以下是切换到 Linux sudo 命令的五个安全原因。下载 sudo 参考手册获取更多技巧。

在传统的 Unix 和类 Unix 系统上，新系统中存在的第一个同时也是唯一的用户是 root。使用 root 账户登录并创建“普通”用户。在初始化之后，你应该以普通用户身份登录。

以普通用户身份使用系统是一种自我施加的限制，可以防止愚蠢的错误。例如，作为普通用户，你不能删除定义网络接口的配置文件或意外覆盖用户和组列表。作为普通用户，你无权访问这些重要文件，所以你无法犯这些错误。作为系统的实际所有者，你始终可以通过 su 命令切换为超级用户（root）并做你想做的任何事情，但对于日常工作，你应该使用普通账户。

几十年来，su 运行良好，但随后出现了 sudo 命令。

对于日常使用超级用户的人来说，sudo 命令乍一看似乎是多余的。在某些方面，它感觉很像 su 命令。例如：

$ su root
<输入密码>
# dnf install -y cowsay

sudo 做同样的事情：

$ sudo dnf install -y cowsay
<输入密码>

它们的作用几乎完全相同。但是大多数发行版推荐使用 sudo 而不是 su，甚至大多数发行版已经完全取消了 root 账户（LCTT 译注：不是取消，而是默认禁止使用 root 用户进行登录、运行命令等操作。root 依然是 0 号用户，依然拥有大部分系统文件和在后台运行大多数服务）。让 Linux 变得愚蠢是一个阴谋吗？

事实并非如此。sudo 使 Linux 更加灵活和可配置，并且没有损失功能，此外还有 几个显著的优点。

为什么在 Linux 上 sudo 比 root 更好？

以下是你应该使用 sudo 替换 su 的五个原因。

1. root 是被攻击确认的对象

我使用 防火墙、fail2ban 和 SSH 密钥 的常用组合来防止一些针对服务器的不必要访问。在我理解 sudo 的价值之前，我对日志中的暴力破解感到恐惧。自动尝试以 root 身份登录是最常见的情况，自然这是有充分理由的。

有一定入侵常识的攻击者应该知道，在广泛使用 sudo 之前，基本上每个 Unix 和 Linux 都有一个 root 账户。这样攻击者就会少一种猜测。因为登录名总是正确的，只要它是 root 就行，所以攻击者只需要一个有效的密码。

删除 root 账户可提供大量保护。如果没有 root，服务器就没有确认的登录账户。攻击者必须猜测登录名以及密码。这不是两次猜测，而是两个必须同时正确的猜测。（LCTT 译注：此处是误导，root 用户不可删除，否则系统将会出现问题。另外，虽然 root 可以改名，但是也最好不要这样做，因为很多程序内部硬编码了 root 用户名。可以禁用 root 用户，给它一个不能登录的密码。）

2. root 是最终的攻击媒介

在访问失败日志中经常可以见到 root 用户，因为它是最强大的用户。如果你要设置一个脚本强行进入他人的服务器，为什么要浪费时间尝试以受限的普通用户进入呢？只有最强大的用户才有意义。

root 既是唯一已知的用户名，又是最强大的用户账户。因此，root 基本上使尝试暴力破解其他任何东西变得毫无意义。

3. 可选择的权限

su 命令要么全有要么全没有。如果你有 su root 的密码，你就可以变成超级用户。如果你没有 su 的密码，那么你就没有任何管理员权限。这个模型的问题在于，系统管理员必须在将 root 密钥移交或保留密钥和对系统的所有权之间做出选择。这并不总是你想要的，有时候你只是想授权而已。

例如，假设你想授予用户以 root 身份运行特定应用程序的权限，但你不想为用户提供 root 密码。通过编辑 sudo 配置，你可以允许指定用户，或属于指定 Unix 组的任何用户运行特定命令。sudo 命令需要用户的现有密码，而不是你的密码，当然也不是 root 密码。

4.超时

使用 sudo 运行命令后，通过身份验证的用户的权限会提升 5 分钟。在此期间，他们可以运行任何管理员授权的命令。

5 分钟后，认证缓存被清空，下次使用 sudo 再次提示输入密码。超时可防止用户意外执行某些操作（例如，搜索 shell 历史记录时不小心或按多了向上箭头）。如果一个用户离开办公桌而没有锁定计算机屏幕，它还可以确保另一个用户不能运行这些命令。

5. 日志记录

Shell 历史功能可以作为一个用户所做事情的日志。如果你需要了解系统发生了什么，你可以（理论上，取决于 shell 历史记录的配置方式）使用 su 切换到其他人的账户，查看他们的 shell 历史记录，也可以了解用户执行了哪些命令。

