最完整sudo-rs入门指南：从安装到配置全解析

最完整sudo-rs入门指南：从安装到配置全解析

【免费下载链接】sudo-rs A memory safe implementation of sudo and su. 项目地址: https://gitcode.com/GitHub_Trending/su/sudo-rs

引言：为什么选择sudo-rs？

你还在为服务器权限管理的安全隐患担忧吗？sudo-rs作为一款用Rust编写的内存安全版sudo和su实现，彻底解决了传统sudo的内存安全问题，同时保持了与原版sudo的高度兼容性。本文将带你从安装到高级配置，全方位掌握sudo-rs的使用，让系统权限管理更安全、更高效。

读完本文，你将能够：

• 在不同Linux发行版上正确安装sudo-rs
• 理解并配置sudoers文件
• 掌握sudo-rs的常用命令和高级选项
• 了解sudo-rs与传统sudo的区别及迁移注意事项

安装sudo-rs：适配不同Linux发行版

Ubuntu 25.10及以上

sudo-rs在Ubuntu 25.10中已默认安装，你可以通过以下命令切换默认sudo版本：

update-alternatives --config sudo

该版本基于v0.2.8并包含了将在v0.2.9中发布的额外bug修复。

Arch Linux

通过官方仓库安装：

pacman -S sudo-rs

安装后命令名为sudo-rs、sudoedit-rs、visudo-rs和su-rs以避免冲突。

Fedora 41及以上

dnf install sudo-rs

安装后提供sudo-rs、visudo-rs和su-rs命令。请注意，Fedora软件包基于2025年5月发布的0.2.6版本，缺少sudoedit、NOEXEC:等功能。

FreeBSD

pkg install sudo-rs

这将安装sudo、visudo和sudoedit命令，与原版sudo包冲突。如需共存版本：

pkg install sudo-rs-coexist

安装后命令名为sudo-rs、visudo-rs和sudoedit-rs。

从源码构建

1. 安装依赖：

# Debian/Ubuntu
sudo apt-get install libpam0g-dev

# Fedora/RHEL
sudo yum install pam-devel

2. 克隆仓库并构建：

git clone https://.../sudo-rs
cd sudo-rs
cargo build --release

3. 安装二进制文件：

sudo cp target/release/sudo /usr/local/bin/
sudo cp target/release/visudo /usr/local/bin/
sudo cp target/release/sudoedit /usr/local/bin/
sudo cp target/release/su /usr/local/bin/

4. 设置setuid权限：

sudo chmod u+s /usr/local/bin/sudo /usr/local/bin/su

sudoers配置详解

sudoers文件结构

sudoers文件由两类条目组成：别名（变量）和用户规范（指定谁可以运行什么命令）。文件位置通常为/etc/sudoers或/etc/sudoers-rs（sudo-rs优先读取后者）。

编辑sudoers文件必须使用visudo工具：

sudo visudo-rs

基本语法

别名定义

User_Alias ADMINS = alice, bob
Runas_Alias OPERATORS = operator1, operator2
Host_Alias SERVERS = server1, server2
Cmnd_Alias NETWORKING = /sbin/ifconfig, /usr/bin/nmcli

用户规范

基本格式：用户列表 主机列表 = (运行身份) 命令列表

ADMINS SERVERS = (OPERATORS) NETWORKING

常用配置示例

允许用户无需密码运行所有命令

alice ALL=(ALL) NOPASSWD: ALL

允许用户以特定用户身份运行特定命令

bob ALL=(root) /usr/bin/systemctl restart nginx, /usr/bin/journalctl -u nginx

设置命令别名并应用

Cmnd_Alias SOFTWARE = /usr/bin/apt, /usr/bin/dnf, /usr/bin/pacman
charlie ALL=(root) SOFTWARE

设置环境变量保留

Defaults env_keep += "http_proxy https_proxy"
dave ALL=(root) SETENV: /usr/bin/wget, /usr/bin/curl

