2020年5個(gè)新sudo功能

作者：Peter Czanik 2020-11-28 17:23:48

當(dāng)在 2020 年 5 月發(fā)布 sudo 1.9 時(shí)，它帶來(lái)了許多新功能，包括集中收集會(huì)話記錄，支持 sudo 內(nèi)的 chroot，以及 Python API。

[[354533]]

從集中會(huì)話記錄、chroot 支持到 Python API，sudo 1.9 提供了許多新功能。

當(dāng)你想在 POSIX 系統(tǒng)上執(zhí)行一個(gè)操作時(shí)，最安全的方法之一就是使用 sudo 命令。與以 root 用戶身份登錄并執(zhí)行命令可能是個(gè)危險(xiǎn)的操作不同，sudo 授予任何被系統(tǒng)管理員指定為 “sudoer”的用戶臨時(shí)權(quán)限，來(lái)執(zhí)行通常受限制的活動(dòng)。

幾十年來(lái)，這個(gè)系統(tǒng)幫助 Linux、Unix 和 macOS 系統(tǒng)免受愚蠢的錯(cuò)誤和惡意攻擊，它是當(dāng)今所有主要 Linux 發(fā)行版的默認(rèn)管理機(jī)制。

當(dāng)在 2020 年 5 月發(fā)布 sudo 1.9 時(shí)，它帶來(lái)了許多新功能，包括集中收集會(huì)話記錄，支持 sudo 內(nèi)的 chroot，以及 Python API。如果你對(duì)其中的任何一項(xiàng)感到驚訝，請(qǐng)閱讀我的文章，了解一些 sudo 鮮為人知的功能。

sudo 不僅僅是一個(gè)管理命令的前綴。你可以微調(diào)權(quán)限，記錄終端上發(fā)生的事情，使用插件擴(kuò)展sudo，在 LDAP 中存儲(chǔ)配置，進(jìn)行廣泛的日志記錄，以及更多。

1.9.0 版本和后續(xù)的小版本增加了各種新功能（我將在下面介紹），包括：

一個(gè)集中收集 sudo 會(huì)話記錄的記錄服務(wù)
審計(jì)插件 API
審批插件 API
Python 對(duì)插件的支持
sudo 內(nèi)置 chroot 和 CWD 支持（從 1.9.3 開始）

哪里可以得到 sudo 1.9？

大多數(shù)的 Linux 發(fā)行版仍然封裝了上一代的 sudo（1.8 版本），并且在長(zhǎng)期支持（LTS）的發(fā)行版中會(huì)保持這個(gè)版本數(shù)年。據(jù)我所知，提供了最完整的 sudo 1.9 包的 Linux 發(fā)行版是 openSUSETumbleweed，它是一個(gè)滾動(dòng)發(fā)行版，而且該 sudo 包的子包中有 Python 支持。最近的 Fedora 版本包含了 sudo 1.9，但沒(méi)有 Python 支持。FreeBSD Ports 有最新的 sudo 版本，如果你自己編譯 sudo 而不是使用軟件包，你可以啟用 Python 支持。

如果你喜歡的 Linux 發(fā)行版還沒(méi)有包含 sudo 1.9，請(qǐng)查看 sudo 二進(jìn)制頁(yè)面來(lái)查看是否有現(xiàn)成的包可以用于你的系統(tǒng)。這個(gè)頁(yè)面還提供了一些商用 Unix 變種的軟件包。

像往常一樣，在你開始試驗(yàn) sudo 設(shè)置之前，確保你知道 root 密碼。是的，即使在 Ubuntu 上也是如此。有一個(gè)臨時(shí)的“后門”是很重要的；如果沒(méi)有這個(gè)后門，如果出了問(wèn)題，你就必須得黑掉自己的系統(tǒng)。記住：語(yǔ)法正確的配置并不意味著每個(gè)人都可以在該系統(tǒng)上通過(guò) sudo 做任何事情！

記錄服務(wù)

