Langkah-langkah untuk mendapatkan VPS kami

Tutorial ini menunjukkan cara menyediakan dan melindungi Virtual Private Server (VPS) dengan Debian GNU / Linux. Sebelum memulakan, beberapa perkara diandaikan:

1. Anda mempunyai tahap keakraban antara GNU / Linux.
2. Terdapat VPS untuk penggunaan peribadi yang boleh kita akses melalui SSH.
3. VPS mempunyai ipv4 luaran khusus 250.250.250.155 dan pembekal kami memiliki blok 250.250.0.0/16. (1)
4. Dalam VPS kami, kami hanya akan menyediakan perkhidmatan http, https dan ssh untuk akses dari luar.
5. DNS luaran tidak akan diaktifkan kerana biasanya dilakukan di panel penyedia kami. (2)
6. Ia akan berfungsi sebagai pengguna super.

Pemasangan

Sebagai langkah pertama, mari kita kemas kini pelayan dan pasangkan beberapa pakej yang kita perlukan:

# aptitude update & aptitude safe-upgrade # aptitude -RvW install dropbear gesftpserver sslh iptables-gigih ulogd fail2ban nginx-light apache2-utils dnsutils telnet Ghostscript poppler-utils zip unzip unrar-free p7zip-full less multitail tee mc

konfigurasi

Sekarang kita akan membuat pengguna kerja. Bekerja sebagai root pada pelayan tidak selamat, jadi pertama-tama kita akan membuat pengguna khas:

operator adduser usermod -aG sudo operator

Perintah pertama membuat pengguna pengendali, yang kedua menambahkannya ke kumpulan sudo, yang akan membolehkan anda menjalankan aplikasi sebagai root.

Laraskan kebenaran untuk pengguna super

Untuk bekerja dengan kerap, kami akan menggunakan pengguna pengendali dibuat sebelumnya, kita perlu menyesuaikan pilihan pelaksanaan perintah sebagai superuser, yang mana kita melaksanakan perintah berikut:

visudo

Perintah ini pada dasarnya membenarkan pengubahsuaian fail / etc / sudoers; di mana kita harus mengandungi baris berikut:

Defaults env_reset, timestamp_timeout = 0% sudo ALL = (ALL: ALL) SEMUA

Pada baris pertama pilihan ditambahkan pada nilai lalai cap waktu_ waktu tamat yang membolehkan anda menetapkan masa luput (dalam beberapa minit) kata laluan ketika perintah sudo dijalankan. Lalai adalah 5, tetapi kadangkala tidak selamat kerana dua sebab:

1. Sekiranya secara tidak sengaja kita membiarkan komputer kita log masuk sebelum kata laluan habis, seseorang boleh melaksanakan perintah sebagai root tanpa batasan.
2. Sekiranya melalui ketidakpedulian kami melaksanakan aplikasi atau skrip yang berisi kod jahat sebelum kata sandi habis, aplikasi mungkin dapat mengakses sistem kami sebagai superuser, tanpa persetujuan jelas kami.

Jadi untuk mengelakkan risiko, kami telah menetapkan nol ke nol, iaitu, setiap kali perintah sudo dilaksanakan, kata sandi harus dimasukkan. Sekiranya nilai negatif ditetapkan sebagai -1, kesannya ialah kata laluan tidak akan luput, yang akan menghasilkan hasil yang bertentangan dengan apa yang kita mahukan.

Pada baris kedua dijelaskan bahawa kumpulan sudo dapat menjalankan perintah apa pun pada komputer mana pun, yang biasa, walaupun dapat disesuaikan. (3) Ada orang-orang yang dengan senang hati meletakkan baris seperti berikut untuk menghindari ketik kata sandi:

% sudo ALL = (ALL: ALL) NOPASSWD: ALL

Namun, seperti yang kami jelaskan sebelumnya ini berisiko, dan oleh itu tidak digalakkan.

Lumpuhkan mulakan semula

Atas sebab keselamatan, kami juga akan mematikan restart menggunakan kombinasi kunci Ctrl + Alt + Del, di mana kita mesti menambah baris ini dalam fail / etc / inittab:

ca: 12345: ctrlaltdel: / bin / echo "Ctrl + Alt + Del telah dilumpuhkan."

