8 начина да ощипвам и да конфигурирам Sudo на Ubuntu

Съдържание:

8 начина да ощипвам и да конфигурирам Sudo на Ubuntu
8 начина да ощипвам и да конфигурирам Sudo на Ubuntu

Видео: 8 начина да ощипвам и да конфигурирам Sudo на Ubuntu

Видео: 8 начина да ощипвам и да конфигурирам Sudo на Ubuntu
Видео: Getting started with Containers | #CloudNativeNinja PT1 - YouTube 2024, Март
Anonim
Както повечето неща на Linux, командата sudo е много конфигурируема. Можете да изпълнявате специфични команди без да поискате парола, да ограничите конкретни потребители само до одобрени команди, команди в дневника, изпълнявани със sudo и др.
Както повечето неща на Linux, командата sudo е много конфигурируема. Можете да изпълнявате специфични команди без да поискате парола, да ограничите конкретни потребители само до одобрени команди, команди в дневника, изпълнявани със sudo и др.

Поведението на sudo командата се контролира от файла / etc / sudoers на вашата система. Тази команда трябва да бъде редактирана с командата visudo, която извършва проверка на синтаксиса, за да сте сигурни, че не случайно прекъсвате файла.

Уточнете потребители с разрешения Sudo

Потребителският акаунт, който създавате по време на инсталирането на Ubuntu, е означен като администраторски акаунт, което означава, че той може да използва sudo. Всички допълнителни потребителски профили, които създавате след инсталирането, могат да бъдат администраторски или стандартни потребителски профили. Стандартните потребителски профили нямат разрешения за sudo.

Можете да контролирате типовете потребителски акаунти графично от инструмента за потребителски акаунти на Ubuntu. За да го отворите, кликнете върху потребителското име в панела и изберете Потребителски акаунти или потърсете потребителски акаунти в тирето.

Image
Image

Направи судо Забравете паролата си

По подразбиране sudo си спомня паролата ви за 15 минути, след като я въведете. Ето защо трябва само да въведете паролата си веднъж, когато изпълнявате няколко команди със sudo в бърза последователност. Ако възнамерявате да позволите на някой друг да използва компютъра ви и искате sudo да поиска паролата, когато тя се изпълнява, изпълнете следната команда и sudo ще забрави паролата ви:

sudo –k

Image
Image

Винаги питайте за парола

Ако предпочитате да бъдете подканени всеки път, когато използвате sudo - например, ако други хора редовно имат достъп до компютъра ви - можете изцяло да деактивирате поведението за запомняне на паролата.

Тази настройка, както и другите настройки на sudo, се съдържа в файла / etc / sudoers. Стартирайте командата visudo в терминал, за да отворите файла за редактиране:

sudo visudo

Независимо от името си, тази команда е по подразбиране за новия потребителски нано редактор, вместо за традиционния редактор за вируси в Ubuntu.

Добавете следния ред под другите редове по подразбиране във файла:

Defaults timestamp_timeout=0

Натиснете Ctrl + O, за да запазите файла, след което натиснете Ctrl + X, за да затворите Nano. Судо ще ви подканя за парола.
Натиснете Ctrl + O, за да запазите файла, след което натиснете Ctrl + X, за да затворите Nano. Судо ще ви подканя за парола.

Променете времето за изчакване на паролата

За да зададете различно време за изчакване на паролата - по-дълъг като 30 минути или по-кратък като 5 минути - следвайте стъпките по-горе, но използвайте различна стойност за timestamp_timeout. Номерът съответства на броя минути, които sudo ще запомни за паролата ви. За да запазите sudo паролата си за 5 минути, добавете следния ред:

Default timestamp_timeout=5

Image
Image

Никога не поискайте парола

Можете също да имате sudo никога да не поискате парола - докато сте влезли в системата, всяка команда, която предупреждавате със sudo, ще се изпълнява с коренни разрешения. За да направите това, добавете следния ред към файла sudoers, където потребителското ви име е вашето потребителско име:

username ALL=(ALL) NOPASSWD: ALL

Можете да промените и реда% sudo - т.е. линията, която позволява на всички потребители в групата sudo (известни също като потребители на администратори) да използват sudo - за да не изискват всички администратори да изискват пароли:
Можете да промените и реда% sudo - т.е. линията, която позволява на всички потребители в групата sudo (известни също като потребители на администратори) да използват sudo - за да не изискват всички администратори да изискват пароли:

%sudo ALL=(ALL:ALL) NOPASSWD:ALL

Стартирайте конкретни команди без парола

Можете също така да зададете конкретни команди, които никога няма да изискват парола, когато се изпълняват със sudo. Вместо да използвате "ALL" след NOPASSWD по-горе, посочете местоположението на командите. Например, следният ред ще позволи на вашия потребителски акаунт да стартира командите apt-get и shutdown без парола.

username ALL=(ALL) NOPASSWD: /usr/bin/apt-get,/sbin/shutdown

Това може да бъде особено полезно, когато стартирате конкретни команди със sudo в скрипт.

Image
Image

Разрешаване на потребител да изпълнява само специфични команди

Докато можете да черните списъци на конкретни команди и да се предотврати използването на потребители с sudo, това не е много ефективно. Например, можете да укажете, че потребителският акаунт няма да може да изпълнява командата за изключване с sudo. Но този потребителски акаунт може да стартира командата cp с sudo, да създаде копие на командата за изключване и да изключи системата чрез копиране.

По-ефективен начин е бял списък на конкретни команди. Например можете да дадете на стандартния потребителски акаунт разрешение да използвате командите на apt-get и shutdown, но не повече. За да направите това, добавете следния ред, където standarduser е потребителското име на потребителя:

standarduser ALL=/usr/bin/apt-get,/sbin/shutdown

Image
Image

Следващата команда ще ни каже кои команди може да изпълни с sudo:

sudo -U standarduser –l

Image
Image

Вход за достъп в судо

Можете да регистрирате целия достъп до sudo, като добавите следния ред. / var / log / sudo е само пример; можете да използвате всяко местоположение на лог файл, което ви харесва.

Defaults logfile=/var/log/sudo

Преглеждайте съдържанието на журналния файл с команда като тази:
Преглеждайте съдържанието на журналния файл с команда като тази:

sudo cat /var/log/sudo

Препоръчано: