Pre ľahšiu správu prístupu root je tu program „sudo“ (superuser do). Vlastne to nie je koreň. Namiesto toho povýši pridružený príkaz na koreňovú úroveň. Spravovanie prístupu typu „root“ v skutočnosti znamená správu používateľov, ktorí majú prístup k súboru „sudo“. Samotné sudo je možné použiť rôznymi spôsobmi.
Dozvieme sa viac o root a sudo v Arch Linuxe.
Pozor: Keďže root je všemocný, jeho hranie môže mať za následok neočakávané škody. Systémy podobné systému Unix zámerne predpokladajú, že správca systému vie presne, čo robí. Systém teda umožní aj tie najnebezpečnejšie operácie bez akýchkoľvek ďalších dotazov.
Preto musia byť správcovia systému pri práci s prístupom „root“ zo všetkých opatrní. Pokiaľ používate prístup „root“ na vykonávanie určitej úlohy, buďte opatrní a zodpovedajte za výsledok.
Sudo na Arch Linuxe
Sudo nie je len program. Je to skôr rámec, ktorý riadi prístup „root“. Keď je sudo prítomné v systéme, existujú aj určité skupiny používateľov, ktoré majú prístup k „root“. Zoskupenie umožňuje ľahšiu kontrolu nad oprávneniami používateľov.
Začnime s sudo!
Inštaluje sa sudo
Keď ste nainštalovali Arch Linux, mal by mať predvolene nainštalovaný sudo. Spustením nasledujúceho príkazu sa však uistite, či je sudo v systéme skutočne prítomné.
pacman -S sudo
Spustenie príkazu s oprávnením root
Sudo sleduje nasledujúcu štruktúru velenia.
sudo
Napríklad pomocou sudo povedzte pacmanovi, aby inovoval celý systém.
sudo pacman -Syyu
Aktuálne nastavenia sudo
Sudo je možné upraviť na mieru tak, aby vyhovovalo potrebám situácie. Aktuálne nastavenia si môžete pozrieť pomocou nasledujúcich príkazov.
sudo -ll
Ak máte záujem skontrolovať konfiguráciu určitého používateľa, použite nasledujúci príkaz.
sudo -lU
Správa sudoerov
Pri inštalácii sudo sa vytvorí aj konfiguračný súbor s názvom „sudoers“. Obsahuje konfiguráciu pre rôzne skupiny používateľov, ako sú koliesko, sudo a ďalšie nastavenia. K sudoerom by malo byť VŽDY prístup cez príkaz „visudo“. Toto je bezpečnejší spôsob ako priama úprava súboru. Zamkne súbor sudoers, upravený uloží do dočasného súboru a skontroluje gramatiku pred trvalým zápisom do súboru „/ etc / sudoers“.
Poďme sa pozrieť na sudoerov.
sudo visudo
Tento príkaz spustí režim úprav súboru sudoers. Predvolene bude editor vim. Ak chcete ako editor použiť niečo iné, použite nasledujúcu štruktúru príkazov.
sudo EDITOR =
Editor Visudo môžete natrvalo zmeniť pridaním nasledujúceho riadku na koniec súboru.
Predvolený editor = / usr / bin / nano, !env_editor
Nezabudnite si overiť výsledok.
sudo visudo
Skupiny
„Sudoers“ diktuje povolenie „sudo“ používateľom a skupinám súčasne. Napríklad skupina kolies má v predvolenom nastavení schopnosť spúšťať príkazy s oprávnením root. Na ten istý účel existuje aj iná skupina sudo.
Skontrolujte, ktoré skupiny používateľov sú v systéme momentálne prítomné.
skupiny
Vyskúšajte sudoerov, ktoré skupiny majú prístup k oprávneniu root.
sudo visudo
Ako vidíte, účet „root“ má prístup k úplným oprávneniam root.
- Prvý znak „VŠETKY“ označuje, že pravidlo platí pre všetkých hostiteľov
- Druhé „VŠETKO“ informuje, že používateľ v prvom stĺpci je schopný spustiť akýkoľvek príkaz s oprávnením ľubovoľného používateľa
- Tretie „VŠETKO“ znamená, že akýkoľvek príkaz je prístupný
To isté platí pre skupinu kolies.
Ak máte záujem o pridanie akejkoľvek inej skupiny používateľov, musíte použiť nasledujúcu štruktúru
%Pre normálneho používateľa by štruktúra bola
Povolenie používateľa s prístupom sudo
To je možné vykonať dvoma spôsobmi - pridaním používateľa k koleso skupina alebo zmienka o užívateľovi v sudoers.
Pridáva sa do skupiny kolies
Použite usermod pridať existujúceho používateľa do koleso skupina.
sudo usermod -aG koleso
Pridávanie sudoerov
Spustiť sudoers.
sudo visudoTeraz pridajte používateľa s príslušným oprávnením root.
Ak chcete používateľa odstrániť z prístupu sudo, odstráňte položku používateľa zo sudoers alebo použite nasledujúci príkaz.
sudo gpasswd -d
Povolenia súborov
Vlastník a skupina „sudoers“ MUSÍ byť 0 so súhlasom súboru 0440. Toto sú predvolené hodnoty. Ak ste sa však pokúsili zmeniť, obnovte ich na predvolené hodnoty.
chown -c root: root / etc / sudoerschmod -c 0440 / etc / sudoers
Odovzdávanie premenných prostredia
Kedykoľvek spustíte príkaz ako root, súčasné premenné prostredia sa neprenesú do root. Je to dosť bolestivé, ak je váš pracovný postup veľmi závislý od premenných prostredia alebo ak odovzdávate nastavenia proxy servera cez „export http_proxy =“ ... “, musíte pridať príznak„ -E “pomocou sudo.
sudo -E
Úpravy súboru
Keď inštalujete sudo, existuje aj ďalší nástroj s názvom „sudoedit“. Umožní editáciu určitého súboru ako užívateľ root.
Toto je lepší a bezpečnejší spôsob, ako povoliť určitému používateľovi alebo skupine upravovať určitý súbor, ktorý vyžaduje oprávnenie root. Vďaka sudoedit nemusí mať používateľ prístup k sudo.
Dalo by sa to vykonať aj pridaním nového záznamu skupiny do súboru sudoers.
% newsudo VŠETKY =Vo vyššie uvedenom scenári je však používateľ opravený iba v konkrétnom editore. Sudoedit umožňuje flexibilné použitie ľubovoľného editora podľa výberu používateľa na vykonanie práce.
% newsudo VŠETKY = sudoedit / cesta / k / súboruVyskúšajte upraviť súbor, ktorý vyžaduje prístup sudo.
sudoedit / etc / sudoers
Poznámka: Sudoedit je ekvivalentný príkazu „sudo -e“. Je to však lepšia cesta, pretože nevyžaduje prístup k sudo.
Záverečné myšlienky
jeho krátky sprievodca predstavuje iba malú časť toho, čo môžete robiť so sudo. Veľmi odporúčam skontrolovať manuálovú stránku sudo.
muž sudo
Na zdravie!