Bagaimana untuk membuat pengeditan pada fail sudoers di Linux

Fail sudoers mengawal cara pengguna boleh mengakses arahan peringkat akar pada Linux. Secara lalai, sistem pengendalian Linux menyediakan pengguna pertama (semasa proses pemasangan) sebagai pentadbir dan memberikannya akses sudo dan lalai yang wajar.

Bagi kebanyakan pengguna, lalai ini berfungsi dengan baik dan tidak perlu membuat perubahan. Walau bagaimanapun, anda perlu mengedit fail jika anda perlu memberi pengguna baharu akses sudo, mengalih keluar akses pengguna, mengehadkan perkara yang pengguna boleh jalankan sebagai sudo, dsb.

Mengedit fail Sudoers dilakukan dengan arahan visudo dalam terminal. Untuk membuka fail Sudoers untuk tujuan pengeditan, buka tetingkap terminal dengan menekan  Ctrl + Alt + T pada papan kekunci atau cari terminal dalam menu apl.

Setelah tetingkap terminal dibuka dan sedia untuk digunakan, log masuk ke terminal dengan akaun root.

Nota: jika anda tidak boleh log masuk ke root dengan arahan su pada Linux, anda perlu mendayakan log masuk root. Untuk melakukannya, jalankan sudo -s , diikuti dengan passwd .

su

Apabila log masuk sebagai root, jalankan arahan visudo untuk membuka fail Sudoers.

EDITOR=nano visudo

Apabila penyunting teks Nano dilancarkan di terminal, ia akan memuatkan fail Sudoers untuk diedit. Ikuti bersama panduan untuk mengetahui cara membuat suntingan sudo pada Linux.

Menambah pengguna baharu pada fail Sudoers

Mungkin perkara nombor satu yang pengguna perlu lakukan semasa mengedit fail Sudoers ialah menambah pengguna baharu. Untuk menambah pengguna baharu, cari baris kod berikut.

# User privilege specification

Buat baris baharu di bawah "root" dan nyatakan pengguna baharu. Sebagai contoh, untuk menambah pengguna "derrik" pada sudo, anda akan menulis:

derrik  ALL=(ALL:ALL) ALL

Setelah anda selesai menambah pengguna anda, anda boleh menyimpan suntingan dengan menekan Ctrl + O .

Tambah pengguna melalui kumpulan

Jika anda telah menambahkan pengguna pada sudo melalui kumpulan “roda” atau kumpulan “sudo”, anda boleh mengalih keluar pengguna tanpa mengedit fail Sudoers.

Untuk menambah pengguna, buka terminal dan jalankan arahan berikut.

su usermod -a -G wheel nama pengguna

Ataupun

su usermod -a -G sudo nama pengguna

Mengalih keluar pengguna daripada fail Sudoers

Jika anda sebelum ini telah menambahkan pengguna pada fail Sudoers pada sistem Linux anda dan ingin mengalih keluarnya, anda boleh. Tetapi, pertama, cari baris kod berikut.

# User privilege specification

Setelah anda menemui baris kod, cari baris pengguna. Contohnya, untuk mengalih keluar pengguna "derrik" daripada sudo, padamkan baris kod berikut.

derrik ALL=(ALL:ALL) ALL

Selepas anda memadamkan baris kod, anda boleh menyimpan suntingan anda menggunakan Ctrl + O .

Alih keluar pengguna melalui kumpulan

Jika anda telah menambahkan akses sudo melalui kumpulan "roda" atau kumpulan "sudo", anda boleh mengalih keluar pengguna daripada akses sudo tanpa mengedit fail Sudoers. Sebaliknya, buka terminal dan jalankan arahan berikut.

su usermod -G wheel nama pengguna

Ataupun

su usermod -G sudo nama pengguna

Mengehadkan perkara yang boleh dijalankan oleh pengguna

Menambah pengguna pada fail Sudoers boleh berbahaya kerana, secara lalai, mereka dibenarkan untuk melaksanakan setiap arahan dengan akses root yang tinggi. Lakukan perkara berikut: jika anda ingin memberi pengguna akses kepada sudo tetapi ingin mengehadkan perkara yang mereka jalankan.

Pertama, cari baris pengguna. Sebagai contoh, hadkan pengguna "derrik" untuk hanya menjalankan perintah tertentu sebagai akar apabila dinyatakan, seperti kod di bawah.

derrik ALL=(root) /usr/bin/app/path/here/

Anda perlu menambah baris baharu untuk menyekat setiap arahan. Tekan Ctrl + O untuk menyimpan apabila anda selesai mengedit.

Menggunakan sudo tanpa kata laluan

Anda mungkin ingin mengedit fail sudoers untuk menggunakan  arahan sudo  tanpa perlu menambah kata laluan. Ciri ini dikenali sebagai "sudo tanpa kata laluan." Ia adalah ciri yang sangat baik dan mudah. Walau bagaimanapun, ia boleh menjadi tidak selamat.

Jika anda sedar bahawa ia tidak selamat tetapi masih mahu melakukannya, sila ikuti panduan kami untuk mendayakan sudo tanpa kata laluan pada Linux .

Meningkatkan keselamatan sudo

Mereka yang menghargai keselamatan mungkin ingin meningkatkan keselamatan sudo. Syukurlah, adalah mungkin untuk meningkatkan keselamatan Sudoer anda dengan mendayakan ciri use_pty . Ciri ini memastikan bahawa sudo mesti dijalankan dalam kotak pasir, menjadikannya lebih sukar untuk dieksploitasi dengan perisian hasad.

Untuk mendayakan ciri ini, cari kawasan fail Sudoers dengan baris "Lalai". Kemudian, tekan Enter untuk membuat baris baharu. Kemudian, tambahkan kod berikut untuk mendayakan ciri use_pty .

Defaults use_pty

Apabila selesai mengedit, tekan Ctrl + O .

Meningkatkan tamat masa sudo

Secara lalai, apabila pengguna memasukkan kata laluan yang salah dengan arahan sudo , ia membenarkan 3 percubaan sebelum mengunci pengguna keluar. Anda boleh meningkatkan tamat masa ini daripada 3 percubaan kepada jumlah tersuai.

Cari "Lalai" dalam fail Sudoers anda, tekan Enter untuk mencipta baris baharu, kemudian masukkan kod berikut.

Defaults  passwd_tries=CUSTOM_NUMBER

Untuk menyimpan suntingan anda, tekan Ctrl + O .

Tunjukkan input kata laluan

Salah satu perkara yang paling menjengkelkan tentang arahan sudo ialah bagaimana ia menyembunyikan input kata laluan. Jika anda ingin mendedahkannya, anda perlu mendayakan maklum balas kata laluan. Untuk mendayakan maklum balas kata laluan, ikut panduan kami tentang subjek .