Bagaimana cara pengguna Amazon ec2 mendapatkan hak sudo-nya

22

Saya mencari di mana image Amazon AMI default mengatur hak istimewa untuk ec2-userakun default .

Setelah masuk dengan akun ini saya dapat menggunakan sudo dengan sukses. Memeriksa melalui file sudoers, yang saya buka dengan menjalankan visudo (tanpa opsi lain) saya melihat beberapa pengaturan dan izin default untuk root ALL ALL ALL

Jadi ... Di mana izin untuk pengguna ec2 ditetapkan?

Saya belum mencoba untuk menambahkan izin baru tetapi pada akhirnya saya ingin mengundurkan diri pengguna ec2 untuk tugas-tugas manajemen sistem dan menggunakan pengguna root non-lengkap untuk mengelola aplikasi (berhenti dan mulai mysql, httpd, edit file vhost apache, dan unggah / edit konten web di bawah root web)

Johan
sumber

Jawaban:

25

Ini di /etc/sudoers.d/cloud-init. Saya juga menghapusnya dari sistem produksi saya sesegera mungkin.

Itu termasuk berdasarkan garis

#includedir /etc/sudoers.d

dalam /etc/sudoersfile. Perhatikan bahwa, seperti yang dikatakan, bahwa memimpin #tidak diperlakukan sebagai tanda komentar. Di beberapa server saya, itu juga di /etc/sudoers.d/90-cloud-init-users; mungkin paling aman bagi userdelpengguna ec2-user.

MadHatter mendukung Monica
sumber
Ya itu. Sekarang mengapa Anda tidak memperbaiki jawaban Anda sehingga saya dapat memberi Anda kredit?
Johan
Apa yang di bumi adalah sudodevs berpikir dengan itu sintaks #include ketika karakter komentar adalah #?
DaveGauer
1
@ DaveGauer menggunakan sintaksis yang sama dengan prepro C ( #include "file"atau #include <stdio.h>). Tapi ya, itu pilihan yang buruk untuk file konfigurasi.
Tony Cesaro
2

Memang itu adalah file dari /etc/sudoers.d/

From the master sudoers file, the very last part:
## Read drop-in files from /etc/sudoers.d (the # here does not mean a comment)
#includedir /etc/sudoers.d

Khususnya bit kecil yang bertuliskan # di sini tidak berarti komentar

Lalu:

[root@webmaster ec2-user]# cd /etc/sudoers.d/
[root@webmaster sudoers.d]# ls -l
total 4
-r--r----- 1 root root 88 May  5 09:16 cloud-init
[root@webmaster sudoers.d]# grep ec2-user *
ec2-user ALL = NOPASSWD: ALL
# User rules for ec2-user
ec2-user ALL=(ALL) NOPASSWD:ALL

Voila.

Johan
sumber