Cum să faci modificări în fișierul sudoers pe Linux

Fișierul sudoers controlează modul în care utilizatorii pot accesa comenzile de la nivel rădăcină pe Linux. În mod implicit, sistemele de operare Linux configurează primul utilizator (în timpul procesului de instalare) ca administrator și îi oferă acces sudo și valori implicite sensibile.

Pentru majoritatea utilizatorilor, aceste valori implicite funcționează bine și nu este nevoie să faceți modificări. Cu toate acestea, va trebui să editați fișierul dacă trebuie să acordați noilor utilizatori acces sudo, să eliminați accesul unui utilizator, să limitați ceea ce utilizatorii pot rula ca sudo etc.

Editarea fișierului Sudoers se face cu comanda visudo într-un terminal. Pentru a deschide fișierul Sudoers în scopuri de editare, deschideți o fereastră de terminal apăsând  Ctrl + Alt + T de pe tastatură sau căutați un terminal în meniul aplicației.

Odată ce fereastra terminalului este deschisă și gata de utilizare, conectați-vă la terminal cu contul root.

Notă: dacă nu vă puteți conecta la root cu comanda su pe Linux, va trebui să activați autentificarea root. Pentru a face acest lucru, rulați sudo -s , urmat de passwd .

su

Când v-ați autentificat ca root, executați comanda visudo pentru a deschide fișierul Sudoers.

EDITOR=nano visudo

Când editorul de text Nano se lansează în terminal, va încărca fișierul Sudoers pentru editare. Urmați ghidul pentru a afla cum să faceți modificări la sudo pe Linux.

Adăugarea de noi utilizatori la fișierul Sudoers

Poate că primul lucru pe care trebuie să-l facă utilizatorii atunci când editează fișierul Sudoers este să adauge un nou utilizator. Pentru a adăuga un utilizator nou, găsiți următoarea linie de cod.

# User privilege specification

Faceți o nouă linie sub „rădăcină” și specificați noul utilizator. De exemplu, pentru a adăuga utilizatorul „derrik” la sudo, ai scrie:

derrik  ALL=(ALL:ALL) ALL

După ce ați terminat de adăugat utilizatorul, puteți salva editările apăsând Ctrl + O .

Adăugați utilizatori prin grup

Dacă ați adăugat utilizatori la sudo prin grupul „roată” sau grupul „sudo”, puteți elimina utilizatori fără a edita fișierul Sudoers.

Pentru a adăuga utilizatori, deschideți un terminal și executați următoarele comenzi.

su usermod -a -G wheel nume de utilizator

Sau

su usermod -a -G sudo username

Eliminarea utilizatorilor din fișierul Sudoers

Dacă ați adăugat anterior un utilizator la fișierul Sudoers de pe sistemul dvs. Linux și doriți să-l eliminați, puteți. Dar, mai întâi, localizați următoarea linie de cod.

# User privilege specification

După ce ați localizat linia de cod, găsiți linia de utilizator. De exemplu, pentru a elimina utilizatorul „derrik” din sudo, ștergeți următoarea linie de cod.

derrik ALL=(ALL:ALL) ALL

După ce ați șters linia de cod, puteți salva editările folosind Ctrl + O .

Eliminați utilizatorii prin grup

Dacă ați adăugat acces sudo prin grupul „roată” sau grupul „sudo”, puteți elimina utilizatorii de la accesul sudo fără a edita fișierul Sudoers. În schimb, deschideți un terminal și executați următoarele comenzi.

su usermod -G wheel username

Sau

su usermod -G sudo username

Limitarea a ceea ce utilizatorii pot rula

Adăugarea unui utilizator la fișierul Sudoers poate fi periculoasă, deoarece, în mod implicit, li se permite să execute fiecare comandă cu acces root ridicat. Efectuați următoarele: dacă doriți să oferiți utilizatorilor acces la sudo, dar doriți să limitați ceea ce rulează.

Mai întâi, găsiți linia de utilizator. De exemplu, limitați utilizatorul „derrik” să execute numai anumite comenzi ca root atunci când este specificat, cum ar fi codul de mai jos.

derrik ALL=(root) /usr/bin/app/path/here/

Va trebui să adăugați o nouă linie pentru a restricționa fiecare comandă. Apăsați Ctrl + O pentru a salva când ați terminat editările.

Folosind sudo fără parolă

Poate doriți să editați fișierul sudoers pentru a utiliza  comanda sudo  fără a fi nevoie să adăugați o parolă. Această caracteristică este cunoscută sub numele de „sudo fără parolă”. Este o caracteristică excelentă și convenabilă. Cu toate acestea, poate fi nesigur.

Dacă știți că este nesigur, dar doriți totuși să o faceți, vă rugăm să urmați ghidul nostru privind activarea sudo fără parolă pe Linux .

Creșterea securității sudo

Cei care apreciază securitatea ar putea dori să crească securitatea sudo. Din fericire, este posibil să vă creșteți securitatea Sudoer activând caracteristica use_pty . Această caracteristică asigură că sudo trebuie să ruleze într-un sandbox, ceea ce face mai dificilă exploatarea cu malware.

Pentru a activa această caracteristică, găsiți o zonă a fișierului Sudoers cu linia „Valori implicite”. Apoi, apăsați Enter pentru a crea o nouă linie. Apoi, adăugați următorul cod pentru a activa caracteristica use_pty .

Defaults use_pty

Când ați terminat editarea, apăsați Ctrl + O .

Creșterea timpului de expirare sudo

În mod implicit, atunci când un utilizator introduce o parolă greșită cu comanda sudo , acesta permite 3 încercări înainte de a bloca utilizatorul. Puteți mări acest timeout de la 3 încercări la o sumă personalizată.

Găsiți „Valori implicite” în fișierul Sudoers, apăsați Enter pentru a crea o linie nouă, apoi introduceți următorul cod.

Defaults  passwd_tries=CUSTOM_NUMBER

Pentru a salva editările, apăsați Ctrl + O .

Afișează introducerea parolei

Unul dintre cele mai enervante lucruri despre comanda sudo este modul în care ascunde introducerea parolei. Dacă doriți să îl dezvăluiți, va trebui să activați feedbackul pentru parolă. Pentru a activa feedbackul privind parola, urmați ghidul nostru pe acest subiect .