Tāpat kā lielākā daļa lietu Linux, sudo komanda ir ļoti konfigurējama. Jums var būt sudo palaist īpašas komandas, neprasot paroli, ierobežot konkrētus lietotājus tikai apstiprinātām komandām, komandas ar žurnālu, kas darbojas ar sudo, un citas.
Sudo komandas uzvedību kontrolē failā / etc / sudoers jūsu sistēmā. Šī komanda ir jāreģistrē ar visudo komandu, kas veic sintakses pārbaudi, lai nodrošinātu, ka nejauši neizjaucat failu.
Lietotāja konts, kuru izveidojat, instalējot Ubuntu, ir atzīmēts kā Administratora konts, kas nozīmē, ka tas var izmantot sudo. Jebkurš papildu lietotāja konts, ko izveidojat pēc instalēšanas, var būt Administrators vai Standarta lietotāja konti. Standarta lietotāju kontiem nav sudo atļaujas.
Jūs varat kontrolēt lietotāja kontu veidus no Ubuntu lietotāju kontu līdzekļa grafiski. Lai to atvērtu, noklikšķiniet uz sava lietotāja nosaukuma panelī un izvēlieties Lietotāju konti vai meklējiet lietotāja kontus domuzīmē.
Pēc noklusējuma sudo atceras jūsu paroli 15 minūtes pēc rakstīšanas. Tieši tāpēc vienreiz ir jāievada sava parole vienreiz, ātri izpildot vairākas komandas ar sudo. Ja jūs gatavojaties ļaut kādam citam izmantot savu datoru un vēlaties, lai sudo prasītu paroli nākamajā reizē, izpildiet šādu komandu un sudo aizmirsīs paroli:
sudo-k
Ja vēlaties, ka katru reizi, kad izmantojat sudo, jums tiek lūgts, piemēram, ja citiem lietotājiem regulāri ir piekļuve jūsu datoram, varat pilnībā atspējot paroles atgādinājuma darbību.
Šis iestatījums, tāpat kā citi sudo iestatījumi, ir ietverts failā / etc / sudoers. Palaidiet visudo komandu terminālā, lai atvērtu failu rediģēšanai:
sudo visudo
Neskatoties uz tā nosaukumu, šī komanda noklusējusi jauno lietotājam draudzīgo nano redaktoru, nevis tradicionālo vi redaktoru Ubuntu.
Pievienojiet nākamo rindiņu zem citām faila noklusējuma rindām:
Noklusētie iestatījumi timestamp_timeout = 0
Nospiediet Ctrl + O, lai failu saglabātu, un pēc tam nospiediet Ctrl + X, lai aizvērtu Nano. Sudo tagad vienmēr lūgs jums paroli.
Lai iestatītu citu paroles pārtraukumu - vai nu ilgāk, piemēram, 30 minūtes vai īsāku, piemēram, 5 minūtes, izpildiet iepriekš minētās darbības, bet izmantojiet citu vērtību timestamp_timeout. Numurs atbilst minūtēm, kurās sudo atcerēsies jūsu paroli. Lai sudo atcerētos jūsu paroli 5 minūtes, pievienojiet šādu rindu:
Noklusētā timestamp_timeout = 5
Jūs varat arī būt, ka sudo nekad neprasīs paroli - kamēr jūs esat pieteicies, katrai prefiksa komandai ar sudo darbosies root atļaujas. Lai to paveiktu, pievienojiet savu sudoers failu, kur lietotājvārds ir jūsu lietotājvārds:
lietotājvārds ALL = (ALL) NOPASSWD: VISI
Jūs varat arī mainīt% sudo līniju - tas ir, līnija, kas ļauj visiem sudo grupas lietotājiem (arī zināms kā administratoru lietotājiem) izmantot sudo - lai visi administratora lietotāji nepieprasa paroles:
% sudo ALL = (ALL: ALL) NOPASSWD: VISI
Varat arī norādīt konkrētas komandas, kurām nekad nevajadzēs ievadīt paroli, kad tās darbosies ar sudo. Tā vietā, lai izmantotu "ALL" pēc iepriekš NOPASSWD, norādiet komandu atrašanās vietu. Piemēram, šī rindiņa ļaus jūsu lietotāja kontam palaist apt-get un izslēgšanas komandas bez paroles.
lietotājvārds ALL = (ALL) NOPASSWD: / usr / bin / apt-get, / sbin / shutdown
Tas var būt īpaši noderīgs, ja skriptā izpildot noteiktas komandas ar sudo.
Lai gan jūs varat iekļaut melnajā sarakstā konkrētas komandas un neļaut lietotājiem tos izmantot ar sudo, tas nav ļoti efektīvs. Piemēram, jūs varat norādīt, ka lietotāja kontam nevar palaist shutdown komandu ar sudo. Bet šis lietotāja konts var palaist komandu cp ar sudo, izveidot komandas shutdown kopiju un izslēgt sistēmu, izmantojot kopiju.
Efektīvāks veids ir norādīt konkrētas komandas baltajā sarakstā. Piemēram, jūs varētu dot Standarta lietotāja kontu atļauju izmantot apt-get un shutdown komandas, bet ne vairāk. Lai to izdarītu, pievienojiet šādu rindu, kur standarta lietotājs ir lietotāja lietotājvārds:
standarduser ALL = / usr / bin / apt-get, / sbin / shutdown
Tālāk norādītā komanda pateiks mums, kādas komandas lietotājs var palaist ar sudo:
sudo -U standarta lietotājs -l
Varat reģistrēt visu sudo piekļuvi, pievienojot šādu rindu. / var / log / sudo ir tikai piemērs; jūs varat izmantot jebkuru log failu atrašanās vietu, kas jums patīk.
Noklusējuma logfile = / var / log / sudo
Skatīt žurnāla faila saturu ar komandu, kas ir šāda:
sudo cat / var / log / sudo
Paturiet prātā, ka, ja lietotājam ir neierobežota piekļuve sudo, šim lietotājam ir iespēja dzēst vai mainīt šī faila saturu. Lietotājs var arī piekļūt root palaišanai ar sudo un palaist komandas, kuras netiks reģistrētas. Mežizstrādes funkcija ir visnoderīgākā, ja to apvieno ar lietotāju kontiem, kuriem ir ierobežota piekļuve sistēmas komandu apakškopai.
