8 načina da podesite i konfigurirate Sudo na Ubuntuu
Kao i većina stvari na Linuxu, sudo naredba je vrlo konfigurabilna. Možete imati posebne naredbe sudo pokretanja bez traženja zaporke, ograničiti određene korisnike samo na odobrene naredbe, naredbe zapisnika pokrenuti s sudo, i više.
Ponašanje sudo naredbe kontrolira datoteka / etc / sudoers na vašem sustavu. Ova naredba mora biti uređena naredbom visudo koja provodi provjeru sintakse kako bi se osiguralo da slučajno ne razbijete datoteku.
Navedite korisnike s Sudo dopuštenjima
Korisnički račun koji kreirate dok instalirate Ubuntu označen je kao administratorski račun, što znači da može koristiti sudo. Svi dodatni korisnički računi koje kreirate nakon instalacije mogu biti administratorski ili standardni korisnički računi - standardni korisnički računi nemaju sudo dopuštenja.
Vrste korisničkih računa možete kontrolirati grafički iz Ubuntu alata Korisnički računi. Da biste ga otvorili, kliknite svoje korisničko ime na ploči i odaberite Korisnički računi ili potražite Korisničke račune u crtici.
Neka Sudo zaboravi zaporku
Prema zadanim postavkama sudo pamti vašu lozinku 15 minuta nakon što je upišete. To je razlog zašto samo jednom morate upisati vašu lozinku kada izvršavate više naredbi sa sudo u brzom slijedu. Ako namjeravate dopustiti da netko drugi koristi vaše računalo, a želite da sudo zatraži lozinku kada se sljedeći put pokrene, izvršite sljedeću naredbu, a sudo će zaboraviti vašu lozinku:
sudo -k
Uvijek pitajte za lozinku
Ako biste željeli biti upitani svaki put kada koristite sudo - na primjer, ako drugi korisnici redovito imaju pristup vašem računalu - možete potpuno onemogućiti ponašanje koje pamti zaporke.
Ova postavka, kao i ostale sudo postavke, nalazi se u datoteci / etc / sudoers. Pokrenite naredbu visudo u terminalu da biste otvorili datoteku za uređivanje:
sudo visudo
Usprkos svom nazivu, ova naredba zadana je za nano urednika koji je lak za korištenje, umjesto tradicionalnog vi editor na Ubuntuu..
Dodajte sljedeći redak ispod ostalih redova zadane postavke u datoteci:
Zadana vrijednost timestamp_timeout = 0
Pritisnite Ctrl + O da biste spremili datoteku, a zatim pritisnite Ctrl + X da biste zatvorili Nano. Sudo će vas uvijek pitati za lozinku.
Promijenite vrijeme isteka lozinke
Da biste postavili drugačiju pauzu zaporke - ili dulju od 30 minuta ili kraću od 5 minuta - slijedite gore navedene korake, ali upotrijebite drugu vrijednost za timestamp_timeout. Broj odgovara broju minuta koje će sudo zapamtiti za vašu zaporku. Da bi sudo zapamtio vašu lozinku za 5 minuta, dodajte sljedeći redak:
Zadana vrijednost timestamp_timeout = 5
Nikada nemojte tražiti zaporku
Također možete imati sudo nikada pitati za lozinku - sve dok ste prijavljeni, svaka naredba koju prefiks s sudo će se izvoditi s root dozvole. Da biste to učinili, dodajte sljedeći redak u datoteku sudoers, gdje je korisničko ime vaše korisničko ime:
korisničko ime ALL = (ALL) NOPASSWD: ALL
Također možete promijeniti liniju% sudo - to jest, liniju koja dopušta svim korisnicima u grupi sudo (također poznatim kao administratorski korisnici) da koriste sudo - da svi administratorski korisnici ne zahtijevaju lozinke:
% sudo ALL = (ALL: ALL)
Pokreni određene naredbe bez lozinke
Također možete specificirati određene naredbe koje nikada neće zahtijevati lozinku kada se pokreću s sudo. Umjesto gore navedenog "ALL" nakon NOPASSWD, navedite mjesto naredbi. Na primjer, sljedeći redak dopušta vašem korisničkom računu pokretanje naredbi apt-get i shutdown bez lozinke.
korisničko ime ALL = (SVE) NOPASSWD: / usr / bin / apt-get, / sbin / shutdown
To može biti osobito korisno kada se izvršavaju određene naredbe s sudo u skripti.
Dopusti korisniku pokretanje samo određenih naredbi
Dok određene naredbe možete staviti na crnu listu i spriječiti korisnike da ih pokreću s sudo, to nije jako učinkovito. Na primjer, možete navesti da korisnički račun ne može izvesti naredbu shutdown sa sudo. Ali taj korisnički račun može pokrenuti naredbu cp s sudo, stvoriti kopiju naredbe za isključivanje i isključiti sustav pomoću kopije.
Učinkovitiji je način određivanja posebnih naredbi. Na primjer, možete dati dozvolu Standardnom korisničkom računu da koristi naredbe apt-get i shutdown, ali ne više. Da biste to učinili, dodajte sljedeći redak, u kojem je standardni korisnik korisničko ime:
standarduser ALL = / usr / bin / apt-get, / sbin / shutdown
Sljedeća naredba će nam reći koje naredbe korisnik može pokrenuti s sudo:
sudo -U standarduser -l
Zapisivanje Sudo pristupa
Sve sudo pristup možete prijaviti dodavanjem sljedećeg retka. / var / log / sudo je samo primjer; možete koristiti bilo koju lokaciju datoteke dnevnika koju želite.
Zadani logfile = / var / log / sudo
Pregledajte sadržaj zapisničke datoteke naredbom poput ove:
sudo cat / var / log / sudo
Imajte na umu da, ako korisnik ima neograničen sudo pristup, taj korisnik može izbrisati ili izmijeniti sadržaj ove datoteke. Korisnik također može pristupiti root promptu s sudo i run naredbama koje se ne bi zapisivale. Značajka zapisivanja je najkorisnija kada je povezana s korisničkim računima koji imaju ograničen pristup podskupu sistemskih naredbi.