④linux 用户提权

用户如何提权

往往公司的服务器对外都是禁止root用户直接登录，所以我们通常使用的都是普通用户，那么问题来了？
当我们使用普通用户执行/sbin目录下的命令时，会发现没有权限运行，这种情况下我们无法正常的管理服务器，那如何才能不使用root用户直接登录系统，同时又保证普通用户能完成日常工作？
PS: 我们可以使用如下两种方式: su、sudo
1.su切换用户，使用普通用户登录，然后使用su命令切换到root。优点:简单 缺点:需要知道root密码
2.sudo提权，当需要使用root权限时进行提权，而无需切换至root用户，优点:安全、方便 缺点:复杂

1.su身份切换
在使用su切换前，我们需要了解一些预备知识，比如shell分类、环境变量配置文件有哪些

1.Linux Shell主要分为如下几类
交互式shell，等待用户输入执行的命令(终端操作,需要不断提示)
非交互式shell，执行shell脚本, 脚本执行结束后shell自动退出
登陆shell，需要输入用户名和密码才能进入Shell，日常接触的最多的一种
非登陆shell，不需要输入用户和密码就能进入Shell,比如运行bash会开启一个新的会话窗口

2.bash shell配置文件介绍(文件主要保存用户的工作环境)
个人配置文件：~/.bash_profile ~/.bashrc 。全局配置文件：/etc/profile /etc/profile.d/*.sh /etc/bashrc
profile类文件, 设定环境变量, 登陆前运行的脚本和命令。bashrc 类文件, 设定本地变量, 定义命令别名
PS: 如果全局配置和个人配置产生冲突，以个人配置为准。

3.登陆系统后，环境变量配置文件的应用顺序是?
登录式shell配置文件执行顺序: /etc/profile->/etc/profile.d/.sh->_{/.bash_profile->}/.bashrc->/etc/bashrc
非登陆式shell配置文件执行顺序: ~/.bashrc->/etc/bashrc->/etc/profile.d/.sh
PS: 验证使用echo在每行添加一个输出即可

[root@rstx-53 ~]# su - test3
/etc/profile
/etc/profile.d/test
/etc/bashrc
.bashrc
.bash_profile
[root@rstx-53 ~]# su test3
/etc/profile.d/test
/etc/bashrc
.bashrc

4.说了这么多预备知识，那这些和su命令切换用户有什么关系?
su - username属于登陆式shell，su username属于非登陆式shell，区别在于加载的环境变量不一样。
普通用户su -可以直接切换至root用户，但需要输入root用户的密码。
超级管理员root用户使用su - username切换普通用户不需要输入任何密码。

1.普通用户使用su切换root

[root@rstx-53 ~]$ su
密码：         #输入root的密码
[root@node1 xuliangwei]# pwd
/home/xuliangwei

2.普通用户使用su -切换到root，会加载root的环境变量

[root@rstx-53 ~]$ su -
密码：
[root@node1 ~]# pwd
/root

3.以某个用户的身份执行某个服务，使用命令su -c username

[root@rstx-53 ~]# su - xuliangwei -c 'ifconfig'
[root@rstx-53 ~]# su - xuliangwei -c 'ls ~'

2.sudo提权
su命令在切换用户身份时，如果每个普通用户都能拿到root用户的密码，当其中某个用户不小心泄漏了root的密码，那系统会变得非常不安全。为了改进这个问题，从而产生了sudo这个命令。

其实sudo就相当于给某个普通用户埋下了浩克(hulk)的种子，当需要执行一些高级操作时，进行发怒，但正常情况下还是普通人，还是会受到限制。

1.如何快速埋下hulk的种子呢？

1.快速配置sudo方式[先睹为快]

[root@rstx-53 ~]# usermod bgx -G wheel
[root@rstx-53 ~]$ sudo tail -f /var/log/secure    #sudo审计日志

