Come apportare modifiche al file sudoers su Linux

Il file sudoers controlla come gli utenti possono accedere ai comandi a livello di root su Linux. Per impostazione predefinita, i sistemi operativi Linux impostano il primo utente (durante il processo di installazione) come amministratore e gli danno accesso sudo e impostazioni predefinite ragionevoli.

Per la maggior parte degli utenti, queste impostazioni predefinite funzionano bene e non è necessario apportare modifiche. Tuttavia, dovrai modificare il file se devi concedere a nuovi utenti l'accesso sudo, rimuovere l'accesso di un utente, limitare ciò che gli utenti possono eseguire come sudo, ecc.

La modifica del file Sudoers viene eseguita con il comando visudo in un terminale. Per aprire il file Sudoers a scopo di modifica, apri una finestra di terminale premendo  Ctrl + Alt + T sulla tastiera o cerca un terminale nel menu dell'app.

Una volta che la finestra del terminale è aperta e pronta per l'uso, accedi al terminale con l'account root.

Nota: se non riesci ad accedere a root con il comando su su Linux, dovrai abilitare l'accesso root. Per farlo, esegui sudo -s , seguito da passwd .

su

Dopo aver effettuato l'accesso come root, eseguire il comando visudo per aprire il file Sudoers.

EDITOR=nano visudo

Quando l'editor di testo Nano viene avviato nel terminale, caricherà il file Sudoers per la modifica. Segui la guida per imparare come apportare modifiche a sudo su Linux.

Aggiunta di nuovi utenti al file Sudoers

Forse la cosa numero uno che gli utenti devono fare quando modificano il file Sudoers è aggiungere un nuovo utente. Per aggiungere un nuovo utente, trova la seguente riga di codice.

# User privilege specification

Crea una nuova riga sotto "root" e specifica il nuovo utente. Ad esempio, per aggiungere l'utente "derrik" a sudo, devi scrivere:

derrik  ALL=(ALL:ALL) ALL

Una volta che hai finito di aggiungere il tuo utente, puoi salvare le modifiche premendo Ctrl + O .

Aggiungi utenti tramite gruppo

Se hai aggiunto utenti a sudo tramite il gruppo "ruota" o il gruppo "sudo", puoi rimuovere gli utenti senza modificare il file Sudoers.

Per aggiungere utenti, apri un terminale ed esegui i seguenti comandi.

su usermod -a -G nome utente ruota

O

su usermod -a -G sudo nome utente

Rimozione degli utenti dal file Sudoers

Se hai già aggiunto un utente al file Sudoers sul tuo sistema Linux e desideri rimuoverlo, puoi farlo. Ma, prima, individua la seguente riga di codice.

# User privilege specification

Una volta individuata la riga di codice, trova la riga dell'utente. Ad esempio, per rimuovere l'utente "derrik" da sudo, eliminare la seguente riga di codice.

derrik ALL=(ALL:ALL) ALL

Dopo aver eliminato la riga di codice, puoi salvare le modifiche utilizzando Ctrl + O .

Rimuovi utenti tramite gruppo

Se hai aggiunto l'accesso sudo tramite il gruppo "ruota" o il gruppo "sudo", puoi rimuovere gli utenti dall'accesso sudo senza modificare il file Sudoers. Invece, apri un terminale ed esegui i seguenti comandi.

su usermod -G nome utente ruota

O

su usermod -G sudo nome utente

Limitazione di ciò che gli utenti possono eseguire

L'aggiunta di un utente al file Sudoers può essere pericoloso in quanto, per impostazione predefinita, gli è consentito eseguire ogni comando con accesso root elevato. Effettuare le seguenti operazioni: se si desidera concedere agli utenti l'accesso a sudo ma si desidera limitare ciò che eseguono.

Innanzitutto, trova la riga dell'utente. Ad esempio, limita l'utente "derrik" a eseguire solo comandi specifici come root quando specificato, come il codice seguente.

derrik ALL=(root) /usr/bin/app/path/here/

Sarà necessario aggiungere una nuova riga per limitare ciascun comando. Premi Ctrl + O per salvare al termine delle modifiche.

Usare sudo senza password

Potresti voler modificare il file sudoers per utilizzare il  comando sudo  senza dover aggiungere una password. Questa funzione è nota come "sudo senza password". È una caratteristica eccellente e conveniente. Tuttavia, può essere pericoloso.

Se sei consapevole che non è sicuro ma vuoi comunque farlo, segui la nostra guida su come abilitare sudo senza password su Linux .

Aumento della sicurezza sudo

Coloro che apprezzano la sicurezza potrebbero voler aumentare la sicurezza sudo. Per fortuna, è possibile aumentare la sicurezza di Sudoer abilitando la funzione use_pty . Questa funzione garantisce che sudo debba essere eseguito in una sandbox, rendendo più difficile l'exploit con malware.

Per abilitare questa funzione, trova un'area del file Sudoers con la riga "Predefiniti". Quindi, premi Invio per creare una nuova riga. Quindi, aggiungi il codice seguente per abilitare la funzione use_pty .

Defaults use_pty

Al termine della modifica, premi Ctrl + O .

Aumento del timeout sudo

Per impostazione predefinita, quando un utente inserisce la password errata con il comando sudo , consente 3 tentativi prima di bloccare l'utente. Puoi aumentare questo timeout da 3 tentativi a un importo personalizzato.

Trova "Predefiniti" nel tuo file Sudoers, premi Invio per creare una nuova riga, quindi inserisci il seguente codice.

Defaults  passwd_tries=CUSTOM_NUMBER

Per salvare le modifiche, premi Ctrl + O .

Mostra l'inserimento della password

Una delle cose più fastidiose del comando sudo è come nasconde l'inserimento della password. Se desideri rivelarlo, dovrai abilitare il feedback della password. Per abilitare il feedback della password, segui la nostra guida sull'argomento .