应对 Linux sudo 本地提权漏洞：离线升级 Sudo 到安全版本

一、引言

在 Linux 系统中，sudo（superuser do）是一个非常重要的工具，它允许授权用户以超级用户（root）的权限执行命令。然而，就像其他软件一样，sudo 也可能存在安全漏洞，其中本地提权漏洞是比较严重的一种。攻击者可以利用这些漏洞在本地系统上提升自己的权限，从而对系统造成严重的破坏。为了保障系统的安全，及时升级 sudo 到安全版本是非常必要的。本文将详细介绍如何使用一个 shell 脚本将 sudo 升级到 1.9.17p1 版本，以修复潜在的本地提权漏洞。

二、漏洞概述

Linux sudo 本地提权漏洞可能会让本地用户绕过正常的权限检查机制，获取 root 权限。这种漏洞一旦被利用，攻击者可以执行任意命令，修改系统配置，窃取敏感信息等，给系统安全带来极大的威胁。因此，系统管理员需要密切关注 sudo 的安全更新，并及时进行升级。

三、升级脚本详解

1. 脚本功能概述

该脚本的主要功能是将系统中的 sudo 升级到 1.9.17p1 版本。它会完成以下几个步骤：

• 解压 sudo 源码压缩包
• 备份原有的 sudo 可执行文件
• 替换 sudo 可执行文件和相关动态库及插件
• 更新动态库缓存
• 配置 /etc/sudo.conf 文件
• 验证升级结果
  编译好的包
  https://wwyq.lanzouo.com/iHNZN307lx8d
  密码:i33z

2. 脚本代码及详细解释

#!/bin/bash# 配置变量
ARCHIVE="sudo1.9.17p1.tar.gz"
EXTRACT_PATH="/root/usr/local"
SUDO_DIR="$EXTRACT_PATH/sudo-1.9.17p1"
SUDO_BIN="$SUDO_DIR/bin/sudo"
SUDO_LIB_UTIL="$SUDO_DIR/libexec/sudo/libsudo_util.so.0"
SUDO_PLUGIN="$SUDO_DIR/libexec/sudo/sudoers.so"
DEST_SUDO="/usr/bin/sudo"
DEST_LIB="/usr/lib64"
DEST_PLUGIN_DIR="/usr/libexec/sudo"
SUDO_CONF="/etc/sudo.conf"
LOG_FILE="/var/log/sudo_upgrade_$(date +%s).log"# 日志函数
log_message() {local message="[$(date '+%Y-%m-%d %H:%M:%S')] $1"echo "$message"echo "$message" >> "$LOG_FILE"
}# 错误处理函数
handle_error() {log_message "错误: $1"[ -n "$2" ] && log_message "详细信息: $2"log_message "升级过程已中止。请检查日志文件: $LOG_FILE"exit 1
}# 检查命令执行状态
check_status() {if [ $? -ne 0 ]; thenhandle_error "$1" "$2"fi
}# 检查是否是 root 用户
if [ "$(id -u)" != "0" ]; thenecho "错误：请以 root 用户运行此脚本。"exit 1
filog_message "开始升级 sudo 到 1.9.17p1 ..."# 1. 解压 tar.gz 文件
if [ ! -f "$ARCHIVE" ]; thenhandle_error "$ARCHIVE 文件不存在，请确认文件在当前目录下。"
fimkdir -p "$EXTRACT_PATH"
log_message "正在解压 $ARCHIVE ..."
tar -zxf "$ARCHIVE" 
check_status "解压失败，请检查压缩包是否损坏或格式是否为 .tar.gz"# 2. 确保目标目录存在
if [ ! -d "$SUDO_DIR" ]; thenhandle_error "解压后未找到 $SUDO_DIR 目录，请检查压缩包内容结构是否正确。"
fi# 3. 备份原有 sudo（如果存在）
if [ -f "$DEST_SUDO" ]; thenlog_message "正在备份原 sudo..."cp "$DEST_SUDO" "${DEST_SUDO}.bak"check_status "备份原 sudo 失败"log_message "已备份原 sudo 至 ${DEST_SUDO}.bak"
elselog_message "警告: 未找到原有 sudo 可执行文件，跳过备份步骤"
fi# 4. 替换 sudo 可执行文件
log_message "正在安装新版本 sudo..."
cp "$SUDO_BIN" "$DEST_SUDO"
check_status "复制 sudo 可执行文件失败"
chmod 4755 "$DEST_SUDO"
check_status "设置 sudo 权限失败"
log_message "已安装新版本 sudo 到 $DEST_SUDO"# 5. 安装动态库
log_message "正在安装动态库..."
cp "$SUDO_LIB_UTIL" "$DEST_LIB/"
check_status "复制动态库失败"
log_message "已安装 libsudo_util.so.0 到 $DEST_LIB/"# 6. 安装插件
log_message "正在安装插件..."
mkdir -p "$DEST_PLUGIN_DIR"
check_status "创建插件目录失败"
cp "$SUDO_PLUGIN" "$DEST_PLUGIN_DIR/"
check_status "复制插件文件失败"
chmod -R go+rx "$DEST_PLUGIN_DIR"
check_status "设置插件目录权限失败"
log_message "已安装 sudoers.so 插件到 $DEST_PLUGIN_DIR"# 7. 更新动态库缓存
log_message "正在更新动态库缓存..."
ldconfig
check_status "更新动态库缓存失败"
log_message "动态库缓存已更新"# 8. 创建或修复 /etc/sudo.conf 文件
log_message "正在配置 /etc/sudo.conf..."
if [ -f "$SUDO_CONF" ]; thenlog_message "清理旧的 sudoers 插件配置..."# 备份配置文件cp "$SUDO_CONF" "${SUDO_CONF}.bak"# 删除旧的 sudoers 插件配置行（如果有）sed -i '/Plugin sudoers_policy/d' "$SUDO_CONF"sed -i '/Plugin sudoers_io/d' "$SUDO_CONF"
elselog_message "创建新的 sudo.conf 文件..."touch "$SUDO_CONF"check_status "创建 sudo.conf 文件失败"
fi# 添加正确的插件路径
echo "# Added by upgrade-sudo.sh" >> "$SUDO_CONF"
echo "Plugin sudoers_policy /usr/libexec/sudo/sudoers.so" >> "$SUDO_CONF"
echo "Plugin sudoers_io /usr/libexec/sudo/sudoers.so" >> "$SUDO_CONF"
check_status "配置 sudo.conf 失败"
log_message "已配置 /etc/sudo.conf 中的插件路径"# 9. 验证安装结果
log_message "正在验证安装..."
"$DEST_SUDO" -V &>/dev/null
if [ $? -eq 0 ]; thenlog_message "sudo 升级成功！版本信息：""$DEST_SUDO" -V >> "$LOG_FILE"echo "sudo 升级成功！版本信息：""$DEST_SUDO" -V
elsehandle_error "升级失败，请检查日志。"
filog_message "升级完成！你现在可以在普通用户下直接使用 sudo 命令。"
echo ""
echo "升级完成！详细日志已保存至: $LOG_FILE"