但是，如果你需要审计 10 或 100 名用户的行为，你可能会注意到此方法无法扩展。Shell 历史记录的轮转速度很快，默认为 1000 条，并且可以通过在任何命令前加上空格来轻松绕过它们。

当你需要管理任务的日志时，sudo 提供了一个完整的 日志记录和警报子系统，因此你可以在一个特定位置查看活动，甚至在发生重大事件时获得警报。

学习 sudo 其他功能

除了本文列举的一些功能，sudo 命令还有很多已有的或正在开发中的新功能。因为 sudo 通常是你配置一次然后就忘记的东西，或者只在新管理员加入团队时才配置的东西，所以很难记住它的细微差别。

下载 sudo 参考手册，在你最需要的时候把它当作一个有用的指导书。

sudo 参考手册

via: https://opensource.com/article/22/5/use-sudo-linux

作者：Seth Kenlon 选题：lkxed 译者：MjSeven 校对：turbokernel

本文由 LCTT 原创编译，Linux中国 荣誉推出

最近的 sudo 版本增加了新的功能，使你能够观察和控制以前隐藏的问题。

当你想授予你的一些用户管理权限，同时控制和检查他们在你的系统上做什么时，你会使用 sudo。然而，即使是 sudo'，也有相当多不可控的地方，想想给予 shell 权限的情况就知道了。最近的 sudo 版本增加了一些功能，可以让你看到这些问题，甚至控制它们。例如，你可以启用更详细、更容易处理的日志信息，并记录 shell 会话中执行的每个命令。

这些功能中有些是全新的。有些是出现在 1.9.0 甚至更早的版本中的功能。例如，sudo 可以记录终端上发生的一切，即使是在 1.8 版本。然而，系统将这些记录保存在本地，它们很容易被删除，特别是那些记录最有用的地方：Shell 会话。1.9.0 版本增加了会话记录集中收集，因此记录不能被本地用户删除，最近的版本还增加了中继功能，使收集功能更加强大。

如果你只知道 sudo 的基础知识，或者以前只使用过 1.8 版本，我建议你阅读我以前的 文章。

1、JSON 格式的日志记录

我想介绍的第一个新功能是 JSON 格式的日志记录。我是一个日志狂热者（12 年前我就开始在 syslog-ng 项目上工作），而这个功能是我在这里发表文章后引入的第一个功能。启用后，sudo 记录了更多的信息，并且以一种更容易解析的方式进行。

传统的 syslog 信息很短，只包含最小的必要信息量。这是由于旧的 syslog 实现的限制。超过 1k 大小的信息被丢弃或截断。

Jan 28 13:56:27 localhost.localdomain sudo[10419]: czanik : TTY=pts/0 ; PWD=/home/czanik ; USER=root ; COMMAND=/bin/bash

最近的 syslog 实现可以处理更大的信息量。syslog-ng 默认接受 64k 大小的日志信息（当然，它可以更小或更大，取决于实际配置）。

同样的事件，如果以 JSON 格式记录，就会包含更多的信息。更多并不意味着更难处理。JSON 格式的信息更容易被许多日志管理软件应用解析。下面是一个例子：

Jan 28 13:58:20 localhost.localdomain sudo[10518]: @cee:{"sudo":{"accept":{"uuid":"616bc9efcf-b239-469d-60ee-deb5af8ce6","server_time":{"seconds":1643374700,"nanoseconds":222446715,"iso8601":"20220128125820Z","localtime":"Jan 28 13:58:20"},"submit_time":{"seconds":1643374700,"nanoseconds":209935349,"iso8601":"20220128125820Z","localtime":"Jan 28 13:58:20"},"submituser":"czanik","command":"/bin/bash","runuser":"root","runcwd":"/home/czanik","ttyname":"/dev/pts/0","submithost":"localhost.localdomain","submitcwd":"/home/czanik","runuid":0,"columns":118,"lines":60,"runargv":["/bin/bash"],"runenv":["LANG=en_US.UTF-8","HOSTNAME=localhost.localdomain","SHELL=/bin/bash","TERM=xterm-256color","PATH=/home/czanik/.local/bin:/home/czanik/bin:/usr/local/bin:/usr/bin:/usr/local/sbin:/usr/sbin","MAIL=/var/mail/root","LOGNAME=root","USER=root","HOME=/root","SUDO_COMMAND=/bin/bash","SUDO_USER=czanik","SUDO_UID=1000","SUDO_GID=1000"]}}}

