22Aug
Kuten useimmat Linuxissa, sudo-komento on erittäin konfiguroitavissa. Voit sudo suorittaa erityisiä komentoja pyytämättä salasanaa, rajoittaa tiettyjä käyttäjiä vain hyväksyttyihin komentoihin, sudoilla ajettavia lokikomentoja ja paljon muuta.
SuDo-komennon käyttäytymistä hallitsee /etc/-sudoers-tiedosto järjestelmässäsi. Tätä komentoa on muokattava visudo-komennolla, joka suorittaa syntaksin tarkistuksen, jotta et vahingoittaisi tiedostoa.
Määritä käyttäjät Sudo-oikeuksilla
Ubuntun asennuksen yhteydessä luotava käyttäjätunnus on merkitty Pääkäyttäjätiliksi, joten se voi käyttää sudoa. Kaikki asennukset, jotka olet luonut asennuksen jälkeen, voivat olla joko järjestelmänvalvojat tai tavalliset käyttäjätilit - Vakioilla käyttäjätunnuksilla ei ole sudo-käyttöoikeuksia.
Voit hallita käyttäjätilejä graafisesti Ubuntun Käyttäjätilit-työkalusta. Avaa se napsauttamalla käyttäjätunnustasi paneelissa ja valitsemalla Käyttäjätilit tai etsimällä käyttäjätunnuksia viivalla.
Tee Sudo Unohdit salasanasi
Oletuksena sudo muistaa salasanasi 15 minuutin kuluttua kirjoittaessasi. Siksi sinun on kirjoitettava salasanasi vain, kun suoritetaan useita komentoja sudo: lla nopeasti peräkkäin. Jos annat jonkun toisen käyttämään tietokonetta ja haluat sudoa pyytämään salasanaa seuraavan kerran, suorita seuraava komento ja sudo unohtaa salasanasi:
sudo -k
Kysy aina salasanaa
Jos oletD: n sijaan kysytään joka kerta, kun käytät sudoa - esimerkiksi jos muilla ihmisillä on säännöllisesti pääsy tietokoneeseen - voit poistaa salasanan muokkaustoiminnon kokonaan käytöstä.
Tämä asetus, kuten muut sudo-asetukset, sisältyy /etc/-sudoers-tiedostoon. Suorita visudo-komento terminaalissa avataksesi tiedoston muokkausta varten:
sudo visudo
Komennon nimi on huolimatta uudesta käyttäjäystävällisestä nanoeditorista Ubuntun perinteisen vi-editorin sijaan.
Lisää seuraava viiva tiedostoon muiden Defaults-rivien alapuolelle:
Defaults timestamp_timeout = 0
Tallenna tiedosto painamalla Ctrl + O ja sulje Nano painamalla Ctrl + X.Sudo kysyy aina salasanan.
Vaihda salasanan aikakatkaisu
Jos haluat asettaa eri salasanan aikakatkaisun - joko pitempi kuin 30 minuuttia tai lyhyempi kuin 5 minuuttia - noudata yllä olevia ohjeita, mutta käytä eri arvoa aikaleima_aikaa varten. Numero vastaa minuuttien määrää, kun sudo muistaa salasanasi. Jos haluat rekisteröidä salasanasi 5 minuutin ajan, lisää seuraava rivi:
Default timestamp_timeout = 5
Älä koskaan pyydä salasanaa
Voit myös pyytää sudoa salasanaa - niin kauan kuin olet kirjautunut sisään,etuliite sudo kanssa suoritetaan root-käyttöoikeuksilla. Voit tehdä tämän lisäämällä seuraavan rivin sudoers-tiedostoosi, jossa käyttäjätunnus on käyttäjänimesi:
-käyttäjätunnus ALL =( ALL) NOPASSWD: KAIKKI
Voit myös muuttaa% sudo-rivin - eli linjan, joka sallii kaikkien käyttäjiensudo-ryhmä( kutsutaan myös järjestelmänvalvojan käyttäjiksi) sudo - kaikkien Administrator-käyttäjien ei tarvitse salasanoja:
% sudo ALL =( ALL: ALL) NOPASSWD: KAIKKI
Suorita erityiset komennot ilman salasanaa
Voit myös määrittää tiettyjä komentoja,ei koskaan vaadi salasanaa, kun sudo suoritetaan. Sen sijaan, että käytit "ALL" -toimintoa edellä mainitun NOPASSWD: n jälkeen, määritä komennot. Esimerkiksi seuraavan rivin avulla käyttäjätunnuksesi voi suorittaa apt-get- ja shutdown-komennot ilman salasanaa.
-käyttäjätunnus ALL =( ALL) NOPASSWD: /usr/bin/ apt-get, /sbin/ shutdown
Tämä voi olla erityisen hyödyllinen, kun suoritetaan tiettyjä komentoja sudo-ohjelmalla.
Salli käyttäjän suorittaa vain erityisiä komentoja
Vaikka voit asettaa mustalle listalle tiettyjä komentoja ja estää käyttäjiä käyttämästä niitä sudoilla, tämä ei ole kovin tehokas. Voit esimerkiksi määrittää, että käyttäjätili ei pysty suorittamaan shutdown-komentoa sudo-ohjelmalla. Mutta kyseinen käyttäjätili voisi suorittaa cp-komennon sudo: lla, luoda kopion shutdown-komennosta ja sulkea järjestelmä kopiolla.
Tehokkaampi tapa on sallia tiettyjä komentoja. Voit esimerkiksi antaa tavalliselle käyttäjätunnukselle luvan käyttää apt-get- ja shutdown-komentoja, mutta ei enää.Voit tehdä tämän lisäämällä seuraavan rivin, jossa standardin käyttäjä on käyttäjän käyttäjätunnus:
standarduser ALL = /usr/bin/ apt-get, /sbin/ sammutus
Seuraavassa komennossa kerrotaan, mitä komentoja käyttäjä voi suorittaa sudo:
sudo -U standarduser -l
Tilapäinen Sudo Access
Voit kirjautua kaikki sudo pääsy lisäämällä seuraava rivi. /var/log/ sudo on vain esimerkki;voit käyttää haluamaasi lokitiedoston sijaintia.
Defaults logfile = /var/log/ sudo
Tarkastele lokitiedoston sisältöä tällä komennolla:
sudo cat /var/log/ sudo
Muista, että jos käyttäjällä on rajoittamaton sudo-käyttöoikeus, hänellä on mahdollisuus poistaa tai muokataTämän tiedoston sisältö.Käyttäjä voi myös käyttää root-kehotetta sudo-ohjelmalla ja suorittaa komentoja, joita ei ole kirjattu. Kirjautumisominaisuus on kaikkein hyödyllisin, kun se liittyy sellaisiin käyttäjätileihin, joilla on rajoitettu pääsy järjestelmäkomentojen osajoukkoon.