記錄服務(wù)可以集中收集會(huì)話記錄。與本地會(huì)話記錄存儲(chǔ)相比，這有很多優(yōu)勢(shì)：

更方便地在一個(gè)地方進(jìn)行搜索，而不是訪問(wèn)各個(gè)機(jī)器來(lái)尋找記錄
即使在發(fā)送機(jī)器停機(jī)的情況下也可以進(jìn)行記錄
本地用戶若想掩蓋其軌跡，不能刪除記錄

為了快速測(cè)試，你可以通過(guò)非加密連接向記錄服務(wù)發(fā)送會(huì)話。我的博客中包含了說(shuō)明，可以在幾分鐘內(nèi)完成設(shè)置。對(duì)于生產(chǎn)環(huán)境，我建議使用加密連接。有很多可能性，所以請(qǐng)閱讀最適合你的環(huán)境的文檔。

審計(jì)插件 API

新的審計(jì)插件 API 不是一個(gè)用戶可見的功能。換句話說(shuō)，你不能從 sudoers 文件中配置它。它是一個(gè) API，意味著你可以從插件中訪問(wèn)審計(jì)信息，包括用 Python 編寫的插件。你可以用很多不同的方式來(lái)使用它，比如當(dāng)一些有趣的事情發(fā)生時(shí)，從 sudo 直接發(fā)送事件到 Elasticsearch 或日志即服務(wù)（LaaS）上。你也可以用它來(lái)進(jìn)行調(diào)試，并以任何你喜歡的格式將其他難以訪問(wèn)的信息打印到屏幕上。

根據(jù)你使用它的方式，你可以在 sudo 插件手冊(cè)頁(yè)（針對(duì) C 語(yǔ)言）和 sudo Python 插件手冊(cè)中找到它的文檔。在 sudo 源代碼中可以找到 Python 代碼示例，在我的博客上也有一個(gè)簡(jiǎn)化的例子。

審批插件 API

審批插件 API 可以在命令執(zhí)行之前加入額外的限制。這些限制只有在策略插件成功后才會(huì)運(yùn)行，因此你可以有效地添加額外的策略層，而無(wú)需更換策略插件，進(jìn)而無(wú)需更換 sudoers。可以定義多個(gè)審批插件，而且所有插件都必須成功，命令才能執(zhí)行。

與審計(jì)插件 API 一樣，你可以從 C 和 Python 中使用它。我博客上記錄的示例 Python 代碼是對(duì)該 API 的一個(gè)很好的介紹。一旦你理解了它是如何工作的，你就可以擴(kuò)展它來(lái)將 sudo 連接到工單系統(tǒng)，并且只批準(zhǔn)有相關(guān)開放工單的會(huì)話。你也可以連接到人力資源數(shù)據(jù)庫(kù)，這樣只有當(dāng)班的工程師才能獲得管理權(quán)限。

Python 對(duì)插件的支持

盡管我不是程序員，但我最喜歡的 sudo 1.9 新特性是 Python 對(duì)插件的支持。你可以用 Python 也能使用 C 語(yǔ)言調(diào)用大部分 API。幸運(yùn)的是，sudo 對(duì)性能不敏感，所以運(yùn)行速度相對(duì)較慢的 Python 代碼對(duì) sudo 來(lái)說(shuō)不是問(wèn)題。使用 Python 來(lái)擴(kuò)展 sudo 有很多優(yōu)勢(shì)：

更簡(jiǎn)單、更快速的開發(fā)
不需要編譯；甚至可以通過(guò)配置管理分發(fā)代碼
許多 API 沒(méi)有現(xiàn)成的 C 客戶端，但有 Python 代碼

