Как внести изменения в файл sudoers в Linux

Файл sudoers определяет, как пользователи могут получить доступ к командам корневого уровня в Linux. По умолчанию операционные системы Linux настраивают первого пользователя (в процессе установки) как администратора и предоставляют ему доступ sudo и разумные значения по умолчанию.

Для большинства пользователей эти значения по умолчанию работают хорошо, и нет необходимости вносить изменения. Однако вам нужно будет отредактировать файл, если вам нужно предоставить новым пользователям доступ к sudo, удалить доступ пользователя, ограничить то, что пользователи могут запускать как sudo и т. д.

Редактирование файла Sudoers выполняется с помощью команды visudo в терминале. Чтобы открыть файл Sudoers для редактирования, откройте окно терминала, нажав  Ctrl + Alt + T на клавиатуре, или найдите терминал в меню приложения.

Когда окно терминала открыто и готово к использованию, войдите в терминал с учетной записью root.

Примечание. Если вы не можете войти в систему root с помощью команды su в Linux, вам необходимо включить вход в систему root. Для этого запустите sudo -s , а затем passwd .

су

Войдя в систему как пользователь root, запустите команду visudo , чтобы открыть файл Sudoers.

РЕДАКТОР=нано визуально

Когда текстовый редактор Nano запускается в терминале, он загружает файл Sudoers для редактирования. Следуйте руководству, чтобы узнать, как вносить изменения в sudo в Linux.

Добавление новых пользователей в файл Sudoers

Возможно, первое, что нужно сделать пользователям при редактировании файла Sudoers, — это добавить нового пользователя. Чтобы добавить нового пользователя, найдите следующую строку кода.

# User privilege specification

Создайте новую строку под «root» и укажите нового пользователя. Например, чтобы добавить пользователя «derrik» в sudo, вы должны написать:

derrik  ALL=(ALL:ALL) ALL

Когда вы закончите добавлять своего пользователя, вы можете сохранить изменения, нажав Ctrl + O .

Добавляйте пользователей через группу

Если вы добавили пользователей в sudo через группу «wheel» или группу «sudo», вы можете удалить пользователей, не редактируя файл Sudoers.

Чтобы добавить пользователей, откройте терминал и выполните следующие команды.

su usermod -a -G имя пользователя колеса

Или

su usermod -a -G имя пользователя sudo

Удаление пользователей из файла Sudoers

Если вы ранее добавили пользователя в файл Sudoers в вашей системе Linux и хотите удалить его, вы можете это сделать. Но сначала найдите следующую строку кода.

# User privilege specification

Найдя строку кода, найдите строку пользователя. Например, чтобы удалить пользователя «derrik» из sudo, удалите следующую строку кода.

derrik ALL=(ALL:ALL) ALL

После того, как вы удалили строку кода, вы можете сохранить изменения, нажав Ctrl + O.

Удалить пользователей через группу

Если вы добавили доступ к sudo через группу «wheel» или группу «sudo», вы можете удалить пользователей из доступа sudo без редактирования файла Sudoers. Вместо этого откройте терминал и выполните следующие команды.

su usermod -G колесо имя пользователя

Или

su usermod -G имя пользователя sudo

Ограничение того, что могут запускать пользователи

Добавление пользователя в файл Sudoers может быть опасным, поскольку по умолчанию ему разрешено выполнять любую команду с повышенными правами root. Сделайте следующее: если вы хотите предоставить пользователям доступ к sudo, но хотите ограничить то, что они запускают.

Сначала найдите строку пользователя. Например, ограничьте пользователя «derrik» выполнением только определенных команд от имени пользователя root, если он указан, как в приведенном ниже коде.

derrik ALL=(root) /usr/bin/app/path/here/

Вам нужно будет добавить новую строку, чтобы ограничить каждую команду. Нажмите Ctrl + O , чтобы сохранить, когда вы закончите редактирование.

Использование sudo без пароля

Вы можете отредактировать файл sudoers, чтобы использовать  команду sudo  без добавления пароля. Эта функция известна как «sudo без пароля». Это отличная и удобная функция. Однако это может быть небезопасно.

Если вы знаете, что это небезопасно, но все же хотите это сделать, следуйте нашему руководству по включению sudo без пароля в Linux .

Повышение безопасности sudo

Те, кто ценит безопасность, могут захотеть повысить безопасность sudo. К счастью, можно повысить безопасность Sudoer, включив функцию use_pty . Эта функция гарантирует, что sudo должен работать в песочнице, что затрудняет использование вредоносных программ.

Чтобы включить эту функцию, найдите область файла Sudoers со строкой «По умолчанию». Затем нажмите Enter , чтобы создать новую строку. Затем добавьте следующий код, чтобы включить функцию use_pty .

Defaults use_pty

Закончив редактирование, нажмите Ctrl + O.

Увеличение времени ожидания sudo

По умолчанию, когда пользователь вводит неправильный пароль с помощью команды sudo , он допускает 3 попытки, прежде чем заблокирует пользователя. Вы можете увеличить это время ожидания с 3 попыток до пользовательского количества.

Найдите «Defaults» в вашем файле Sudoers, нажмите Enter , чтобы создать новую строку, затем введите следующий код.

Defaults  passwd_tries=CUSTOM_NUMBER

Чтобы сохранить изменения, нажмите Ctrl + O.

Показать ввод пароля

Одна из самых раздражающих вещей в команде sudo — то, как она скрывает ввод пароля. Если вы хотите раскрыть его, вам необходимо включить обратную связь по паролю. Чтобы включить обратную связь по паролю, следуйте нашему руководству по этому вопросу .