Gantikan OpenSSH dengan DropBear

Sebilangan besar VPS dilengkapi dengan OpenSSH yang terpasang, yang tentunya sangat berguna, tetapi melainkan jika kita perlu memanfaatkan semua fungsi OpenSSH, ada alternatif yang lebih ringan untuk VPS, seperti dropbear, yang biasanya mencukupi untuk penggunaan biasa. Namun, kelemahan aplikasi ini adalah bahawa ia tidak dilengkapi dengan pelayan SFTP bersepadu, dan itulah sebabnya pada awalnya kami memasang pakej pelayan gesftps.

Untuk mengkonfigurasi Dropbear, kami akan mengubah suai fail / etc / default / dropbear sehingga mengandungi dua baris berikut:

NO_START = 0 DROPBEAR_EXTRA_ARGS = "- w -p 127.0.0.1:22 -Saya 1200 -m"

Baris pertama hanya membolehkan perkhidmatan, dan yang kedua melakukan beberapa perkara:

1. Elakkan akses root.
2. Ini menjadikan perkhidmatan mendengar di port 22 antara muka tempatan (kami akan menerangkan mengapa kemudian).
3. Menetapkan masa menunggu (20 minit).

SSLH

Port 22 (SSH) terkenal dan umumnya merupakan salah satu yang pertama dicuba oleh penggodam, jadi kami akan menggunakan port 443 (SSL) sebagai gantinya. Kebetulan port ini digunakan untuk menyemak imbas melalui HTTPS dengan selamat.

Atas sebab ini kami akan menggunakan pakej sslh, yang tidak lebih dari multiplexer yang menganalisis paket yang tiba di port 443, dan mengarahkannya secara dalaman ke satu perkhidmatan atau perkhidmatan yang lain bergantung pada apakah jenis lalu lintas adalah SSH atau SSL.

SSLH tidak dapat mendengar pada antara muka di mana perkhidmatan lain sudah mendengarkan, itulah sebabnya kami sebelumnya membuat Dropbear mendengar pada antara muka tempatan.

Sekarang apa yang perlu kita lakukan adalah menunjukkan kepada antarmuka dan port di mana ia harus mendengar dan di mana untuk mengarahkan paket bergantung pada jenis perkhidmatan, dan untuk ini kita akan mengubah fail konfigurasi / etc / lalai / sslh:

DAEMON = / usr / sbin / sslh DAEMON_OPTS = "- pengguna sslh --listen 250.250.250.155:443 --ssh 127.0.0.1:22 --ssl 127.0.0.1:443 --pidfile / var / run / sslh / sslh. pid "RUN = ya

Akhirnya, kami memulakan semula perkhidmatan:

service ssh stop && service dropbear start && service sslh mulakan semula

Selepas arahan sebelumnya, sesi selamat kita mungkin akan terganggu, dalam hal ini sudah cukup untuk masuk lagi, tetapi kali ini dengan pengguna kerja dan menggunakan port 443. Sekiranya sesi tidak terganggu, disarankan untuk menutupnya dan mulakan semula dengan nilai yang sesuai.

Sekiranya semuanya berfungsi dengan betul, kita boleh terus berfungsi sebagai root dan jika kita mahu, hapus pemasangan OpenSSH:

sudo su - aptitude -r purge openssh-server

Firewall

Perkara seterusnya yang akan kita lakukan ialah memisahkan log dari firewall ke dalam fail yang berasingan /var/log/firewall.log untuk memudahkan analisis lebih lanjut, itulah sebabnya kami memasang pakej ulogd pada permulaan. Untuk ini kami akan menyunting fail /etc/logd.conf untuk menyesuaikan bahagian yang berkaitan:

[LOGEMU] file = "/ var / log / firewall.log" sync = 1

Seterusnya, kami akan mengubah suai fail putaran rekod / etc / logrotate / ulogd untuk menyimpan putaran harian (dengan tarikh) dan menyimpan penyelamat yang dimampatkan dalam direktori / var / log / ulog /:

/var/log/ulog/*.log /var/log/firewall.log {daily dateext lostok compress delaycompress sharedscripts create 640 root adm postrotate /etc/init.d/ulogd reload mv /var/log/firewall.log-* .gz / var / log / ulog / endcript}

Kemudian kita akan membuat peraturan netfilter dengan melaksanakan perkara berikut:

