Sudo kan leiden tot misbruik en SSH sleutels configureren
Gepubliceerd: maart 2016
Van toepassing op: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
Beginnen met System Center 2012 – Operations Manager, kunt u referenties voor een niet-gemachtigd account te worden met verhoogde bevoegdheden op een UNIX- of Linux-computer met behulp van het programma sudo, waarmee gebruikers kunnen programma's uitvoeren die de machtigingen van een andere gebruikersaccount zijn. U kunt ook veilig Shell (SSH) sleutels gebruiken in plaats van een wachtwoord voor beveiligde communicatie tussen Operations Manager en de doelcomputer.
In dit onderwerp bevat voorbeelden voor het maken van een account voor een gebruiker met weinig rechten, sudo implementeren en maken van een SSH-sleutel op een computer waarop de Red Hat Enterprise Linux Server 6. Deze zijn slechts voorbeelden en mogelijk niet overeen met uw omgeving. De volgende voorbeelden bieden een gebruiker toegang tot een volledige reeks machtigingen.
Het verkrijgen en configureren van de SSH sleutel van de UNIX- en Linux-computer hebt u de volgende software installeren op uw Windows-computer:
Een bestandsoverdracht hulpprogramma, zoals WinSCP bestanden van de UNIX- of Linux-computer overbrengen naar de Windows-computer.
Het programma stopverf, of een soortgelijk programma, opdrachten uitvoeren op de UNIX- of Linux-computer.
Het programma PuTTYgen opslaan van de persoonlijke sleutel SHH in OpenSSH indeling op de computer met Windows.
Notitie
Het programma sudo bestaat op verschillende plaatsen op UNIX en Linux-besturingssystemen. Uniform om toegang te bieden naar sudo, maakt het script UNIX en Linux-agent installatie symbolische koppeling /etc/opt/microsoft/scx/conf/sudodir om te verwijzen naar de map verwacht dat het programma sudo bevatten. De agent maakt gebruik van deze symbolische koppeling naar het aanroepen van sudo. Het installatiescript maakt automatisch de symbolische koppeling, dus hoeft u geen actie ondernemen op UNIX en Linux standaardconfiguraties; Als u geïnstalleerd op een niet-standaard locatie sudo hebt, moet u de symbolische koppeling om te verwijzen naar de map waar sudo is geïnstalleerd wijzigen. Als u de symbolische koppeling wijzigt, wordt de waarde ervan behoudt horizontaal verwijderen, opnieuw te installeren en upgrades met de agent.
Een Account met weinig rechten voor sudo kan leiden tot misbruik configureren
De volgende procedures een laag beschermde account en sudo kan leiden tot misbruik maken met behulp van opsuser voor een gebruikersnaam.
Maken van een gebruiker met weinig rechten
-
Meld u aan bij de UNIX- of Linux-computer als root.
-
De gebruiker toevoegen:
useradd opsuser
-
Voeg een wachtwoord en het wachtwoord bevestigen:
passwd opsuser
Nu sudo misbruik configureren en maken van een SSH-sleutel voor opsuser, zoals beschreven in de volgende procedures.
Sudo bevoegdheden voor de gebruiker met weinig rechten configureren
-
Meld u aan bij de UNIX- of Linux-computer als root.
-
Gebruik het programma visudo de sudo-configuratie in een teksteditor vi bewerken. Voer de volgende opdracht uit:
visudo
-
De volgende regel vindt:
root ALL=(ALL) ALL
-
De volgende regel invoegen na het:
opsuser ALL=(ALL) NOPASSWD: ALL
-
TTY toewijzing wordt niet ondersteund. Zorg ervoor dat de volgende regel is toegelicht uit:
# Defaults requiretty
.jpeg "System_CAPS_important")
BelangrijkDeze stap is vereist voor sudo als volgt te werk.
-
Het bestand opslaan en terug te keren visudo:
Druk op ESC +: (dubbele punt) gevolgd door wq!, en druk op Enter.
-
De configuratie van de test door te voeren in de volgende twee opdrachten. Het resultaat moet een overzicht van de map zonder wordt gevraagd om een wachtwoord:
su - opsuser
sudo ls /etc
U kunt de opsuser account met behulp van de wachtwoord- en sudo van bevoegdheden voor het opgeven van referenties in wizards van Operations Manager en voor het configureren van Run As-accounts.
Maken van een SSH-sleutel voor verificatie
De volgende procedures maken een SSH-sleutel voor de opsuser account dat is gemaakt in de vorige voorbeelden.
De SSH-sleutel genereren
-
Meld u aan als opsuser.
-
De sleutel genereren met behulp van de digitale handtekening algoritme DSA ()-algoritme:
ssh-keygen –t dsa
Let op de optionele wachtwoordzin als u het opgegeven.
De ssh-keygen maakt de /home/opsuser/.ssh map met het bestand met de persoonlijke sleutel (id_dsa) en een bestand met de openbare sleutel (id_dsa.pub). U kunt nu de sleutel worden ondersteund door opsuser zoals beschreven in de volgende procedure.
Configureren van een gebruikersaccount ter ondersteuning van de SSH-sleutel
-
Typ vanaf de opdrachtprompt de volgende opdrachten. Navigeren naar de map van de gebruiker:
cd /home/opsuser
-
Geef de eigenaar van de exclusieve toegang tot de map:
chmod 700 .ssh
-
Ga naar de map .ssh:
cd .ssh
-
Maak een geautoriseerde sleutels met de openbare sleutel:
cat id_dsa.pub >> authorized_keys
-
Krijgt de gebruiker lees- en schrijfmachtigingen heeft voor het bestand geautoriseerde sleutels:
chmod 600 authorized_keys
U kunt nu de persoonlijke SSH-sleutel kopiëren naar de Windows-computer zoals beschreven in de volgende procedure.
De persoonlijke SSH-sleutel naar de Windows-computer kopiëren en opslaan in de indeling OpenSSH
-
Gebruik een hulpprogramma, zoals WinSCP, voor de persoonlijke sleutel bestandsoverdracht (id_dsa – zonder extensie) van de UNIX- of Linux-computer naar een map op uw Windows-computer.
-
PuTTYgen worden uitgevoerd.
-
In de stopverf sleutel Generator in het dialoogvenster, klikt u op de laden en selecteer vervolgens de persoonlijke sleutel (id_dsa) die u van de UNIX- of Linux-computer overgedragen.
-
Klik op de persoonlijke sleutel opslaan naam en sla het bestand naar de gewenste map.
U kunt de opsuser account met behulp van de SSH-sleutel en sudo bevoegdheden voor het opgeven van referenties in wizards van Operations Manager en voor het configureren van Run As-accounts.