陳金蓮

Linux環(huán)境下把控根帳號(hào)權(quán)限各種形式的實(shí)現(xiàn)

陳金蓮

（黃岡職業(yè)技術(shù)學(xué)院 電子信息學(xué)院，湖北 黃岡 438002）

帳號(hào)安全是多任務(wù)多用戶操作系統(tǒng)的第一道安全關(guān)口，在linux環(huán)境中，對(duì)具有系統(tǒng)管理權(quán)限的根帳號(hào)，其安全控制更是顯得尤為重要。既保證根帳號(hào)安全，又實(shí)現(xiàn)必要的系統(tǒng)管理，實(shí)現(xiàn)根帳號(hào)權(quán)限的精細(xì)化控制，在兩者之間找到最佳平衡點(diǎn)是Linux系統(tǒng)管理的一個(gè)重要技能。

根帳號(hào)；資源權(quán)限；應(yīng)用程序認(rèn)證；帳號(hào)切換

Linux系統(tǒng)的用戶都知道，為了安全起見(jiàn)，在登錄系統(tǒng)時(shí)，一般不建議直接用根帳號(hào)，以免由于誤操作導(dǎo)致數(shù)據(jù)丟失或系統(tǒng)故障。但很多的系統(tǒng)管理工作又必須以根帳號(hào)的身份操作才行。對(duì)于兩者之間的平衡，Linux系統(tǒng)有兩種解決方案。一是普通帳號(hào)用“su–root”命令切換到根帳號(hào)，執(zhí)行完系統(tǒng)管理命令后再切換回普通帳號(hào)；二是用sudo方式去臨時(shí)執(zhí)行一些系統(tǒng)管理工作。不同的發(fā)行版本對(duì)這兩種方式的處理有些差別，下面以RedHat系列的Linux發(fā)行版為例來(lái)說(shuō)明如何利用這兩種方式來(lái)構(gòu)造粒度更細(xì)的管理權(quán)限。

對(duì)于“su–root”方式，RedHat Linux系統(tǒng)在默認(rèn)情況下，對(duì)于任何的普通帳號(hào)，只要知道根帳號(hào)的口令，即可切換到根帳號(hào)，執(zhí)行任何的系統(tǒng)管理工作。這種操作方式控制簡(jiǎn)單，但是會(huì)帶來(lái)一定的安全隱患。并且，如果一個(gè)系統(tǒng)由多人管理，還可能造成管理混亂。而對(duì)sudo方式，RedHat Linux的默認(rèn)處理則是任何普通用戶都不能用sudo命令執(zhí)行任何的系統(tǒng)管理工作，這一默認(rèn)規(guī)則又顯得非常呆板。

那么，在RedHat Linux下如何通過(guò)改造系統(tǒng)配置來(lái)構(gòu)造安全且合理的根帳號(hào)權(quán)限控制呢？

1 解決方案一

首先，我們來(lái)看看如何利用“su–root”方式來(lái)對(duì)使用根帳號(hào)管理權(quán)限的用戶進(jìn)行限制。RedHat Linux默認(rèn)情況下，所有用戶都可以切換到root帳號(hào)下的原因是關(guān)閉了對(duì)su命令認(rèn)證的某些控制項(xiàng)。在系統(tǒng)的/etc/pam.d目錄下存放著需要經(jīng)過(guò)各種應(yīng)用程序認(rèn)證的一些系統(tǒng)配置文件，而其中的su文件則控制著使用su命令的一些認(rèn)證控制選項(xiàng)，內(nèi)容如圖1所示。哪些用戶可以用su命令切換到根帳號(hào)，哪些用戶不能切換由其中的pam_wheel.so模塊控制，圖中紅色方框標(biāo)出。

圖1 su控制配置文件

如果啟用該模塊的認(rèn)證功能，就表示只有屬于wheel組的用戶才能用su命令切換到根帳號(hào)來(lái)完成系統(tǒng)管理工作。wheel是Linux中一個(gè)系統(tǒng)組，用于歸納一些具有根帳號(hào)管理權(quán)限的用戶，以減少對(duì)系統(tǒng)摧毀性破壞的概率和風(fēng)險(xiǎn)。那么，這樣就形成了一些用戶能用su命令切換到root，而有些用戶不能切換到root帳號(hào)的情形，實(shí)現(xiàn)了第一層級(jí)的根帳號(hào)權(quán)限限制。

