22Aug
Као и већина ствари на Линуку, команда судо је врло конфигурабилна.Можете судо покренути одређене команде без тражења лозинке, ограничити одређене кориснике само на одобрене наредбе, пријавити наредбе које покреће судо и још много тога.
Понашање судо команде контролише /etc/ судоерс датотека на вашем систему.Ова наредба мора бити уређена помоћу наредбе висудо, која врши провјеру синтаксе како би осигурала да случајно не сломите датотеку.
Наведите кориснике с дозволама суда
Кориснички рачун који сте креирали приликом инсталације Убунту означен је као администраторски налог, што значи да може да користи судо.Сваки додатни кориснички налог који креирате након инсталације може бити Администратор или Стандардни корисничких налога - Стандардни кориснички рачуни немају судо дозволе.
Можете графички контролисати врсте корисничких налога из Убунту алатке Усер Аццоунтс.Да бисте је отворили, кликните на своје корисничко име на панелу и изаберите Кориснички налози или потражите корисничке налоге у дасху.
Направите Судо Заборавите лозинку
Подразумевано, судо се сећа вашу лозинку 15 минута након што је унесете.Због тога морате само једном унети своју лозинку када извршавате више команди са судо-ом у брзом сукцесији.Ако желите да некоме другом користите рачунар и желите да судо затражи лозинку када се покрене следеће, извршите следећу наредбу и судо ће заборавити вашу лозинку:
судо -к
Увек тражите лозинку
Ако стеПре него што будете користили судо - на примјер, ако други људи редовно имају приступ вашем рачуналу - можете потпуно онемогућити понашање у меморији лозинке.
Ова поставка, као и друга подешавања судо, налази се у датотеку судоерс /etc/.Покрените команду висудо на терминалу да бисте отворили датотеку за уређивање:
судо висудо
Упркос свом имену, ова команда подразумева подразумевани нови кориснички нано едитор уместо традиционалног уређаја ви на Убунту.
Додајте следећу линију испод осталих линија за подразумеване вредности у датотеци:
Подразумевани тиместамп_тимеоут = 0
Притисните Цтрл + О да бисте сачували датотеку, а затим притисните Цтрл + Кс да бисте затворили Нано.Судо ће вам увек увек тражити лозинку.
Промени временски распоред лозинке
Да бисте поставили другачији временски распоред лозинке - било дуже од 30 минута или краће од 5 минута - пратите горе наведене кораке, али користите другу вредност за тиместамп_тимеоут.Број одговара броју минута судо ће запамтити вашу лозинку.Да бисте судо запамтили вашу лозинку за 5 минута, додајте следећу линију:
Дефаулт тиместамп_тимеоут = 5
Никад не тражите лозинку
Такође можете да имате судо никад не тражите лозинку - све док сте пријављени, свака наредба коју степрефикс са судоом ће се покренути са дозволама роот-а.Да бисте то урадили, додајте следећу линију у вашу судоерс датотеку, где је корисничко име ваше корисничко име:
корисничко име АЛЛ =( АЛЛ) НОПАССВД: СВЕ
Такође можете промијенити% судо линију - тј. Линију која омогућава свим корисницима усудо група( такође позната као Корисници корисника) да користи судо - да сви корисници Администратора не захтевају лозинке:
% судо АЛЛ =( СВЕ: СВЕ) НОПАССВД: СВЕ
Покрените специјалне команде без лозинке
Такође можете специфицирати одређене команде којеникада неће захтевати лозинку када се покрене са судо-ом.Уместо да користите "АЛЛ" након НОПАССВД изнад, одредите локацију команди.На пример, следећа линија ће омогућити вашем корисничком налогу да покреће наредбе апт-гет и схутдовн без лозинке.
корисничко име АЛЛ =( АЛЛ) НОПАССВД: /usr/bin/ апт-гет, /sbin/ схутдовн
Ово може бити посебно корисно када покрећете одређене команде са судо-ом у скрипту.
Дозволите кориснику да покреће само одређене команде
Док можете блацклистати одређене команде и спречити кориснике да их покрећу помоћу судо-а, ово није врло ефикасно.На примјер, можете одредити да кориснички налог не може покренути команду за искључивање с судо.Али тај кориснички налог може покренути цп команду са судо-ом, креирати копију наредбе за искључивање и затворити систем користећи копију.
Ефикаснији начин је да се одређене команде белешке.На пример, можете дати дозволу Стандардног корисничког налога да користите наредбе апт-гет и схутдовн, али више не.Да бисте то урадили, додајте следећу линију, где је стандардусер корисничко корисничко име:
стандардусер АЛЛ = /usr/bin/ апт-гет, /sbin/ схутдовн
Следећа наредба ће нам рећи које команде корисник може покренути с судо:
судо -У стандардусер -л
Логирање Судо Аццесс
Можете пријавити све судо приступ додавањем следеће линије./var/log/ судо је само пример;можете користити било коју локацију дневника дневника коју волите.
Дефаултс логфиле = /var/log/ судо
Прегледајте садржај датотеке дневника помоћу наредбе овако:
судо цат /var/log/ судо
Имајте на уму да, ако корисник има неограничен судо приступ, тај корисник може да избрише или изменисадржај ове датотеке.Корисник такође може приступити коријенском позиву са судо и покренути команде које се не би регистровале.Функција евиденције је најкориснија када су у комбинацији са корисничким рачунима који имају ограничен приступ подскупу системских наредби.