Linux sudo 명령의 비밀: 효율성과 보안 향상을 위한 10가지 팁

sudo는 Linux 시스템에서 매우 강력하고 일반적으로 사용되는 명령으로 일반 사용자가 슈퍼유저(루트)로 특정 명령이나 프로그램을 실행할 수 있습니다. 이는 사용자가 루트 계정에 직접 로그인하는 것을 방지하여 시스템 보안 및 안정성을 향상시킵니다. 그러나 sudo 명령에는 숨겨진 기능과 요령이 많이 있다는 것을 알고 계셨습니까? 이 기사에서는 Linux에서 sudo를 설정하는 데 필요한 10가지 팁을 소개합니다. 이를 통해 sudo 명령을 더 잘 사용하여 다양한 작업을 완료할 수 있습니다.

sudo를 사용하면 사용자는 루트(또는 다른 사용자)로서 보안 정책에 지정된 명령을 실행할 수 있습니다. 즉, /etc sudoers를 읽고 구문 분석하고 호출 사용자와 해당 권한을 찾은 다음 호출 사용자에게 암호(일반적으로 사용자의 암호)를 묻는 메시지를 표시합니다. 그러나 이는 대상 사용자의 비밀번호일 수도 있고 NOPASSWD를 사용하여 비밀번호 확인을 취소할 수도 있습니다. 그 후 sudo는 setuid()가 호출되어 다음에 대상 사용자로 전환하는 하위 프로세스를 생성합니다. 쉘 또는 위의 하위 프로세스 .
다음은 기본값 항목을 사용하여 sudo 명령의 동작을 수정하기 위한 10개의 /etc/sudoers 파일 구성입니다.

으아아아

1.안전한 경로를 설정하세요

이 경로는 sudo를 사용하여 실행되는 모든 명령에 사용되며 다음 두 가지 이유로 중요합니다.
시스템 관리자가 sudo 사용자가 안전한 PATH 환경 변수를 가지고 있다는 것을 신뢰하지 않을 때 사용됩니다
"루트 경로"와 "사용자 경로"를 구분하기 위해 exempt_group으로 정의된 사용자만 이 설정의 영향을 받지 않습니다.
설정하려면 다음 줄을 추가하세요:

으아아아

2. TTY 사용자 로그인 세션에서 sudo를 활성화합니다

cron 또는 cgi-bin 스크립트와 같은 방법을 통하지 않고 실제 tty에서 sudo 호출을 활성화하려면 다음 줄을 추가하세요.

으아아아

3. pty

를 사용하여 sudo 명령을 실행합니다.

때때로 공격자는 sudo를 사용하여 악성 프로그램(예: 바이러스 또는 맬웨어)을 실행할 수 있으며, 이는 기본 프로그램 실행이 완료된 후에도 사용자의 최종 장치에 남아 있는 백그라운드 프로세스를 다시 포크합니다.

이를 방지하려면 아래와 같이 I/O 로그가 켜져 있는지 여부에 관계없이 use_pty 매개 변수를 사용하여 psuedo-pty에서 다른 명령만 실행하도록 sudo를 구성할 수 있습니다.

으아아아

4. Sudo 로그 파일 생성

기본적으로 sudo 로그는 syslog(3)를 통해 생성됩니다. 그러나 사용자 정의 로그 파일을 지정하려면 다음과 같은 logfile 매개변수를 사용하세요.

으아아아

사용자 지정 로그 파일에 호스트 이름과 4자리 연도를 기록하려면 다음과 같이 각각 log_host 및 log_year 매개 변수를 사용하세요.

으아아아

5. Sudo 명령 입력/출력 기록

log_input 및 log_output 매개변수를 사용하면 sudo가 의사 tty에서 명령을 실행하고 모든 사용자 입력과 화면에 전송된 모든 출력을 기록할 수 있습니다.

기본 I/O 로그 디렉터리는 /var/log/sudo-io이며, 세션 일련 번호가 있으면 이 디렉터리에 저장됩니다. iolog_dir 매개변수를 통해 사용자 정의 디렉토리를 지정할 수 있습니다.

으아아아

%{seq}와 같은 일부 이스케이프 시퀀스를 지원합니다. 이는 000001과 같이 단조롭게 증가하는 기본 36 시퀀스 번호로 확장됩니다. 여기서 두 자리마다 새 디렉토리를 형성하는 데 사용됩니다. 00/00/01(다음 예 참조):

으아아아

6. Sudo 사용자를 설명하세요

sudo 사용자에게 시스템의 비밀번호 사용법을 가르치려면 아래와 같이 강의 매개변수를 사용하세요.

가능한 값은 3가지입니다:

항상 – 항상 한 명의 사용자에 대해 이야기합니다.

once – 사용자가 처음으로 sudo 명령을 실행할 때만 사용됩니다(값이 지정되지 않은 경우에 사용됨)

never – 사용자를 교육하지 않습니다.

으아아아

또한 강의 파일 매개변수를 사용하여 사용자 정의 강의 파일을 설정할 수 있으며 파일에 해당 메시지를 입력할 수 있습니다.

으아아아

7. 잘못된 sudo 비밀번호 입력 시 맞춤 메시지 표시

사용자가 잘못된 비밀번호를 입력하면 명령줄에 특정 메시지가 표시됩니다. 기본 메시지는 "죄송합니다. 다시 시도하세요"입니다. 다음과 같이 badpass_message 매개변수를 사용하여 메시지를 수정할 수 있습니다.
기본값 badpass_message=”비밀번호가 잘못되었습니다. 다시 시도해 주세요. 감사합니다!”

8. sudo 비밀번호 시도 제한을 늘립니다

passwd_tries 매개변수는 사용자가 비밀번호 입력을 시도하는 횟수를 지정하는 데 사용됩니다. 기본값은 3입니다:

으아아아

9. 잘못된 비밀번호를 입력하면 Sudo에서 메시지를 표시합니다

으아아아

10. Sudo 구성에 대해 자세히 알아보세요

http://blog.csdn.net/wh211212/article/details/52923673

위 내용은 Linux sudo 명령의 비밀: 효율성과 보안 향상을 위한 10가지 팁의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!