Mint a legtöbb dolog Linuxon, a sudo parancs is nagyon konfigurálható. Megadhatja, hogy a sudo adott parancsokat futtasson jelszó megadása nélkül, korlátozhatja a meghatározott felhasználókat csak jóváhagyott parancsokra, a sudo-val futtatott naplóparancsokat stb.
A sudo parancs viselkedését a rendszered / etc / sudoers fájl vezérli. Ezt a parancsot a visudo paranccsal kell szerkeszteni, amely szintaxisellenőrzést hajt végre annak biztosítására, hogy ne véletlenül törje meg a fájlt.
Adja meg a Sudo engedélyekkel rendelkező felhasználókat
Az Ubuntu telepítése során létrehozott felhasználói fiókot rendszergazdai fiókként jelölik meg, ami azt jelenti, hogy használhatja a sudo-t. A telepítés után létrehozott további felhasználói fiókok lehetnek rendszergazda vagy normál felhasználói fiókok - A normál felhasználói fiókok nem rendelkeznek sudo jogosultságokkal.
A felhasználói fióktípusokat grafikusan vezérelheti az Ubuntu Felhasználói fiókok eszközéből. A megnyitásához kattintson a felhasználó nevére a panelen, és válassza a Felhasználói fiókok lehetőséget, vagy keresse meg a kötőjelben a Felhasználói fiókok elemet.
Tedd Sudo-t elfelejteni a jelszavát
Alapértelmezés szerint a sudo 15 percig emlékszik a jelszavára, miután beírta. Ezért csak egyszer kell begépelnie a jelszavát, amikor a sudo-val gyors egymásutánban több parancsot hajt végre. Ha valaki másnak engedi használni a számítógépét, és azt szeretné, hogy a sudo a következő futtatásakor kérje a jelszót, hajtsa végre a következő parancsot, és a sudo elfelejti a jelszavát:
sudo –k
Mindig kérjen jelszót
Ha a sudo használatakor minden egyes alkalommal kéri - például, ha másoknak rendszeresen van hozzáférése a számítógépéhez -, akkor teljesen letilthatja a jelszó megjegyzését.
Ezt a beállítást, a többi sudo beállításhoz hasonlóan, az / etc / sudoers fájl tartalmazza. Futtassa a visudo parancsot egy terminálon a fájl szerkesztéshez való megnyitásához:
sudo visudo
A neve ellenére ez a parancs alapértelmezés szerint az új, felhasználóbarát nano szerkesztő, az Ubuntu hagyományos vi szerkesztője helyett.
Adja hozzá a következő sort a fájl többi Alapértelmezett sora alá:
Alapértelmezett időbélyeg_időtúllépés = 0
Nyomja meg a Ctrl + O billentyűkombinációt a fájl mentéséhez, majd nyomja meg a Ctrl + X billentyűkombinációt a Nano bezárásához. A Sudo mostantól mindig jelszót kér.
Módosítsa a Jelszó időtúllépését
Másik jelszó időkorlát beállításához - vagy hosszabb, például 30 perc, vagy rövidebb, például 5 perc - kövesse a fenti lépéseket, de használjon egy másik értéket az timestamp_timeout számára. A szám megfelel annak a percnek a számának, amelyre a sudo emlékezni fog a jelszavára. Ahhoz, hogy a sudo 5 percig emlékezzen a jelszavára, adja hozzá a következő sort:
Alapértelmezett időbélyeg_időt = 5
Soha ne kérjen jelszót
Azt is megteheti, hogy a sudo soha ne kérjen jelszót - mindaddig, amíg be van jelentkezve, minden sudo előtagú parancs root jogosultsággal fog futni. Ehhez vegye fel a következő sort a sudoers fájlba, ahol a felhasználónév a felhasználóneve:
felhasználónév ALL = (ALL) NOPASSWD: ALL
Megváltoztathatja a% sudo sort is, vagyis azt a sort, amely lehetővé teszi a sudo csoport összes felhasználójának (más néven rendszergazdai felhasználóknak) a sudo használatát, hogy az összes rendszergazda felhasználó ne igényeljen jelszavakat:
% sudo ALL = (ALL: ALL) NOPASSWD: ALL
Futtasson speciális parancsokat jelszó nélkül
Megadhat olyan speciális parancsokat is, amelyekhez soha nem lesz szükség jelszóra a sudo használatával. A fenti NOPASSWD után az „ALL” helyett írja be a parancsok helyét. Például a következő sor lehetővé teszi a felhasználói fiók számára, hogy jelszó nélkül futtassa az apt-get és a shutdown parancsokat.
felhasználónév ALL = (ALL) NOPASSWD: / usr / bin / apt-get, / sbin / shutdown
Ez különösen hasznos lehet, ha adott parancsokat futtat sudo-val egy szkriptben.
Engedje meg, hogy a felhasználó csak meghatározott parancsokat futtasson
Bár feketelistára tehet bizonyos parancsokat, és megakadályozhatja, hogy a felhasználók sudo-val futtassák őket, ez nem túl hatékony. Például megadhatja, hogy egy felhasználói fiók nem tudja futtatni a shutdown parancsot sudo-val. De ez a felhasználói fiók futtathatja a cp parancsot sudo-val, létrehozhat egy másolatot a shutdown parancsról, és a másolat használatával leállíthatja a rendszert.
Hatékonyabb módszer az egyes parancsok engedélyezőlistára helyezése. Például megadhat egy szabványos felhasználói fiók engedélyt az apt-get és az shutdown parancsok használatára, de nem többet. Ehhez adja hozzá a következő sort, ahol a standarduser a felhasználó felhasználóneve:
standarduser ALL = / usr / bin / apt-get, / sbin / shutdown
A következő parancs megmondja, milyen parancsokat futtathat a felhasználó a sudo-val:
sudo -U standarduser –l
A Sudo Access naplózása
A következő sor hozzáadásával minden sudo hozzáférést naplózhat. A / var / log / sudo csak egy példa; tetszőleges naplófájl-helyet használhat.
Alapértelmezés szerint a logfile = / var / log / sudo
Tekintse meg a naplófájl tartalmát egy ehhez hasonló paranccsal:
sudo macska / var / log / sudo
Ne feledje, hogy ha a felhasználónak korlátlan sudo hozzáférése van, akkor a felhasználó törölheti vagy módosíthatja a fájl tartalmát. A felhasználó hozzáférhet a root parancshoz sudo-val, és futtathat olyan parancsokat, amelyek nem lesznek naplózva. A naplózási funkció akkor a leghasznosabb, ha olyan felhasználói fiókokkal párosul, amelyek korlátozzák a hozzáférést a rendszerparancsok egy részéhez.