你可以在 sudoers 文件中启用 JSON 格式的日志信息：

Defaults log_format=json

你可以从我的 syslog-ng 博客中了解更多关于如何从 sudo 中使用 JSON 格式的日志信息。

2、使用 sudo\_logsrvd 集中收集日志

1.9.4 中另一个与日志相关的功能是使用 sudo_logsrvd 收集所有 sudo 日志信息（包括失败的）。以前，系统只在 sudo_logsrvd 实际进行记录时记录成功的会话。最后仍然默认通过 syslog 进行记录。

为什么这很重要？首先，你可以在一个地方收集任何与 sudo 有关的东西。无论是会话记录还是所有相应的日志信息。其次，它还可以保证正确记录所有与 sudo 有关的事件，因为如果 sudo_logsrvd 无法访问，sudo 可以拒绝执行命令。

你可以在 sudoers 文件中通过以下设置启用 sudo_logsrvd 日志记录（当然要替换 IP 地址）：

Defaults log_servers=172.16.167.150

如果你想要 JSON 格式的日志信息，你需要在 sudo_logsrvd 配置的 [eventlog] 部分进行如下设置：

log_format = json

否则，sudo_logsrvd 使用传统的 sudo 日志格式，并作了简单的修改。它还包括日志来源的主机的信息：

Nov 18 12:40:16 centos8splunk.localdomain sudo[21028]:   czanik : 3 incorrect password attempts ; HOST=centos7sudo.localdomain ; TTY=pts/0 ; PWD=/home/czanik ; USER=root ; COMMAND=/bin/bash
Nov 18 12:40:23 centos8splunk.localdomain sudo[21028]:   czanik : HOST=centos7sudo.localdomain ; TTY=pts/0 ; PWD=/home/czanik ; USER=root ; TSID=00000A ; COMMAND=/bin/bash
Nov 18 12:40:30 centos8splunk.localdomain sudo[21028]:   czanik : command rejected by I/O plugin ; HOST=centos7sudo.localdomain ; TTY=pts/0 ; PWD=/home/czanik ; USER=root ; COMMAND=/bin/bash

3、中继

当最初引入 sudo_logsrvd（1.9.0 版）进行会话记录集中收集时，客户端只能直接发送记录。1.9.7 版本引入了中继的概念。有了中继，你可以不直接发送记录，而是将记录发送到多级中间主机，这些中间主机构成你的网络。

为什么这很重要？首先，中继使收集会话记录成为可能，即使集中主机由于网络问题或维护而不可用。默认情况下，sudo 在无法发送记录时拒绝运行，所以中继可以确保你可以全天候使用 sudo。

其次，它还允许你对网络有更严格的控制。你不需要为所有的主机向中心的 sudo_logsrvd 开放防火墙，而只需要允许你的中继通过。

最后，它允许你从没有直接互联网接入的网络中收集会话记录，比如 AWS 私有网络，你可以在网关主机上以中继模式安装 sudo_logsrvd。

当你使用中继时，sudo 客户端和中心的 sudo_logsrvd 的配置保持不变。在中继主机上，在 sudo_logsrvd.conf 的 [relay] 部分添加以下一行：

relay_host = 172.16.167.161

如果知道通往中心服务器的网络连接有问题，你可以配置中继，在转发记录之前储存它：

store_first = true

4、记录子命令

你是否曾经想知道在通过 sudo 启动的 shell 会话中发生了什么？是的，会话记录是存在的，但是为了看几个命令的执行情况而看几个小时的记录是很无聊的，也是对时间的巨大浪费。幸运的是，1.9.8 版本引入了子命令日志。现在，只需定期检查你的日志信息，并在发生可疑情况时才观看记录。

你甚至不需要一个允许 shell 访问的规则，只需要访问一个编辑器就可以访问 shell。大多数编辑器可以运行外部命令。我最喜欢的编辑器是 JOE，这是我通过 sudo 启动它时可以看到的情况：

Aug 30 13:03:00 czplaptop sudo[10150]:   czanik : TTY=pts/1 ; PWD=/home/czanik ; USER=root ; COMMAND=/usr/bin/joe

