8 способов настроить и настроить Sudo на Ubuntu

Как и большинство вещей в Linux, команда sudo очень настраиваема. С помощью sudo можно запускать определенные команды без запроса пароля, ограничивать отдельных пользователей только утвержденными командами, команды журналов запускаются с помощью sudo и т. Д..

Поведение команды sudo контролируется файлом / etc / sudoers в вашей системе. Эта команда должна быть отредактирована с помощью команды visudo, которая выполняет проверку синтаксиса, чтобы убедиться, что вы случайно не сломаете файл.

Укажите пользователей с разрешениями Sudo

Учетная запись пользователя, которую вы создаете при установке Ubuntu, помечается как учетная запись администратора, что означает, что она может использовать sudo. Любые дополнительные учетные записи, которые вы создаете после установки, могут быть учетными записями администратора или обычного пользователя. У стандартных учетных записей пользователя нет разрешений sudo..

Вы можете управлять типами учетных записей пользователей графически из Ubuntu User Accounts tool. Чтобы открыть его, щелкните свое имя пользователя на панели и выберите «Учетные записи пользователей» или выполните поиск учетных записей пользователей в тире..

Заставь Судо забыть свой пароль

По умолчанию sudo запоминает ваш пароль в течение 15 минут после его ввода. Вот почему вы должны вводить свой пароль только один раз при выполнении нескольких команд с sudo в быстрой последовательности. Если вы хотите, чтобы кто-то еще использовал ваш компьютер, и вы хотите, чтобы sudo запрашивало пароль при следующем запуске, выполните следующую команду, и sudo забудет ваш пароль:

судо-к

Всегда спрашивайте пароль

Если вы предпочитаете получать подсказки каждый раз, когда используете sudo, например, если другие люди регулярно имеют доступ к вашему компьютеру, вы можете полностью отключить функцию запоминания пароля..

Этот параметр, как и другие параметры sudo, содержится в файле / etc / sudoers. Запустите команду visudo в терминале, чтобы открыть файл для редактирования:

sudo visudo

Несмотря на название, эта команда по умолчанию использует новый удобный нано-редактор вместо традиционного редактора vi в Ubuntu..

Добавьте следующую строку ниже других строк по умолчанию в файле:

По умолчанию timestamp_timeout = 0

Нажмите Ctrl + O, чтобы сохранить файл, а затем нажмите Ctrl + X, чтобы закрыть Nano. Sudo теперь всегда будет запрашивать пароль.

Изменить время ожидания пароля

Чтобы установить другой тайм-аут пароля - более длинный, например, 30 минут, или более короткий, например, 5 минут, - выполните действия, описанные выше, но используйте другое значение для timestamp_timeout. Число соответствует количеству минут, в течение которых sudo запомнит ваш пароль. Чтобы sudo запомнил ваш пароль на 5 минут, добавьте следующую строку:

По умолчанию timestamp_timeout = 5

Никогда не спрашивай пароль

Вы также можете сделать так, чтобы sudo никогда не запрашивал пароль - до тех пор, пока вы вошли в систему, каждая команда с префиксом sudo будет выполняться с правами суперпользователя. Для этого добавьте следующую строку в ваш файл sudoers, где username - это ваше имя пользователя:

имя пользователя ALL = (ALL) NOPASSWD: ALL

Вы также можете изменить строку% sudo - то есть строку, которая позволяет всем пользователям в группе sudo (также известной как пользователи-администраторы) использовать sudo - чтобы все пользователи-администраторы не запрашивали пароли:

% sudo ALL = (ALL: ALL) NOPASSWD: ALL

Выполнить определенные команды без пароля

Вы также можете указать конкретные команды, которые никогда не потребуют пароль при запуске с sudo. Вместо использования «ALL» после NOPASSWD выше, укажите расположение команд. Например, следующая строка позволит вашей учетной записи пользователя запускать команды apt-get и shutdown без пароля..

имя пользователя ALL = (ALL) NOPASSWD: / usr / bin / apt-get, / sbin / shutdown

Это может быть особенно полезно при запуске определенных команд с sudo в скрипте.

Разрешить пользователю запускать только определенные команды

Хотя вы можете занести в черный список определенные команды и запретить пользователям запускать их с помощью sudo, это не очень эффективно. Например, вы можете указать, что учетная запись пользователя не сможет запускать команду выключения с помощью sudo. Но эта учетная запись пользователя может запустить команду cp с помощью sudo, создать копию команды shutdown и завершить работу системы, используя копию.

Более эффективным способом является внесение в белый список определенных команд. Например, вы могли бы дать разрешение учетной записи обычного пользователя использовать команды apt-get и shutdown, но не более. Для этого добавьте следующую строку, где standarduser - имя пользователя пользователя:

standarduser ALL = / usr / bin / apt-get, / sbin / shutdown

Следующая команда расскажет нам, какие команды пользователь может запускать с помощью sudo:

sudo -U standarduser -l

Вход в Sudo Access

Вы можете зарегистрировать весь доступ sudo, добавив следующую строку. / var / log / sudo - просто пример; Вы можете использовать любое местоположение файла журнала, которое вам нравится.

Файл по умолчанию logfile = / var / log / sudo

Просмотрите содержимое файла журнала с помощью команды, подобной этой:

sudo cat / var / log / sudo

Имейте в виду, что если пользователь имеет неограниченный доступ к sudo, он может удалить или изменить содержимое этого файла. Пользователь также может получить доступ к корневому запросу с помощью команд sudo и run, которые не будут зарегистрированы. Функция ведения журнала наиболее полезна в сочетании с учетными записями пользователей, которые имеют ограниченный доступ к подмножеству системных команд..