8 tapaa säätää ja konfiguroida Sudo Ubuntuun
Kuten useimmat Linuxissa, sudo-komento on hyvin konfiguroitavissa. Voit tehdä sudon suorittamaan tiettyjä komentoja pyytämättä salasanaa, rajoittamaan tiettyjä käyttäjiä vain hyväksyttyihin komentoihin, lokokomentoja, jotka suoritetaan sudolla, ja lisää.
Sudo-komennon käyttäytymistä ohjaa järjestelmäsi / etc / sudoers-tiedosto. Tämä komento on muokattava visudo-komennolla, joka suorittaa syntaksi-tarkistuksen varmistaaksesi, että et vahingossa vahingoita tiedostoa.
Määritä käyttäjät, joilla on Sudo-käyttöoikeudet
Ubuntu-ohjelmiston asennuksen yhteydessä luomasi käyttäjätili on merkitty järjestelmänvalvojan tiliksi, mikä tarkoittaa, että se voi käyttää sudoa. Kaikki asennuksen jälkeen luodut ylimääräiset käyttäjätilit voivat olla joko järjestelmänvalvoja tai tavalliset käyttäjätilit - tavallisilla käyttäjätileillä ei ole sudo-käyttöoikeuksia.
Voit hallita käyttäjätilityyppejä graafisesti Ubuntu-käyttäjätilien työkalusta. Voit avata sen napsauttamalla käyttäjätunnusta paneelissa ja valitsemalla Käyttäjätilit tai etsimällä käyttäjätilejä viivassa.
Tee Sudo unohtaa salasanasi
Oletusarvoisesti sudo muistaa salasanasi 15 minuutin kuluttua sen kirjoittamisesta. Siksi sinun tarvitsee vain kirjoittaa salasana kerran, kun suoritat useita komentoja sudolla nopeasti peräkkäin. Jos aiot antaa jonkun toisen käyttää tietokonettasi ja haluat sudon pyytää salasanaa, kun se toimii seuraavana, suorita seuraava komento ja sudo unohtaa salasanasi:
sudo -k
Kysy aina salasana
Jos pyydät mieluummin joka kerta, kun käytät sudoa - esimerkiksi jos muut ihmiset pääsevät säännöllisesti tietokoneellesi - voit poistaa salasanan muokkauksen käytöstä kokonaan.
Tämä asetus, kuten muut sudo-asetukset, sisältyy / etc / sudoers-tiedostoon. Suorita visudo-komento päätelaitteessa avataksesi tiedoston muokkausta varten:
sudo visudo
Nimestään huolimatta tämä komento on oletusarvoisesti uudelle käyttäjäystävälliselle nanoeditorille perinteisen vi-editorin sijaan.
Lisää seuraava rivi tiedoston muiden oletusarvojen rivien alapuolelle:
Oletukset timestamp_timeout = 0
Tallenna tiedosto painamalla Ctrl + O ja sulje Nano painamalla Ctrl + X. Sudo kehottaa sinua aina antamaan salasanan.
Muuta salasanan aikakatkaisua
Jos haluat asettaa toisen salasanan aikakatkaisun - joko pidempään, kuten 30 minuuttia tai lyhyemmän, kuten 5 minuuttia, noudata yllä olevia ohjeita, mutta käytä aika-leimauksen_aikavaihtoehtoa eri arvolla. Numero vastaa minuuttien määrää, johon sudo muistaa salasanasi. Jos haluat muistaa salasanasi 5 minuutiksi, lisää seuraava rivi:
Oletukset timestamp_timeout = 5
Älä koskaan pyydä salasanaa
Voit myös saada sudon koskaan pyytämään salasanaa - niin kauan kuin olet kirjautunut sisään, jokainen komento, jonka etuosaat sudolla, toimii root-oikeuksilla. Voit tehdä tämän lisäämällä seuraavan rivin sudoers-tiedostoon, jossa käyttäjätunnus on käyttäjätunnuksesi:
käyttäjätunnus ALL = (ALL) NOPASSWD: ALL
Voit myös muuttaa% sudo -riviä eli riviä, jonka avulla kaikki sudo-ryhmän käyttäjät (joita kutsutaan myös järjestelmänvalvojan käyttäjiksi) käyttävät sudoa - jotta kaikki järjestelmänvalvojan käyttäjät eivät tarvitse salasanoja:
% sudo ALL = (KAIKKI: KAIKKI) NOPASSWD: ALL
Suorita erityisiä komentoja ilman salasanaa
Voit myös määrittää tiettyjä komentoja, jotka eivät koskaan vaadi salasanaa, kun käytät sudoa. Sen sijaan, että käytät yllä olevaa "NOPASSWD" -toimintoa "ALL", määritä komentojen sijainti. Seuraava rivi mahdollistaa esimerkiksi käyttäjätunnuksesi suorittaa apt-get- ja shutdown-komennot ilman salasanaa.
käyttäjätunnus ALL = (ALL) NOPASSWD: / usr / bin / apt-get, / sbin / shutdown
Tämä voi olla erityisen hyödyllistä, kun komentoa käytetään sudolla.
Anna käyttäjän suorittaa vain tiettyjä komentoja
Vaikka voit listata tiettyjä komentoja ja estää käyttäjiä käyttämästä niitä sudolla, tämä ei ole kovin tehokasta. Voit esimerkiksi määrittää, että käyttäjätili ei pysty suorittamaan shutdown-komentoa sudolla. Mutta tämä käyttäjätili voisi suorittaa cp-komennon sudolla, luoda kopion sammutuskomennosta ja sammuttaa järjestelmän kopion avulla.
Tehokkaampi tapa on lisätä tiettyihin komentoihin. Voit esimerkiksi antaa tavallisen käyttäjätilin luvan käyttää apt-get- ja shutdown-komentoja, mutta ei enää. Voit tehdä tämän lisäämällä seuraavan rivin, jossa standardin käyttäjä on käyttäjänimi:
standarduser ALL = / usr / bin / apt-get, / sbin / shutdown
Seuraava komento kertoo meille, mitä komentoja käyttäjä voi käyttää sudolla:
sudo -U standardikäyttäjä -l
Sudo Accessin kirjaaminen
Voit kirjata kaikki sudo-käyttöoikeudet lisäämällä seuraavan rivin. / var / log / sudo on vain esimerkki; voit käyttää mitä tahansa haluamaasi lokitiedoston sijaintia.
Oletukset logfile = / var / log / sudo
Tarkastele lokitiedoston sisältöä komennolla kuten tämä:
sudo cat / var / log / sudo
Muista, että jos käyttäjällä on rajoittamaton sudo-käyttöoikeus, käyttäjällä on mahdollisuus poistaa tai muokata tämän tiedoston sisältöä. Käyttäjä voisi myös käyttää juurikehotetta, jossa on sudo ja suorittaa komentoja, joita ei olisi kirjattu. Kirjautumisominaisuus on hyödyllisin, kun se on yhdistetty käyttäjätileihin, joilla on rajoitettu pääsy järjestelmäkomentojen osajoukkoon.