IPT = $ (mana yang boleh dilampirkan) IPEXT = 250.250.250.155 IPEXTBLK = 250.250.0.0 / 16 IPBCAST = 255.255.255.255 $ IPT -F $ IPT -X $ IPT -Z $ IPT -A INPUT -i lo -j MENERIMA $ IPT - P INPUT DROP $ IPT -P FORWARD DROP $ IPT -P OUTPUT ACCEPT $ IPT -A INPUT -m state --state INVALID -j ULOG --ulog-awalan IN_INVALID $ IPT -A INPUT -p igmp -j ULOG --ulog -prefix IN_IGMP $ IPT -A INPUT -m pkttype -pkt-type broadcast -j ULOG --ulog-awalan IN_BCAST $ IPT -A INPUT -m pkttype --pkt-type multicast -j ULOG --ulog-awalan IN_MCAST $ IPT -A FORWARD -j ULOG --ulog-awalan FORWARD $ IPT -N ICMP_IN $ IPT -A INPUT!  -i lo -p icmp -j ICMP_IN $ IPT -A ICMP_IN -p icmp -f -j ULOG --ulog-awalan IN_ICMP_FRAGMENTED $ IPT -A ICMP_IN -p icmp -m icmp -m panjang!  --panjang 28: 1322 -j ULOG --ulog-awalan IN_ICMP_INVALIDSIZE $ IPT -A ICMP_IN -p icmp -m icmp -m hashlimit --hashlimit-above 4 / sec --hashlimit-mode srcip --hashlimit-srcmask 24 - -hashlimit-name icmpflood -j ULOG --ulog-awalan IN_ICMP_FLOOD $ IPT -A ICMP_IN -p icmp -m icmp -m hashlimit --hashlimit-upto 64kb / min --hashlimit-mode srcip --hashlimit-srcmask 24 - hashlimit -nama icmpattack -j ULOG --ulog-awalan IN_ICMP_FLOOD $ IPT -A ICMP_IN -p icmp -m icmp -m u32!  --u32 "0x4 & 0x3fff = 0x0" -j ULOG --ulog-awalan IN_ICMP_ATTACK $ IPT -A ICMP_IN -p icmp -m icmp!  - permintaan echo-jenis echo -m -m -state BARU -j ULOG --ulog-awalan IN_ICMP_INVALID $ IPT -A ICMP_IN -p icmp -m icmp - jenis -memohon echo-permintaan -j ULOG --ulog- awalan IN_ICMP $ IPT -A ICMP_IN -p icmp -m icmp --icmp-jenis echo-request -m had --limit 1 / sec --limit-burst 4 -j TERIMA $ IPT -A ICMP_IN -p icmp -m icmp - had echo -m -mmp jenis -mmp - had 2 / saat - had-pecah 4 -j TERIMA $ IPT -A ICMP_IN -p icmp -m icmp - destinasi jenis -mp-tak dapat dicapai -m had - had 2 / saat - had-pecah 4 -j MENERIMA $ IPT -A ICMP_IN -p icmp -m icmp - had masa -mmp-melebihi had -m - had 2 / saat - had-pecah 4 -j MENERIMA $ IPT -A ICMP_IN -p icmp -m icmp - parameter jenis -mp-masalah-had had - had 2 / saat - had-pecah 4 -j TERIMA $ IPT -A ICMP_IN -j KEMBALI $ IPT -N UDP_IN $ IPT -A INPUT!  -i lo -p udp -j UDP_IN $ IPT -A UDP_IN!  -saya!  -p udp -f -j ULOG --ulog-awalan IN_UDP_FRAGMENTED $ IPT -A UDP_IN -p udp -m udp --sport panjang 53 -m!  --panjang 28: 576 -j ULOG --ulog-awalan IN_UDP_DNS_INVALIDSIZE $ IPT -A UDP_IN -p udp -m udp --dport 53 -m -state --state NEW -j ULOG --ulog-awalan IN_UDP_DNSREQUEST $ IPT - A UDP_IN -p udp -m udp --dport 53 -m -state --state NEW -j REJECT --reject-with icmp-port-unreachable $ IPT -A UDP_IN -p udp -m udp!  - sukan 53!  -s $ IPEXTBLK!  -d $ IPBCAST -m state --state BARU -j ULOG --ulog-awalan IN_UDP $ IPT -A UDP_IN -p udp -m udp -m state --state DITUBUHKAN, BERKAITAN -j MENERIMA $ IPT -A UDP_IN -j KEMBALI $ IPT -N TCP_IN $ IPT -A INPUT!  -i lo -p tcp -j TCP_IN $ IPT -A TCP_IN!  -saya!  -p tcp -f -j ULOG --ulog-awalan IN_TCP_FRAGMENTED $ IPT -A TCP_IN -p tcp -m tcp --sport 53 -m state --state DILAYAN, BERKAITAN -m panjang!  --lamanya 513: 1500 -j ULOG --ulog-awalan IN_TCP_DNS_INVALIDSIZE $ IPT -A TCP_IN -p tcp -m tcp --dport 53 -m state --state NEW -j ULOG --ulog-awalan IN_TCP_DNS $ IPT -A TCP_IN -p tcp -m tcp --dport 53 -m state --state NEW -j REJECT --reject-with icmp-port-unreachable $ IPT -A TCP_IN -p tcp -m tcp -m multiport!  -dports 80,443 -m state --state NEW -j ULOG -ulog-awalan IN_TCP $ IPT -A TCP_IN -p tcp -m tcp -m multiport --dports 80,443 -m state --state NEW -m hashlimit - hashlimit -upto 4 / sec --hashlimit-burst 16 --hashlimit-mode srcip --hashlimit-name navreq -j MENERIMA $ IPT -A TCP_IN -p tcp -m tcp -m multiport --dports 80,443 -m state - state ESTABLISHED -saya!  --connlimit-above 16 -j MENERIMA $ IPT -A TCP_IN -p tcp -m tcp -m multiport! 

Dengan konfigurasi sebelumnya, VPS kita harus diamankan dengan wajar, tetapi jika kita mahu kita dapat mengamankannya sedikit lagi, yang mana kita dapat menggunakan beberapa peraturan yang lebih maju.

Tidak semua VPS membenarkan pemasangan modul tambahan untuk netfilter, tetapi yang sangat berguna adalah psd, yang membolehkan anda mengelakkan pengimbasan port. Malangnya, modul ini tidak disatukan ke dalam netfilter secara lalai, jadi perlu memasang pakej tertentu dan kemudian membina modul:

aptitude -RvW memasang iptables-dev xtables-addons-source module-Assistant module-Assistant -verbose -text-mode auto-install xtables-addons-source

Setelah perkara di atas selesai, kita dapat menambahkan peraturan seperti ini:

iptables -A INPUT -m psd --psd-weight-threshold 15 --psd-delay-threshold 2000 --psd-lo-port-weight 3 --psd-hi-port-weight 1 -j ULOG --ulog- awalan IN_PORTSCAN

Peraturan sebelumnya pada dasarnya bermaksud bahawa kita akan membuat penghitung yang akan meningkat sebanyak 3 setiap kali percubaan dilakukan untuk mengakses port yang lebih rendah dari 1024 dan 1 setiap kali percubaan dilakukan untuk mengakses port yang lebih tinggi dari 1023, dan ketika penghitung ini mencapai 15 dalam masa kurang dari 20 saat, pakej akan didaftarkan oleh ulog sebagai percubaan di portscan. Paket masih boleh dibuang sekaligus, tetapi dalam kes ini kami ingin menggunakan fail2ban, yang akan kita konfigurasikan kemudian.

Setelah peraturan dibuat, kita mesti mengambil langkah berjaga-jaga tertentu untuk menjadikannya berterusan, jika tidak, kita akan kehilangannya semasa pelayan dimulakan semula. Terdapat beberapa cara untuk mencapainya; Dalam tutorial ini kita akan menggunakan paket iptables-persistent yang kita pasang pada awal, yang menyimpan peraturan di /etc/iptables/rules.v4 y /etc/iptables/rules.v6 untuk ipv6.

iptables-save> /etc/iptables/rules.v4

Sebenarnya, walaupun penggunaan ipv6 di Cuba belum meluas, kita boleh membuat beberapa peraturan asas:

IPT = $ (mana ip6tables) $ IPT -P INPUT DROP $ IPT -P FORWARD DROP $ IPT -P OUTPUT ACCEPT $ IPT -A INPUT -i lo -j MENERIMA $ IPT -A INPUT! -i keadaan lo -m - negara yang DITETAPKAN, BERKAITAN -j MENERIMA tidak menetapkan IPT

