Sudo 本身没有 Digest 摘要功能。你提到的“Digest 摘要”属于 Apache HTTP Server(httpd)的认证机制,用于浏览器登录时对密码进行哈希传输,和 sudo 的权限控制、脚本执行安全完全无关。
混淆这两个概念,容易导致安全设计跑偏——比如误以为给 sudo 配置了“摘要认证”,就放松了对脚本路径、完整性、调用链等真实风险点的防护。
真正保障授权脚本在 sudo 下的绝对安全,靠的是以下三重硬性措施:
一、精确命令授权:只放行脚本绝对路径,禁用一切模糊匹配
在 /etc/sudoers 中必须用 visudo 添加类似这一行:
alice ALL=(root) NOPASSWD: /opt/bin/backup.sh
✅ 正确:完整绝对路径,无通配符、无 shell 元字符❌ 错误:/opt/bin/*.sh、/opt/bin/backup*、!/bin/bash(禁止 shell 功能也得显式写)⚠️ 脚本自身必须属主 root、权限 755、普通用户不可写:
sudo chown root:root /opt/bin/backup.sh && sudo chmod 755 /opt/bin/backup.sh
二、运行时完整性校验:启动第一行就验哈希
攻击者可能替换脚本内容,仅靠路径授权形同虚设。必须在脚本开头加入校验逻辑:
预先计算并存哈希(仅 root 可写): sha256sum /opt/bin/backup.sh > /etc/backup.sh.sha256sudo chmod 644 /etc/backup.sh.sha256sudo chown root:root /etc/backup.sh.sha256脚本首行强制校验: #!/bin/bash[[ "$(sha256sum "$0" | cut -d’ ‘ -f1)" == "$(cat /etc/backup.sh.sha256 2>/dev/null)" ]] || { echo "FATAL: script tampered"; exit 1; }
三、消除环境依赖:所有命令走绝对路径 + 清理 PATH
sudo 会重置 PATH,但脚本内若写 rsync 或 date,仍可能被恶意 $PATH 劫持(尤其当 env_reset 被禁用时)。✅ 正确做法:
开头定义变量: DATE=/bin/date; CP=/bin/cp; RSYNC=/usr/bin/rsync; MKDIR=/bin/mkdir后续全部用变量:$RSYNC -av /src/ /dst/ 或显式重建安全 PATH: export PATH="/usr/local/bin:/usr/bin:/bin"
不复杂但容易忽略。
评论(0)