22Aug
Kaip ir dauguma Linux dalykų, sudo komanda yra labai konfigūruojama. Jūs galite turėti sudo paleisti specifines komandas be prašymo slaptažodžio, apriboti konkrečius vartotojus tik patvirtintomis komandomis, komandų žurnale paleisti su sudo ir kt.
Sudo komandos elgesį kontroliuoja /etc/ sudoers failas jūsų sistemoje.Ši komanda turi būti redaguojama naudojant komandą visudo, kuri atlieka sintaksės patikrinimą, kad nebūtų netyčia nutrauktas failas.
Nurodykite vartotojus su Sudo leidimais
Vartotojo abonementas, sukurtas diegdamas Ubuntu, pažymėtas kaip administratoriaus paskyra, o tai reiškia, kad jis gali naudoti sudo. Bet kokios papildomos naudotojo paskyros, sukurtos po diegimo, gali būti administratoriaus arba standartinės vartotojo abonementai. Standartinės vartotojo abonementai neturi sudo leidimų.
Galite valdyti naudotojo paskyros tipus grafiškai iš Ubuntu vartotojo abonementų įrankio. Jei norite jį atidaryti, spustelėkite savo vartotojo vardą skydelyje ir pasirinkite "Vartotojo abonementai" arba ieškokite Vartotojo abonementų brūkšnys.
Padaryti Sudo Pamiršti slaptažodį
Pagal numatytuosius nustatymus, sudo prisimena slaptažodį po 15 minučių po jo įvedimo.Štai kodėl jūs turite tik vieną kartą įvesti slaptažodį, kai greitai paleidžiate kelias komandas su sudo. Jei ketinate leisti kitam asmeniui naudotis savo kompiuteriu ir norite, kad sudo paprašytų slaptažodžio, kai jis paleidžiamas kitą kartą, paleiskite šią komandą ir sudo pamiršite slaptažodį:
sudo -k
Visada prašau slaptažodžio
Jei jūsBet kokiu atveju, kiekvieną kartą, kai naudosite sudo, greičiausiai bus paraginti - pavyzdžiui, jei kiti žmonės reguliariai turi prieigą prie jūsų kompiuterio, galite visiškai išjungti slaptažodžio priminimą.
Šis nustatymas, kaip ir kiti sudo parametrai, yra /etc/ failo suduers. Paleiskite visudo komandą terminale, kad atidarytumėte redagavimo failą:
sudo visudo
Nepaisant jo pavadinimo, ši komanda pagal numatytuosius nustatymus naudojama naujai patogiam nano redaktoriui vietoj tradicinės "vi" redaktoriaus Ubuntu.
Įrašykite šią eilutę žemiau kitų numatytųjų eilučių failo:
pagal nutylėjimą timestamp_timeout = 0
Paspauskite Ctrl + O, kad išsaugotumėte failą, tada paspauskite Ctrl + X, kad uždarytumėte "Nano"."Sudo" dabar visada ragins jus už slaptažodį.
Pakeiskite Slaptažodžio laiko pabaigą
. Norėdami nustatyti skirtingą slaptažodžio atidėjimo laiką - ilgiau, pvz., 30 minučių arba trumpesnį, pvz., 5 minutes, atlikite anksčiau nurodytus veiksmus, bet naudokite kitą reikšmę timestamp_timeout. Skaičius atitinka skaičių minučių, kai sudo prisimins jūsų slaptažodį.Norėdami sudo prisiminti savo slaptažodį 5 minutes, pridėkite šią eilutę:
Numatytasis timestamp_timeout = 5
Niekada neprašykite slaptažodžio
Taip pat galite sudo niekada neprašyti slaptažodžio - tol, kol esate prisijungęs, kiekviena komanda jumsprefiksas su sudo bus paleistas su root privilegijomis. Norėdami tai padaryti, į savo sudoers failą pridėkite šią eilutę, kur naudotojo vardas yra jūsų naudotojo vardas:
naudotojo vardas ALL =( VISAS) NOPASSWD: VISAS
Taip pat galite pakeisti% sudo eilutę - tai yra eilutė, kuri leidžia visiems vartotojamsSudo grupė( taip pat žinoma kaip Administratoriaus vartotojai) naudoti sudo - visiems administratoriaus vartotojams nereikia slaptažodžių:
% sudo ALL =( ALL: ALL) NOPASSWD: VISAS
Vykdyti specialius komandus be slaptažodžio
Taip pat galite nurodyti konkrečias komandas, kuriosniekada nereikės slaptažodžio paleisti su sudo. Užuot naudodamiesi "ALL" po "NOPASSWD", nurodykite komandų vietą.Pavyzdžiui, ši eilutė leis jūsų vartotojo abonementui paleisti apt-get ir išjungimo komandas be slaptažodžio.
vartotojo vardas ALL =( VISI) NOPASSWD: /usr/bin/ apt-get, /sbin/ išjungimas
Tai gali būti ypač naudinga vykdant konkrečias komandas su sudo scenarijuje.
Leisti vartotojui paleisti tik tam tikras komandas
Nors galite juodas sąrašas konkrečių komandų ir užkirsti kelią vartotojams paleisti jas su sudo, tai nėra labai veiksminga. Pavyzdžiui, galite nurodyti, kad vartotojo abonementas negalės paleisti komandą shutdown su sudo. Bet ši vartotojo sąskaita su sudo galėjo paleisti cp komandą, sukurti komandą "shutdown" kopiją ir išjungti sistemą naudojant kopiją.
Veiksmingesnis būdas yra konkrečių komandų baltojo sąrašo sudarymas. Pavyzdžiui, galėtumėte suteikti įgaliojimą naudoti standartinę vartotojo paskyrą naudoti "apt-get" ir "shutdown" komandas, bet ne daugiau. Norėdami tai padaryti, pridėkite šią eilutę, kurioje standartinis naudotojas yra vartotojo vardas:
standarduser ALL = /usr/bin/ apt-get, /sbin/ išjungimas
Šia komanda mums bus pranešta, kokias komandas vartotojas gali paleisti su sudo:
sudo -U standartinis vartotojo -L
registravimas Sudo prieiga
Jūs galite prisijungti prie visos sudo prieigos pridedant šią eilutę./var/log/ sudo yra tik pavyzdys;galite naudoti bet kurią failo vietą, kuri jums patinka.
Defaults logfile = /var/log/ sudo
Žiūrėkite žurnalo failo turinį tokia komanda kaip:
sudo cat /var/log/ sudo
Turėkite omenyje, kad jei vartotojas turi neribotą prieigą prie sudo, šis vartotojas turi galimybę ištrinti arba keistišio failo turinys. Vartotojas taip pat galėtų pasiekti šaknies eilutę su sudo ir paleisti komandas, kurios nebūtų registruojamos. Rąstų funkcija labiausiai naudinga, kai kartu su naudotojų paskyromis, turinčiais ribotą prieigą prie sistemos komandų pogrupio.
