500 gem: H5kM5GqE 22/07/2020: Code 1000 gem: c6AyWY7C 27/05/2020 Code 300 gem: rC3hNjbT Happy Labor Day Các code đều có hiệu lực 3 ngày kể từ ngày admin game công bố. Day 5/5: u5kJMVEw Day 4/5: 6hfSWs6 / V6AxHfN9 Day 3/5: QhfUHPh Day 2/5: S6AxFuhr Day 1/5: K3cArdhu Code700 gem Hãy tải app về, đánh giá 5* cho app rồi chụp ảnh màn hình điện thoại và gửi cho admin (Admin kia kìa, chứ không phải admin này) để nhận được  # Code  700 gem. Code tân thủ, người chơi mới: Code Hero Picolo : w3cBk2QJ Code gem and SS shared: L5kJb69m R5kKCeDw i4PNW4nV b4PMjyud

Các phím tắt dùng trong Notepad ++

All the keyboard shortcuts : Ctrl-C Copy Ctrl-X Cut Ctrl-V Paste Ctrl-Z Undo Ctrl-Y Redo Ctrl-A Select All Ctrl-F Launch Find Dialog Ctrl-H Launch Find / Replace Dialog Ctrl-D Duplicate Current Line Ctrl-L Delete Current Line Ctrl-T Switch the current line position with the previous line position F3 Find Next Shift-F3 Find Previous Ctrl-Shift-F Find in Files Ctrl-F3 Find (vola

Alon Video Joiner - Ghép nối video clip miễn phí

Bạn sưu tập được rất nhiều các video clip hay trên mạng và nay muốn ghép nối chúng lại với nhau để ghi lên đĩa, xem trên điện thoại... Hiện nay có rất nhiều phần mềm hỗ trợ bạn thực hiện chức năng này tuy nhiên hầu hết là các phần mềm thương mại, vậy thì Alon Video Joiner sẽ là một sự lựa chọn hợp lý trong trường hợp này. Với giao diện đơn giản, và được cung cấp hoàn toàn miễn phí Alon Video Joiner giúp bạn nhanh chóng ghép nối các video clip riêng lẻ với các định dạng AVI, MP4, MOV, 3GP, RMVB, MPEG/MPG và WMV/ASF thành một tập tin video duy nhất một cách nhanh chóng. Chương trình có dung lượng 2,06 MB, tương thích với hệ điều hành Windows. Bạn có thể tải về dùng miễn phí tại  http://www.alonsys.com/Alonvideojoiner.exe .  Sử dụng chương trình cũng khá là dễ dàng. - Từ giao diện chính của chương trình, bạn bấm nút Add Task, trong hộp thoại mới xuất hiện bạn bấm nút Add Files để chọn các video clip riêng lẻ. Bạn có thể chọn cùng lúc nhiều file video có định dạng nguồn khác nhau