3. 代码逐行解释

配置变量部分

ARCHIVE="sudo1.9.17p1.tar.gz"
EXTRACT_PATH="/root/usr/local"
SUDO_DIR="$EXTRACT_PATH/sudo-1.9.17p1"
SUDO_BIN="$SUDO_DIR/bin/sudo"
SUDO_LIB_UTIL="$SUDO_DIR/libexec/sudo/libsudo_util.so.0"
SUDO_PLUGIN="$SUDO_DIR/libexec/sudo/sudoers.so"
DEST_SUDO="/usr/bin/sudo"
DEST_LIB="/usr/lib64"
DEST_PLUGIN_DIR="/usr/libexec/sudo"
SUDO_CONF="/etc/sudo.conf"
LOG_FILE="/var/log/sudo_upgrade_$(date +%s).log"

这部分代码定义了脚本中使用的各种变量，包括 sudo 源码压缩包的名称、解压路径、目标文件和目录的路径，以及日志文件的名称。

日志和错误处理函数

# 日志函数
log_message() {local message="[$(date '+%Y-%m-%d %H:%M:%S')] $1"echo "$message"echo "$message" >> "$LOG_FILE"
}# 错误处理函数
handle_error() {log_message "错误: $1"[ -n "$2" ] && log_message "详细信息: $2"log_message "升级过程已中止。请检查日志文件: $LOG_FILE"exit 1
}# 检查命令执行状态
check_status() {if [ $? -ne 0 ]; thenhandle_error "$1" "$2"fi
}

log_message 函数用于记录日志，将消息同时输出到终端和日志文件中。handle_error 函数用于处理错误，记录错误信息并终止脚本的执行。check_status 函数用于检查上一个命令的执行状态，如果执行失败则调用 handle_error 函数。

检查用户权限

# 检查是否是 root 用户
if [ "$(id -u)" != "0" ]; thenecho "错误：请以 root 用户运行此脚本。"exit 1
fi

升级 sudo 需要 root 权限，因此脚本会检查当前用户是否为 root 用户，如果不是则输出错误信息并退出。

解压源码压缩包

# 1. 解压 tar.gz 文件
if [ ! -f "$ARCHIVE" ]; thenhandle_error "$ARCHIVE 文件不存在，请确认文件在当前目录下。"
fimkdir -p "$EXTRACT_PATH"
log_message "正在解压 $ARCHIVE ..."
tar -zxf "$ARCHIVE" 
check_status "解压失败，请检查压缩包是否损坏或格式是否为 .tar.gz"

