Takže pokud root dokáže všechno, co je sudo a proč potřebujeme uživatele sudo v našem Debianu?
Co je Sudo?
Sudo nebo „superuser do“ je sada oprávnění, která může administrátor / root udělit ostatním uživatelům, aby mohli také provádět některé operace s omezeným oprávněním v Debianu, při zachování vysoké úrovně zabezpečení a oprávnění v systému.
Jedním ze způsobů, jak udělit oprávnění uživatelům, lze jednoduše sdílet sdílením hesla root s nimi, aniž byste se dostali k celé věci sudo, ale Linux má své důvody:
- Sudo dává dočasná oprávnění uživatelům, která mohou být rootovi kdykoli odebrána. Pokud jsme místo toho sdíleli naše heslo root, vyžadovalo to jeho změnu, když měla být práva ukončena.
- Práce jako root po celou dobu není dobrým bezpečnostním postupem, protože se může omylem pokazit s citlivým nastavením systému. Po dokončení omezené operace je tedy lepší přepnout na sudo a poté zpět.
- Příkazy prováděné jako sudo jsou všechny protokolovány spolu s uživatelským jménem, které je provedlo. Tím je zajištěna odpovědnost a audit pro všechny takové uživatele
V tomto článku vysvětlíme, jak můžete v systému Debian 10 Buster System provádět následující:
- Dejte uživateli sudo oprávnění
- Jakmile je sudo uděleno, použijte ho
- Odeberte uživateli oprávnění sudo
- Zkontrolujte, kteří uživatelé mají oprávnění sudo v systému
Poznámka: Pamatujte, že všechny tyto operace může v Debianu provádět pouze autorizovaný uživatel.
Poskytnutí privilegia Sudo uživateli
Většina instalací Debianu není ve výchozím nastavení nainstalována s nástrojem sudo. Proto jej nejprve nainstalujeme na náš Debian - jako správce. Otevřete aplikaci Terminál pomocí vyhledávací lišty Spouštěč aplikací a poté se přihlaste jako root pomocí následujícího příkazu:
$ su -
Systém vás požádá o heslo pro root; za předpokladu, že budete přihlášeni jako root.
Nyní spusťte následující příkazy pro instalaci sudo do vašeho systému:
# apt-get aktualizace# apt-get install sudo
Na vašem Debianu by nyní měl být nainstalován nástroj sudo.
Soubor / etc / sudoers obsahuje seznam uživatelů, kteří mají v systému oprávnění sudo. Ačkoli se jedná o textový soubor, nedoporučujeme jej otevírat v žádném z dostupných textových editorů. Jedna malá chyba může uživatele stát přístup k právům sudo navždy.
Proto použijeme vysoce preferovaný a bezpečný způsob úpravy souboru sudoers spuštěním následujícího příkazu:
# visudoTím se otevře soubor sudoers v nouzovém režimu. Vyhledejte část souboru, která je označena na následujícím snímku obrazovky, a poté přidejte následující řádek:
% uživatele ALL = (ALL: ALL) ALL
Jako uživatele sudo jsem přidal uživatele jménem „sana“. Ukončete soubor stisknutím kláves Ctrl + X. Poté zadejte Y pro uložení upraveného souboru.
Nyní je uživatel označen jako uživatel sudo a může ve vašem Debianu provádět mnoho privilegovaných operací.
Jak používat Sudo, jakmile je uděleno
Přihlaste se jako uživatel, kterému byla v Debianu udělena práva sudo, a poté otevřete aplikaci Terminál. Pojďme nyní ověřit přihlašovací údaje sudo a také to, zda jsme schopni provádět jakoukoli z operací omezených autoritou.
Pokud zadáte následující příkaz k instalaci přehrávače VLC, zobrazí se chyba zobrazená na snímku obrazovky:
$ apt-get nainstalovat vlc
Důvodem je to, že pouze oprávněný uživatel (root nebo sudo) může přidávat a odebírat software v Debianu. Nyní tedy spustíme stejný příkaz jako sudo:
$ sudo apt-get install vlcKdyž uživatel sudo spustí tento příkaz, bude požádán o zadání vlastního hesla.
Po ověření jako sudo začne proces instalace - jak je uvedeno výše.
Jak odebrat Sudo Privilege z uživatele
Proces odebrání uživatele ze seznamu sudoers je stejně jednoduchý jako přidání jednoho. Jako root nebo jako uživatel sudo otevřete soubor sudoers následujícím způsobem:
# visudoNebo,
$ sudo visudoPoté odeberte nebo okomentujte řádek, který uživatele označí jako sudo.
Uložte soubor a zadaný uživatel již nebude systémem rozpoznán jako autorizovaný uživatel sudo.
Jak zkontrolovat, kteří uživatelé mají oprávnění Sudo v systému
Je to dobrá manažerská kontrola, abyste čas od času zjistili, kterým uživatelům byla v systému udělena práva sudo. Pomáhá při rozhodování, čí by měl zůstat sudo stav a koho nechat jít. Hledáme způsob, jak vypsat členy skupiny „sudo“.
Následující použití příkazu Linux getent umožní administrátorovi zkontrolovat, kteří uživatelé mají ve vašem Debianu oprávnění sudo:
# getent group sudo
Chcete-li zkontrolovat, zda je určitý uživatel členem skupiny sudo, můžete použít příkaz Linux groups následujícím způsobem:
# sudo groups [uživatelské jméno]
Po přečtení tohoto článku budete nejen schopni rozlišovat výrazy sudo, root, administrátor, supervizor atd., Ale také bezpečně spravovat, kterým z nich chcete udělit práva sudo, na vašem Debianu.