不用吃惊，就在一个编辑器里，我生成一个 shell 并从该 shell 中删除一些文件和分区。现在让我们看看当你启用对子命令记录时会发生什么：

Aug 30 13:13:14 czanik : TTY=pts/1 ; PWD=/home/czanik ; USER=root ; COMMAND=/usr/bin/joe
Aug 30 13:13:37 czanik : TTY=pts/1 ; PWD=/home/czanik ; USER=root ; COMMAND=/bin/sh -c /bin/bash
Aug 30 13:13:37 czanik : TTY=pts/1 ; PWD=/home/czanik ; USER=root ; COMMAND=/bin/bash
Aug 30 13:13:37 czanik : TTY=pts/1 ; PWD=/home/czanik ; USER=root ; COMMAND=/usr/bin/readlink /proc/10889/exe
[...]
Aug 30 13:13:37 czanik : TTY=pts/1 ; PWD=/home/czanik ; USER=root ; COMMAND=/usr/bin/sed -r s@/*:|([^\\\\]):@\1\n@g;H;x;s@/\n@\n@
Aug 30 13:13:37 czanik : TTY=pts/1 ; PWD=/home/czanik ; USER=root ; COMMAND=/usr/bin/tty
Aug 30 13:13:42 czanik : TTY=pts/1 ; PWD=/home/czanik ; USER=root ; COMMAND=/usr/bin/id
Aug 30 13:13:56 czanik : TTY=pts/1 ; PWD=/home/czanik ; USER=root ; COMMAND=/usr/bin/ls -A -N --color=none -T 0 /usr/share/syslog-ng/include/scl/

我省略了几十行以节省一些空间，但你仍然可以看到我启动了一个 shell，bash_profile 执行的命令也可以在日志中看到。

你可以在 sudoers 文件中使用以下设置来启用子命令日志：

`Defaults log_subcmds`

在传统的 sudo 日志中，你可以从 sudo 进程 ID 看到这些日志正是来自同一个 sudo会话。如果你打开 JSON 格式的日志，如前面所示，sudo 在日志中记录了更多的信息，使之更容易进行分析。

5、拦截子命令

记录子命令可以消除 sudo 的大部分隐患，但在有些情况下，你不只是想观察正在发生的事情，还想控制事件的流程。例如，你需要给一个用户提供 shell 权限，但仍想阻止他们运行一个特定的命令。在这种情况下，拦截是理想的选择。当然，也有一些限制，比如你不能限制 shell 的内置命令。

比方说，who 命令很危险。你可以分两步启用拦截。第一个步骤是启用它，第二个步骤是配置它。在这种情况下，我的用户不被允许运行 who：

Defaults intercept
czanik ALL = (ALL) ALL, !/usr/bin/who

当我通过sudo 启动一个 root shell 会话并尝试运行 who 时，会发生以下情况：

$ sudo -s
# who
Sorry, user czanik is not allowed to execute '/usr/bin/who' as root on czplaptop.
bash: /usr/bin/who: Permission denied

你可以很容易地完全禁用运行 shell：

Defaults intercept
Cmnd_Alias SHELLS=/usr/bin/bash, /usr/bin/sh, /usr/bin/csh
czanik ALL = (ALL) ALL, !SHELLS

这意味着你不能通过 sudo 启动 shell 会话。不仅如此，你也不能从编辑器中执行外部命令。当我试图从 vi 中启动 ls 命令时，就会出现这种情况：

$ sudo vi /etc/issue
Sorry, user czanik is not allowed to execute '/bin/bash -c /bin/ls' as root on czplaptop.
Cannot execute shell /bin/bash
Press ENTER or type command to continue

接下来是什么？

我希望读了我的文章后，自己尝试一下这些新功能。你可以通过你的软件包管理器在许多 Linux 发行版和 UNIX 变种上安装最新的 sudo，或者使用 Sudo 网站 上的二进制安装程序。

这篇文章只是为你提供了一个新的可能性的概述。如果你想了解更多关于这些功能的信息，请访问网站，那里有手册页面，也有 Sudo 博客。

via: https://opensource.com/article/22/2/new-sudo-features-2022

作者：Peter Czanik 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

我假设你对 Linux 很陌生。

你按照网上的一些教程，告诉你要安装某个程序或运行某个命令。可能是与服务器有关的东西。

但当你运行这个命令时，你遇到了这个错误：

E: Could not open lock file /var/lib/dpkg/lock-frontend – open (13: Permission denied)
E: Unable to acquire the dpkg frontend lock (/var/lib/dpkg/lock-frontend), are you root?

或者类似的错误：

dpkg: error: required read/write access to the dpkg database directory /var/lib/dpkg
E: Sub-process dpkg –set-selections returned an error code (2)
E: Executing dpkg failed. Are you root?

这两个错误都在问你同一个问题：你是 root 吗？而这就是这个问题的答案。成为 root。

成为 root 以避免这个错误

你如何 在 Ubuntu 或 Debian 中成为 root？你使用 sudo 命令。

是的，就是这样。无论你在运行什么命令，只要在它前面加上 sudo 即可。

sudo your_command

它将要求你输入你的用户账户密码。请记住，当你输入密码时，屏幕上不会显示任何东西，这也没关系。

你的系统没有任何问题。在大多数 Linux 系统中，输入密码时不会显示通常的星号或其他东西是一种“安全特性”。

只要输入密码，并在密码后按下回车键即可。如果密码输入正确，你现在应该可以运行该命令了。

你甚至可以使用这个方便的 Linux 命令行技巧，用 sudo 运行以前的命令：

sudo !!

