8 начина за настройване и конфигуриране на Sudo на Ubuntu

Както повечето неща в Linux, командата sudo е много конфигурируема. Можете да имате специфични команди на sudo да изпълняват, без да изисквате парола, да ограничавате конкретни потребители само до одобрени команди, команди за журнали, изпълнявани със sudo, и др..

Поведението на командата sudo се контролира от файла / etc / sudoers на вашата система. Тази команда трябва да се редактира с командата visudo, която извършва проверка на синтаксиса, за да се уверите, че не случайно ще прекъснете файла.

Посочете потребители с Sudo разрешения

Потребителският акаунт, който създавате, докато инсталирате Ubuntu, е маркиран като администраторски акаунт, което означава, че може да използва sudo. Всички допълнителни потребителски акаунти, които създавате след инсталацията, могат да бъдат или администраторски, или стандартни потребителски акаунти - стандартните потребителски акаунти нямат права за достъп до sudo.

Можете графично да контролирате видовете потребителски акаунти от инструмента за потребителски акаунти на Ubuntu. За да го отворите, кликнете върху потребителското си име на панела и изберете Потребителски акаунти или потърсете Потребителски акаунти в тире.

Направете Sudo забравете паролата си

По подразбиране sudo помни паролата ви за 15 минути след като я въведете. Ето защо трябва да въведете паролата си само веднъж, когато изпълнявате няколко команди с sudo в бърза последователност. Ако искате да позволите на някой друг да използва компютъра ви и искате sudo да поиска парола при следващото му изпълнение, изпълнете следната команда и sudo ще забрави паролата ви:

судо-к

Винаги питайте за парола

Ако искате да бъдете подканени всеки път, когато използвате sudo - например, ако други хора редовно имат достъп до вашия компютър - можете напълно да деактивирате поведението при запомняне на паролите..

Тази настройка, както и другите настройки на sudo, се съдържа в файла / etc / sudoers. Изпълнете командата visudo в терминал, за да отворите файла за редактиране:

sudo visudo

Независимо от името си, тази команда по подразбиране е новият лесен за използване нано редактор вместо традиционния vi редактор на Ubuntu..

Добавете следния ред под другите линии по подразбиране във файла:

По подразбиране timestamp_timeout = 0

Натиснете Ctrl + O, за да запишете файла, след което натиснете Ctrl + X, за да затворите Nano. Sudo винаги ще ви подканва за парола.

Променете времето за изтичане на паролата

За да зададете различен изчакване на парола - или по-дълъг от 30 минути или по-кратък от 5 минути - следвайте горните стъпки, но използвайте различна стойност за timestamp_timeout. Номерът съответства на броя на минутите, за които судо ще запомни паролата ви. За да запомни паролата ви за 5 минути, добавете следния ред:

По подразбиране timestamp_timeout = 5

Никога не питайте за парола

Съдо никога не може да поиска парола - докато сте влезли в системата, всяка команда, която поставяте в sudo, ще работи с root права. За да направите това, добавете следния ред в файла си sudoers, където потребителското име е вашето потребителско име:

потребителско име ALL = (ALL) NOPASSWD: ALL

Можете също да промените линията% sudo - това е редът, който позволява на всички потребители в sudo group (също известни като администраторски потребители) да използват sudo - всички администраторски потребители да не изискват пароли:

% sudo ALL = (ВСИЧКИ: ВСИЧКИ) НОПАСВ: ALL

Изпълнение на специфични команди без парола

Можете също така да посочите конкретни команди, които никога няма да изискват парола, когато се изпълняват със sudo. Вместо да използвате “ALL” след NOPASSWD по-горе, укажете местоположението на командите. Например, следният ред ще позволи на потребителския акаунт да изпълни командите apt-get и shutdown без парола.

потребителско име ALL = (ALL) NOPASSWD: / usr / bin / apt-get, / sbin / shutdown

Това може да бъде особено полезно, когато се изпълняват специфични команди със sudo в скрипт.

Разрешаване на потребителя да изпълнява само специфични команди

Макар че можете да включите специални команди в черния списък и да попречите на потребителите да ги изпълняват със sudo, това не е много ефективно. Например, можете да укажете, че потребителски акаунт не може да изпълни командата за изключване със sudo. Но този потребителски акаунт може да стартира командата cp с sudo, да създаде копие на командата за изключване и да изключи системата, като използва копието.

По-ефективен начин е да се задават специфични команди за бял списък. Например, можете да дадете разрешение на стандартен потребителски акаунт да използва командите apt-get и shutdown, но не повече. За да направите това, добавете следния ред, където стандартният потребител е потребителското име на потребителя:

standarduser ALL = / usr / bin / apt-get, / sbin / изключване

Следната команда ще ни каже кои команди може да се изпълнява с sudo:

sudo -U стандартнопотребител -l

Регистриране на Sudo Access

Можете да влезете в целия судо достъп, като добавите следния ред. / var / log / sudo е само пример; можете да използвате всяко местоположение на лог файл, който ви харесва.

По подразбиране logfile = / var / log / sudo

Преглед на съдържанието на регистрационния файл с команда като тази:

sudo cat / var / log / sudo

Имайте предвид, че ако даден потребител има неограничен достъп до sudo, този потребител има възможност да изтрие или модифицира съдържанието на този файл. Потребителят може също да получи достъп до кореновата подсказка с командите sudo и run, които няма да бъдат регистрирани. Функцията за регистриране е най-полезна, когато е свързана с потребителски акаунти, които имат ограничен достъп до подмножество от системни команди.