2.一般正常配置sudo方式

[root@rstx-53 ~]# #visudo => vim /etc/sudoers
#1.用户名  2.主机名=(角色名）       4.命令名
bgx       ALL=(ALL)         /usr/bin/yum,/usr/sbin/useradd   #允许使用sudo执行命令
oldboy   ALL=(ALL)          NOPASSWD:/bin/cp, /bin/rm   #NOPASSWD不需要使用密码

2.埋下了hulk种子后又如何提权使用呢？

#1.切换普通用户
[root@rstx-53 ~]# su - xuliangwei

2.检查普通用户能提权的命令

[root@rstx-53 ~]$ sudo -l
User xuliangwei may run the following commands on this host:
    (ALL) ALL

3.普通用户正常情况下是无法删除opt目录的

[root@rstx-53 ~]$ rm -rf /opt/
rm: cannot remove `/opt: Permission denied

4.使用sudo提权，需要输入普通用户的密码。

[root@rstx-53 ~]$ sudo rm -rf /opt

3.提升的权限太大，能否有办法限制仅开启某个命令的使用权限？其他命令不允许？

第一种方式:使用sudo中自带的别名操作,将多个用户定义成一个组,这个组只有sudo认可

[root@rstx-53 ~]# visudo  #也可以使用vi /etc/sudoers来配置
# 1.使用sudo定义分组,这个系统group没什么关系
User_Alias OPS = oldboy,alex
User_Alias DEV = bgx,py

2.定义可执行的命令组,便于后续调用

Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum
Cmnd_Alias SERVICES = /sbin/service, /usr/bin/systemctl start
Cmnd_Alias STORAGE = /bin/mount, /bin/umount
Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod, /bin/chgrp
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall

3.使用sudo开始分配权限

OPS  ALL=(ALL) NETWORKING,SOFTWARE,SERVICES,STORAGE,DELEGATING,PROCESSES
DEV  ALL=(ALL) SOFTWARE,PROCESSES

4.登陆对应的用户使用 sudo -l 验证权限

第二种方式:使用groupadd添加组,然后给组分配sudo的权限,如果有新用户加入,直接将用户添加到该组.

#1.添加两个真实的系统组,  group_dev group_op
[root@www ~]# groupadd group_dev
[root@www ~]# groupadd group_op

#2.添加两个用户,      group_dev(user_a  user_b)   group_op(user_c  user_d)
[root@www ~]# useradd user_a -G group_dev
[root@www ~]# useradd user_b -G group_dev
[root@www ~]# useradd user_c -G group_op
[root@www ~]# useradd user_d -G group_op

#3.记得添加密码
[root@www ~]# echo "1" | passwd --stdin user_a
[root@www ~]# echo "1" | passwd --stdin user_b
[root@www ~]# echo "1" | passwd --stdin user_c
[root@www ~]# echo "1" | passwd --stdin user_d

#4.在sudo中配置规则
[root@www ~]# visudo
    Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping
    Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum
    Cmnd_Alias SERVICES = /sbin/service, /usr/bin/systemctl start
    Cmnd_Alias STORAGE = /bin/mount, /bin/umount
    Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod, /bin/chgrp
    Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall

    %group_dev ALL=(ALL) SOFTWARE
    %group_op ALL=(ALL) SOFTWARE,PROCESSES

#5.检查sudo是否配置有错
[root@www ~]# visudo -c
/etc/sudoers: parsed OK


#6.检查user_a,和user_d的sudo权限
[root@rstx-53 ~]$ sudo -l
User user_a may run the following commands on www:
    (ALL) /bin/rpm, /usr/bin/yum

[root@rstx-53 ~]$ sudo -l
User user_d may run the following commands on www:
    (ALL) /bin/rpm, /usr/bin/yum, /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall

4.sudo命令的执行流程:

1. 普通用户执行sudo命令时, 会检查/var/db/sudo是否存在时间戳缓存
2. 如果存在则不需要输入密码, 否则需要输入用户与密码
3. 输入密码会检测是否该用户是否拥有该权限
4. 如果有则执行，否则报错退出