这很简单，而且立即生效，除非你没有 sudo 权限。然后，你会看到一个不同的错误。

看到一个 “User is not in sudoer file” 的错误？

当你 安装 Ubuntu 时，你必须创建一个用户账户。这个用户被自动授予 sudo 权限，在需要时以 root 身份运行命令。

这发生在 Ubuntu 桌面上，而不是服务器上。大多数服务器发行版会有一个单独的 root 账户。如果你单独创建了一个普通账户，你就必须把这个用户添加到 sudoer 中，以便这个普通用户可以使用 sudo。

在上面的截图中，我已经创建了这个额外的用户，但没有将其添加到 sudo 组中。这意味着这里的用户 prakash 没有使用 sudo 命令的权限，因此系统抱怨 “prakash is not in sudoers file”。

该事件在哪里报告？

错误的 sudo 尝试会被添加到系统日志中。它记录了用户名、虚拟终端号、运行命令的位置和运行的命令。

这些日志的位置在不同的发行版中有所不同。

通常，在 Ubuntu 中你可以在 journalctl 日志或 /var/log/auth.log 文件中找到它，在 Fedora 中可以在 /var/log/audit/audit.log 文件中找到它。

如果一个用户不在 sudoer 列表中，你能做什么？

当你不能用当前的用户账户使用 sudo 时，你能做什么？首先，验证该用户是否有 sudo 权限。如果没有，你可以有一些选择：

• 以 root 身份登录或切换 root 身份（如果你有 root 密码）。
• 将该用户加入 sudoer 列表 （如果你有其他用户账户的管理或 sudo 权限）。
• 如果你在多用户的 Linux 系统中，自己没有 root 或 sudo 权限，请你的系统管理员授予你的用户 sudo 权限或安装你想安装的应用。

这有帮助吗？

sudo 是一个非常全面的安全机制，它不仅仅是允许一个普通用户成为 root。它有助于对系统进行审计，了解哪个用户用 sudo 运行了哪个命令。它还可以被配置为只允许某个用户用 sudo 运行某些命令。

你不会在桌面 Linux 上看到如此细化的 sudo 配置，在桌面 Linux 上，它被预先配置为允许 sudo 组中的任何用户以 root 的身份运行任何命令。关于 sudo 的更多信息，请参见其他文章。

我希望在解决这个经典的初学者问题时，你能对 sudo 命令有一些初步的了解。如果你对这个主题有进一步的问题，请在评论区告诉我。

via: https://itsfoss.com/fixed-are-you-root-error/

作者：Abhishek Prakash 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

当你刚接触 Linux 时，你会经常遇到这样的建议：永远不要运行 sudo rm -rf /。在 Linux 世界里，更是围绕着 sudo rm -rf 有很多梗。

但似乎对于它也有一些混乱的认识。在 清理 Ubuntu 以腾出空间 的教程中，我建议运行一些涉及 sudo 和 rm -rf 的命令。一位读者问我，如果 sudo rm -rf 是一个不应该运行的危险的 Linux 命令，我为什么要建议这样做。

因此，我想到了写一篇 Linux 黑话解释，以消除误解。

sudo rm -rf 在做什么？

让我们按步骤来学习。

rm 命令用于 在 Linux 命令行中删除文件和目录。

$ rm agatha
$

但是因为有只读的 文件权限，有些文件不会被立即删除。它们必须用选项 -f 强制删除。

$ rm books
rm: remove write-protected regular file 'books'? y
$ rm -f christie
$

另外，rm 命令不能被用来直接删除目录（文件夹）。你必须在 rm 命令中使用递归选项 -r。

$ rm new_dir
rm: cannot remove 'new_dir': Is a directory

因此最终，rm -rf 命令意味着递归地、强制删除指定的目录。

$ rm -r new_dir
rm: remove write-protected regular file 'new_dir/books'? ^C
$ rm -rf new_dir
$

