Sudo: различия между версиями

Версия от 07:14, 6 мая 2022

Введение

Команда sudo может использоваться ^[1] для выполнения пользователем какой-либо команды требующей права суперпользователя (root), то есть получение прав root для выполнения какой-либо команды, на время ёё выполнение.

Перед выполнением команды, sudo запрашивает пароль пользователя, а не пароль root, как у команды su -.

После выполнение sudo существует временной отрезок, в течении которого повторное выполнение команды sudo не требует пароль (что удобно для взлома вашего компьютера со стороны rootkits и хакерских атак).

С другой стороны, команда sudo удобна для распределения прав между несколькими администраторами компьютера (например, кому можно обновлять и устанавливать программы, а кому настраивать работу аппаратуры компьютера), не предоставляя прав root на все другие действия и не выдавая пользователю пароля root

Особенности sudo в дистрибутивах ALT Linux

Штатным способом временного получения прав root в большинстве дистрибутивах ALT Linux, является команда su -. Команда sudo в большинстве дистрибутивах ALT Linux требует предварительной настройки. Исключением является дистрибутив Simply, где sudo уже настроена для первого пользователя.

В большинстве дистрибутивах ALT Linux запрещено (через /etc/sudoerc) выполнять команду sudo пользователю root.

Для ограничения прав на выполнение sudo используется особый механизм control

Настройка contol для работы sudo

В ALT Linux sudo используется фреймворк control который задаёт права на выполнения команды sudo.

С его помощью можно дать или отнять права на использование команды sudo.

Возможные значения control sudo можно посмотреть командой control sudo help

su -
control sudo help

На текущий момент существуют следующие политики у команды sudo

 public: - любой пользователь может получить доступ к команде /usr/bin/sudo
 wheelonly: только пользователи из группы wheel имеют право получить доступ к команде /usr/bin/sudo
 restricted: только root имеет право выполнять команду /usr/bin/sudo

Штатное его состояние политики control sudo wheelonly , означает что пользователь из группы wheel имеет право запускать команду sudo, но не означает, что он через sudo может выполнить какую-то команду с правами root

Для разрешения получение прав на выполнение конкретных команд с правами root надо отредактировать настройки правил /etc/sudoerc ^[2] при помощи специальной команды visudo (которая не портит права на файлы) :

su -
EDITOR=mcedit visudo

Грубая настройка sudo

Раскоментировать (убрать '#' в начале строки) в /etc/sudoers строчку:

WHEEL_USERS ALL=(ALL) ALL

C точке зрения безопасности, правильнее давать права на выполнение sudo не всей группе wheel, а конкретному пользователю например petya, входящую в группу, например:

petya ALL=(ALL) ALL

и не на все команды , а на те, которые ему необходимы для быстрого получения прав root

petya ALL=(ALL) /usr/bin/apt-get,/usr/bin/rpm,/sbin/fdisk

Это особенно важно, потому, что после выполнения команды sudo с запросом пароля, есть определённый временный отрезок, в течении которого sudo выполняет следующие команды, не запрашивая повторно пароль пользователя.

Также может понадобиться внесение требуемых пользователей в группу wheel (созданный при установке системы аккаунт добавляется в неё автоматически, иначе см. /etc/group),

Примечание: Для быстрого разрешения запуска произвольной программы пользователям группы wheel можно выполнить под правами суперпользователя:

control sudowheel enabled

Что является с точки зрения безопасности безрассудно ;-)

Тонкая настройка sudo

Для того, чтобы настроить работу sudo, необходимо с применением административных привилегий отредактировать файл /etc/sudoers при помощи специальной команды visudo (подробности смотри выше) и внести туда записи о том, каким пользователям какие команды можно выполнять.

Пример:

 user1 ALL = (ALL) ALL
 user1 ALL = NOPASSWD: /usr/bin/apt-get update

Позволяет пользователю user1 запускать все приложения через sudo с правами суперпользователя (root) с запросом пароля, а при выполнении команды sudo apt-get update пароль не будет спрашиваться.

Полная документация по формату конфигурационного файла находится в man-странице sudoers, начинать читать может быть проще с секции EXAMPLES.

Примечания

↑ Существует рекомендация известного эксперта в области ИТ-безопасности Александра Песляка (Solar Designer) не использовать sudo
↑ Здесь используется редактор mcedit, по умолчанию используется vi , но базовst знание vi весьма полезны, для их получения установите и запустите команду vimtutor

Ссылки

root

Su • Sudo • Получение прав root

FAQ

Alterator FAQ • Beta testing • Devel newbies • FAQ • History/FAQ • Popularity-contest/FAQ • SquidFaq • Первая помощь • Почему в ALT Linux используется APT и RPM? • Факты • Releases/40/addremove • Dovecot/Plugins • Git.alt/FAQ • Hasher/FAQ • LTSP/FAQ • Features/ChrootedServices • Hasher/gdb • Gear FAQ • Участник:HihinRuslan/GitFaq • Участник:HihinRuslan/Systemd • Участник:HihinRuslan/Заметки на полях • Участник:HihinRuslan/Мои заметки • Участник:IvanZakharyaschev/Что делать, если забыл имена пользователей • Участник:IvanZakharyaschev/Что делать, если забыл пароли (в т.ч. пароль root-а) • Участник:IvanZakharyaschev/Что делать, если затёр загрузчик системы • Java/JavaPackagingFAQ • Mirroring • QuickStart • QuickStart/Install • QuickStart/Methods • QuickStart/PkgManagment • QuickStart/WriteISOtoUSB • QuickStart/Выбор дистрибутива • QuickStart/Обновление системы • FAQ/RAID • Sudo • UTC • Video FAQ • Выключение и перезагрузка • Участник:Дым • Обновление ОС • Ошибка pcieport • FAQ/Предложения • Сборка пакета с РЕАЛЬНОГО НУЛЯ • Устранение проблем автомонтирования NTFS • Файловая система доступна только для чтения • Категория:Books:FAQ

[1] Существует рекомендация известного эксперта в области ИТ-безопасности Александра Песляка (Solar Designer) не использовать sudo

[2] Здесь используется редактор mcedit, по умолчанию используется vi , но базовst знание vi весьма полезны, для их получения установите и запустите команду vimtutor

[1]

[2]