脚本会先检查 sudo 源码压缩包是否存在，如果不存在则输出错误信息并退出。然后创建解压目录并解压压缩包，同时检查解压是否成功。

备份原有 sudo

# 3. 备份原有 sudo（如果存在）
if [ -f "$DEST_SUDO" ]; thenlog_message "正在备份原 sudo..."cp "$DEST_SUDO" "${DEST_SUDO}.bak"check_status "备份原 sudo 失败"log_message "已备份原 sudo 至 ${DEST_SUDO}.bak"
elselog_message "警告: 未找到原有 sudo 可执行文件，跳过备份步骤"
fi

如果系统中已经存在 sudo 可执行文件，则将其备份到一个带有 .bak 后缀的文件中，以便在升级失败时可以恢复。

替换 sudo 可执行文件和相关文件

# 4. 替换 sudo 可执行文件
log_message "正在安装新版本 sudo..."
cp "$SUDO_BIN" "$DEST_SUDO"
check_status "复制 sudo 可执行文件失败"
chmod 4755 "$DEST_SUDO"
check_status "设置 sudo 权限失败"
log_message "已安装新版本 sudo 到 $DEST_SUDO"# 5. 安装动态库
log_message "正在安装动态库..."
cp "$SUDO_LIB_UTIL" "$DEST_LIB/"
check_status "复制动态库失败"
log_message "已安装 libsudo_util.so.0 到 $DEST_LIB/"# 6. 安装插件
log_message "正在安装插件..."
mkdir -p "$DEST_PLUGIN_DIR"
check_status "创建插件目录失败"
cp "$SUDO_PLUGIN" "$DEST_PLUGIN_DIR/"
check_status "复制插件文件失败"
chmod -R go+rx "$DEST_PLUGIN_DIR"
check_status "设置插件目录权限失败"
log_message "已安装 sudoers.so 插件到 $DEST_PLUGIN_DIR"

这部分代码将新版本的 sudo 可执行文件、动态库和插件复制到相应的目标目录，并设置正确的权限。

更新动态库缓存

# 7. 更新动态库缓存
log_message "正在更新动态库缓存..."
ldconfig
check_status "更新动态库缓存失败"
log_message "动态库缓存已更新"

ldconfig 命令用于更新系统的动态库缓存，确保系统可以找到新安装的动态库。

配置 /etc/sudo.conf 文件

# 8. 创建或修复 /etc/sudo.conf 文件
log_message "正在配置 /etc/sudo.conf..."
if [ -f "$SUDO_CONF" ]; thenlog_message "清理旧的 sudoers 插件配置..."# 备份配置文件cp "$SUDO_CONF" "${SUDO_CONF}.bak"# 删除旧的 sudoers 插件配置行（如果有）sed -i '/Plugin sudoers_policy/d' "$SUDO_CONF"sed -i '/Plugin sudoers_io/d' "$SUDO_CONF"
elselog_message "创建新的 sudo.conf 文件..."touch "$SUDO_CONF"check_status "创建 sudo.conf 文件失败"
fi# 添加正确的插件路径
echo "# Added by upgrade-sudo.sh" >> "$SUDO_CONF"
echo "Plugin sudoers_policy /usr/libexec/sudo/sudoers.so" >> "$SUDO_CONF"
echo "Plugin sudoers_io /usr/libexec/sudo/sudoers.so" >> "$SUDO_CONF"
check_status "配置 sudo.conf 失败"
log_message "已配置 /etc/sudo.conf 中的插件路径"

脚本会检查 /etc/sudo.conf 文件是否存在，如果存在则备份并清理旧的插件配置行，然后添加正确的插件路径。如果文件不存在则创建一个新的文件。

验证安装结果

# 9. 验证安装结果
log_message "正在验证安装..."
"$DEST_SUDO" -V &>/dev/null
if [ $? -eq 0 ]; thenlog_message "sudo 升级成功！版本信息：""$DEST_SUDO" -V >> "$LOG_FILE"echo "sudo 升级成功！版本信息：""$DEST_SUDO" -V
elsehandle_error "升级失败，请检查日志。"
fi

最后，脚本会验证升级结果，通过运行 sudo -V 命令来检查新版本的 sudo 是否可以正常工作。如果命令执行成功，则表示升级成功，否则输出错误信息并终止脚本。

四、使用方法

1. 准备工作：将 sudo1.9.17p1.tar.gz 文件下载到脚本所在的目录。
2. 运行脚本：以 root 用户身份运行 update_sudo.sh 脚本。

sudo ./update_sudo.sh

1. 查看日志：升级过程中的详细信息会记录在 /var/log/sudo_upgrade_.log 文件中，如果升级失败，可以查看该日志文件来排查问题。

五、总结

通过及时升级 sudo 到安全版本，可以有效避免 Linux sudo 本地提权漏洞带来的安全风险。本文介绍的脚本提供了一种自动化的升级方法，方便系统管理员快速完成升级任务。在升级过程中，脚本会进行详细的日志记录和错误处理，确保升级过程的可靠性。同时，建议定期关注 sudo 的安全更新，及时采取措施保障系统的安全。

希望本文对你有所帮助，如果你在升级过程中遇到任何问题，欢迎在评论区留言讨论。