Sudo: различия между версиями
Строка 56: | Строка 56: | ||
<pre>WHEEL_USERS ALL=(ALL) ALL</pre> | <pre>WHEEL_USERS ALL=(ALL) ALL</pre> | ||
C точке зрения безопасности, '''правильнее''' давать права на выполнение '''sudo''' не всей группе '''wheel''', а ''конкретному пользователю'' например '''petya''', входящую в группу, с localhost | C точке зрения безопасности, '''правильнее''' давать права на выполнение '''sudo''' не всей группе '''wheel''', а ''конкретному пользователю'' например '''petya''', входящую в группу, с '''localhost''' : | ||
<pre>petya localhost=(ALL) ALL</pre> | <pre>petya localhost=(ALL) ALL</pre> |
Версия от 13:01, 6 мая 2022
Введение
Команда sudo может использоваться [1] для выполнения пользователем какой-либо команды требующей права суперпользователя (root), то есть получение прав root для выполнения какой-либо команды, на время ёё выполнение.
Перед выполнением команды, sudo запрашивает пароль пользователя, а не пароль root, как у команды su -.
После выполнение sudo существует временной отрезок, в течении которого повторное выполнение команды sudo не требует пароль (что удобно для взлома вашего компьютера со стороны rootkits и хакерских атак).
С другой стороны, команда sudo удобна для распределения прав между несколькими администраторами компьютера (например, кому можно обновлять и устанавливать программы, а кому настраивать работу аппаратуры компьютера), не предоставляя прав root на все другие действия и не выдавая пользователю пароля root
Особенности sudo в дистрибутивах ALT Linux
Штатным способом временного получения прав root в большинстве дистрибутивах ALT Linux, является команда su -. Команда sudo в большинстве дистрибутивах ALT Linux требует предварительной настройки. Исключением является дистрибутив Simply, где sudo уже настроена для первого пользователя.
В большинстве дистрибутивах ALT Linux запрещено (через /etc/sudoerc) выполнять команду sudo пользователю root.
Для ограничения прав на выполнение sudo используется особый механизм control
Настройка contol для работы sudo
В ALT Linux sudo используется фреймворк control который задаёт права на выполнения команды sudo.
С его помощью можно дать или отнять права на использование команды sudo.
Возможные значения control sudo можно посмотреть командой control sudo help
su -
control sudo help
На текущий момент существуют следующие политики у команды sudo
public: - любой пользователь может получить доступ к команде /usr/bin/sudo
wheelonly: только пользователи из группы wheel имеют право получить доступ к команде /usr/bin/sudo
restricted: только root имеет право выполнять команду /usr/bin/sudo
Штатное его состояние политики:
control sudo wheelonly
Означает что пользователь из группы wheel имеет право запускать саму команду sudo, но не означает, что он через sudo может выполнить какую-то команду с правами root
Для разрешения получение прав на выполнение конкретных команд с правами root надо отредактировать настройки правил /etc/sudoerc [2] при помощи специальной команды visudo (которая не портит права на файлы) :
su -
EDITOR=mcedit visudo
Грубая настройка sudo
Раскоментировать (убрать '#' в начале строки) в /etc/sudoers строчку, дав права выполнять через sudo любую команду с любого компьютера (например через ssh), пользователям входящим в группу wheel, запрашивая их пароль :
WHEEL_USERS ALL=(ALL) ALL
C точке зрения безопасности, правильнее давать права на выполнение sudo не всей группе wheel, а конкретному пользователю например petya, входящую в группу, с localhost :
petya localhost=(ALL) ALL
и не на все команды , а на те, которые ему необходимы для быстрого получения прав root
petya localhost=(ALL) /usr/bin/apt-get,/usr/bin/rpm,/sbin/fdisk
Это особенно важно, потому, что после выполнения команды sudo с запросом пароля, есть определённый временный отрезок, в течении которого sudo выполняет следующие команды, не запрашивая повторно пароль пользователя.
Также может понадобиться внесение требуемых пользователей в группу wheel (созданный при установке системы аккаунт добавляется в неё автоматически, (можно посмотреть в /etc/group)
gpasswd -a имя_пользователя wheel
control sudowheel enabled
Тонкая настройка sudo
Для того, чтобы настроить работу sudo, необходимо с применением административных привилегий отредактировать файл /etc/sudoers при помощи специальной команды visudo (подробности смотри выше) и внести туда записи о том, каким пользователям какие команды можно выполнять.
Пример:
user1 ALL = (ALL) ALL user1 ALL = NOPASSWD: /usr/bin/apt-get update
Позволяет пользователю user1 запускать все приложения через sudo с правами суперпользователя (root) с запросом пароля, а при выполнении команды sudo apt-get update пароль не будет спрашиваться.
Полная документация по формату конфигурационного файла находится в man-странице sudoers, начинать читать может быть проще с секции EXAMPLES.
Примечания
- ↑ Существует рекомендация известного эксперта в области ИТ-безопасности Александра Песляка (Solar Designer) не использовать sudo
- ↑ Здесь используется редактор mcedit, по умолчанию используется vi , но базовst знание vi весьма полезны, для их получения установите и запустите команду vimtutor