下面是上述所有命令的截图。

如果你在 rm -rf 命令前加入 sudo，你就是在删除具有 root 权限的文件。这意味着你可以删除由 root 用户 拥有的系统文件。

所以，sudo rm -rf 是一个危险的 Linux 命令？

嗯，任何删除东西的命令都可能是危险的，如果你不确定你正在删除什么。

把 rm -rf 命令看作一把刀。刀是一个危险的东西吗？有可能。如果你用刀切蔬菜，那是好事。如果你用刀切手指，那当然是不好的。

rm -rf 命令也是如此。它本身并不危险。它只是用来删除文件的。但是，如果你在不知情的情况下用它来删除重要文件，那就有问题了。

现在来看看 sudo rm -rf /。

你知道，使用 sudo，你是以 root 身份运行一个命令，这允许你对系统进行任何改变。

/ 是根目录的符号。/var 表示根目录下的 var 目录。/var/log/apt 指的是根目录的 log 目录下的 apt 目录。

按照 Linux 目录层次结构，Linux 文件系统中的一切都从根目录开始。如果你删除了根目录，你基本上就是删除了系统中的所有文件。

这就是为什么建议不要运行 sudo rm -rf / 命令，因为你会抹去你的整个 Linux 系统。

请注意，在某些情况下，你可能正在运行像 sudo rm -rf /var/log/apt 这样的命令，这可能是没问题的。同样，你必须注意你正在删除的东西，就像你必须注意你正在用刀切割的东西一样。

我在玩火：如果我运行 sudo rm -rf /，看看会发生什么呢？

大多数 Linux 发行版都提供了一个故障安全保护，防止意外删除根目录。

$ sudo rm -rf /
[sudo] password for abhishek:
rm: it is dangerous to operate recursively on '/'
rm: use --no-preserve-root to override this failsafe

我的意思是，人是会打错字的，如果你不小心打了 / var/log/apt，而不是 /var/log/apt（/ 和 var 之间的空格意味着你给出了 / 和 var 目录来删除），你将会删除根目录。（LCTT 译注：我真干过，键盘敲的飞起，结果多敲了一个空格，然后就丢了半个文件系统 —— 那时候 Linux 还没这种故障安全保护。）

别担心。你的 Linux 系统会照顾到这种意外。

现在，如果你一心想用 sudo rm -rf / 来破坏你的系统呢？你将必须使用它将要求你使用的 -no-preserve-root 选项与之配合。

不，请不要自己这样做。让我做给你看看。

所以，我在一个虚拟机中运行基本的操作系统。我运行 sudo rm -rf / --no-preserve-root，你可以在下面的视频中看到灯光熄灭（大约 1 分钟）。

清楚了么？

Linux 有一个活跃的社区，大多数人都会帮助新用户。 之所以说是大多数，是是因为有一些的邪恶坏人潜伏着捣乱新用户。他们经常会建议对初学者所面临的最简单的问题运行 rm -rf /。我认为这些白痴在这种邪恶行为中得到了某种至上主义的满足。我会立即将他们从我管理的论坛和群组中踢出去。

我希望这篇文章能让你更清楚地了解这些情况。你有可能仍然有一些困惑，特别是因为它涉及到根目录、文件权限和其他新用户可能不熟悉的东西。如果是这样的话，请在评论区告诉我你的疑惑，我会尽力去解决。

最后，请记住。 不要喝酒胡搞 Don’t drink and root 。在运行你的 Linux 系统时要安全驾驶。

via: https://itsfoss.com/sudo-rm-rf/

作者：Abhishek Prakash 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

阿里云的 CentOS 替代品 OpenAnolis 宣布成立理事会

在 2020 年 12 月 CentOS 项目组宣布 CentOS 8 将于 2021 年底结束支持后，几个公有云服务商纷纷宣布基于之前的内部使用的发行版推出 CentOS 替代发行版，这包括华为云的 openEuler、腾讯云的 TencentOS、阿里云的 OpenAnolis。

OpenAnolis 社区由阿里云于 2020 年 9 月发起，而近日 OpenAnolis 社区宣布正式成立理事会、技术委员会和运营委员会。首批理事成员单位包括阿里云、统信软件、飞腾、兆芯、龙芯等主流芯片厂家和国内领先云公司，以及以 Intel 等国外领先芯片厂家为代表的合作伙伴单位。

OpenAnolis 社区将于 2021 年第二季度发布 Anolis OS 8，和 CentOS 完全兼容。

虽然基于对这些云服务商的历史风评，开源和技术社区对他们推出的这些发行版有种种不同看法，但是我认为，还是应该对这些发行版的成长持乐观态度，我也认为，这对国内的开源生态和发行版生态有一定的促进作用。当然，目前看起来，这些发行版在社区治理、项目价值方面还没有公开的、明确的计划和思考，存在着发展上的隐忧。

sudo 被爆有史以来最重要的高危漏洞，可 root 提权

安全研究人员今日披露了一个 sudo 的高危漏洞 CVE-2021-3156，可以据此漏洞提权至 root。更严重的是，这个漏洞已经出现了近 10 年之久了。

几乎目前所有在使用的 sudo 版本都受影响，这包括从 1.8.2 到 1.8.32p2 的经典版本，以及从 1.9.0 到 1.9.5p1 所有稳定版本。研究人员说，该漏洞“可被任何本地用户利用”，在不需要认证的情况下获得最高权限。在流行的 Ubuntu 20.04、Debian 10、Fedora 33 等 Linux 发行版上均可以获取完全的 root 权限。

