วิธีแก้ไขไฟล์ sudoers บน Linux

ไฟล์ sudoers ควบคุมวิธีที่ผู้ใช้สามารถเข้าถึงคำสั่งระดับรูทบน Linux ตามค่าเริ่มต้น ระบบปฏิบัติการ Linux จะตั้งค่าผู้ใช้รายแรก (ระหว่างขั้นตอนการติดตั้ง) เป็นผู้ดูแลระบบ และให้สิทธิ์การเข้าถึง sudo และค่าเริ่มต้นที่เหมาะสมแก่ผู้ใช้

สำหรับผู้ใช้ส่วนใหญ่ ค่าเริ่มต้นเหล่านี้ทำงานได้ดี และไม่จำเป็นต้องทำการเปลี่ยนแปลงใดๆ อย่างไรก็ตาม คุณจะต้องแก้ไขไฟล์หากต้องการให้สิทธิ์ sudo แก่ผู้ใช้ใหม่ ลบสิทธิ์การเข้าถึงของผู้ใช้ จำกัดสิ่งที่ผู้ใช้สามารถเรียกใช้เป็น sudo เป็นต้น

การแก้ไขไฟล์ Sudoers ทำได้โดยใช้ คำสั่ง visudoในเทอร์มินัล หากต้องการเปิดไฟล์ Sudoers เพื่อแก้ไข ให้เปิดหน้าต่างเทอร์มินัลโดยกด  Ctrl + Alt + Tบนแป้นพิมพ์หรือค้นหาเทอร์มินัลในเมนูแอป

เมื่อหน้าต่างเทอร์มินัลเปิดขึ้นและพร้อมใช้งาน ให้ลงชื่อเข้าใช้เทอร์มินัลด้วยบัญชีรูท

หมายเหตุ: หากคุณไม่สามารถเข้าสู่ระบบรูทด้วย คำสั่ง suบน Linux คุณจะต้องเปิดใช้งานการเข้าสู่ระบบรูท ในการทำเช่นนั้น ให้เรียกใช้sudo -sตามด้วยpasswd

ส���

เมื่อเข้าสู่ระบบในฐานะ root ให้รัน คำสั่ง visudoเพื่อเปิดไฟล์ Sudoers

EDITOR=นาโนวิซูโด

เมื่อเปิดโปรแกรมแก้ไขข้อความ Nano ในเทอร์มินัล โปรแกรมจะโหลดไฟล์ Sudoers เพื่อแก้ไข ทำตามคำแนะนำเพื่อเรียนรู้วิธีแก้ไข sudo บน Linux

การเพิ่มผู้ใช้ใหม่ไปยังไฟล์ Sudoers

บางทีสิ่งแรกที่ผู้ใช้ต้องทำเมื่อแก้ไขไฟล์ Sudoers ก็คือการเพิ่มผู้ใช้ใหม่ หากต้องการเพิ่มผู้ใช้ใหม่ ให้ค้นหาโค้ดบรรทัดต่อไปนี้

# User privilege specification

สร้างบรรทัดใหม่ภายใต้ "รูท" และระบุผู้ใช้ใหม่ ตัวอย่างเช่น หากต้องการเพิ่มผู้ใช้ “derrik” ใน sudo คุณต้องเขียนว่า:

derrik  ALL=(ALL:ALL) ALL

เมื่อคุณเพิ่มผู้ใช้เสร็จแล้ว คุณสามารถบันทึกการแก้ไขได้โดยกดCtrl + O

เพิ่มผู้ใช้ผ่านกลุ่ม

หากคุณเพิ่มผู้ใช้ใน sudo ผ่านกลุ่ม "wheel" หรือกลุ่ม "sudo" คุณสามารถลบผู้ใช้โดยไม่ต้องแก้ไขไฟล์ Sudoers

หากต้องการเพิ่มผู้ใช้ ให้เปิดเทอร์มินัลแล้วรันคำสั่งต่อไปนี้

su usermod -a -G ชื่อผู้ใช้ล้อ

หรือ

su usermod -a -G ชื่อผู้ใช้ sudo

การลบผู้ใช้ออกจากไฟล์ Sudoers

หากก่อนหน้านี้คุณเพิ่มผู้ใช้ในไฟล์ Sudoers บนระบบ Linux และต้องการลบออก คุณสามารถทำได้ แต่ก่อนอื่น ให้ค้นหาบรรทัดโค้ดต่อไปนี้

