Jak edytować plik sudoers w systemie Linux

Plik sudoers kontroluje sposób, w jaki użytkownicy mogą uzyskiwać dostęp do poleceń poziomu głównego w systemie Linux. Domyślnie systemy operacyjne Linux konfigurują pierwszego użytkownika (podczas procesu instalacji) jako administratora i dają mu dostęp sudo oraz rozsądne ustawienia domyślne.

W przypadku większości użytkowników te ustawienia domyślne działają dobrze i nie ma potrzeby wprowadzania zmian. Będziesz jednak musiał edytować plik, jeśli chcesz przyznać nowym użytkownikom dostęp sudo, usunąć dostęp użytkownika, ograniczyć liczbę użytkowników, którzy mogą uruchamiać sudo itp.

Edycja pliku Sudoers odbywa się za pomocą polecenia visudo w terminalu. Aby otworzyć plik Sudoers do celów edycji, otwórz okno terminala, naciskając  Ctrl + Alt + T na klawiaturze lub wyszukaj terminal w menu aplikacji.

Gdy okno terminala jest otwarte i gotowe do użycia, zaloguj się do terminala przy użyciu konta root.

Uwaga: jeśli nie możesz zalogować się do roota za pomocą polecenia su w systemie Linux, musisz włączyć logowanie roota. Aby to zrobić, uruchom sudo -s , a następnie passwd .

su

Po zalogowaniu jako root uruchom polecenie visudo , aby otworzyć plik Sudoers.

EDYTOR=nano wizualna

Gdy edytor tekstu Nano uruchomi się w terminalu, załaduje plik Sudoers do edycji. Postępuj zgodnie z przewodnikiem, aby dowiedzieć się, jak wprowadzać zmiany w sudo w systemie Linux.

Dodawanie nowych użytkowników do pliku Sudoers

Być może najważniejszą rzeczą, którą użytkownicy muszą zrobić podczas edytowania pliku Sudoers, jest dodanie nowego użytkownika. Aby dodać nowego użytkownika, znajdź następujący wiersz kodu.

# User privilege specification

Utwórz nową linię pod „root” i określ nowego użytkownika. Na przykład, aby dodać użytkownika „derrik” do sudo, napisałbyś:

derrik  ALL=(ALL:ALL) ALL

Po zakończeniu dodawania użytkownika możesz zapisać zmiany, naciskając Ctrl + O .

Dodaj użytkowników za pośrednictwem grupy

Jeśli dodałeś użytkowników do sudo za pośrednictwem grupy „wheel” lub grupy „sudo”, możesz usuwać użytkowników bez edytowania pliku Sudoers.

Aby dodać użytkowników, otwórz terminal i uruchom następujące polecenia.

su usermod -a -G kółko nazwa użytkownika

Lub

su usermod -a -G sudo nazwa użytkownika

Usuwanie użytkowników z pliku Sudoers

Jeśli wcześniej dodałeś użytkownika do pliku Sudoers w systemie Linux i chcesz go usunąć, możesz. Ale najpierw zlokalizuj następujący wiersz kodu.

# User privilege specification

Po zlokalizowaniu wiersza kodu znajdź wiersz użytkownika. Na przykład, aby usunąć użytkownika „derrik” z sudo, usuń następujący wiersz kodu.

derrik ALL=(ALL:ALL) ALL

Po usunięciu wiersza kodu możesz zapisać zmiany za pomocą Ctrl + O .

Usuń użytkowników za pomocą grupy

Jeśli dodałeś dostęp sudo za pośrednictwem grupy „wheel” lub grupy „sudo”, możesz usunąć użytkowników z dostępu sudo bez edytowania pliku Sudoers. Zamiast tego otwórz terminal i uruchom następujące polecenia.

su usermod -G koło nazwa użytkownika

Lub

su usermod -G sudo nazwa użytkownika

Ograniczanie tego, co użytkownicy mogą uruchamiać

Dodanie użytkownika do pliku Sudoers może być niebezpieczne, ponieważ domyślnie może on wykonywać każde polecenie z podwyższonym dostępem root. Wykonaj następujące czynności: jeśli chcesz dać użytkownikom dostęp do sudo, ale chcesz ograniczyć to, co uruchamiają.

Najpierw znajdź linię użytkownika. Na przykład ogranicz użytkownika „derrik”, aby uruchamiał tylko określone polecenia jako root, gdy jest to określone, jak poniższy kod.

derrik ALL=(root) /usr/bin/app/path/here/

Będziesz musiał dodać nową linię, aby ograniczyć każde polecenie. Naciśnij Ctrl + O, aby zapisać po zakończeniu edycji.

Używanie Sudo bez hasła

Możesz edytować plik sudoers, aby używać  polecenia sudo  bez konieczności dodawania hasła. Ta funkcja jest znana jako „sudo bez hasła”. To doskonała i wygodna funkcja. Może to być jednak niebezpieczne.

Jeśli wiesz, że jest to niebezpieczne, ale nadal chcesz to zrobić, postępuj zgodnie z naszym przewodnikiem dotyczącym włączania sudo bez hasła w systemie Linux .

Zwiększenie bezpieczeństwa sudo

Ci, którzy cenią sobie bezpieczeństwo, mogą chcieć zwiększyć bezpieczeństwo sudo. Na szczęście możliwe jest zwiększenie bezpieczeństwa Sudoer poprzez włączenie funkcji use_pty . Ta funkcja zapewnia, że ​​Sudo musi działać w piaskownicy, co utrudnia wykorzystanie złośliwego oprogramowania.

Aby włączyć tę funkcję, znajdź obszar pliku Sudoers z linią „Domyślne”. Następnie naciśnij Enter , aby utworzyć nową linię. Następnie dodaj następujący kod, aby włączyć funkcję use_pty .

Defaults use_pty

Po zakończeniu edycji naciśnij Ctrl + O .

Zwiększanie limitu czasu sudo

Domyślnie, gdy użytkownik wprowadzi nieprawidłowe hasło za pomocą polecenia sudo , zezwala na 3 próby przed zablokowaniem użytkownika. Możesz zwiększyć ten limit czasu z 3 prób do niestandardowej kwoty.

Znajdź „Defaults” w swoim pliku Sudoers, naciśnij Enter , aby utworzyć nową linię, a następnie wprowadź następujący kod.

Defaults  passwd_tries=CUSTOM_NUMBER

Aby zapisać zmiany, naciśnij Ctrl + O .

Pokaż wprowadzone hasło

Jedną z najbardziej irytujących rzeczy w poleceniu sudo jest ukrywanie wprowadzania hasła. Jeśli chcesz je ujawnić, musisz włączyć funkcję sprawdzania hasła. Aby włączyć informację zwrotną o haśle, postępuj zgodnie z naszym przewodnikiem na ten temat .