各大发行版都在纷纷准备补丁，系统管理员们要及时更新，这个漏洞“可能是有史以来最重要的 sudo 漏洞”。

微软 Office 借助容器技术，可编辑和使用恶意文档

微软上线了适用于微软 Office 的应用防护功能。该功能可以在用户打开来自不信任来源的文件之前，将其放置在容器中，以便于抵御恶意威胁。据微软说，它不仅可以让你的系统免受恶意文档的侵害，而且由于使用了基于 Hyper-V 的容器，你的文件也受到保护，不会受基于系统内核的攻击。并且，这与以只读模式打开文件的保护视图不同，你可以在不离开容器的情况下以有限的容量编辑和打印文件。

很早以前，文档都是无害的，但是随着要求文档加入各种自动和智能的功能，文档也成了恶意代码的潜伏地。我认为，微软的这种容器式沙盒模式很有意义，可以真正隔离风险。之前没有推出这样功能，可能是因为容器的运行成本比较高吧。但是随着现在容器技术的发展，微软也在 Windows 上支持了更多的容器技术，将容器技术应用到文档上是一个很好的创举。

从集中会话记录、chroot 支持到 Python API，sudo 1.9 提供了许多新功能。

当你想在 POSIX 系统上执行一个操作时，最安全的方法之一就是使用 sudo 命令。与以 root 用户身份登录并执行命令可能是个危险的操作不同，sudo 授予任何被系统管理员指定为 “sudoer”的用户临时权限，来执行通常受限制的活动。

几十年来，这个系统帮助 Linux、Unix 和 macOS 系统免受愚蠢的错误和恶意攻击，它是当今所有主要 Linux 发行版的默认管理机制。

当在 2020 年 5 月发布 sudo 1.9 时，它带来了许多新功能，包括集中收集会话记录，支持 sudo 内的 chroot，以及 Python API。如果你对其中的任何一项感到惊讶，请阅读我的文章，了解一些 sudo 鲜为人知的功能。

sudo 不仅仅是一个管理命令的前缀。你可以微调权限，记录终端上发生的事情，使用插件扩展sudo，在 LDAP 中存储配置，进行广泛的日志记录，以及更多。

1.9.0 版本和后续的小版本增加了各种新功能（我将在下面介绍），包括：

• 一个集中收集 sudo 会话记录的记录服务
• 审计插件 API
• 审批插件 API
• Python 对插件的支持
• sudo 内置 chroot 和 CWD 支持（从 1.9.3 开始）

哪里可以得到 sudo 1.9？

大多数的 Linux 发行版仍然封装了上一代的 sudo（1.8 版本），并且在长期支持（LTS）的发行版中会保持这个版本数年。据我所知，提供了最完整的 sudo 1.9 包的 Linux 发行版是 openSUSETumbleweed，它是一个滚动发行版，而且该 sudo 包的子包中有 Python 支持。最近的 Fedora 版本包含了 sudo 1.9，但没有 Python 支持。FreeBSD Ports 有最新的 sudo 版本，如果你自己编译 sudo 而不是使用软件包，你可以启用 Python 支持。

如果你喜欢的 Linux 发行版还没有包含 sudo 1.9，请查看 sudo 二进制页面来查看是否有现成的包可以用于你的系统。这个页面还提供了一些商用 Unix 变种的软件包。

像往常一样，在你开始试验 sudo 设置之前，确保你知道 root 密码。是的，即使在 Ubuntu 上也是如此。有一个临时的“后门”是很重要的；如果没有这个后门，如果出了问题，你就必须得黑掉自己的系统。记住：语法正确的配置并不意味着每个人都可以在该系统上通过 sudo 做任何事情！

记录服务

记录服务可以集中收集会话记录。与本地会话记录存储相比，这有很多优势：

• 更方便地在一个地方进行搜索，而不是访问各个机器来寻找记录
• 即使在发送机器停机的情况下也可以进行记录
• 本地用户若想掩盖其轨迹，不能删除记录

为了快速测试，你可以通过非加密连接向记录服务发送会话。我的博客中包含了说明，可以在几分钟内完成设置。对于生产环境，我建议使用加密连接。有很多可能性，所以请阅读最适合你的环境的文档。

审计插件 API

新的审计插件 API 不是一个用户可见的功能。换句话说，你不能从 sudoers 文件中配置它。它是一个 API，意味着你可以从插件中访问审计信息，包括用 Python 编写的插件。你可以用很多不同的方式来使用它，比如当一些有趣的事情发生时，从 sudo 直接发送事件到 Elasticsearch 或日志即服务（LaaS）上。你也可以用它来进行调试，并以任何你喜欢的格式将其他难以访问的信息打印到屏幕上。

