Próbowałem już skonfigurować sudo
, ale nie miałem z tym zbyt wiele szczęścia. Czym się różni su -l -c "x"
? Wydaje się, że za pomocą pliku konfiguracyjnego można to zrobić, aby użytkownik miał dostęp tylko do niektórych poleceń i nie tylko. Zawsze uważałem to sudo
za sposób na wyłożenie pojedynczego polecenia jako innego użytkownika lub grupy. Ponieważ dystrybucje, takie jak Ubuntu i Mint, ułatwiają przede wszystkim zapewnienie głównemu użytkownikowi łatwego dostępu do rootowania za pomocą hasła, nie jestem do końca pewien, jakie jest jego przeznaczenie.
Jak dodać użytkownika do pliku sudo, dając mu uprawnienia do uruchamiania tylko niektórych poleceń w katalogu głównym? Nie chcę też otwierać żadnych luk w zabezpieczeniach.
sudo
to niesamowity wynalazekapache2ctl graceful
myślę, że wolałbym podciąć sobie nadgarstki i skończyć z tym.Największą różnicą jest to
sudo
, że nie potrzebujesz hasła roota, aby uruchomić komendę jako root, tak jak byś to zrobiłsu
. Potrzebujesz hasła roota, aby dodać kogoś dosudoers
pliku, ale później ta osoba będzie mogła uruchomić wszystkie lub niektóre (jeśli je ograniczyłeś) jako root bez potrzeby podawania dodatkowego hasła.Inną różnicą jest, jak zauważyłeś,
sudo
znacznie lepsza kontrola dokładnie nad tym, jakie polecenia można uruchamiać.Szczegółowe informacje na temat formatu
sudoers
uruchomienia plikuman sudoers
. Znajdziesz tam przykłady zezwalania na uruchamianie tylko niektórych poleceń jako root. Podstawowa struktura każdej linii to:cmd_list może zawierać szczegóły, do którego użytkownika może się przełączać prawdziwy użytkownik. Na przykład możesz zezwolić webmasterowi na przełączenie na wwwroot, aby zrestartować apache, ale nie rootować. Może także zawierać inne opcje, takie jak to, czy hasło użytkownika jest wymagane przed przełączeniem (jest to ustawienie domyślne).
Przykładowa linia może być:
co oznacza: niech Joe uruchomi dowolne polecenie na dowolnym hoście jako dowolny użytkownik. Węższa linia może być:
co oznacza: niech Joe uruchomi dowolne polecenie w katalogu / usr / local / ops jako użytkownik „operator”.
Na końcu strony podręcznika sudoers znajduje się wiele przykładów.
Powinieneś edytować
/etc/sudoers
za pomocą poleceniavisudo
. To sprawdza, czy plik jest legalny i pomaga zapobiec przypadkowemu jego uszkodzeniu.źródło
sudoers
konfiguracji pliku. Można go skonfigurować tak, aby wymagał hasła lub nie wymagał hasła.Oprócz innych odpowiedzi sudo zapewnia funkcje rejestrowania, dzięki czemu możesz śledzić, które polecenia zostały uruchomione i przez kogo. Nie jest to ze względów bezpieczeństwa, ponieważ złośliwy użytkownik, który uzyskuje dostęp do sudo, może wyczyścić dziennik. Bardzo przydatne jest jednak dokładne ustalenie, co ty lub inny administrator zrobiłeś niewyraźnym oczom o 2 nad ranem w zeszłym tygodniu.
źródło