高级配置选项

限制命令参数

# 只允许重启nginx，不允许其他systemctl操作
eve ALL=(root) /usr/bin/systemctl restart nginx

设置工作目录

# 限制在特定目录执行命令
frank ALL=(root) CWD=/tmp /usr/bin/touch

使用NOEXEC防止命令逃逸

# 防止通过more、vi等命令执行shell
Defaults noexec
grace ALL=(root) NOEXEC: /usr/bin/more, /usr/bin/vi

sudo-rs常用命令详解

基本命令格式

sudo-rs [选项] 命令

常用选项解析

切换用户执行命令

# 以root身份执行命令
sudo-rs ls -l /root

# 以指定用户身份执行
sudo-rs -u alice whoami

# 以指定组身份执行
sudo-rs -g developers id

交互式shell

# 获得root的登录shell
sudo-rs -i

# 获得指定用户的shell
sudo-rs -u alice -s

命令执行控制

# 在指定目录执行命令
sudo-rs -D /tmp touch testfile

# 保留环境变量执行
sudo-rs -E env | grep PATH

# 查看可执行的命令列表
sudo-rs -l

密码缓存控制

# 验证当前用户密码并延长缓存时间
sudo-rs -v

# 清除密码缓存
sudo-rs -k

# 完全移除时间戳文件
sudo-rs -K

sudoedit使用

sudoedit允许安全地编辑特权文件：

sudoedit-rs /etc/sudoers
sudoedit-rs -u alice /home/alice/.bashrc

工作原理：

1. 创建文件的临时副本
2. 使用编辑器编辑临时文件
3. 验证编辑内容
4. 将修改后的内容复制回原文件

sudo-rs与传统sudo的差异

功能差异

sudo-rs支持大部分sudo功能，但有一些刻意不支持的特性：

• 不支持LDAP配置存储
• 不支持INTERCEPT功能防止shell逃逸
• 不包含sendmail支持
• sudoers文件必须是UTF-8编码

默认行为差异

特性	sudo-rs	传统sudo
use_pty	默认启用，可禁用	默认禁用
env_reset	始终启用	可配置
visiblepw	始终禁用	可配置
timestamp_type	始终为tty	可配置
sudoedit_checkdir	始终开启	可配置

配置兼容性

sudo-rs忽略以下sudoers配置项：

• env_reset
• visiblepw
• verifypw
• mail_badpass
• always_set_home
• always_query_group_plugin
• match_group_by_gid
• timestamp_type

安全最佳实践

sudoers文件保护

始终使用visudo编辑sudoers文件：

sudo visudo-rs

这将确保文件语法正确，避免因配置错误导致无法使用sudo。

最小权限原则

遵循最小权限原则，只授予用户完成工作所需的最小权限：

# 不推荐
user ALL=(ALL) ALL

# 推荐
user ALL=(root) /usr/bin/systemctl restart nginx

使用NOPASSWD的风险

谨慎使用NOPASSWD标记，只在必要时为特定命令启用：

# 推荐做法：只为特定低风险命令禁用密码
user ALL=(root) NOPASSWD: /usr/bin/apt update, /usr/bin/apt upgrade

审计与日志

sudo-rs默认记录所有操作到syslog。你可以通过配置PAM模块增强审计能力：

# /etc/pam.d/sudo
session required pam_limits.so
@include common-auth
@include common-account
@include common-session-noninteractive

故障排除与常见问题

无法编辑sudoers文件

如果收到"permission denied"错误，确保你正在使用visudo：

sudo visudo-rs

命令找不到

sudo-rs使用安全路径，可能不包含用户的PATH环境变量。解决方法：

1. 使用绝对路径：

sudo-rs /usr/local/bin/mycommand

2. 在sudoers中配置secure_path：

Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"

PAM认证失败

检查PAM配置文件：

# /etc/pam.d/sudo-rs
@include common-auth
@include common-account
@include common-session

与传统sudo共存

如果系统同时安装了sudo和sudo-rs，可使用别名区分：

alias sudo='sudo-rs'
alias visudo='visudo-rs'

总结与展望

sudo-rs作为传统sudo的内存安全替代品，在保持兼容性的同时显著提升了系统安全性。通过本文的介绍，你已经掌握了sudo-rs的安装、配置和高级使用技巧。

随着sudo-rs的不断发展，未来将支持更多功能，包括更丰富的策略配置选项和增强的审计能力。对于追求系统安全性的组织和个人，现在正是迁移到sudo-rs的最佳时机。

要获取更多信息，请参考：

• 官方文档：README.md
• 详细手册：sudo.8.md、sudoers.5.md
• 安全报告：docs/audit

【免费下载链接】sudo-rs A memory safe implementation of sudo and su. 项目地址: https://gitcode.com/GitHub_Trending/su/sudo-rs