8 דרכים לצבוט ולהגדיר סודו על אובונטו
כמו רוב הדברים על לינוקס, הפקודה sudo מאוד להגדרה. באפשרותך להפעיל פקודות ספציפיות של sudo מבלי לבקש סיסמה, להגביל משתמשים ספציפיים רק לפקודות מאושרות, פקודות יומן הפעלה עם sudo ועוד.
הפקודה של הפקודה sudo נשלטת על ידי / etc / sudoers הקובץ על המערכת שלך. יש לערוך פקודה זו באמצעות הפקודה visudo, המבצעת בדיקת תחביר כדי להבטיח שלא תשבור את הקובץ בטעות.
ציין משתמשים עם הרשאות Sudo
חשבון המשתמש שאתה יוצר בעת התקנת אובונטו מסומן כחשבון מנהל, כלומר, ניתן להשתמש ב- sudo. כל חשבונות משתמש נוספים שתיצור לאחר ההתקנה יכולים להיות חשבונות מנהל או חשבונות משתמש רגילים - לחשבונות משתמש רגילים אין הרשאות sudo.
באפשרותך לשלוט על סוגי חשבונות משתמשים באופן גרפי מתוך כלי החשבונות של משתמשים של Ubuntu. כדי לפתוח אותו, לחץ על שם המשתמש שלך בחלונית ובחר חשבונות משתמשים או חפש חשבונות משתמשים במקף.
הפוך את סודו לשכוח את הסיסמה שלך
כברירת מחדל, sudo זוכר את הסיסמה שלך במשך 15 דקות לאחר הקלדה. זו הסיבה שאתה רק צריך להקליד את הסיסמה פעם אחת בעת ביצוע פקודות מרובות עם sudo ברצף מהיר. אם אתה עומד לתת למישהו אחר להשתמש במחשב שלך ואתה רוצה sudo לבקש את הסיסמה כאשר הוא פועל הבא, לבצע את הפקודה הבאה ואת sudo תשכח את הסיסמה שלך:
sudo -k
תמיד לבקש סיסמה
אם אתה מעדיף להציג הנחיה בכל פעם שאתה משתמש ב- sudo - לדוגמה, אם לאנשים אחרים יש גישה אל המחשב שלך באופן קבוע - תוכל להשבית לחלוטין את התנהגות הזכירה של הסיסמה.
הגדרה זו, כמו הגדרות sudo אחרות, כלולה בקובץ / etc / sudoers. הפעל את הפקודה visudo במסוף כדי לפתוח את הקובץ לעריכה:
סודו ויסודו
למרות שמו, פקודה זו היא ברירת המחדל לעורך ננו ידידותי למשתמש החדש במקום לעורך הוידיאו המסורתי על אובונטו.
הוסף את השורה הבאה מתחת לשורות ברירת המחדל האחרות בקובץ:
הגדרות ברירת המחדל timestamp_timeout = 0
הקש Ctrl + O כדי לשמור את הקובץ ולאחר מכן הקש Ctrl + X כדי לסגור את Nano. Sudo כעת תמיד לבקש ממך סיסמה.
שנה את פסק הזמן של הסיסמה
כדי להגדיר פסק זמן לסיסמה אחרת - או יותר זמן כמו 30 דקות או קצר יותר כמו 5 דקות - בצע את השלבים שלעיל אך השתמש בערך אחר עבור timestamp_timeout. המספר מתאים למספר הדקות שסודו יזכור את סיסמתך. כדי לזכור את הסיסמה שלך במשך 5 דקות, הוסף את השורה הבאה:
הגדרות ברירת המחדל timestamp_timeout = 5
לעולם לא לבקש סיסמה
אתה יכול גם sudo לעולם לא לבקש סיסמה - כל עוד אתה מחובר, כל פקודה לך קידומת עם sudo יפעל עם הרשאות שורש. לשם כך, הוסף את השורה הבאה לקובץ sudoers, כאשר שם המשתמש הוא שם המשתמש שלך:
שם משתמש ALL = (ALL) NOPASSWD: כולם
ניתן גם לשנות את קו ה- sudo% - כלומר, הקו שמאפשר לכל המשתמשים בקבוצת sudo (המוכרת גם בשם משתמשי מנהל מערכת) להשתמש ב- sudo - כדי שכל משתמשי ה- Administrator אינם דורשים סיסמאות:
% sudo ALL = (כולם: כולם) NOPASSWD: כולם
הפעל פקודות ספציפיות ללא סיסמה
ניתן גם לציין פקודות ספציפיות שלעולם לא יידרשו סיסמה בעת הפעלה עם sudo. במקום להשתמש ב" ALL "לאחר NOPASSWD לעיל, ציין את מיקום הפקודות. לדוגמה, השורה הבאה תאפשר לחשבון המשתמש שלך להפעיל את פקודות ה- App-get and shutdown ללא סיסמה.
שם משתמש ALL = (ALL) NOPASSWD: / usr / bin / apt-get, / sbin / shutdown
זה יכול להיות שימושי במיוחד בעת הפעלת פקודות ספציפיות עם sudo בסקריפט.
אפשר למשתמש להפעיל רק פקודות ספציפיות
בזמן שאתה יכול ברשימה השחורה פקודות ספציפיות ולמנוע מהמשתמשים להריץ אותם עם sudo, זה לא יעיל מאוד. לדוגמה, תוכל לציין שחשבון משתמש לא יוכל להפעיל את פקודת הכיבוי עם sudo. אבל זה חשבון המשתמש יכול להפעיל את הפקודה cp עם sudo, ליצור עותק של הפקודה כיבוי, ולכבות את המערכת באמצעות עותק.
דרך יעילה יותר היא רשימת פקודות ספציפיות. לדוגמה, אתה יכול לתת חשבון משתמש רגיל הרשאה להשתמש apt- לקבל פקודות כיבוי, אבל לא יותר. לשם כך, הוסף את השורה הבאה, כאשר המשתמש הסטנדרטי הוא שם המשתמש של המשתמש:
Standarduser ALL = / usr / bin / apt-get, / sbin / shutdown
הפקודה הבאה תגיד לנו מה פקודות המשתמש יכול לרוץ עם sudo:
sudo -U standarduser -l
רישום גישה לסודו
ניתן להיכנס לכל גישה לסודו על ידי הוספת השורה הבאה. / var / log / sudo הוא רק דוגמה; אתה יכול להשתמש בכל מיקום קובץ יומן שאתה אוהב.
ברירות מחדל logfile = / var / log / sudo
הצג את תוכן קובץ היומן באמצעות פקודה כמו זו:
חתול sudo / var / log / sudo
זכור כי, אם למשתמש יש גישה חופשית לסודו, למשתמש זה יש את היכולת למחוק או לשנות את התוכן של קובץ זה. משתמש יכול גם לגשת להנחיית שורש עם פקודות sudo ו- run שלא יירשמו. התכונה רישום היא שימושית ביותר כאשר מצמידים עם חשבונות משתמש שיש להם גישה מוגבלת לתת-קבוצה של פקודות מערכת.