Головна » як » 8 способів налаштування та налаштування Sudo на Ubuntu

    8 способів налаштування та налаштування Sudo на Ubuntu

    Як і більшість речей у Linux, команда sudo дуже налаштовується. Команди sudo можна запускати, не вимагаючи пароля, обмежувати окремих користувачів лише затвердженими командами, команди журналу, запущені за допомогою sudo, і багато іншого.

    Поведінка команди sudo контролюється файлом / etc / sudoers у вашій системі. Цю команду потрібно редагувати за допомогою команди visudo, яка виконує перевірку синтаксису, щоб переконатися, що ви не випадково зламаєте файл.

    Вкажіть користувачів із правами Sudo

    Обліковий запис користувача, який ви створюєте під час встановлення Ubuntu, позначено як обліковий запис адміністратора, що означає, що він може використовувати sudo. Будь-які додаткові облікові записи, створені після інсталяції, можуть бути або адміністративними, або стандартними обліковими записами користувачів. Стандартні облікові записи користувачів не мають дозволів sudo.

    Ви можете керувати типами облікових записів користувачів графічно з інструментів облікових записів користувачів Ubuntu. Щоб відкрити його, клацніть своє ім'я користувача на панелі та виберіть Облікові записи користувачів або знайдіть облікові записи користувачів у тирі.

    Зробити Sudo забудьте свій пароль

    За замовчуванням sudo запам'ятовує ваш пароль протягом 15 хвилин після його введення. Ось чому ви повинні вводити пароль один раз, коли виконуєте кілька команд з sudo у швидкій послідовності. Якщо ви збираєтеся дозволити іншому користуватися вашим комп'ютером, і ви хочете, щоб sudo запитував пароль, коли він працює, виконайте таку команду, і sudo забуде ваш пароль:

    sudo -k

    Завжди запитуйте пароль

    Якщо ви бажаєте отримувати запит кожного разу, коли ви використовуєте sudo - наприклад, якщо інші користувачі регулярно мають доступ до вашого комп'ютера - ви можете повністю вимкнути поведінку, що запам'ятовує пароль,.

    Цей параметр, як і інші налаштування sudo, міститься у файлі / etc / sudoers. Запустіть команду visudo у терміналі, щоб відкрити файл для редагування:

    sudo visudo

    Незважаючи на свою назву, ця команда за замовчуванням є новим редактором nano, замість традиційного редактора vi на Ubuntu..

    Додайте наступний рядок під іншими рядками за замовчуванням у файлі:

    За замовчуванням timestamp_timeout = 0

    Натисніть Ctrl + O, щоб зберегти файл, а потім натисніть Ctrl + X, щоб закрити Nano. Sudo тепер завжди підкаже вам пароль.

    Змініть час очікування пароля

    Щоб встановити інший тайм-аут пароля - триваліший, наприклад, 30 хвилин або коротший 5 хвилин - виконайте наведені вище дії, але використовуйте інше значення для timestamp_timeout. Номер відповідає кількості хвилин sudo запам'ятає ваш пароль. Щоб sudo запам'ятав ваш пароль протягом 5 хвилин, додайте наступний рядок:

    За замовчуванням timestamp_timeout = 5

    Ніколи не запитуйте пароль

    Крім того, ви можете запустити sudo ніколи не запитувати пароль - до тих пір, поки ви ввійшли, кожна команда, яку ви префіксуєте в sudo, буде виконуватися з правами root. Для цього додайте наступний рядок у файл sudoers, де ім'я користувача - це ваше ім'я користувача:

    ім'я користувача ALL = (ALL) NOPASSWD: ALL

    Можна також змінити рядок% sudo - тобто рядок, що дозволяє всім користувачам у групі sudo (також відомим як користувачі адміністратора) використовувати sudo - щоб всі користувачі адміністратора не вимагали паролів:

    % sudo ALL = (ВСЕ: ВСІ) НОПАСС: ALL

    Запуск окремих команд без пароля

    Ви також можете вказати конкретні команди, які ніколи не вимагатимуть пароль при запуску з sudo. Замість використання “ALL” після NOPASSWD вище, вкажіть розташування команд. Наприклад, наступний рядок дозволить вашому обліковому запису користувача запускати команди apt-get і shutdown без пароля.

    ім'я користувача ALL = (ALL) NOPASSWD: / usr / bin / apt-get, / sbin / shutdown

    Це може бути особливо корисним, коли виконуються окремі команди з sudo у сценарії.

    Дозволити користувачеві запускати лише окремі команди

    Хоча ви можете занести в список чорних списків певні команди і запобігти користувачам запустити їх за допомогою sudo, це не дуже ефективно. Наприклад, можна вказати, що обліковий запис користувача не зможе запустити команду завершення роботи з sudo. Але цей обліковий запис користувача може запустити команду cp з sudo, створити копію команди вимкнення та вимкнути систему, використовуючи копію.

    Більш ефективним способом є надання спеціальних команд у білий список. Наприклад, ви можете надати дозволу стандартного користувача на використання команд apt-get і shutdown, але не більше. Для цього додайте наступний рядок, де стандартний користувач - це ім'я користувача:

    standarduser ALL = / usr / bin / apt-get, / sbin / shutdown

    Наступна команда розповість нам, які команди користувач може працювати з sudo:

    sudo -U стандартнийкористувач -l

    Запис судо доступу

    Ви можете зареєструвати весь доступ sudo, додавши наступний рядок. / var / log / sudo - це лише приклад; ви можете використовувати будь-яке розташування файлу журналу, яке вам подобається.

    За замовчуванням logfile = / var / log / sudo

    Перегляд вмісту файлу журналу з такою командою:

    sudo cat / var / log / sudo

    Майте на увазі, що якщо користувач має необмежений sudo-доступ, цей користувач має можливість видаляти або змінювати вміст цього файлу. Користувач може також отримати доступ до кореневої підказки за допомогою sudo і run команд, які не були б зареєстровані. Функція реєстрації є найбільш корисною, якщо вона поєднується з обліковими записами користувачів, які мають обмежений доступ до підмножини команд системи.