22Aug

8 načina za ugađanje i konfiguriranje Sudo na Ubuntu

Kao i većina stvari na Linuxu, sudo naredba je vrlo konfigurabilna. Sudo može pokrenuti određene naredbe bez traženja lozinke, ograničiti određene korisnike na samo odobrene naredbe, zapisničke naredbe pokrenuti sa sudo i još mnogo toga.

Ponašanje sudo naredbe kontrolira /etc/ sudoers datoteka na vašem sustavu. Ova naredba mora biti uređena pomoću visudo naredbe koja provodi provjeru sintakse kako biste osigurali da ne slučajno prekršite datoteku.

Odredite korisnike s dozvolama Sudo

Korisnički račun koji stvorite tijekom instalacije Ubuntu označen je kao administratorski račun, što znači da može koristiti sudo. Svi dodatni korisnički računi koje stvorite nakon instalacije mogu biti administratorski ili standardni korisnički računi - standardni korisnički računi nemaju sudo dopuštenja.

Pomoću alata Ubuntu korisničkim računima možete grafički upravljati tipovima korisničkog računa. Da biste ga otvorili, kliknite korisničko ime na ploči i odaberite korisničke račune ili potražite korisničke račune u crtici.

Napravite Sudo Zaboravite lozinku

Prema sučelju, sudo zapamti svoju lozinku 15 minuta nakon što ga utipkate. Zato morate upisati svoju lozinku jednom kada izvršite više naredbi sa sudo u brzom slijedu. Ako namjeravate nekome drugome koristiti računalo i želite da sudo zapita lozinku kada se pokrene sljedeća, izvršite sljedeću naredbu i sudo će zaboraviti vašu lozinku:

sudo -k

Uvijek zatražite lozinku

Ako steprimjerice, ako redovito imate pristup računalu, možete isključiti potpuno ponašanje zapamćenih zaporki.

Ova postavka, kao i druge sudo postavke, nalazi se u /etc/ sudoers datoteci. Pokrenite visudo naredbu na terminalu da biste otvorili datoteku za uređivanje:

sudo visudo

Unatoč nazivu, ova naredba zadane postavke novog korisnik-nano uređivaču umjesto tradicionalnog urednika vi na Ubuntu.

Dodajte sljedeću retku ispod ostalih linija Defaults u datoteci:

Defaults timestamp_timeout = 0

Pritisnite Ctrl + O da biste spremili datoteku, a zatim pritisnite Ctrl + X da zatvorite Nano. Sudo će vas uvijek uvijek tražiti za zaporku.

Promjena lozinke Timeout

Da biste postavili drugačiji vremenski rok za lozinku - dulji od 30 minuta ili kraći poput 5 minuta - slijedite gore navedene korake, ali upotrijebite drugu vrijednost za vremensko razdoblje timestamp_timeout. Broj odgovara broju minuta koje će sudo zapamtiti vašu lozinku. Da se sudo zapamti lozinku za 5 minuta, dodajte sljedeću liniju:

Zadano timestamp_timeout = 5

Nikad ne pitaj za lozinku

Također možete sudo nikad ne pitati za lozinku - sve dok ste prijavljeni, svaka naredbaprefiks sa sudo će se izvoditi s korijenskim dopuštenjima. Da biste to učinili, dodajte sljedeći redak u datoteku suduša, gdje je korisničko ime korisničko ime:

korisničko ime ALL =( ALL) NOPASSWD: SVI

Također možete promijeniti% sudo line - to jest, liniju koja omogućuje svim korisnicimasudo grupa( također poznata kao korisnici administratora) za korištenje sudo - da svi korisnici administratora ne zahtijevaju lozinke:

% sudo ALL =( ALL: ALL) NOPASSWD: SVI

Pokreni specifične naredbe bez lozinke

Također možete odrediti određene naredbe kojenikada neće zahtijevati lozinku kada se pokrene sa sudo. Umjesto da upotrijebite "ALL" nakon NOPASSWD gore, navedite mjesto naredbi. Na primjer, sljedeći redak će vašem korisničkom računu omogućiti pokretanje apt-get i shutdown naredbi bez lozinke.

korisničko ime ALL =( ALL) NOPASSWD: /usr/bin/ apt-get, /sbin/ shutdown

Ovo može biti osobito korisno prilikom pokretanja određenih naredbi sa sudo u skripti.

Dopusti korisniku da pokreće samo određene naredbe

Dok možete poništiti određene naredbe i spriječiti korisnike da ih izvode sa sudo, to nije jako učinkovito. Na primjer, možete odrediti da korisnički račun ne može pokrenuti naredbu za isključivanje s sudo. Ali taj korisnički račun mogao bi pokrenuti naredbu cp sa sudo, stvoriti kopiju naredbe za isključivanje i isključiti sustav pomoću kopije.

Djelotvorniji način je dopuštanje određenih naredbi. Na primjer, možete dati standardnom korisničkom računu dopuštenje za korištenje apt-get i shutdown naredbi, ali ne i više. Da biste to učinili, dodajte sljedeću liniju, gdje je standardno korisničko korisničko ime:

standarduser SVE = /usr/bin/ apt-get, /sbin/ shutdown

Sljedeća naredba će nam reći što komande korisnik može pokrenuti sa sudo:

sudo -U standarduser -l

Snimanje Sudo Access

Možete prijaviti sve sudo pristup dodavanjem sljedeće linije, /var/log/ sudo samo je primjer;možete upotrijebiti bilo koju lokaciju dnevne datoteke koju želite.

Defaults logfile = /var/log/ sudo

Pregled sadržaja datoteke zapisnika s ovakvim naredbom:

sudo cat /var/log/ sudo

Imajte na umu da, ako korisnik ima neograničen sudo pristup, taj korisnik ima mogućnost brisati ili modificiratisadržaj ove datoteke. Korisnik također može pristupiti rootovom promptu sa sudo i pokrenuti naredbe koje se neće prijaviti. Značajka bilježenja je najkorisnija kada je povezana s korisničkim računima koji imaju ograničen pristup podskupu naredbi sustava.