Sudo: различия между версиями
Строка 22: | Строка 22: | ||
* либо при необходимости по выдавать какие-либо повышенные привилегии всем пользователям — выполнение команды {{cmd|control sudo public}} (не рекомендуется!). | * либо при необходимости по выдавать какие-либо повышенные привилегии всем пользователям — выполнение команды {{cmd|control sudo public}} (не рекомендуется!). | ||
== | == Грубая настройка sudo == | ||
{{Note|Для разрешения запуска произвольной программы пользователям группы {{term|wheel}} можно выполнить под правами суперпользователя: <source lang="text">control sudowheel enabled</source> Что является с точки зрения безопасности '''безрассудно''' ;-)}} | {{Note|Для разрешения запуска произвольной программы пользователям группы {{term|wheel}} можно выполнить под правами суперпользователя: <source lang="text">control sudowheel enabled</source> Что является с точки зрения безопасности '''безрассудно''' ;-)}} |
Версия от 05:11, 6 мая 2022
Введение
Команда sudo используется[1] для выполнения обычным* пользователем какой-либо другой команды с правами суперпользователя (root).
Специфика ALT Linux
В ALT Linux sudo используется фреймворк control и штатное его состояние соответствует control sudo wheelonly, однако все равно необходимо раскоментировать (убрать '#' в начале строки) в /etc/sudoers строчку:
WHEEL_USERS ALL=(ALL) ALL
с точке зрения безопасности, правильнее давать права на выполнение sudo не всей группе wheel, а конкретному пользователю например petya, входящую в группу, например:
petya ALL=(ALL) ALL
и не на все команды, а на те, которые ему необходимы для быстрого получения прав root
petya ALL=(ALL) /usr/bin/apt-get,/usr/bin/rpm,/sbin/fdisk
Это особенно важно, потому, что после выполнения команды sudo с запросом пароля, есть определённый временный отрезок, в течении которого sudo yt cghfibdftn e gjkmpjdfntkz tuj gfhjkm Также может понадобиться:
- либо внесение требуемых пользователей в группу wheel (созданный при установке системы аккаунт добавляется в неё автоматически, иначе см. /etc/group),
- либо при необходимости по выдавать какие-либо повышенные привилегии всем пользователям — выполнение команды control sudo public (не рекомендуется!).
Грубая настройка sudo
control sudowheel enabled
Тонкая настройка sudo
Для того, чтобы настроить работу sudo, необходимо с применением административных привилегий отредактировать файл /etc/sudoers при помощи специальной команды visudo[2] и внести туда записи о том, каким пользователям какие команды можно выполнять.
Пример:
user1 ALL = (ALL) ALL user1 ALL = NOPASSWD: /usr/bin/apt-get update
Позволяет пользователю user1 запускать все приложения через sudo с правами суперпользователя (root) с запросом пароля, а при выполнении команды sudo apt-get update пароль не будет спрашиваться.
Полная документация по формату конфигурационного файла находится в man-странице sudoers, начинать читать может быть проще с секции EXAMPLES.
Примечания
- ↑ Существует рекомендация известного эксперта в области ИТ-безопасности Александра Песляка (Solar Designer) не использовать sudo
- ↑ Любителям mcedit: всё-таки базовое знание vi весьма полезно, но если очень хочется — переопределите переменную окружения EDITOR