下面，通過(guò)實(shí)例來(lái)進(jìn)行驗(yàn)證。首先不開(kāi)啟wheel模塊的認(rèn)證，在系統(tǒng)中新建兩個(gè)普通帳號(hào)zhang和chen，然后分別通過(guò)他們切換到root帳號(hào)，由圖2可以看出，只要能正確輸入root帳號(hào)的密碼就可以切換到root帳號(hào)。

再開(kāi)啟wheel組的認(rèn)證，因?yàn)閦hang和chen都不在wheel組，所以即使知道root帳號(hào)密碼也不能切換到root帳號(hào)下，如圖3所示。

再將zhang帳號(hào)加入wheel組，chen帳號(hào)不加入，進(jìn)行驗(yàn)證。如圖4所示，zhang能成功切換至根帳號(hào)，而chen無(wú)法切換。

圖2 成功的切換

圖3 失敗的切換

圖4 兩種不同效果對(duì)比

2 解決方案二

上一種方案雖然將普通用戶分成兩大類，一類可以切換到root并使用其所有權(quán)限，一類不能，但這個(gè)分類法仍然比較粗糙，要有更具體的管理權(quán)限控制，還需要用到/etc/sudoers配置文件。

sudoers，顧名思義，能使用sudo命令的用戶。先來(lái)看看sudo命令的特點(diǎn)：

（1）sudo能夠限制某個(gè)或某組用戶只在某臺(tái)主機(jī)上運(yùn)行某些系統(tǒng)管理命令。

（2）sudo提供了豐富的日志，詳細(xì)地記錄了每個(gè)用戶干了什么，并且能將日志傳到中心主機(jī)或者日志服務(wù)器，以進(jìn)行監(jiān)控。

（3）sudo使用時(shí)間戳文件來(lái)執(zhí)行類似的“檢票”系統(tǒng)。當(dāng)用戶調(diào)用sudo并且輸入它的密碼時(shí)，用戶獲得了一張存活期為五分鐘的票（這個(gè)值可以在編譯的時(shí)候改變）。

所以說(shuō)，sudo命令具有良好的事前控制，事后追查的能力，在生產(chǎn)環(huán)境中用來(lái)控制根帳號(hào)權(quán)限的管理非常必要的。對(duì)sudo命令的控制是通過(guò)/etc/sudoers配置文件來(lái)實(shí)現(xiàn)。在該文件中，每一個(gè)權(quán)限控制條目都是以“USER_FLAG HOST_FLAG=( RUNAS_FLAG)COMMAND_FLAG ”的格式來(lái)定義，其中USER_FLAG 即授權(quán)用戶，可以是單個(gè)用戶，也可以是一個(gè)用戶組，如果是用戶組，則前面用%引導(dǎo)；HOST_FLAG表示登錄的主機(jī)列表，RUNAS_FLAG表示以什么身份運(yùn)行命令；COMMAND_FLAG表示可以運(yùn)行哪些命令，整個(gè)控制行的意思即用戶可以在哪些機(jī)器上以何種身份執(zhí)行什么命令。

為了避免編輯過(guò)程中的語(yǔ)法錯(cuò)誤，最好通過(guò)visudo命令對(duì)該文件進(jìn)行編輯，因?yàn)樵撁羁梢詫?duì)該文件的語(yǔ)法錯(cuò)誤進(jìn)行檢查，下面仍然以實(shí)例來(lái)說(shuō)明驗(yàn)證。

創(chuàng)建三個(gè)帳號(hào)chen、zhang、wang，將chen加入users組，另外兩個(gè)作為普通帳號(hào)。編輯/etc/sudoers，在其中增加如圖5所示兩行配置信息。第一行控制條目的意義是所有users組中的用戶可以從任何機(jī)器上登錄，以root身份執(zhí)行文件系統(tǒng)的掛載和卸載管理；第二行控制條目的含義是zhang用戶可以在任何機(jī)器上登錄，以所有用戶身份執(zhí)行用戶的增刪用戶的管理。

以chen帳號(hào)登錄，用sudo方式執(zhí)行光驅(qū)掛載，順利完成，而用sudo方式執(zhí)行用戶添加時(shí)，提醒不被允許執(zhí)行，如圖6所示，與條目一的設(shè)計(jì)符合。以zhang帳號(hào)登錄，用sudo方式執(zhí)行添加用戶，順利完成，而用sudo方式執(zhí)行掛載光驅(qū)操作時(shí)，提醒不被允許，如圖7所示，與條目二的設(shè)計(jì)符合。

