Hjemmeside » hvordan » 8 måder at tweak og konfigurere Sudo på Ubuntu

    8 måder at tweak og konfigurere Sudo på Ubuntu

    Som de fleste ting på Linux er sudo-kommandoen meget konfigurerbar. Du kan have sudo køre specifikke kommandoer uden at anmode om en adgangskode, begræns bestemte brugere til kun godkendte kommandoer, logkommandoer køre med sudo og mere.

    Sudo-kommandos adfærd styres af filen / etc / sudoers på dit system. Denne kommando skal redigeres med visudo-kommandoen, som udfører syntax-kontrol for at sikre, at du ikke ved et uheld bryder filen.

    Angiv brugere med Sudo-tilladelser

    Den brugerkonto, du opretter, mens du installerer Ubuntu, er markeret som en administratorkonto, hvilket betyder at den kan bruge sudo. Eventuelle ekstra brugerkonti, du opretter efter installation, kan enten være Administrator eller Standard brugerkonti. Standardbrugerkonti har ikke sudo-tilladelser.

    Du kan styre brugerkonto typer grafisk fra Ubuntu's brugerkonti værktøj. For at åbne det, skal du klikke på dit brugernavn på panelet og vælge Brugerkonti eller søge efter Brugerkonti i bindestreg.

    Gør Sudo glemme dit kodeord

    Som standard husker sudo dit kodeord i 15 minutter efter du har indtastet det. Det er derfor, du skal kun skrive din adgangskode en gang, når du udfører flere kommandoer med sudo i hurtig rækkefølge. Hvis du er ved at lade en anden bruge din computer, og du vil have sudo at bede om adgangskoden, når den kører næste, udfør følgende kommando, og sudo vil glemme dit kodeord:

    sudo-k

    Altid bede om et kodeord

    Hvis du hellere vil blive bedt om, hver gang du bruger sudo - for eksempel, hvis andre mennesker regelmæssigt har adgang til din computer - kan du deaktivere den fuldstændige adgangskode.

    Denne indstilling, som andre sudo-indstillinger, er indeholdt i filen / etc / sudoers. Kør visudo-kommandoen i en terminal for at åbne filen til redigering:

    sudo visudo

    På trods af navnet hedder denne kommando de nybrugervenlige nano-editor i stedet for den traditionelle vi-editor på Ubuntu.

    Tilføj følgende linje under de øvrige standardlinier i filen:

    Standard timestamp_timeout = 0

    Tryk på Ctrl + O for at gemme filen, og tryk derefter på Ctrl + X for at lukke Nano. Sudo vil nu altid bede dig om et kodeord.

    Ændre adgangskode timeout

    For at indstille en anden adgangskode timeout - enten en længere en som 30 minutter eller en kortere som 5 minutter - følg trinene ovenfor, men brug en anden værdi for timestamp_timeout. Nummeret svarer til antallet af minutter sudo vil huske dit kodeord for. For at have sudo husk dit kodeord i 5 minutter, tilføj følgende linje:

    Standard timestamp_timeout = 5

    Aldrig bede om adgangskode

    Du kan også have sudo aldrig bede om en adgangskode - så længe du er logget ind, vil hver kommando du præfiks med sudo køre med root tilladelser. For at gøre dette skal du tilføje følgende linje til din sudoers-fil, hvor brugernavn er dit brugernavn:

    brugernavn ALLE = (ALLE) NOPASSWD: ALL

    Du kan også ændre% sudo-linjen - det vil sige den linje, der giver alle brugere i sudo-gruppen (også kendt som administratorbrugere) mulighed for at bruge sudo - for at få alle administratorbrugerne ikke brug for adgangskoder:

    % sudo ALL = (ALLE: ALLE) NOPASSWD: ALLE

    Kør specifikke kommandoer uden et kodeord

    Du kan også angive bestemte kommandoer, der aldrig kræver en adgangskode, når du kører med sudo. I stedet for at bruge "ALL" efter NOPASSWD ovenfor, skal du angive placeringen af ​​kommandoerne. F.eks. Vil den følgende linje tillade din brugerkonto at køre apt-get og shutdown-kommandoer uden en adgangskode.

    brugernavn ALLE = (ALLE) NOPASSWD: / usr / bin / apt-get, / sbin / shutdown

    Dette kan være særligt nyttigt, når du kører specifikke kommandoer med sudo i et script.

    Tillad en bruger at køre kun specifikke kommandoer

    Mens du kan svarte liste specifikke kommandoer og forhindre brugere i at køre dem med sudo, er dette ikke meget effektivt. Du kan f.eks. Angive, at en brugerkonto ikke kan køre shutdown-kommandoen med sudo. Men den brugerkonto kunne køre kommandoen cp med sudo, lave en kopi af shutdown-kommandoen og lukke systemet ved hjælp af kopien.

    En mere effektiv måde er at hvidliste bestemte kommandoer. Du kan f.eks. Give tilladelse til en standardbrugerkonto til at bruge kommandoerne apt-get og shutdown, men ikke mere. For at gøre det skal du tilføje følgende linje, hvor standardbrugeren er brugerens brugernavn:

    standardbruger ALLE = / usr / bin / apt-get, / sbin / shutdown

    Følgende kommando vil fortælle os, hvilke kommandoer brugeren kan køre med sudo:

    sudo -U standardbruger -l

    Logging Sudo Access

    Du kan logge alle sudo-adgang ved at tilføje følgende linje. / var / log / sudo er blot et eksempel; Du kan bruge en hvilken som helst logfil-placering, du kan lide.

    Standard logfile = / var / log / sudo

    Se indholdet af logfilen med en kommando som denne:

    sudo cat / var / log / sudo

    Husk, at hvis en bruger har ubegrænset sudoadgang, har denne bruger mulighed for at slette eller ændre indholdet af denne fil. En bruger kunne også få adgang til en rodprompt med sudo og køre kommandoer, der ikke ville blive logget. Logfunktionen er mest nyttig, når den er koblet til brugerkonti, der har begrænset adgang til en delmængde af systemkommandoer.