根据你使用它的方式，你可以在 sudo 插件手册页（针对 C 语言）和 sudo Python 插件手册中找到它的文档。在 sudo 源代码中可以找到 Python 代码示例，在我的博客上也有一个简化的例子。

审批插件 API

审批插件 API 可以在命令执行之前加入额外的限制。这些限制只有在策略插件成功后才会运行，因此你可以有效地添加额外的策略层，而无需更换策略插件，进而无需更换 sudoers。可以定义多个审批插件，而且所有插件都必须成功，命令才能执行。

与审计插件 API 一样，你可以从 C 和 Python 中使用它。我博客上记录的示例 Python 代码是对该 API 的一个很好的介绍。一旦你理解了它是如何工作的，你就可以扩展它来将 sudo 连接到工单系统，并且只批准有相关开放工单的会话。你也可以连接到人力资源数据库，这样只有当班的工程师才能获得管理权限。

Python 对插件的支持

尽管我不是程序员，但我最喜欢的 sudo 1.9 新特性是 Python 对插件的支持。你可以用 Python 也能使用 C 语言调用大部分 API。幸运的是，sudo 对性能不敏感，所以运行速度相对较慢的 Python 代码对 sudo 来说不是问题。使用 Python 来扩展 sudo 有很多优势：

• 更简单、更快速的开发
• 不需要编译；甚至可以通过配置管理分发代码
• 许多 API 没有现成的 C 客户端，但有 Python 代码

除了审计和审批插件 API 之外，还有一些其他的 API，你可以用它们做一些非常有趣的事情。

通过使用策略插件 API，你可以取代 sudo 策略引擎。请注意，你将失去大部分的 sudo 功能，而且没有基于 sudoers 的配置。这在小众情况下还是很有用的，但大多数时候，最好还是继续使用 sudoers，并使用审批插件 API 创建额外的策略。如果你想尝试一下，我的 Python 插件介绍提供了一个非常简单的策略：只允许使用 id 命令。再次确认你知道 root 密码，因为一旦启用这个策略，它就会阻止任何实际使用 sudo 的行为。

使用 I/O 日志 API，你可以访问用户会话的输入和输出。这意味着你可以分析会话中发生了什么，甚至在发现可疑情况时终止会话。这个 API 有很多可能的用途，比如防止数据泄露。你可以监控屏幕上的关键字，如果数据流中出现任何关键字，你可以在关键字出现在用户的屏幕上之前中断连接。另一种可能是检查用户正在输入的内容，并使用这些数据来重建用户正在输入的命令行。例如，如果用户输入 rm -fr /，你可以在按下回车键之前就断开用户的连接。

组插件 API 允许非 Unix 组的查找。在某种程度上，这与审批插件 API 类似，因为它也扩展了策略插件。你可以检查一个用户是否属于一个给定的组，并在后面的配置部分基于此采取行动。

chroot 和 CWD 支持

sudo 的最新功能是支持 chroot 和改变工作目录（CWD），这两个选项都不是默认启用的，你需要在 sudoers 文件中明确启用它们。当它们被启用时，你可以调整目标目录或允许用户指定使用哪个目录。日志反映了这些设置何时被使用。

在大多数系统中，chroot 只对 root 用户开放。如果你的某个用户需要 chroot，你需要给他们 root 权限，这比仅仅给他们 chroot 权限要大得多。另外，你可以通过 sudo 允许访问 chroot 命令，但它仍然允许漏洞，他们可以获得完全的权限。当你使用 sudo 内置的 chroot 支持时，你可以轻松地限制对单个目录的访问。你也可以让用户灵活地指定根目录。当然，这可能会导致灾难（例如，sudo --chroot / -s），但至少事件会被记录下来。

当你通过 sudo 运行一个命令时，它会将工作目录设置为当前目录。这是预期的行为，但可能有一些情况下，命令需要在不同的目录下运行。例如，我记得使用过一个应用程序，它通过检查我的工作目录是否是 /root 来检查我的权限。

尝试新功能

希望这篇文章能启发你仔细研究一下 sudo 1.9。集中会话记录比在本地存储会话日志更加方便和安全。chroot 和 CWD 支持为你提供了额外的安全性和灵活性。而使用 Python 来扩展 sudo，可以很容易地根据你的环境来定制 sudo。你可以通过使用最新的 Linux 发行版或 sudo 网站上的即用型软件包来尝试这些新功能。

如果你想了解更多关于 sudo 的信息，这里有一些资源：

• Sudo 官网
• Sudo 博客
• Sudo on Twitter

via: https://opensource.com/article/20/10/sudo-19

作者：Peter Czanik 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出