# User privilege specification

เมื่อคุณพบบรรทัดของโค้ดแล้ว ให้ค้นหาบรรทัดของผู้ใช้ ตัวอย่างเช่น หากต้องการลบผู้ใช้ "derrik" ออกจาก sudo ให้ลบบรรทัดโค้ดต่อไปนี้

derrik ALL=(ALL:ALL) ALL

หลังจากที่คุณลบบรรทัดโค้ดแล้ว คุณสามารถบันทึกการแก้ไขโดยใช้Ctrl + O

ลบผู้ใช้ผ่านกลุ่ม

หากคุณเพิ่มการเข้าถึง sudo ผ่านกลุ่ม "wheel" หรือกลุ่ม "sudo" คุณสามารถลบผู้ใช้ออกจากการเข้าถึง sudo โดยไม่ต้องแก้ไขไฟล์ Sudoers ให้เปิดเทอร์มินัลแล้วรันคำสั่งต่อไปนี้แทน

su usermod -ชื่อผู้ใช้ G wheel

หรือ

su usermod -G ชื่อผู้ใช้ sudo

จำกัดสิ่งที่ผู้ใช้สามารถเรียกใช้

การเพิ่มผู้ใช้ในไฟล์ Sudoers อาจเป็นอันตรายได้ เนื่องจากตามค่าเริ่มต้นแล้ว พวกเขาได้รับอนุญาตให้ดำเนินการทุกคำสั่งด้วยการเข้าถึงรูทที่ยกระดับ ทำสิ่งต่อไปนี้: หากคุณต้องการให้ผู้ใช้เข้าถึง sudo แต่ต้องการจำกัดสิ่งที่พวกเขาเรียกใช้

ก่อนอื่นให้ค้นหาบรรทัดผู้ใช้ ตัวอย่างเช่น จำกัดผู้ใช้ "derrik" ให้รันเฉพาะคำสั่งเฉพาะในฐานะ root เมื่อระบุ เช่นโค้ดด้านล่าง

derrik ALL=(root) /usr/bin/app/path/here/

คุณจะต้องเพิ่มบรรทัดใหม่เพื่อจำกัดแต่ละคำสั่ง กดCtrl + Oเพื่อบันทึกเมื่อคุณแก้ไขเสร็จแล้ว

ใช้ sudo โดยไม่ต้องใช้รหัสผ่าน

คุณอาจต้องการแก้ไขไฟล์ sudoers เพื่อใช้  คำสั่ง sudo โดยไม่จำเป็นต้องใส่รหัสผ่าน คุณสมบัตินี้เรียกว่า “sudo ไร้รหัสผ่าน” เป็นคุณลักษณะที่ยอดเยี่ยมและสะดวก อย่างไรก็ตาม อาจไม่ปลอดภัย

หากคุณทราบว่าไม่ปลอดภัยแต่ยังต้องการดำเนินการ โปรดทำตามคำแนะนำของเราเกี่ยวกับการเปิดใช้งาน sudo แบบไม่มีรหัสผ่านบน Linux

เพิ่มความปลอดภัย sudo

ผู้ที่ให้ความสำคัญกับความปลอดภัยอาจต้องการเพิ่มความปลอดภัย sudo โชคดีที่สามารถเพิ่มความปลอดภัยให้กับ Sudoer ได้ด้วยการเปิดใช้งานคุณสมบัติuse_pty คุณลักษณะนี้ช่วยให้แน่ใจว่า sudo ต้องทำงานในแซนด์บ็อกซ์ ทำให้ยากต่อการโจมตีด้วยมัลแวร์

หากต้องการเปิดใช้คุณลักษณะนี้ ให้ค้นหาพื้นที่ของไฟล์ Sudoers ที่มีบรรทัด "Defaults" จากนั้นกดEnterเพื่อขึ้นบรรทัดใหม่ จากนั้นเพิ่มรหัสต่อไปนี้เพื่อเปิดใช้งานคุณสมบัติuse_pty

Defaults use_pty

เมื่อแก้ไขเสร็จแล้ว ให้กดCtrl + O

เพิ่มการหมดเวลา sudo

ตามค่าเริ่มต้น เมื่อผู้ใช้ป้อนรหัสผ่านผิดด้วย คำสั่ง sudoระบบจะอนุญาตให้ลอง 3 ครั้งก่อนที่จะล็อกผู้ใช้ไม่ให้เข้า คุณสามารถเพิ่มการหมดเวลานี้จาก 3 ครั้งเป็นจำนวนเงินที่กำหนดเองได้

ค้นหา “Defaults” ในไฟล์ Sudoers ของคุณ กดEnterเพื่อสร้างบรรทัดใหม่ จากนั้นป้อนรหัสต่อไปนี้

Defaults  passwd_tries=CUSTOM_NUMBER

หากต้องการบันทึกการแก้ไข ให้กดCtrl + O

แสดงการป้อนรหัสผ่าน

หนึ่งในสิ่งที่น่ารำคาญที่สุดเกี่ยวกับ คำสั่ง sudoคือวิธีการซ่อนรหัสผ่าน หากคุณต้องการเปิดเผย คุณจะต้องเปิดใช้งานความคิดเห็นเกี่ยวกับรหัสผ่าน หากต้องการเปิดใช้ความคิดเห็นเกี่ยวกับรหัสผ่านให้ทำตามคำแนะนำของเราในหัวข้อนี้