8 būdai patobulinti ir konfigūruoti Sudo Ubuntu
Kaip ir dauguma „Linux“ dalykų, sudo komanda yra labai konfigūruojama. Jūs galite turėti sudo paleisti konkrečias komandas neprašydami slaptažodžio, apriboti konkrečius vartotojus tik patvirtintomis komandomis, žurnalo komandas paleisti su sudo ir dar daugiau.
Sudo komandos elgesį kontroliuoja jūsų sistemos / etc / sudoers failas. Ši komanda turi būti redaguojama su visudo komanda, kuri atlieka sintaksės patikrinimą, kad įsitikintumėte, jog netyčia nepažeidėte failo.
Nurodykite naudotojus, turinčius Sudo leidimus
Vartotojo abonementas, kurį sukūrėte diegdami „Ubuntu“, yra pažymėtas kaip administratoriaus paskyra, o tai reiškia, kad jis gali naudoti sudo. Bet kokios papildomos naudotojo paskyros, kurias sukūrėte įdiegę, gali būti administratoriaus arba standartinės naudotojo paskyros - standartinės naudotojo paskyros neturi sudo leidimų.
Vartotojų abonementų tipus galite valdyti grafiškai iš „Ubuntu“ naudotojų abonementų įrankio. Jei norite jį atidaryti, spustelėkite savo vartotojo vardą skydelyje ir pasirinkite Vartotojo abonementai arba ieškokite vartotojo abonementų brūkšnėje.
Padaryti Sudo pamiršti savo slaptažodį
Pagal nutylėjimą, sudo prisimena jūsų slaptažodį 15 minučių po to, kai jį įvedėte. Štai kodėl jums reikia įvesti savo slaptažodį vieną kartą, kai vykdote kelias komandas su sudo greitai. Jei ketinate kitam naudoti kompiuterį ir norite, kad sudo paprašytų slaptažodžio, kai jis veiks toliau, vykdykite šią komandą ir sudo pamiršs slaptažodį:
sudo -k
Visada paklauskite slaptažodžio
Jei pageidaujate, kad kiekvieną kartą naudotumėte sudo, pavyzdžiui, jei kiti žmonės reguliariai turi prieigą prie jūsų kompiuterio, galite visiškai išjungti slaptažodžio prisiminimo elgesį.
Šis nustatymas, kaip ir kiti sudo nustatymai, yra faile / etc / sudoers. Paleiskite komandą visudo terminale, kad atidarytumėte failą redagavimui:
sudo visudo
Nepaisant jo pavadinimo, ši komanda pagal nutylėjimą yra nauja vartotojui patogi nano redaktorė vietoj tradicinio vi redaktoriaus Ubuntu.
Pridėkite šią eilutę žemiau kitų failo numatytųjų reikšmių eilučių:
Numatymai timestamp_timeout = 0
Paspauskite Ctrl + O, kad išsaugotumėte failą, tada paspauskite Ctrl + X, kad uždarytumėte Nano. Dabar „Sudo“ visada paprašys įvesti slaptažodį.
Pakeiskite slaptažodį
Jei norite nustatyti kitokį slaptažodžio trukmę - ilgesnį, pavyzdžiui, 30 minučių ar trumpesnį, kaip 5 minutes, atlikite aukščiau nurodytus veiksmus, tačiau naudokite skirtingą laiko laiko žymos_pasaulio reikšmę. Numeris atitinka minučių skaičių, kurį sudo prisimins jūsų slaptažodį. Jei norite, kad „sudo“ prisimintų jūsų slaptažodį 5 minutes, pridėkite šią eilutę:
Numatymai timestamp_timeout = 5
Niekada neprašykite slaptažodžio
Taip pat galite sudo niekada paprašyti slaptažodžio - kol prisijungsite, kiekviena komanda, kurią įvedate su sudo, bus paleista su root leidimais. Norėdami tai padaryti, pridėkite šią eilutę prie savo sudoers failo, kur naudotojo vardas yra naudotojo vardas:
vartotojo vardas ALL = (ALL) NOPASSWD: ALL
Taip pat galite pakeisti% sudo eilutę, ty eilutę, kuri leidžia visiems sudo grupės vartotojams (taip pat žinomiems kaip administratoriaus naudotojams) naudoti sudo - kad visi administratoriaus naudotojai nereikalautų slaptažodžių:
% sudo ALL = (ALL: ALL) NOPASSWD: ALL
Vykdyti konkrečias komandas be slaptažodžio
Taip pat galite nurodyti konkrečias komandas, kurioms niekada nereikės slaptažodžio, kai paleisite su sudo. Užuot naudoję „ALL“ po pirmiau pateiktos NOPASSWD, nurodykite komandų vietą. Pavyzdžiui, ši eilutė leis jūsų vartotojo abonementui paleisti apt-get ir shutdown komandas be slaptažodžio.
vartotojo vardas ALL = (ALL) NOPASSWD: / usr / bin / apt-get, / sbin / shutdown
Tai gali būti ypač naudinga, kai scenarijuje vykdomos konkrečios komandos su sudo.
Leiskite naudotojui paleisti tik konkrečias komandas
Nors galite įtraukti juodąjį sąrašą konkrečių komandų ir neleisti vartotojams paleisti juos su sudo, tai nėra labai veiksminga. Pavyzdžiui, galite nurodyti, kad vartotojo abonementas negali paleisti „shutdown“ komandos su sudo. Tačiau ši vartotojo paskyra gali paleisti cp komandą su sudo, sukurti išjungimo komandos kopiją ir išjungti sistemą naudodama kopiją.
Veiksmingesnis būdas yra baltųjų sąrašų konkrečių komandų sąrašas. Pvz., Galite suteikti standartinio vartotojo abonemento leidimą naudoti apt-get ir shutdown komandas, bet ne daugiau. Jei norite tai padaryti, pridėkite šią eilutę, kurioje standartinis naudotojas yra vartotojo vardas:
standarduser ALL = / usr / bin / apt-get, / sbin / shutdown
Ši komanda nurodys, kokias komandas vartotojas gali naudoti su sudo:
sudo -U standartinis naudotojas -l
Prisijungimas „Sudo Access“
Galite prisijungti prie visų sudo prieigos pridėdami šią eilutę. / var / log / sudo yra tik pavyzdys; galite naudoti norimą žurnalo failo vietą.
Defaults logfile = / var / log / sudo
Žiūrėkite žurnalo failo turinį su tokia komanda:
sudo cat / var / log / sudo
Turėkite omenyje, kad jei vartotojas turi neribotą prieigą prie sudo, šis vartotojas gali ištrinti arba pakeisti šio failo turinį. Vartotojas taip pat galėtų pasiekti root eilutę su sudo ir paleisti komandas, kurios nebūtų registruojamos. Registravimo funkcija yra naudingiausia, kai naudojama su vartotojo abonementais, kurie turi ribotą priėjimą prie sistemos komandų pogrupio.