Peraturan ini juga dapat dibuat secara berterusan:

ip6tables-save> /etc/iptables/rules.v6

Akhirnya, untuk keselamatan yang lebih tinggi, kami membersihkan pendaftaran firewall dan memulakan semula perkhidmatan:

echo -n> /var/log/firewall.log perkhidmatan logrotate restart service ulogd restart service iptables-persistent restart

Nginx

Kami akan menggunakan Nginx sebagai pelayan web, kerana VPS cenderung mempunyai jumlah RAM yang berkurang berbanding dengan pelayan yang sebenarnya, jadi pada umumnya lebih mudah untuk memiliki sesuatu yang lebih ringan daripada Apache.

Sebelum mengkonfigurasi Nginx, kami akan membuat sijil (tanpa kata laluan) untuk digunakan melalui HTTPS:

cd / etc / nginx openssl genrsa -des3 -out cert.key 4096 cp -v cert.key cert.key.original openssl req -new -key cert.key -out cert.csr openssl rsa -in cert.key.original - keluar cert.key openssl x509 -req -days 365 -in cert.csr -signkey cert.key -out cert.crt

Setelah ini selesai, kami akan membuat fail kata laluan untuk pengguna "elusuario":

htpasswd -c .htpasswd pengguna

Seterusnya, kami akan mengubah suai fail / etc / nginx / sites-available / default untuk menetapkan pilihan laman web lalai. Ia boleh kelihatan seperti ini:

pelayan {server_name localhost; index index.html index.htm default.html default.htm; root / var / www; lokasi / {# tetapkan urutan pengesahan dan halaman yang akan dimuat, jika URI tidak dijumpai, try_files $ uri $ uri / /index.html; }} pelayan {dengar 127.0.0.1:443; pelayan_nama localhost; index index.html index.htm default.html default.htm; root / var / www; ssl pada; ssl_certificate cert.crt; ssl_certificate_key cert.key; ssl_session_timeout 5m; # Aktifkan HTTPS hanya melalui TLS (lebih selamat daripada SSL) ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # berikan keutamaan kepada cipher kekuatan tinggi [TINGGI], # gerakkan cipher kekuatan sederhana [MEDIUM] ke hujung senarai, # lumpuhkan cipher kekuatan rendah [RENDAH] (40 dan 56 bit) # lumpuhkan cipher dengan algoritma eksport [ EXP] # lumpuhkan cipher nol [eNULL], tanpa pengesahan [aNULL], SSL (versi 2 dan 3) dan DSS (hanya membenarkan kekunci sehingga 1024 bit) ssl_ciphers TINGGI: + MEDIUM:! RENDAH:! EXP:! ANULL :! eNULL:! SSLv3:! SSLv2:! DSS; # Lebih suka kaedah penyulitan pelayan (secara lalai pelanggan digunakan) ssl_prefer_server_ciphers dihidupkan; lokasi / {# aktifkan pengesahan auth_basic "Login"; auth_basic_user_file /etc/nginx/.htpasswd; # tetapkan urutan pengesahan dan kod halaman untuk dimuat, jika URI try_files $ uri $ uri / = 404 tidak dijumpai; # membenarkan pembuatan indeks untuk autoindex pengguna yang disahkan; autoindex_exact_size off; autoindex_localtime aktif; }}

Kami memastikan bahawa konfigurasi betul:

nginx -t

Akhirnya, kami memulakan semula perkhidmatan:

perkhidmatan nginx restart

Fail2Ban

Sebelum memulakan konfigurasi Fail2Ban, untuk keselamatan yang lebih besar, kami menghentikan perkhidmatan dan membersihkan pendaftaran:

fail2ban-client stop echo -n> /var/log/fail2ban.log

Seterusnya, kami membuat fail konfigurasi /etc/fail2ban/jail.local dengan kandungan tersuai berikut:

# Fail konfigurasi tersuai /etc/fail2ban/jail.local # [DEFAULT] findtime = 43200; 12 jam bantime = 86400; Maxretry 1 hari = 3; larangan akan berlaku setelah percubaan ke-4 [ssh] enabled = false [nginx-auth] enabled = true filter = nginx-auth action = iptables-multiport [name = NoAuthFailures, port = "http, https"] logpath = / var / log / nginx * / * error * .log [nginx-badbots] enabled = true filter = apache-badbots action = iptables-multiport [name = BadBots, port = "http, https"] logpath = / var / log / nginx * /*access*.log bantime = 604800; Maxretry 1 minggu = 0 [nginx-login] enabled = true filter = nginx-login action = iptables-multiport [name = NoLoginFailures, port = "http, https"] logpath = / var / log / nginx * / * akses *. log bantime = 1800; 30 minit [nginx-noscript] diaktifkan = tindakan benar = iptables-multiport [name = NoScript, port = "http, https"] filter = nginx-noscript logpath = /var/log/nginx*/*access*.log maxretry = 0 [nginx-proxy] diaktifkan = tindakan benar = iptables-multiport [name = NoProxy, port = "http, https"] filter = nginx-proxy logpath = /var/log/nginx*/*access*.log bantime = 604800 ; Maxretry 1 minggu = 0 [firewall] diaktifkan = tindakan benar = iptables-multiport [name = Firewall] filter = firewall logpath = /var/log/firewall.log maxretry = 0

Setelah ini selesai, kita buat di direktori /etc/fail2ban/filters.d/ fail berikut:

# /etc/fail2ban/filter.d/nginx-auth.conf # Penapis Auth # Menyekat IP yang gagal mengesahkan menggunakan pengesahan asas # [Definisi] failregex = tidak ada pengguna / kata laluan yang disediakan untuk pengesahan asas. * pelanggan: pengguna. * tidak dijumpai di. * pelanggan: pengguna. * ketidakcocokan kata laluan. * pelanggan: kejahilan =

# /etc/fail2ban/filter.d/nginx-login.conf # Penapis log masuk # Menyekat IP yang gagal disahkan menggunakan halaman log masuk aplikasi web # Log akses imbasan untuk HTTP 200 + POST / sesi => log masuk yang gagal # [Definisi ] failregex = ^ -. * POST / sesi HTTP / 1 \ .. "200 igneregex =

# /etc/fail2ban/filter.d/nginx-noscript.conf # Penapis noskrip # Sekat IP yang cuba melaksanakan skrip seperti .php, .pl, .exe dan skrip lucu lain. # Perlawanan mis. # 192.168.1.1 - - "GET /something.php # [Definisi] failregex = ^ -. * DAPATKAN. * (\. Php | \ .asp | \ .exe | \ .pl | \ .cgi | \ scgi) igneregex =

# /etc/fail2ban/filter.d/proxy.conf # Penapis proksi # Sekat IP yang cuba menggunakan pelayan sebagai proksi. # Perlawanan misalnya # 192.168.1.1 - - "DAPATKAN http://www.something.com/ # [Definisi] failregex = ^ -. * DAPATKAN http. * Ignoreregex =

# /etc/fail2ban/filter.d/firewall.conf # Penapis firewall # [Definisi] failregex = ^. * IN_ (TIDAK TERBAIK | PORTSCAN | UDP | TCP |). * SRC = . * $ igneregex =

Akhirnya, kami memulakan perkhidmatan dan memuat konfigurasi:

fail2ban-service -b fail2ban-client tambah nilai

Pengesahan

Sebagai langkah terakhir, kita dapat melihat rekod dengan ekor -f o multitail - ikuti semua. Sebenarnya, aplikasi terakhir menawarkan kelebihan yang membolehkan anda melihat banyak fail pada masa yang sama dan memberikan sorotan sintaks asas.

Sekiranya akaun e-mel tidak dikonfigurasi dalam VPS, disarankan untuk menonaktifkan pesan peringatan yang muncul ketika memulai multitail, yang mana kami akan melaksanakan perintah berikut:

echo "check_mail: 0"> ~ / .multitailrc

Sebenarnya, kita boleh membuat alias (4) untuk melihat log dengan cepat dengan perintah pendek, misalnya, "cambuk":

alias flog = 'multitail --follow-all /var/log/firewall.log /var/log/fail2ban.log'

1) Ini adalah nilai rekaan.
2) Mengaktifkan perkhidmatan lain adalah mudah setelah anda memahami cara kerjanya.
3) Untuk keterangan lebih lanjut, jalankan sudoers man.
4) Secara pilihan boleh ditambahkan ke fail ~ / .bash_aliases