圖5 權(quán)限控制條目

圖6 chen用戶權(quán)限的驗(yàn)證

圖7 zhang用戶權(quán)限的驗(yàn)證

圖8 wang用戶權(quán)限的驗(yàn)證

圖9 sudo的日志

以wang帳號(hào)登錄，無(wú)論是用sudo方式執(zhí)行掛載操作還是添加用戶操作，都被提醒用戶不在sudoers文件中，如圖8所示。

由以上結(jié)果可知，三種用戶被sudoers配置文件分成三類不同的管理權(quán)限，將root的管理權(quán)限進(jìn)行了分割，極大地減少了系統(tǒng)濫用的風(fēng)險(xiǎn)，并且也使得root權(quán)限管理更清晰明了。

在自動(dòng)化運(yùn)維中，需要在控制端設(shè)計(jì)好管理命令，推送到被控制端自動(dòng)執(zhí)行，控制端和被控制端用的是相同的加入到/etc/sudoers中的具有系統(tǒng)管理權(quán)限的帳號(hào)，并且在執(zhí)行命令的過(guò)程中不能交互地輸入密碼，此時(shí)，就需要在控制條目中執(zhí)行命令前加一關(guān)鍵字NOPASSWD，即“USER_FLAG HOST_FLAG=( RUNAS_FLAG) NOPASSWD:COMMAND_FLAG ”樣的格式。

sudo提供的日志在/var/log/secure文件中，通過(guò)sudo方式執(zhí)行管理命令不

管是成功還是不成功，在該文件中都有明確的記載，如圖9所示，清楚地記錄了什么時(shí)候、在哪臺(tái)機(jī)器上、什么帳號(hào)、在什么路徑下，以誰(shuí)的身份執(zhí)行了什么命令，或者不被允許執(zhí)行什么命令，這對(duì)于事后分析追查是非常重要的依據(jù)，所以有很高的安全性。

3 小結(jié)

通過(guò)su認(rèn)證模塊的啟用和sudoers配置文件的應(yīng)用可以對(duì)root帳號(hào)權(quán)限實(shí)施有效的分配和管理，減少系統(tǒng)風(fēng)險(xiǎn)。特別是sudoers文件的分權(quán)功能，讓多管理員的系統(tǒng)各司其職，無(wú)法越權(quán)，這也是現(xiàn)在很多Linux發(fā)行版本普遍采用的一種方式。

[1]Bovet.深入理解Linux內(nèi)核[M].北京:中國(guó)電力出版社,2008.

[2]劉曉輝.網(wǎng)管天下[M].北京:電子工業(yè)出版社,2011.

[3]Matt Welsh & Lar Kaufman.Linux權(quán)威指南[M]. 北京:中國(guó)電力出版社,2000.

[4]余柏山.Linux系統(tǒng)管理與網(wǎng)絡(luò)管理[M]. 北京:清華大學(xué)出版社,2010.

[5]趙炯.Linux內(nèi)核完全剖析[M].北京:機(jī)械 工業(yè)出版社,2006.

[6]張恒杰.Red Hat Enterprise Linux服務(wù)器 配置與管理[M].北京:清華大學(xué)出版社,2013.

[7]丁明一.Linux運(yùn)維之道[M].北京:電子工業(yè)出版社,2016.

[8]Wolfgang Mauerer.深入Linux內(nèi)核架構(gòu)[M].北京:人民郵電出版社,2010.

Various Forms Realization of Controlling Root Account Authority under Linux Environment

Chen Jinlian

（Huanggang Polytechnic College, Huanggang 438002 Hubei）

The account security is the first security gateway of multi-task and multi-user operating system. In Linux environment, the security control of root account with system management authority is particularly important. It is an important skill of Linux system management to ensure the security of the root account, to realize the necessary system management, to realize the fine control of the root account permissions, and to find the best balance between the two.

Root account;Resource permission; Application authentication; Account switch

2020-09-05

陳金蓮，女，湖北紅安人，工程碩士，高級(jí)工程師，副教授。研究方向：網(wǎng)絡(luò)工程、網(wǎng)絡(luò)安全、服務(wù)器運(yùn)維。

TP315

A

1672-1047（2020）05-0120-04

10.3969/j.issn.1672-1047.2020.05.30

[責(zé)任編輯：羅幼平]