Mendapatkan Hak Istimewa
Administrator sistem, dan dalam beberapa kasus pengguna, perlu melakukan tugas tertentu dengan akses administratif. Mengakses sistem sebagai pengguna root
berpotensi berbahaya dan dapat menyebabkan kerusakan luas pada sistem dan data. Bab ini membahas cara untuk mendapatkan hak administratif menggunakan program setuid seperti su dan sudo. Program-program ini memungkinkan pengguna tertentu untuk melakukan tugas yang biasanya hanya tersedia untuk pengguna root
sambil mempertahankan tingkat kontrol dan keamanan sistem yang lebih tinggi.
Lihat Panduan Keamanan Red Hat Enterprise Linux 7 untuk informasi lebih lanjut tentang kontrol administratif, potensi bahaya, dan cara mencegah kehilangan data akibat penggunaan akses istimewa yang tidak semestinya.
Perintah su
Ketika pengguna menjalankan perintah su, mereka akan dimintai kata sandi root
dan, setelah otentikasi, diberikan prompt shell root
.
Setelah login menggunakan perintah su, pengguna adalah pengguna root
dan memiliki akses administratif mutlak ke sistem. Perhatikan bahwa akses ini masih tunduk pada batasan yang diberlakukan oleh SELinux, jika diaktifkan. Selain itu, setelah pengguna menjadi root
, mereka dapat menggunakan perintah su untuk berpindah menjadi pengguna lain di sistem tanpa diminta kata sandi.
Karena program ini sangat kuat, administrator dalam suatu organisasi mungkin ingin membatasi siapa yang memiliki akses ke perintah.
Salah satu cara paling sederhana untuk melakukannya adalah dengan menambahkan pengguna ke grup administratif khusus yang disebut wheel. Untuk melakukannya, ketik perintah berikut sebagai root
:
~]# usermod -a -G wheel namapengguna
Dalam perintah sebelumnya, gantikan namapengguna dengan nama pengguna yang ingin Anda tambahkan ke grup wheel
.
Anda juga bisa memakai alat pengaturan Pengguna untuk mengubah keanggotaan grup, sebagai berikut. Perhatikan bahwa Anda perlu hak administrator untuk melakukan prosedur ini.
-
Tekan tombol Super untuk masuk ke Ringkasan Aktivitas, ketik Users lalu tekan Enter. Alat pengaturan Pengguna muncul. Tombol Super muncul dalam berbagai samaran, tergantung pada papn ketik dan perangkat keras lainnya, tetapi sering kali sebagai tombol Windows atau Command, dan biasanya di sebelah kiri Spacebar.
-
Untuk memfungsikan membuat perubahan, klik tombol Buka kunci, dan masukkan kata sandi administrator yang valid.
-
Klik ikon pengguna di kolom kiri untuk menampilkan properti pengguna di panel sebelah kanan.
-
Ubah Jenis Akun dari
Standar
menjadiAdministrator
. Ini akan menambahkan pengguna ke grupwheel
.
Lihat Mengelola Pengguna dalam Lingkungan Grafis untuk informasi lebih lanjut tentang alat Pengguna.
Setelah Anda menambahkan pengguna yang diinginkan ke grup wheel
, disarankan untuk hanya mengizinkan pengguna tertentu ini menggunakan perintah su. Untuk melakukannya, sunting berkas konfigurasi PAM untuk su, /etc/pam.d/su
. Buka berkas ini dalam penyunting teks dan batalkan komentar pada baris berikut dengan menghapus karakter #
:
#auth required pam_wheel.so use_uid
Perubahan ini berarti bahwa hanya anggota grup administratif wheel
yang dapat beralih ke pengguna lain menggunakan perintah su.
Catatan
Pengguna |
Perintah sudo
Perintah sudo menawarkan pendekatan lain untuk memberikan akses administratif kepada pengguna. Saat pengguna terpercaya mendahului perintah administratif dengan sudo, mereka akan dimintai kata sandi mereka sendiri. Kemudian, ketika mereka telah diautentikasi dan dengan asumsi bahwa perintah tersebut diizinkan, perintah administratif dijalankan seolah-olah mereka adalah pengguna root
.
