Příkaz sudo umožňuje správci nastavit konfigurační soubor s názvem /etc/sudoers a definovat specifické příkazy, které mohou konkrétní uživatelé provádět pod předpokládanou identitou.
Příkaz sudo je v mnoha ohledech podobný su, ale má některé důležité dodatečné schopnosti. Správce může nakonfigurovat sudo tak, aby umožnil běžnému uživateli spouštět příkazy jako jiný uživatel (obvykle superuživatel) kontrolovaným způsobem. Konkrétně může být uživatel omezen na jeden nebo více specifických příkazů a žádné jiné. Dalším důležitým rozdílem je, že použití sudo nevyžaduje přístup k heslu superuživatele. Ověření pomocí sudo vyžaduje vlastní heslo uživatele. Řekněme například, že sudo bylo nakonfigurováno tak, aby nám umožnilo spouštět fiktivní zálohovací program s názvem backup_script, který vyžaduje oprávnění superuživatele. Pomocí sudo by to bylo provedeno takto:
$ sudo backup_script Password: System Backup Starting...
Po zadání příkazu jsme vyzváni k zadání našeho hesla (nikoli hesla superuživatele) a jakmile je ověření dokončeno, provede se zadaný příkaz.
sudo V/s su
Jedním z důležitých rozdílů mezi su a sudo je to, že sudo nespouští nový shell ani nenačítá prostředí jiného uživatele. To znamená, že příkazy nemusí být citovány jinak, než by byly bez použití sudo. Všimněte si, že toto chování lze přepsat zadáním různých možností. Všimněte si také, že sudo lze použít ke spuštění interaktivní relace superuživatele (podobně jako su -) zadáním volby -i. Podrobnosti najdete na manuálové stránce sudo.
Chcete-li vidět, jaká oprávnění uděluje sudo, použijte volbu -l k jejich výpisu.
$ sudo -l User me may run the following commands on this host: (ALL) ALL
Příklady příkazů sudo
1. Chcete-li zobrazit aktuální stav sudo pro uživatele:
# sudo -l # sudo -U santosh -l (for specific user)
2. Pro dlouhý seznam výstupu:
# sudo –U santosh -ll
3. Chcete-li odebrat přihlašovací údaje uživatelů z mezipaměti:
# sudo -k
4. Chcete-li získat výpis souborů z nečitelného adresáře:
# sudo ls /usr/local/protected
5. Chcete-li zobrazit systémové protokoly přístupné pouze root a uživatelům ve skupině adm:
# sudo -g adm view /var/log/syslog
6. Vypnutí počítače:
# sudo shutdown -r +15 "quick reboot"
7. Spuštění příkazu na pozadí:
# sudo -b mount /dev/cdrom /DVD
8. Chcete-li příkaz spustit jako jiný uživatel:
# sudo –u oracle /xyz/abc.sh
9. Pro provedení daného příkazu nastavením primární skupiny na danou skupinu:
# sudo –g DBA /xyz/abc.sh
10. Chcete-li ověřit přihlašovací údaje uživatele:
# sudo –v ### updates his cached credentials, like if password has been changed.
Poslední myšlenka
Pokud máte povoleno, sudo provede příkaz jako superuživatel. Oprávnění uživatelé sudo a příkazy, které mohou spouštět, jsou uvedeny v konfiguračním souboru sudo /etc/sudoers . Pokud se neoprávněný uživatel pokusí spustit příkaz, sudo o tom informuje správce e-mailem. Ve výchozím nastavení odešle zprávu na účet root. Uživatelé, kteří se pokoušejí spustit příkazy, jsou vyzváni k zadání hesla. Po ověření sudo nastaví uživateli časové razítko. Po dobu pěti minut od časového razítka může uživatel provádět další příkazy, aniž by byl vyzván k zadání hesla. Tato doba odkladu může být přepsána nastavením v souboru /etc/sudoers. Podívejte se také na /etc/sudoers pro příklady konfigurace.