Podobnie jak większość rzeczy w systemie Linux, polecenie sudo jest bardzo konfigurowalne. Możesz sprawić, by sudo uruchamiało określone polecenia bez pytania o hasło, ograniczyć określonych użytkowników tylko do zatwierdzonych poleceń, rejestrować polecenia uruchamiane za pomocą sudo i nie tylko.
Zachowanie polecenia sudo jest kontrolowane przez plik /etc/sudoers w twoim systemie. To polecenie musi być edytowane za pomocą polecenia visudo, które wykonuje sprawdzanie składni, aby upewnić się, że przypadkowo nie zepsujesz pliku.
Określ użytkowników z uprawnieniami Sudo
Konto użytkownika, które tworzysz podczas instalacji Ubuntu, jest oznaczone jako konto administratora, co oznacza, że może używać sudo. Wszelkie dodatkowe konta użytkowników utworzone po instalacji mogą być kontami administratora lub konta użytkownika standardowego — konta użytkowników standardowych nie mają uprawnień sudo.
Możesz kontrolować typy kont użytkowników graficznie z narzędzia Konta użytkowników Ubuntu. Aby go otworzyć, kliknij swoją nazwę użytkownika na panelu i wybierz Konta użytkowników lub wyszukaj Konta użytkowników w myślniku.
Spraw, aby Sudo zapomniało hasła
Domyślnie sudo zapamiętuje Twoje hasło przez 15 minut po jego wpisaniu. Dlatego wystarczy wpisać hasło tylko raz, gdy wykonujesz wiele poleceń za pomocą sudo w krótkim odstępie czasu. Jeśli masz zamiar pozwolić komuś innemu korzystać z komputera i chcesz, aby sudo poprosiło o hasło przy następnym uruchomieniu, wykonaj następujące polecenie, a sudo zapomni hasła:
sudo-k
Zawsze pytaj o hasło
Jeśli wolisz otrzymywać monity za każdym razem, gdy używasz sudo – na przykład, jeśli inne osoby regularnie mają dostęp do Twojego komputera – możesz całkowicie wyłączyć zapamiętywanie haseł.
To ustawienie, podobnie jak inne ustawienia sudo, jest zawarte w pliku /etc/sudoers. Uruchom polecenie visudo w terminalu, aby otworzyć plik do edycji:
sudo visudo
Pomimo swojej nazwy, to polecenie domyślnie używa nowego, przyjaznego dla użytkownika edytora nano zamiast tradycyjnego edytora vi w Ubuntu.
Dodaj następujący wiersz poniżej innych wierszy Defaults w pliku:
Domyślne znacznik czasu_timeout=0
Naciśnij Ctrl+O, aby zapisać plik, a następnie naciśnij Ctrl+X, aby zamknąć Nano. Sudo będzie teraz zawsze prosić o hasło.
Zmień limit czasu hasła
Aby ustawić inny limit czasu hasła — dłuższy, np. 30 minut, lub krótszy, np. 5 minut — wykonaj powyższe kroki, ale użyj innej wartości dla timestamp_timeout. Liczba odpowiada liczbie minut, przez którą sudo zapamięta Twoje hasło. Aby sudo zapamiętało hasło przez 5 minut, dodaj następujący wiersz:
Domyślne znacznik czasu_timeout=5
Nigdy nie pytaj o hasło
Możesz również sprawić, by sudo nigdy nie pytało o hasło – tak długo, jak jesteś zalogowany, każde polecenie, które poprzedzasz sudo, będzie uruchamiane z uprawnieniami roota. Aby to zrobić, dodaj następujący wiersz do pliku sudoers, gdzie nazwa użytkownika to Twoja nazwa użytkownika:
nazwa użytkownika ALL=(ALL) NOPASSWD: ALL
Możesz także zmienić linię %sudo – czyli linię, która pozwala wszystkim użytkownikom w grupie sudo (znanej również jako Administratorzy) na używanie sudo – aby wszyscy użytkownicy Administratora nie wymagali haseł:
%sudo ALL=(ALL:ALL) NOPASSWD:ALL
Uruchamiaj określone polecenia bez hasła
Możesz także określić konkretne polecenia, które nigdy nie będą wymagały hasła podczas uruchamiania z sudo. Zamiast używać „ALL” po NOPASSWD powyżej, określ lokalizację poleceń. Na przykład poniższy wiersz pozwoli Twojemu kontu użytkownika na uruchamianie poleceń apt-get i shutdown bez hasła.
nazwa użytkownika ALL=(ALL) NOPASSWD: /usr/bin/apt-get,/sbin/shutdown
Może to być szczególnie przydatne podczas uruchamiania określonych poleceń z sudo w skrypcie.
Zezwalaj użytkownikowi na uruchamianie tylko określonych poleceń
Chociaż możesz umieścić na czarnej liście określone polecenia i uniemożliwić użytkownikom uruchamianie ich za pomocą sudo, nie jest to zbyt skuteczne. Na przykład możesz określić, że konto użytkownika nie może uruchomić polecenia zamknięcia za pomocą sudo. Ale to konto użytkownika może uruchomić polecenie cp za pomocą sudo, utworzyć kopię polecenia zamknięcia i zamknąć system za pomocą kopii.
Bardziej efektywnym sposobem jest dodanie określonych poleceń do białej listy. Na przykład możesz nadać standardowemu kontu użytkownika uprawnienia do używania poleceń apt-get i shutdown, ale nie więcej. Aby to zrobić, dodaj następujący wiersz, gdzie standarduser jest nazwą użytkownika:
użytkownik standardowy ALL=/usr/bin/apt-get,/sbin/shutdown
Poniższe polecenie powie nam, jakie polecenia użytkownik może uruchomić za pomocą sudo:
sudo -U użytkownik standardowy –l
Logowanie Sudo Access
Możesz zalogować cały dostęp do sudo, dodając następujący wiersz. /var/log/sudo to tylko przykład; możesz użyć dowolnej lokalizacji pliku dziennika.
Domyślny plik dziennika=/var/log/sudo
Wyświetl zawartość pliku dziennika za pomocą polecenia podobnego do tego:
kot sudo /var/log/sudo
Pamiętaj, że jeśli użytkownik ma nieograniczony dostęp do sudo, ma on możliwość usuwania lub modyfikowania zawartości tego pliku. Użytkownik może również uzyskać dostęp do monitu roota za pomocą sudo i uruchamiać polecenia, które nie byłyby rejestrowane. Funkcja rejestrowania jest najbardziej użyteczna w połączeniu z kontami użytkowników, które mają ograniczony dostęp do podzbioru poleceń systemowych.