22Aug
Nagu enamik Linuxi asju, on sudo käsk väga konfigureeritav. Sul võib olla sudo käivitada konkreetseid käsklusi, mitte küsida parooli, piirata konkreetseid kasutajaid ainult heakskiidetud käskudega, sudo käivitatavaid logi käske ja palju muud.
. Sudo käsku käitumist kontrollib teie süsteemis /etc/ sudoers fail. Seda käsklust tuleb muuta visoodo käsuga, mis teostab süntaksi kontrollimist, et tagada, et faili juhuslikult ei rikutaks.
Märkige kasutajad, kellel on sudo õigused
Ubuntu installimisel loodud kasutajakontot märgitakse administraatori kontoks, mis tähendab, et saab kasutada sudo. Kõik pärast installimist loodud täiendavad kasutajakontod võivad olla kas administraator või tavalised kasutajakontod. Standardkasutajakontol ei ole sudo õigusi.
Kasutajakonto liike saab graafiliselt kontrollida Ubuntu kasutajarakenduste tööriistadest. Selle avamiseks klõpsake paneelil oma kasutajanime ja valige kasutajakontod või otsige kasutajafunktsioone kriipsis.
Tee Sudo unusta oma salasõna
Vaikimisi mäletab sudo oma parooli 15 minutit pärast selle sisestamist. Sellepärast peate lihtsalt sisestama oma parooli korraga, kui käivitate sudo kiiresti mitu käsku. Kui kavatsete lubada kellelgi teisel oma arvutit kasutada ja soovite, et sudo küsiks parooli järgmisel käivitamisel, käivitage järgmine käsk ja sudo unustab parooli:
sudo -k
küsi alati parooli
KuiIga kord, kui kasutate sudo-d, küsitakse pigem seda, kui teistel inimestel on regulaarselt juurdepääs arvutile, võite täielikult parooli mäletamise käitumist keelata.
See seade, nagu ka teised sudo seaded, asub /etc/ sudoers-failis. Käivita visoodo käsk terminalis toimetatava faili avamiseks:
sudo visudo
Nimega vaatamata on see käsk vaikimisi Ubuntu traditsioonilise vi redaktori asemel uus kasutajasõbralik nano-toimetaja.
Lisage faili teiste vaikimisi joonte all järgmine rida:
Vaikimisi timestamp_timeout = 0
Vajuta Ctrl + O faili salvestamiseks ja vajuta Ctrl + X Nano sulgemiseks. Sudo küsib nüüd alati parooli.
Parooli ajutine muutmine
Selleks, et määrata erinevat parooli aegumist - kas pikem, näiteks 30 minutit või lühem, näiteks 5 minutit, järgige ülaltoodud juhiseid, kuid kasutage erinevat väärtust timestamp_timeout. Number vastab minutite arvule sudo mäletab teie parooli. Selleks, et sudo mäletaks teie parooli 5 minutit, lisage järgmine rida:
Default timestamp_timeout = 5
Ärge kunagi küsige parooli
Samuti võite olla, et sudo ei küsiks kunagi parooli - nii kaua kui oled sisse logitud, iga käsugaprefiks koos sudo käivitatakse administraatoriõigustega. Selleks lisage oma sudoers-faili järgmine rida, kus kasutajanimi on teie kasutajanimi:
kasutajanimi ALL =( ALL) NOPASSWD: KÕIK
Võite ka muuta% sudo liini - see on rida, mis lubab kõigil kasutajatelsudo grupp( tuntud ka kui administraatori kasutajad), et kasutada sudo - kõik administraatori kasutajad ei vaja paroole:
% sudo ALL =( ALL: ALL) NOPASSWD: KÕIK
Käivitage spetsiaalsed käsud ilma paroolita
Võite määrata ka spetsiifilised käsudkunagi ei nõua sudo käivitamisel parooli. Selle asemel, et pärast ülaltoodud NOPASSWD kasutamist kasutada "ALL", määrake käskude asukoht. Näiteks võimaldab järgmine kasutajaliides käivitada käske apt-get ja shutdown ilma paroolita.
kasutajanimi ALL =( KÕIK) NOPASSWD: /usr/bin/ apt-get, /sbin/ sulgemine
See võib olla eriti kasulik, kui käivitada skripti kasutades sudo-spetsiifilisi käske.
Lubage kasutajal käivitada ainult spetsiifilisi käske
Kuigi saate musta nimekirja teatud käsklusi ja takistada kasutajatel neid sudo käitada, pole see väga efektiivne. Näiteks võite määrata, et kasutajakonto ei suuda sudo käsku sulgemiseks käivitada. Kuid selle kasutajakonto võib käivitada sudo-ga käsku cp, luua käsku shutdown koopia ja sulgeda süsteem koopia abil.
Efektiivsem viis on konkreetsete käskude lisamine valgest nimekirjast. Näiteks võite anda tavalise kasutajakonto luba kasutada apt-get ja shutdown käske, kuid mitte enam. Selleks lisage järgmine rida, kus standardkasutaja on kasutaja kasutajanimi:
standarduser ALL = /usr/bin/ apt-get, /sbin/ sulgemine
Järgmine käsk ütleb meile, milliseid käske kasutaja saab sudo käivitada:
sudo -U standarduser -l
Märgistamine Sudo Access
Kõikide sudo juurdepääsu saab logida, lisades järgmise rea. /var/log/ sudo on lihtsalt näide;võite kasutada kõiki soovitud logifaili asukohti.
Vaikimisi logfile = /var/log/ sudo
Vaadake logifaili sisu sellise käsuga nagu
sudo cat /var/log/ sudo
Pidage meeles, et kui kasutajal on piiramatu juurdepääs sudo-le, siis on sellel kasutajail võimalus kustutada või muutaselle faili sisu. Kasutaja võib kasutada ka sudo käsku root-viip ja käivita käsud, mida ei logita. Logimisfunktsioon on kõige kasulikum, kui see on ühendatud kasutajakontodega, millel on piiratud juurdepääs süsteemikäskluste alamhulgale.
