
sudo
je nástroj příkazového řádku, který umožňuje důvěryhodným uživatelům spouštět příkazy jako jiný uživatel, ve výchozím nastavení root.
Tento tutoriál ukazuje dva způsoby, jak uživateli udělit oprávnění sudo. Prvním z nich je přidání uživatele do souboru sudoers. Tento soubor obsahuje sadu pravidel, která určují, kterým uživatelům nebo skupinám jsou udělena oprávnění sudo, a také úroveň oprávnění. Druhou možností je přidat uživatele do skupiny sudo uvedené v sudoers
soubor. Ve výchozím nastavení je v Debianu a jeho derivátech členům skupiny „sudo“ udělen přístup sudo.
Přidání uživatele do skupiny sudo #
Nejrychlejším a nejjednodušším způsobem, jak uživateli udělit oprávnění sudo, je přidat uživatele do skupiny „sudo“. Členové této skupiny mohou provádět jakýkoli příkaz jako root pomocí sudo
a vyzváni k ověření pomocí hesla při použití sudo
.
Předpokládáme, že uživatel, kterého chcete do skupiny přiřadit, již existuje.
Spusťte níže uvedený příkaz jako root nebo jiný uživatel sudo a přidejte uživatele do skupiny sudo
usermod -aG sudo username
Ujistěte se, že jste změnili „username“ na jméno uživatele, kterému chcete udělit přístup.
Udělení přístupu sudo pomocí této metody je dostatečné pro většinu případů použití.
Chcete-li zajistit, aby byl uživatel přidán do skupiny, zadejte:
sudo whoami
Budete požádáni o zadání hesla. Pokud má uživatel přístup sudo, příkaz vypíše „root“. V opačném případě se zobrazí chyba „uživatel není v souboru sudoers“.
Přidání uživatele do souboru sudoers #
Práva uživatelů a skupin sudo jsou definována v /etc/sudoers
soubor. Tento soubor vám umožňuje udělit přizpůsobený přístup k příkazům a nastavit vlastní zásady zabezpečení.
Uživatelský přístup můžete nakonfigurovat úpravou souboru sudoers nebo vytvořením nového konfiguračního souboru v /etc/sudoers.d
adresář. Soubory v tomto adresáři jsou součástí souboru sudoers.
Vždy používejte visudo
příkaz pro úpravu /etc/sudoers
soubor. Tento příkaz při ukládání zkontroluje, zda v souboru nejsou syntaktické chyby. Pokud se vyskytnou nějaké chyby, soubor se neuloží. Pokud soubor upravíte pomocí běžného textového editoru, chyba syntaxe může vést ke ztrátě přístupu sudo.
visudo
používá editor určený EDITOR
proměnná prostředí, která je standardně nastavena na vim. Pokud chcete soubor upravit pomocí nano, změňte proměnnou spuštěním:
EDITOR=nano visudo
Řekněme, že chcete uživateli umožnit spouštět příkazy sudo, aniž by byl požádán o heslo. Chcete-li to provést, otevřete /etc/sudoers
soubor:
visudo
Přejděte dolů na konec souboru a přidejte následující řádek:
/etc/sudoersusername ALL=(ALL) NOPASSWD:ALL
Uložte soubor a ukončete editor. Nezapomeňte změnit „username“ na uživatelské jméno, kterému chcete udělit přístup.
Dalším typickým příkladem je umožnit uživateli spouštět pouze určité příkazy pomocí sudo
. Například povolit pouze mkdir
a rmdir
příkazy, které byste použili:
username ALL=(ALL) NOPASSWD:/bin/mkdir,/bin/rmdir
Namísto úpravy souboru sudoers můžete toho samého dosáhnout vytvořením nového souboru s pravidly autorizace v /etc/sudoers.d
adresář. Přidejte stejné pravidlo, jaké byste přidali do souboru sudoers:
echo "username ALL=(ALL) NOPASSWD:ALL" | sudo tee /etc/sudoers.d/username
Tento přístup usnadňuje správu práv sudo. Název souboru není důležitý, ale je běžnou praxí pojmenovat soubor podle uživatelského jména.