除了審計(jì)和審批插件 API 之外，還有一些其他的 API，你可以用它們做一些非常有趣的事情。

通過(guò)使用策略插件 API，你可以取代 sudo 策略引擎。請(qǐng)注意，你將失去大部分的 sudo 功能，而且沒(méi)有基于 sudoers 的配置。這在小眾情況下還是很有用的，但大多數(shù)時(shí)候，最好還是繼續(xù)使用 sudoers，并使用審批插件 API 創(chuàng)建額外的策略。如果你想嘗試一下，我的 Python 插件介紹提供了一個(gè)非常簡(jiǎn)單的策略：只允許使用 id 命令。再次確認(rèn)你知道 root 密碼，因?yàn)橐坏﹩⒂眠@個(gè)策略，它就會(huì)阻止任何實(shí)際使用 sudo 的行為。

使用 I/O 日志 API，你可以訪問(wèn)用戶會(huì)話的輸入和輸出。這意味著你可以分析會(huì)話中發(fā)生了什么，甚至在發(fā)現(xiàn)可疑情況時(shí)終止會(huì)話。這個(gè) API 有很多可能的用途，比如防止數(shù)據(jù)泄露。你可以監(jiān)控屏幕上的關(guān)鍵字，如果數(shù)據(jù)流中出現(xiàn)任何關(guān)鍵字，你可以在關(guān)鍵字出現(xiàn)在用戶的屏幕上之前中斷連接。另一種可能是檢查用戶正在輸入的內(nèi)容，并使用這些數(shù)據(jù)來(lái)重建用戶正在輸入的命令行。例如，如果用戶輸入 rm -fr /，你可以在按下回車鍵之前就斷開用戶的連接。

組插件 API 允許非 Unix 組的查找。在某種程度上，這與審批插件 API 類似，因?yàn)樗矓U(kuò)展了策略插件。你可以檢查一個(gè)用戶是否屬于一個(gè)給定的組，并在后面的配置部分基于此采取行動(dòng)。

chroot 和 CWD 支持

sudo 的最新功能是支持 chroot 和改變工作目錄（CWD），這兩個(gè)選項(xiàng)都不是默認(rèn)啟用的，你需要在 sudoers 文件中明確啟用它們。當(dāng)它們被啟用時(shí)，你可以調(diào)整目標(biāo)目錄或允許用戶指定使用哪個(gè)目錄。日志反映了這些設(shè)置何時(shí)被使用。

在大多數(shù)系統(tǒng)中，chroot 只對(duì) root 用戶開放。如果你的某個(gè)用戶需要 chroot，你需要給他們 root 權(quán)限，這比僅僅給他們 chroot 權(quán)限要大得多。另外，你可以通過(guò) sudo 允許訪問(wèn) chroot 命令，但它仍然允許漏洞，他們可以獲得完全的權(quán)限。當(dāng)你使用 sudo 內(nèi)置的 chroot 支持時(shí)，你可以輕松地限制對(duì)單個(gè)目錄的訪問(wèn)。你也可以讓用戶靈活地指定根目錄。當(dāng)然，這可能會(huì)導(dǎo)致災(zāi)難（例如，sudo --chroot / -s），但至少事件會(huì)被記錄下來(lái)。

當(dāng)你通過(guò) sudo 運(yùn)行一個(gè)命令時(shí)，它會(huì)將工作目錄設(shè)置為當(dāng)前目錄。這是預(yù)期的行為，但可能有一些情況下，命令需要在不同的目錄下運(yùn)行。例如，我記得使用過(guò)一個(gè)應(yīng)用程序，它通過(guò)檢查我的工作目錄是否是 /root 來(lái)檢查我的權(quán)限。

嘗試新功能

希望這篇文章能啟發(fā)你仔細(xì)研究一下 sudo 1.9。集中會(huì)話記錄比在本地存儲(chǔ)會(huì)話日志更加方便和安全。chroot 和 CWD 支持為你提供了額外的安全性和靈活性。而使用 Python 來(lái)擴(kuò)展 sudo，可以很容易地根據(jù)你的環(huán)境來(lái)定制 sudo。你可以通過(guò)使用最新的 Linux 發(fā)行版或 sudo 網(wǎng)站上的即用型軟件包來(lái)嘗試這些新功能。

如果你想了解更多關(guān)于 sudo 的信息，這里有一些資源：