Documentation for a newer release is available. View Latest

Ayrıcalıklar Kazanma

Sistem yöneticilerinin ve bazı durumlarda kullanıcıların, belirli görevleri yönetici erişimiyle gerçekleştirmesi gerekir. Sisteme root kullanıcısı olarak erişmenin tehlikeli olması olasıdır ve sistem ve verilerde büyük çaplı hasara yol açabilir. Bu bölüm, su ve sudo gibi setuid programları kullanarak yönetici ayrıcalıkları kazanmanın yollarını açıklar. Bu programlar, belirli kullanıcıların normalde yalnızca root kullanıcısı tarafından kullanılabilen görevleri gerçekleştirmesine izin verirken aynı zamanda daha yüksek düzeyde denetim ve sistem güvenliği sağlar.

Yönetici denetimleri, olası tehlikeler ve ayrıcalıklı erişimin uygunsuz kullanımından kaynaklanan veri kaybını önleme yolları hakkında daha fazla bilgi için Red Hat Enterprise Linux 7 Güvenlik Kılavuzuna bakın.

su Komutu

Bir kullanıcı su komutunu çalıştırdığında, kendisinden root parolası istenir ve kimlik doğrulamadan sonra kendisine bir root kabuk istemi verilir.

su komutunu kullanarak oturum açtıktan sonra, kullanıcı root kullanıcısıdır ve sisteme mutlak yönetici erişimine sahiptir. Bu erişimin, etkinleştirilirse, SELinux tarafından uygulanan kısıtlamalara tabi olduğunu unutmayın. Ayrıca bir kullanıcı root olduğunda, parola sorulmadan sistemdeki herhangi bir kullanıcıya geçmek için su komutunu kullanması mümkündür.

Bu program çok güçlü olduğundan, bir kuruluştaki yöneticiler komuta erişimi olan kişileri sınırlamak isteyebilir.

Bunu yapmanın en basit yollarından biri, kullanıcıları wheel adlı özel yönetim grubuna eklemektir. Bunu yapmak için root olarak şu komutu yazın:

~]# usermod -a -G wheel kullanıcı_adı

Yukarıdaki komutta, kullanıcı_adı kısmını wheel grubuna eklemek istediğiniz kullanıcının adıyla değiştirin.

Grup üyeliklerini değiştirmek için ayrıca Kullanıcılar ayarları aracını aşağıda anlatıldığı şekilde kullanabilirsiniz. Bu işlemi gerçekleştirmek için yönetici ayrıcalıklarına ihtiyacınız olduğunu unutmayın.

  1. Etkinlikler Genel Görünümüne girmek için Süper tuşuna basın, Kullanıcılar yazın ve ardından Enter tuşuna basın. Kullanıcılar ayarları aracı görünecektir. Süper tuşu, klavyeye ve diğer donanıma bağlı olarak çeşitli şekillerde görünür, ancak genellikle Windows veya Komut tuşu olarak ve genel olarak Boşluk Çubuğunun solundadır.

  2. Değişiklik yapmayı etkinleştirmek için Kilidi Aç düğmesine tıklayın ve geçerli bir yönetici parolası girin.

  3. Sağdaki bölmede kullanıcının özelliklerini görüntülemek için sol sütundaki bir kullanıcı simgesine tıklayın.

  4. Standart olan hesap türünü Yönetici olarak değiştirin. Bu, kullanıcıyı wheel grubuna ekleyecektir.

Kullanıcılar aracı hakkında daha fazla bilgi için Kullanıcıları Grafiksel Bir Ortamda Yönetme bölümüne bakın.

İstediğiniz kullanıcıları wheel grubuna ekledikten sonra, yalnızca bu belirli kullanıcıların su komutunu kullanmasına izin vermeniz tavsiye edilir. Bunu yapmak için, su için /etc/pam.d/su PAM yapılandırma dosyasını düzenleyin. Bu dosyayı bir metin düzenleyicide açın ve # karakterini silerek aşağıdaki satırın yorumunu kaldırın:

#auth           required        pam_wheel.so use_uid

Bu değişiklik, yalnızca wheel yönetim grubunun üyelerinin su komutunu kullanarak başka bir kullanıcıya geçebileceği anlamına gelir.

Not

root kullanıcısı, öntanımlı olarak wheel grubunun bir parçasıdır.

sudo Komutu

sudo komutu, kullanıcılara yönetici erişimi vermek için başka bir yaklaşım sunar. Güvenilir kullanıcılar bir yönetici komutunu önüne sudo yazarak kullandıklarında, kendi parolalarını girmeleri istenir. Daha sonra, kimlikleri doğrulandığında ve komuta izin veriliyorsa, yönetici komutu onu çalıştıran kullanıcı root kullanıcısıymış gibi çalıştırılır.

sudo komutunun temel biçimi şu şekildedir:

sudo komut

Yukarıdaki örnekte komut kısmını, mount gibi normalde root kullanıcısı için ayrılan bir komutla değiştirin.

sudo komutu yüksek derecede esneklik sağlar. Örneğin, yalnızca /etc/sudoers yapılandırma dosyasında listelenen kullanıcıların sudo komutunu kullanmasına izin verilir ve komut bir root kabuğunda değil, kullanıcının kabuğunda çalıştırılır. Bu, Red Hat Enterprise Linux 7 Güvenlik Kılavuzunda gösterildiği gibi root kabuğunun tamamen devre dışı bırakılabileceği anlamına gelir.

