Kuten useimmat Linuxissa, sudo-komento on erittäin konfiguroitavissa. Voit sudo suorittaa erityisiä komentoja pyytämättä salasanaa, rajoittaa tiettyjä käyttäjiä vain hyväksyttyihin komentoihin, sudoilla ajettavia lokikomentoja ja paljon muuta.
Sudo-komennon käyttäytymistä hallitsee järjestelmän / etc / sudoers-tiedosto. Tätä komentoa on muokattava visudo-komennolla, joka suorittaa syntaksin tarkistuksen, jotta et vahingoittaisi tiedostoa.
Ubuntun asentamisen aikana luomasi käyttäjätili on merkitty pääkäyttäjätiliksi, joten se voi käyttää sudoa. Kaikki asennukset, jotka olet luonut asennuksen jälkeen, voivat olla joko järjestelmänvalvojat tai tavalliset käyttäjätilit - Vakioilla käyttäjätunnuksilla ei ole sudo-käyttöoikeuksia.
Voit hallita käyttäjätilejä graafisesti Ubuntun Käyttäjätilit-työkalun avulla. Avaa se napsauttamalla käyttäjätunnustasi paneelissa ja valitsemalla Käyttäjätilit tai etsimällä käyttäjätunnuksia viivalla.
Oletusarvoisesti sudo muistaa salasanasi 15 minuutin kuluttua kirjoittaessasi. Siksi sinun on kirjoitettava salasanasi vain, kun suoritetaan useita komentoja sudo: lla nopeasti peräkkäin. Jos annat jonkun toisen käyttämään tietokonetta ja haluat sudoa pyytämään salasanaa seuraavan kerran, suorita seuraava komento ja sudo unohtaa salasanasi:
sudo -k
Jos sinua kehotetaan mieluummin joka kerta, kun käytät sudoa - esimerkiksi jos muilla ihmisillä on säännöllisesti pääsy tietokoneeseen - voit poistaa salasanamuistitoiminnon kokonaan käytöstä.
Tämä asetus, kuten muut sudo-asetukset, sisältyy / etc / sudoers-tiedostoon. Suorita visudo-komento terminaalissa avataksesi muokattavan tiedoston:
sudo visudo
Nimestä huolimatta tämä komento on oletusarvoisesti uusi käyttäjäystävällinen nano-editori Ubuntun perinteisen vi-editorin sijasta.
Lisää seuraava rivi muiden tiedostojen oletusarvojen alle:
Defaults timestamp_timeout = 0
Tallenna tiedosto painamalla Ctrl + O ja sulje Nano painamalla Ctrl + X. Sudo kysyy aina salasanan.
Jos haluat asettaa eri salasanan aikakatkaisun - joko pitempi kuin 30 minuuttia tai lyhyempi kuin 5 minuuttia - noudata yllä olevia ohjeita mutta käytä eri arvoa aikaleima_aikaa varten. Numero vastaa minuuttien määrää, kun sudo muistaa salasanasi. Jos haluat rekisteröidä salasanasi 5 minuutin ajan, lisää seuraava rivi:
Oletus timestamp_timeout = 5
Voit myös olla sudo koskaan pyytää salasanaa - niin kauan kuin olet kirjautunut sisään, kaikki sudo-etuliitteen komennot suoritetaan root-käyttöoikeuksilla. Voit tehdä tämän lisäämällä seuraavan rivin sudoers-tiedostoon, jossa käyttäjätunnus on käyttäjänimesi:
käyttäjätunnus ALL = (ALL) NOPASSWD: KAIKKI
Voit myös muuttaa% sudo-rivin - eli linjan, jonka avulla kaikki sudo-ryhmän käyttäjät (tunnetaan myös järjestelmänvalvojan käyttäjinä) käyttävät sudo - jotta kaikki järjestelmänvalvojan käyttäjät eivät tarvitse salasanoja:
% sudo ALL = (ALL: ALL) NOPASSWD: KAIKKI
Voit myös määrittää tiettyjä komentoja, jotka eivät koskaan vaadi salasanaa, kun sudo suoritetaan. Sen sijaan, että käytit "ALL" -toimintoa edellä mainitun NOPASSWD: n jälkeen, määritä komennot. Esimerkiksi seuraavan rivin avulla käyttäjätunnuksesi voi suorittaa apt-get- ja shutdown-komennot ilman salasanaa.
käyttäjätunnus ALL = (KAIKKI) NOPASSWD: / usr / bin / apt-get, / sbin / shutdown
Tämä voi olla erityisen hyödyllinen, kun komentosarjassa suoritetaan tiettyjä sudo-komentoja.
Vaikka voit lisätä mustalle listalle tiettyjä komentoja ja estää käyttäjiä käyttämästä niitä sudoilla, tämä ei ole kovin tehokas. Voit esimerkiksi määrittää, että käyttäjätili ei pysty suorittamaan shutdown-komentoa sudo-ohjelmalla. Mutta kyseinen käyttäjätili voisi suorittaa cp-komennon sudo: lla, luoda kopion shutdown-komennosta ja sulkea järjestelmä kopiolla.
Tehokkaampi tapa on sallia tiettyjä komentoja. Voit esimerkiksi antaa tavalliselle käyttäjätunnukselle luvan käyttää apt-get- ja shutdown-komentoja, mutta ei enää. Voit tehdä tämän lisäämällä seuraavan rivin, jossa standardin käyttäjä on käyttäjän käyttäjätunnus:
standarduser ALL = / usr / bin / apt-get, / sbin / shutdown
Seuraava komento kertoo, mitä komentoja käyttäjä voi suorittaa sudo:
sudo -U standarduser -l
Voit kirjautua kaikkiin sudo-liittymiin lisäämällä seuraava rivi. / var / log / sudo on vain esimerkki; voit käyttää haluamaasi lokitiedoston sijaintia.
Defaults logfile = / var / log / sudo
Näytä lokitiedoston sisältö tällaisella komennolla:
sudo cat / var / log / sudo
Muista, että jos käyttäjällä on rajoittamaton sudo-käyttöoikeus, hänellä on mahdollisuus poistaa tai muuttaa tämän tiedoston sisältöä. Käyttäjä voi myös käyttää root-kehotetta sudo-ohjelmalla ja suorittaa komentoja, joita ei ole kirjattu. Kirjautumisominaisuus on kaikkein hyödyllisin, kun se liittyy sellaisiin käyttäjätileihin, joilla on rajoitettu pääsy järjestelmäkomentojen osajoukkoon.
