在實際工作中，我們經常使用 Linux的sudo指令進行操作。那么，sudo是什么？它背后做了什么？為什么使用sudo而不是直接使用root，它對安全性有什么影響？這篇文章，我們將全面分析sudo。

一、什么是sudo？

sudo（superuser do的縮寫）是一個允許授權用戶以別的用戶身份（通常是root）運行程序的程序。它最初由Bob Coggeshall和Cliff Spencer在1980年代開發，旨在提供一種比傳統的su（切換用戶）更安全、更靈活的權限管理方式。

二、為什么使用 sudo而不是直接使用root？

直接使用root賬戶存在諸多風險：

• 安全性：root賬戶缺乏保護，一旦泄露，攻擊者將擁有系統的完全控制權。
• 審計和日志：通過root執行的操作難以追蹤來源，不利于審計和問題排查。
• 誤操作風險：長期使用root賬戶容易導致誤操作，可能對系統造成不可逆轉的損害。

sudo通過以下方式緩解上述問題：

• 最小權限原則：僅授予必要的權限，減少誤操作和潛在的安全風險。
• 日志記錄：所有使用sudo執行的命令都會被記錄，便于審計和追蹤。
• 細粒度控制：可以針對不同用戶或用戶組，設置不同的權限規則。

三、基本用法

1. 基本語法

sudo [選項] 命令

常用選項:

• -u 用戶：以指定用戶的身份運行命令，默認為root。
• -s：以shell形式運行命令。
• -i：模擬完整的登錄環境。
• -k：無視和清除之前的認證緩存。

2. 使用示例

以root身份執行命令：

sudo apt update
sudo yum install nginx

以其他用戶身份執行命令：

sudo -u www-data ls /var/www

以shell形式切換到root：

sudo -s

以登錄shell形式切換到指定用戶：

sudo -i -u username

四、配置sudo

sudo的行為和權限由/etc/sudoers文件控制。直接編輯此文件存在風險，為避免語法錯誤導致的系統問題，建議使用visudo命令進行編輯。

sudoers文件主要由以下部分組成：

• 別名定義：定義用戶、主機、命令等別名，便于管理。
• 權限規則：指定哪些用戶或用戶組可以執行哪些命令。

1. 別名定義

別名定義包括用戶別名，主機別名和命令別名。

• User_Alias：定義用戶別名。如下示例：

User_Alias ADMINS = alice, bob

• HOST_Alias：定義主機別名。如下示例：

Host_Alias SERVER = server1, server2

• COMMAND_Alias：定義命令別名。如下示例：

Cmnd_Alias WEB_CMDS = /usr/bin/systemctl start nginx, /usr/bin/systemctl stop nginx

2. 權限規則

權限規則指定哪些用戶可以在特定主機上執行特定命令，以何種方式執行。

# 格式
用戶 別名 = (運行身份) 命令別名

# 示例：允許用戶alice在主機SERVER上以root身份執行WEB_CMDS中的命令，而且無需輸入密碼。
alice SERVER = (root) NOPASSWD: WEB_CMDS

3. 常見配置示例

(1) 允許用戶組sudo執行任何命令：

%sudo ALL=(ALL:ALL) ALL

其中，%sudo表示用戶組sudo，ALL表示所有主機，(ALL:ALL)表示以所有用戶和組身份運行，最后的ALL表示所有命令。

(2) 允許特定用戶執行特定命令：

john ALL=(ALL) /usr/bin/systemctl restart nginx, /usr/bin/systemctl status nginx

上述規則允許用戶john在所有主機上以任何用戶身份執行systemctl restart nginx和systemctl status nginx命令。

(3) 允許用戶無需輸入密碼執行命令：

jane ALL=(ALL) NOPASSWD: /usr/bin/apt update, /usr/bin/apt upgrade

這樣配置后，用戶jane無需輸入密碼即可執行apt update和apt upgrade命令。

五、管理sudo權限

1. 添加用戶到sudo組

在許多 Linux發行版中，默認的sudo權限是授予特定用戶組（如 sudo或 wheel）。通過將用戶添加到相應的組，可以賦予其sudo權限。

• 在Debian/Ubuntu上將用戶添加到sudo組：

sudo usermod -aG sudo username

• 在Red Hat/CentOS/Fedora上將用戶添加到wheel組：

sudo usermod -aG wheel username

有時，需要為不同的權限需求創建專門的用戶組。可以按照下面的方式來實現：

• 創建一個新組

sudo groupadd devadmins

• 將用戶添加到新組

sudo usermod -aG devadmins username

• 在sudoers文件中配置新組的權限

%devadmins ALL=(ALL) /usr/bin/systemctl, /usr/bin/apt

2. 移除用戶的sudo權限

要移除用戶的sudo權限，可以將其從sudo組（或相應的權限組）中移除。

sudo deluser username sudo  # Debian/Ubuntu
sudo gpasswd -d username wheel  # Red Hat/CentOS/Fedora

