dodawanie lokalnych treści do /etc/sudoers.d/ zamiast bezpośredniej modyfikacji pliku sodoers poprzez visudo

32

Czy możesz skierować mnie do kilku przykładów i bardziej szczegółowych instrukcji na /etc/sudoers.d/

Chciałbym dać grupie pozwolenie na sudo na niektóre polecenia, ale we właściwy sposób, aby nie tworzyć niepotrzebnych luk w modelu bezpieczeństwa Ubuntu na komputerze z wieloma użytkownikami.

W starożytności robiłem kilka prostych modyfikacji sudoers, ale najwyraźniej teraz /etc/sudoers.d/ jest bardziej właściwym sposobem i chciałbym to lepiej zrozumieć.

Paweł Dębski
źródło

Odpowiedzi:

43

Jak to pytanie mówi, /etc/sudoersjest to plik konfiguracji całego systemu, który może być automatycznie zmieniany przez aktualizacje systemu i jest bardzo delikatny w przypadku niewłaściwych zmian. Możesz potencjalnie utracić dostęp lub uniemożliwić rozruch systemu przy niewłaściwej zmianie.

$ sudo cat /etc/sudoers
#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#

(... some other content ...)

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d

Wbrew oczekiwaniom #includedirdyrektywa nie jest komentarzem . Powoduje to, że powoduje sudorównież odczytywanie i analizowanie plików w /etc/sudoers.dkatalogu (które nie kończą się na „~” lub zawierają znak „.”).

$ ls -l /etc/sud*
-r--r----- 1 root root  755 sty 20 17:03 /etc/sudoers

/etc/sudoers.d:
total 7
-r--r----- 1 root root 958 mar 30  2016 README
$ sudo cat /etc/sudoers.d/README
#
# As of Debian version 1.7.2p1-1, the default /etc/sudoers file created on
# installation of the package now includes the directive:
# 
#   #includedir /etc/sudoers.d
# 
# This will cause sudo to read and parse any files in the /etc/sudoers.d 
# directory that do not end in '~' or contain a '.' character.
# 
# Note that there must be at least one file in the sudoers.d directory (this
# one will do), and all files in this directory should be mode 0440.
# 
# Note also, that because sudoers contents can vary widely, no attempt is 
# made to add this directive to existing sudoers files on upgrade.  Feel free
# to add the above directive to the end of your /etc/sudoers file to enable 
# this functionality for existing installations if you wish!
#
# Finally, please note that using the visudo command is the recommended way
# to update sudoers content, since it protects against many failure modes.
# See the man page for visudo for more information.
#

W przeciwieństwie /etc/sudoersdo zawartości /etc/sudoers.daktualizacji systemu, które przetrwały, lepiej jest utworzyć tam plik niż zmodyfikować /etc/sudoers.

Możesz edytować pliki w tym katalogu za pomocą visudopolecenia:

$ sudo visudo -f /etc/sudoers.d/veracrypt
  GNU nano 2.5.3        File: /etc/sudoers.d/veracrypt.tmp                      

# Users in the veracryptusers group are allowed to run veracrypt as root.
%veracryptusers ALL=(root) NOPASSWD:/usr/bin/veracrypt

Należy pamiętać, że visudomoże używać innego edytora zamiast nanoopisanego na https://help.ubuntu.com/community/Sudoers

Oto kilka innych linków, które uznałem za pomocne:

Paweł Dębski
źródło
4
Nie jest prawdą, że błędy w plikach /etc/sudoers.dnie mogą obniżyć sudo. Te pliki są połączone /etc/sudoers. Te same zasady dotyczą tych plików.
tobltobs
2
Zgadza się, że MOŻESZ sprowadzić system przez niewłaściwy plik, jakkolwiek MNIEJ PRAWDOPODOBNIE. #includedir to nie tylko zwykła głupia konkatenacja - przy uwzględnieniu pewnej kontroli, wykrywane są najbardziej oczywiste błędy i można je łatwo odzyskać. Bądź jednak ostrożny - zawsze możesz zranić się ostrym nożem, więc obchodź się z nim ostrożnie ;-)
Paweł Dębski
4
@RichardRiley patrz unix.stackexchange.com/questions/244064/…
Xunnamius,