sudo komutunu kullanan her başarılı kimlik doğrulama, /var/log/messages dosyasına kaydedilir ve verenin kullanıcı adıyla birlikte verilen komut, /var/log/secure dosyasına kaydedilir. Ek günlük kaydı gerekiyorsa, /etc/pam.d/system-auth dosyanıza aşağıdaki satırı ekleyerek belirtilen kullanıcılar için TTY denetimini etkinleştirmek için pam_tty_audit modülünü kullanın:

session required pam_tty_audit.so disable=kalıp enable=kalıp

burada kalıp, isteğe bağlı glob kullanımıyla birlikte kullanıcıların virgülle ayrılmış bir listesini temsil eder. Örneğin, aşağıdaki yapılandırma root kullanıcısı için TTY denetimini etkinleştirecek ve diğer tüm kullanıcılar için devre dışı bırakacaktır:

session required pam_tty_audit.so disable=* enable=root

sudo komutunun bir başka faydası da, bir yöneticinin farklı kullanıcıların ihtiyaçlarına göre belirli komutlara erişmesine izin verebilmesidir.

/etc/sudoers sudo yapılandırma dosyasını düzenlemek isteyen yöneticiler visudo komutunu kullanmalıdır.

Bir kişiye tam yönetici ayrıcalıkları vermek için, visudo yazın ve kullanıcı ayrıcalığı belirtimi bölümüne aşağıdakine benzer bir satır ekleyin:

juan ALL=(ALL) ALL

Bu örnek, juan adlı kullanıcının herhangi bir ana makineden sudo komutunu kullanabileceğini ve herhangi bir komutu çalıştırabileceğini belirtir.

Aşağıdaki örnek, sudo yapılandırılırken olası ayrıntı düzeyini göstermektedir:

%users localhost=/sbin/shutdown -h now

Bu örnek, users sistem grubunun herhangi bir üyesinin, konsoldan verildiği sürece /sbin/shutdown -h now komutunu çalıştırabileceğini belirtir.

sudoers kılavuz sayfasında, bu dosya için ayrıntılı seçenekler listesi bulunmaktadır.

Önemli

sudo komutunu kullanırken akılda tutulması gereken birkaç olası risk vardır. Yukarıda açıklandığı gibi visudo kullanarak /etc/sudoers yapılandırma dosyasını düzenleyerek bunlardan kaçınabilirsiniz. /etc/sudoers dosyasını öntanımlı durumunda bırakmak, wheel grubundaki her kullanıcıya sınırsız root erişimi sağlar.

  • sudo komutu öntanımlı olarak , sudo kullanıcısının parolasını beş dakikalık bir zaman aşımı süresi boyunca saklar. Bu süre boyunca komutun sonraki kullanımları, kullanıcıdan bir parola istemeyecektir. Kullanıcı oturum açılmış şekilde iş istasyonunu gözetimsiz ve kilidi açık bırakırsa, bir saldırgan bu durumdan yararlanabilir. Bu davranış, /etc/sudoers dosyasına aşağıdaki satırı ekleyerek değiştirilebilir:

    Defaults    timestamp_timeout=değer

    burada değer dakika cinsinden istenen zaman aşımı süresidir. değer ögesinin 0 olarak ayarlanması, sudo komutunun her seferinde bir parola gerektirmesine neden olur.

  • Bir sudo kullanıcısının hesabı ele geçirilirse, saldırgan yönetici ayrıcalıklarına sahip yeni bir kabuk açmak için sudo kullanabilir:

    sudo /bin/bash

    Bu veya benzeri bir şekilde root olarak yeni bir kabuğun açılması, yeni açılan oturum kapanana kadar saldırgana teorik olarak sınırsız bir süre boyunca yönetici erişimi sağlar, /etc/sudoers dosyasında belirtilen zaman aşımı süresini devre dışı bırakır ve hiçbir zaman saldırganın sudo için tekrar bir parola girmesini gerektirmez.

Ek Kaynaklar

Kullanıcıların yönetici ayrıcalıkları kazanmalarına izin veren programlar olası bir güvenlik riski olsa da, güvenliğin kendisi bu kitabın kapsamı dışındadır. Bu nedenle, güvenlik ve ayrıcalıklı erişim hakkında daha fazla bilgi için aşağıda listelenen kaynaklara başvurmalısınız.

Kurulu Belgeler

  • su(1) — su için kılavuz sayfası, bu komutla kullanılabilen seçeneklerle ilgili bilgiler sağlar.

  • sudo(8) — sudo için kılavuz sayfası, bu komutun ayrıntılı bir açıklamasını içerir ve davranışını özelleştirmek için kullanılabilen seçenekleri listeler.

  • pam(8) — Linux için Pluggable Authentication Modules (PAM) kullanımını açıklayan kılavuz sayfası.

Çevrim İçi Belgelendirme
Ayrıca Bakın

  • Kullanıcıları ve Grupları Yönetme bölümü, grafiksel kullanıcı arayüzünde ve komut satırında sistem kullanıcılarının ve gruplarının nasıl yönetileceğini belgelendirir.

Want to help? Learn how to contribute to Fedora Docs