六、sudo高級功能

1. sudoers中的別名

別名使得sudoers文件更具可讀性和可維護性。利用User_Alias、Host_Alias和Command_Alias，可以將復雜的權限規則簡化為簡潔的配置。

2. 組合使用別名

User_Alias ADMINS = alice, bob
Host_Alias DATABASE_SERVERS = db1, db2
Cmnd_Alias DB_CMDS = /usr/bin/mysql, /usr/bin/mysqldump

ADMINS DATABASE_SERVERS = (dbadmin) DB_CMDS

上述配置允許ADMINS組中的用戶在DATABASE_SERVERS主機上以dbadmin身份執行DB_CMDS中的命令。

3. 環境變量的管理

sudo可以控制用戶在執行命令時繼承的環境變量，以提高安全性。使用env_keep和env_reset：

• env_keep：指定允許保留的環境變量。
• env_reset：重置環境變量，僅保留默認允許的變量。

Defaults env_reset
Defaults env_keep += "PATH LANG"

4. 計時戳和超時設置

sudo有一個計時戳，用于管理認證緩存。默認情況下，用戶在一定時間內無須重新輸入密碼。

可以通過設置timestamp_timeout來調整超時時間（單位：分鐘）。

Defaults timestamp_timeout=10

上述配置將超時時間設置為10分鐘。設置為0將每次都要求輸入密碼，設置為-1則禁用超時機制。

5. 運行別名用戶

sudo允許用戶以不同的用戶身份運行命令，不僅限于root。這對于需要以特定用戶身份執行某些任務的場景非常有用。

sudo -u www-data /usr/bin/systemctl restart nginx

6. 運行別名組

除單個用戶外，還可以設置組別的權限。

%webadmins ALL=(www-data) /usr/bin/systemctl restart nginx

這樣，webadmins組中的所有用戶都可以以www-data身份重啟nginx服務。

七、排查常見sudo問題

1. 權限不足：權限被拒絕

原因：

• 用戶未在sudoers文件中配置。
• 用戶未在正確的用戶組中。
• sudoers文件配置錯誤。

解決方法：

• 確認用戶所在的組是否賦予了sudo權限。
• 使用visudo檢查sudoers配置是否正確。
• 查看系統日志了解詳細錯誤信息。

2. sudoers文件語法錯誤

原因：

• 手動編輯sudoers文件時出現語法錯誤。
• 誤用別名或權限規則。

解決方法：

• 始終使用visudo編輯sudoers文件，避免語法錯誤。
• 如果語法錯誤導致無法使用sudo，可以使用root用戶或通過單用戶模式修復sudoers文件。

3. 碼緩存問題

有時，用戶可能會發現sudo不再要求輸入密碼，或總是要求輸入密碼。

解決方法：

• 檢查sudoers文件中的NOPASSWD選項。
• 檢查timestamp_timeout設置。
• 確認用戶的認證緩存正常工作。

4. 用戶無法運行指定命令

原因：

sudoers文件中未正確配置允許用戶執行的命令。

命令的路徑不正確。

解決方法：

• 確認sudoers中命令的絕對路徑是否正確。
• 使用別名或通配符正確配置命令權限。

八、sudo的替代方案

雖然sudo功能強大，但在某些場景下，可能需要其他工具作為替代或補充。

1. su

su（switch user）允許用戶切換到另一個用戶身份，默認切換到root。然而，su需要知道目標用戶的密碼，不如sudo靈活和安全。

2. doas

doas是OpenBSD開發的一個輕量級的權限提升工具，語法簡潔，配置簡單。近年來在Linux社區也逐漸受到關注，被認為是sudo的一個簡潔替代方案。

(1) 安裝doas：

# 在Debian/Ubuntu上
sudo apt install opendoas

# 在Arch Linux上
sudo pacman -S opendoas

(2) 配置doas

配置文件通常位于/etc/doas.conf，示例配置：

permit :wheel
permit john as root cmd /usr/bin/systemctl

3. Polkit

Polkit（PolicyKit）是一個用于定義非特權進程與特權進程之間交互的框架，常用于桌面環境中權限管理，與sudo不同，更多用于系統服務的權限控制。

4. pkexec

pkexec是Polkit的一部分，允許用戶以另一個用戶身份（通常是root）執行命令。與sudo類似，但依賴于Polkit進行權限管理。

九、總結

本文，我們全面分析了sudo，它作為 Linux系統管理中的關鍵工具，提供了靈活、安全的權限管理機制。通過合理配置 sudoers文件，結合用戶組管理和最小權限原則，可以有效提升系統的安全性和管理效率。同時，了解sudo的高級功能和常見問題的解決方法，有助于更好地應對實際工作中的各種挑戰。