вобраз

Як і большасць рэчаў у Linux, каманда sudo вельмі наладжваецца. Вы можаце мець sudo запускаць пэўныя каманды, не патрабуючы пароль, абмежаваць канкрэтных карыстальнікаў толькі зацверджанымі камандамі, камандамі часопісаў, запушчанымі з sudo, і многае іншае.

Паводзінамі каманды sudo кіруе файл / etc / sudoers ў вашай сістэме. Гэта каманда павінна быць адрэдагавана камандай visudo, якая выконвае праверку сінтаксісу, каб не выпадкова зламаць файл.

Укажыце карыстальнікаў з дазволам Sudo

Уліковы запіс карыстальніка, які вы ствараеце падчас ўстаноўкі Ubuntu, пазначаны як уліковы запіс адміністратара, а значыць, ён можа выкарыстоўваць sudo. Любыя дадатковыя ўліковыя запісы карыстальнікаў, якія вы ствараеце пасля ўстаноўкі, могуць быць як уліковымі запісамі адміністратара, альбо звычайнымі карыстацкімі ўліковымі запісамі.

Вы можаце графічна кантраляваць тыпы ўліковых запісаў карыстальнікаў з дапамогай інструментаў уліковых запісаў Ubuntu. Каб адкрыць яго, націсніце сваё імя карыстальніка на панэлі і выберыце Уліковыя запісы карыстальнікаў або знайдзіце ўліковыя запісы карыстальніка.

вобраз

Зрабіце судо забыць свой пароль

Па змаўчанні sudo запамінае ваш пароль на працягу 15 хвілін пасля ўводу. Менавіта таму вам трэба ўвесці пароль толькі адзін раз, калі выконваеце некалькі каманд з sudo ў хуткім часе. Калі вы збіраецеся дазволіць каму-небудзь іншаму карыстацца вашым кампутарам, і вы хочаце, каб суда папрасіла пароль пры наступным запуску, выканайце наступную каманду і судо забые свой пароль:

sudo –k
вобраз

Заўсёды пытайцеся пра пароль

Калі вам лепш будзе прапанавана кожны раз выкарыстоўваць судо - напрыклад, калі іншыя людзі рэгулярна маюць доступ да вашага кампутара - вы можаце цалкам адключыць паводзіны запамінання пароля.

Гэтая ўстаноўка, як і іншыя налады суда, утрымліваецца ў файле / etc / sudoers. Запусціце візуальную каманду ў тэрмінале, каб адкрыць файл для рэдагавання:

sudo visudo

Нягледзячы на ​​сваю назву, гэтая каманда па змаўчанні працуе з новым карыстацкім нана-рэдактарам замест традыцыйнага рэдактара vi ў Ubuntu.

Дадайце наступную радок пад іншыя радкі па змаўчанні ў файле:

Па змаўчанні timetamp_timeout = 0
вобраз

Націсніце Ctrl + O, каб захаваць файл, а затым націсніце Ctrl + X, каб закрыць Nano. Цяпер Sudo заўсёды будзе падказваць вам пра пароль.

Змена тайм-аўта пароля

Каб усталяваць іншы тайм-аўт пароля - больш доўгі, як 30 хвілін, альбо карацейшы, як 5 хвілін - выканайце наступныя дзеянні, але выкарыстоўвайце іншае значэнне для timetamp_timeout. Колькасць адпавядае колькасці хвілін, якія суда запомніць ваш пароль. Каб суда запомніла свой пароль на працягу 5 хвілін, дадайце наступны радок:

Па змаўчанні timetamp_timeout = 5
вобраз

Ніколі не пытайцеся пра пароль

Вы таксама можаце мець sudo ніколі не прасіць пароль - да таго часу, пакуль вы ўвайшлі ў сістэму, кожная каманда з прэфіксам sudo будзе працаваць з правамі карыстальніка. Каб зрабіць гэта, дадайце наступны радок у свой файл судораў, дзе імя карыстальніка - ваша імя карыстальніка:

імя ALL = (УСЕ) NOPASSWD: УСЕ
вобраз

Вы таксама можаце змяніць радок% sudo - гэта значыць радок, які дазваляе ўсім карыстальнікам групы sudo (таксама вядомым як карыстальнікі адміністратара) выкарыстоўваць sudo - каб усе карыстальнікі адміністратара не патрабавалі пароляў:

% sudo ALL = (УСЕ: ALL) NOPASSWD: ALL

Запуск пэўных каманд без пароля

Вы таксама можаце задаць пэўныя каманды, якія ніколі не запатрабуюць пароль пры запуску з sudo. Замест таго, каб выкарыстоўваць "ALL" пасля NOPASSWD вышэй, укажыце размяшчэнне каманд. Напрыклад, наступная радок дазволіць вашаму ўліковага запісу карыстальніка запускаць каманды apt-get і выключэння без пароля.

імя ALL = (УСЕ) NOPASSWD: / usr / bin / apt-get, / sbin / shutdown

Гэта можа быць асабліва карысна пры выкананні пэўных каманд з sudo ў сцэнарыі.

вобраз

Дазволіць карыстачу выконваць толькі пэўныя каманды

У той час як вы можаце скласці чорны спіс канкрэтных каманд і не дапусціць карыстальнікаў запускаць іх з sudo, гэта не вельмі эфектыўна. Напрыклад, вы можаце паказаць, што ўліковы запіс карыстальніка не зможа выканаць каманду выключэння з sudo. Але гэты ўліковы запіс карыстальніка можа запусціць cp каманду sudo, стварыць копію каманды shutdown і зачыніць сістэму пры дапамозе копіі.

Больш эфектыўным спосабам з'яўляецца ўключэнне ў белыя спісы пэўных каманд. Напрыклад, вы можаце даць дазволу ўліковага запісу карыстальніка на выкарыстанне каманд apt-get і выключэння, але не больш за тое. Для гэтага дадайце наступны радок, дзе standardduser - імя карыстальніка:

standardduser ALL = / usr / bin / apt-get, / sbin / выключэнне
вобраз

Наступная каманда раскажа нам, якія каманды можа працаваць карыстальнік з sudo:

sudo -U standardduser –l
вобраз

Уваход Sudo Access

Вы можаце ўвайсці ў доступ да суда, дадаўшы наступны радок. / var / log / sudo - гэта толькі прыклад; вы можаце выкарыстоўваць любое месцазнаходжанне файла часопіса, якое вам падабаецца.

Па змаўчанні logfile = / var / log / sudo
вобраз

Праглядзіце змесціва файла часопіса з дапамогай такой каманды:

судовая котка / вар / лог / судо
вобраз

Памятаеце, што калі карыстальнік мае неабмежаваны доступ да судо, ён мае магчымасць выдаляць або змяняць змесціва гэтага файла. Карыстальнік таксама можа атрымаць доступ да каранёвай радкі з дапамогай sudo і запускаць каманды, якія не будуць запісаны. Функцыя рэгістрацыі найбольш карысная ў спалучэнні з уліковымі запісамі карыстальнікаў, якія абмежавалі доступ да падмноства сістэмных каманд.