Как и большинство вещей в Linux, команда sudo очень настраиваема. С помощью sudo можно запускать определенные команды без запроса пароля, ограничивать определенных пользователей только утвержденными командами, команды журнала, запускаемые с помощью sudo, и многое другое.
Поведение команды sudo контролируется файлом / etc / sudoers в вашей системе. Эта команда должна быть отредактирована с помощью команды visudo, которая выполняет проверку синтаксиса, чтобы убедиться, что вы случайно не сломаете файл.
Укажите пользователей с разрешениями Sudo
Учетная запись пользователя, которую вы создаете при установке Ubuntu, помечается как учетная запись администратора, что означает, что она может использовать sudo. Любые дополнительные учетные записи, которые вы создаете после установки, могут быть учетными записями администратора или обычного пользователя. У стандартных учетных записей пользователя нет разрешений sudo.
Вы можете управлять типами учетных записей пользователей графически с помощью инструмента учетных записей Ubuntu. Чтобы открыть его, щелкните свое имя пользователя на панели и выберите «Учетные записи пользователей» или найдите учетные записи пользователей в тире.
Заставь Судо забыть свой пароль
По умолчанию sudo запоминает ваш пароль в течение 15 минут после его ввода. Вот почему вы должны вводить пароль только один раз при выполнении нескольких команд с sudo в быстрой последовательности. Если вы хотите, чтобы кто-то еще использовал ваш компьютер, и вы хотите, чтобы sudo запрашивало пароль при следующем запуске, выполните следующую команду, и sudo забудет ваш пароль:
судо –k
Всегда спрашивайте пароль
Если вы предпочитаете получать подсказки каждый раз, когда используете sudo, например, если другие люди регулярно имеют доступ к вашему компьютеру, вы можете полностью отключить функцию запоминания пароля.
Этот параметр, как и другие параметры sudo, содержится в файле / etc / sudoers. Запустите команду visudo в терминале, чтобы открыть файл для редактирования:
судо визудо
Несмотря на название, эта команда по умолчанию использует новый удобный нано-редактор вместо традиционного редактора vi в Ubuntu.
Добавьте следующую строку ниже других строк по умолчанию в файле:
По умолчанию timestamp_timeout = 0
Нажмите Ctrl + O, чтобы сохранить файл, а затем нажмите Ctrl + X, чтобы закрыть Nano. Sudo теперь всегда будет запрашивать пароль.
Изменить время ожидания пароля
Чтобы установить другой тайм-аут пароля — более длинный, например, 30 минут, или более короткий, например, 5 минут, — выполните действия, описанные выше, но используйте другое значение для timestamp_timeout. Число соответствует количеству минут, в течение которых sudo запомнит ваш пароль. Чтобы sudo запомнил ваш пароль на 5 минут, добавьте следующую строку:
По умолчанию timestamp_timeout = 5
Никогда не спрашивай пароль
Вы также можете сделать так, чтобы sudo никогда не запрашивал пароль — до тех пор, пока вы вошли в систему, каждая команда с префиксом sudo будет выполняться с правами суперпользователя. Для этого добавьте следующую строку в файл sudoers, где username — это ваше имя пользователя:
имя пользователя ALL = (ALL) NOPASSWD: ALL
Вы также можете изменить строку% sudo — то есть строку, которая позволяет всем пользователям в группе sudo (также известной как пользователи-администраторы) использовать sudo — чтобы все пользователи-администраторы не запрашивали пароли:
% sudo ALL = (ALL: ALL) NOPASSWD: ALL
Выполнить определенные команды без пароля
Вы также можете указать конкретные команды, которым никогда не потребуется пароль при запуске с sudo. Вместо использования «ALL» после NOPASSWD выше, укажите расположение команд. Например, следующая строка позволит вашей учетной записи пользователя запускать команды apt-get и shutdown без пароля.
имя пользователя ALL = (ALL) NOPASSWD: / usr / bin / apt-get, / sbin / shutdown
Это может быть особенно полезно при выполнении определенных команд с sudo в скрипте.
Разрешить пользователю запускать только определенные команды
Хотя вы можете занести в черный список определенные команды и запретить пользователям запускать их с помощью sudo, это не очень эффективно. Например, вы можете указать, что учетная запись пользователя не сможет запускать команду выключения с помощью sudo. Но эта учетная запись пользователя может выполнить команду cp с помощью sudo, создать копию команды shutdown и завершить работу системы, используя эту копию.
Более эффективным способом является внесение в белый список определенных команд. Например, вы можете дать учетной записи обычного пользователя разрешение на использование команд apt-get и shutdown, но не более. Для этого добавьте следующую строку, где standarduser — имя пользователя пользователя:
standarduser ALL = / usr / bin / apt-get, / sbin / shutdown
Следующая команда расскажет нам, какие команды пользователь может запускать с помощью sudo:
sudo -U standarduser –l
Вход в Sudo Access
Вы можете зарегистрировать весь доступ sudo, добавив следующую строку. / var / log / sudo — просто пример; Вы можете использовать любое местоположение файла журнала, которое вам нравится.
Файл по умолчанию logfile = / var / log / sudo
Просмотрите содержимое файла журнала с помощью команды, подобной этой:
sudo cat / var / log / sudo
Имейте в виду, что, если пользователь имеет неограниченный доступ к sudo, он может удалить или изменить содержимое этого файла. Пользователь также может получить доступ к корневому запросу с помощью команд sudo и run, которые не будут зарегистрированы. Функция ведения журнала наиболее полезна в сочетании с учетными записями пользователей, которые имеют ограниченный доступ к подмножеству системных команд.