8 načinov za prilagoditev in konfiguriranje Sudo na Ubuntu
Kot večina stvari v Linuxu je ukaz sudo zelo konfigurabilen. Posebne ukaze za sudo lahko izvajate, ne da bi zahtevali geslo, omejili določene uporabnike samo na odobrene ukaze, ukaze logov, ki se izvajajo s sudo, in še.
Obnašanje ukaza sudo nadzira datoteka / etc / sudoers na vašem sistemu. Ta ukaz morate urejati z ukazom visudo, ki izvaja preverjanje skladnje, da zagotovite, da ne boste pomotoma prekinili datoteke.
Določite uporabnike s Sudo dovoljenji
Uporabniški račun, ki ga ustvarite med namestitvijo Ubuntuja, je označen kot skrbniški račun, kar pomeni, da lahko uporablja sudo. Vsi dodatni uporabniški računi, ki jih ustvarite po namestitvi, so lahko skrbniški ali standardni uporabniški računi - standardni uporabniški računi nimajo dovoljenj sudo.
Vrste uporabniških računov lahko grafično nadzirate iz orodja za uporabniške račune Ubuntuja. Če jo želite odpreti, kliknite svoje uporabniško ime na plošči in izberite Uporabniški računi ali v uporabniškem vmesniku poiščite uporabniške račune.
Naj Sudo pozabi geslo
Po privzetku sudo spomni vaše geslo za 15 minut po tem, ko ga vnesete. To je razlog, zakaj morate vnesti geslo enkrat, ko izvedete več ukazov s sudo v hitrem zaporedju. Če želite, da nekdo drug uporablja vaš računalnik in želite, da sudo pozove geslo, ko sledi, izvedite naslednji ukaz in sudo bo pozabila vaše geslo:
sudo -k
Vedno vprašajte za geslo
Če želite, da vas bo vsakič, ko boste uporabljali sudo, pozvali, če na primer drugi uporabniki redno dostopajo do vašega računalnika, lahko popolnoma onemogočite vedenje, ki si ga zapomnite z geslom..
Ta nastavitev, tako kot druge nastavitve sudo, je vsebovana v datoteki / etc / sudoers. Zaženite ukaz visudo v terminalu, da odprete datoteko za urejanje:
sudo visudo
Kljub svojemu imenu ta ukaz privzame novo-uporabniku prijazen nano urejevalnik namesto tradicionalnega urejevalnika vi na Ubuntuju..
Dodajte naslednjo vrstico pod drugimi vrsticami privzetih nastavitev v datoteki:
Privzete vrednosti timestamp_timeout = 0
Pritisnite Ctrl + O, da shranite datoteko, in nato pritisnite Ctrl + X, da zaprete Nano. Sudo vas bo vedno vprašal za geslo.
Spremenite časovno omejitev gesla
Če želite nastaviti drugačno časovno omejitev za geslo - ali daljšo, kot je 30 minut ali krajša, kot je 5 minut - sledite zgornjim korakom, vendar uporabite drugačno vrednost za timestamp_timeout. Številka ustreza številu minut, ki jih bo sudo zapomnil za vaše geslo. Če želite, da si sudo zapomni vaše geslo za 5 minut, dodajte naslednjo vrstico:
Privzete vrednosti timestamp_timeout = 5
Nikoli ne vprašajte za geslo
Prav tako lahko Sudo nikoli ne zahteva gesla - dokler ste prijavljeni, bo vsak ukaz, ki ga predponirate s sudo, zagnan s korenskimi dovoljenji. To naredite tako, da v datoteko sudoers dodate naslednjo vrstico, kjer je uporabniško ime vaše uporabniško ime:
uporabniško ime ALL = (ALL) NOPASSWD: ALL
Spremenite lahko tudi vrstico% sudo - to je vrstica, ki vsem uporabnikom v skupini sudo (znanim tudi kot skrbniški uporabniki) omogoča uporabo sudo - da vsi skrbniški uporabniki ne zahtevajo gesel:
% sudo ALL = (VSE: VSE) NOPASSWD: VSE
Zaženi določene ukaze brez gesla
Določite lahko tudi posebne ukaze, ki ne bodo nikoli zahtevali gesla, če jih poganjate s sudo. Namesto uporabe »ALL« po NOPASSWD zgoraj, določite lokacijo ukazov. Naslednja vrstica bo na primer omogočila, da bo vaš uporabniški račun zagnal ukaze apt-get in shutdown brez gesla.
uporabniško ime ALL = (ALL) NOPASSWD: / usr / bin / apt-get, / sbin / shutdown
To je lahko še posebej uporabno pri izvajanju posebnih ukazov s sudo v skriptu.
Dovoli uporabniku izvajanje samo določenih ukazov
Medtem ko lahko določene ukaze na črni listi in uporabnikom preprečite, da bi jih poganjali s sudo, to ni zelo učinkovito. Na primer, lahko določite, da uporabniški račun ne more zagnati ukaza za zaustavitev s sudo. Vendar lahko ta uporabniški račun zažene ukaz cp s sudo, ustvari kopijo ukaza za zaustavitev in zaustavi sistem s kopiranjem.
Učinkovitejši način je, da določite ukaze za posebne sezname. Dovoljenje za standardni uporabniški račun lahko na primer podate za uporabo ukazov apt-get in shutdown, vendar ne več. V ta namen dodajte naslednjo vrstico, kjer je standardno uporabniško uporabniško ime:
standarduser ALL = / usr / bin / apt-get, / sbin / shutdown
Naslednji ukaz nam bo povedal, katere ukaze lahko uporabnik izvaja s sudo:
sudo -U standarduser -l
Zapisovanje Sudo dostopa
Vnesete lahko vse sudo dostop z dodajanjem naslednje vrstice. / var / log / sudo je le primer; lahko uporabite poljubno lokacijo datoteke dnevnika.
Privzeto logfile = / var / log / sudo
Oglejte si vsebino datoteke dnevnika z ukazom, kot je ta:
sudo cat / var / log / sudo
Upoštevajte, da ima uporabnik, če ima neomejen dostop do sudo, možnost izbrisati ali spremeniti vsebino te datoteke. Uporabnik lahko dostopa do korenskega odgovora s ukazi sudo in run, ki se ne beležijo. Funkcija beleženja je najbolj uporabna, če je povezana z uporabniškimi računi, ki imajo omejen dostop do podmnožica sistemskih ukazov.