Format dasar dari perintah sudo adalah sebagai berikut:
sudo perintah
Dalam contoh di atas, perintah akan digantikan oleh suatu perintah yang biasanya hanya dapat dijalankan bagi pengguna root
, seperti mount.
Perintah sudo memungkinkan fleksibilitas tingkat tinggi. Misalnya, hanya pengguna yang terdaftar dalam berkas konfigurasi /etc/sudoers
yang diizinkan untuk menggunakan perintah sudo dan perintah tersebut dijalankan di shell pengguna, bukan shell root
. Ini berarti shell root
dapat sepenuhnya dinonaktifkan seperti yang ditunjukkan pada Panduan Keamanan Red Hat Enterprise Linux 7.
Setiap otentikasi yang berhasil menggunakan perintah sudo dicatat ke berkas /var/log/messages
dan perintah yang diberikan bersama dengan nama pengguna yang memberikan dicatat ke berkas /var/log/secure
. Jika pencatatan log tambahan diperlukan, gunakan modul pam_tty_audit
untuk mengaktifkan audit TTY bagi pengguna tertentu dengan menambahkan baris berikut ke berkas /etc/pam.d/system-auth
Anda:
session required pam_tty_audit.so disable=pola enable=pola
di mana pola mewakili daftar pengguna yang dipisahkan koma dengan penggunaan glob opsional. Misalnya, konfigurasi berikut akan mengaktifkan audit TTY untuk pengguna root
dan menonaktifkannya untuk semua pengguna lain:
session required pam_tty_audit.so disable=* enable=root
Keuntungan lain dari perintah sudo adalah bahwa administrator dapat mengizinkan pengguna lain mengakses perintah tertentu berdasarkan kebutuhan mereka.
Administrator yang ingin menyunting berkas konfigurasi sudo, /etc/sudoers
, mesti memakai perintah visudo.
Untuk memberikan hak administratif penuh ke seseorang, ketikkan visudo dan tambahkan sebaris mirip berikut dalam bagian spesifikasi hak pengguna:
budi ALL=(ALL) ALL
Contoh ini menyatakan bahwa pengguna, budi
, dapat memakai sudo dari host mana pun dan mengeksekusi sebarang perintah.
Contoh di bawah mengilustrasikan kemungkinan granularitas ketika mengonfigurasi sudo:
%users localhost=/sbin/shutdown -h now
Contoh ini menyatakan bahwa sebarang anggota grup sistem users
dapat memberikan perintah /sbin/shutdown -h now selama itu diberikan dari konsol.
Halaman man bagi sudoers
memiliki daftar rinci opsi bagi berkas ini.
Penting
Ada beberapa risiko potensial untuk diingat ketika memakai perintah sudo. Anda dapat menghindari mereka dengan menyunting berkas konfigurasi
|
Sumber Daya Tambahan
Walaupun program yang mengizinkan pengguna untuk mendapatkan hak administratif adalah risio keamanan potensial, keamanan itu sendiri di luar dari lingkup buku ini. Anda mesti mengacu ke sumber daya yang dicantumkan di bawah untuk informasi lebih lanjut terkait keamanan dan akses dengan hak khusus.
-
su
(1) — Halaman manual bagi su menyediakan informasi terkait opsi-opsi yang tersedia dengan perintah ini. -
sudo
(8) — Halaman manual bagi sudo termasuk suatu deskripsi terrinci atas perintah ini dan mencantumkan daftar opsi yang tersedia untuk menyesuaikan perilakunya. -
pam
(8) — Halaman manual yang menguraikan penggunaan Pluggable Authentication Modules (PAM) bagi Linux.
-
Panduan Keamanan Red Hat Enterprise Linux 7 menyediakan suatu pandangan lebih mendalam atas masalah-masalah keamanan potensial atas program-program setuid maupun teknik-teknik yang dipakai untuk mengatasi risiko-risiko ini.
-
Mengelola Pengguna dan Grup mendokumentasikan bagaimana mengelola pengguna dan grup sistem dalam antarmuka pengguna grafis dan pada baris perintah.
Want to help? Learn how to contribute to Fedora Docs ›