Альт линукс su sudo

Получение прав root

Виртуальная консоль Linux организована на основе текстовых возможностей графического контроллера, в том числе работы через фреймбуфер.

В процессе работы Linux активно несколько виртуальных консолей. Каждая виртуальная консоль доступна по нажатию Alt и функциональной клавиши с номером этой консоли. Так, в ALT Linux после загрузки системы функции системной консоли берёт на себя 12-я виртуальная консоль (Alt-F12). Если запущена графическая подсистема X11, она занимает седьмую консоль, а для переключения в текстовый режим описанные клавиши нужно нажимать вместе с Ctrl: Ctrl-Alt-F1, Ctrl-Alt-F2 и т. д.

В современных ОС графическая подсистема переехала по умолчанию с седьмой (F7) на первую консоль (F1), поэтому для перехода в текстовую консоль, надо нажать одну из комбинаций Ctrl-Alt-F2 . Ctrl-Alt-F6, а для возврата в графику Ctrl-Alt-F1.

Если вы переключитесь в виртуальную консоль, то увидите приглашение на вход вида:

где Lada — имя вашего компьютера.

Вводите имя root и пароль root:

при вводе пароля ничего не высвечивается — это сделано специально, для безопасности.

Далее, например, вызываем mc (файловый менеджер с текстовым интерфейсом) и работаем в нём, если нет предпочтений вроде zsh.

Для возвращения в графику выходим из mc, заканчиваем сеанс в виртуальном терминале (чтобы зря не висел) командой exit [1] и переходим в графику сочетанием клавиш Alt+F1 (в некоторых раскладках консоли Ctrl+Alt+F1).

Управление доступом к командам перехода в режим суперпользователя

В дистрибутивах ALT для управления доступом к важным службам используется подсистема control. Для получения текущего состояния войдите через login в root и дайте команду control без параметров, например:

# control | grep su su wheelonly (public wheel wheelonly restricted) sudo wheelonly (public wheelonly restricted) sudoers relaxed (strict relaxed)

Для того чтобы посмотреть что значит та или иная политика, дайте команду control имя_службы help , например

# control su help public: Any user can execute /bin/su wheel: Any user can execute /bin/su, but only "wheel" group members can switch to superuser wheelonly: Only "wheel" group members can execute /bin/su restricted: Only root can execute /bin/su

Для задания новой политики можно задать control имя_службы новая_политика , например:

что запретит использовать команду sudo всем, кроме root (а самому root уже в настройках sudo по умолчанию запрещено её использовать).

Примечание: Как видно из приведённых выше команд, команды su и sudo по умолчанию позволено использовать только пользователям, входящим в группу wheel.

Краткое сравнение команд su и sudo

1. Режим работы по умолчанию:

Далее все команды до команды exit выполняются в режиме суперпользователя.

Выполняется только одна конкретная команда.

2. Запрашиваемый пароль по умолчанию:

su — — запрашивает пароль root;

sudo — запрашивает пароль пользователя для первой команды, для следующих в течение определённого времени вообще не запрашивает пароль.

3. Каждая команда самостоятельна и настраивается отдельно.

Вход через su —

Источник

Альт линукс su sudo

⁠67.3. Как получить права суперпользователя?

Для опытных пользователей, умеющих работать с командной строкой, существует два различных способа получить права суперпользователя.

Второй способ — воспользоваться специальной утилитой su (shell of user), которая позволяет выполнить одну или несколько команд от лица другого пользователя. По умолчанию эта утилита выполняет команду sh от пользователя root , то есть запускает командный интерпретатор. Отличие от предыдущего способа в том, что всегда известно, кто именно запускал su , а значит, ясно, кто выполнил определённое административное действие.

В некоторых случаях удобнее использовать не su , а утилиту sudo , которая позволяет выполнять только заранее заданные команды.

Для того чтобы воспользоваться командами su и sudo , необходимо быть членом группы wheel . Пользователь, созданный при установке системы, по умолчанию уже включён в эту группу.

В дистрибутивах Альт для управления доступом к важным службам используется подсистема control. control — механизм переключения между неким набором фиксированных состояний для задач, допускающих такой набор.

Команда control доступна только для суперпользователя (root). Для того, чтобы посмотреть, что означает та или иная политика control (разрешения выполнения конкретной команды, управляемой control ), надо запустить команду с ключом help:

Запустив control без параметров, можно увидеть полный список команд, управляемых командой (facilities) вместе с их текущим состоянием и набором допустимых состояний.

Источник

Альт линукс su sudo

Вопрос: Как перейти в режим суперпользователя (переключиться в root)?

Ответ: В терминале наберите команду (для читающих по диагонали: минус важен!):

Пояснения: при переходе в режим суперпользователя командой su происходит просто вызов командного интерпретатора с правами root. При этом значения переменных окружения, в частности $PATH , остается таким же, как у пользователя. То есть в переменной $PATH не окажется каталогов /sbin , /usr/sbin , и без указания полного имени будут недоступны команды route , lilo , mkswap и другие. Более того, переменная $HOME будет указывать на каталог пользователя и все программы, запущенные в режиме суперпользователя, сохранят свои настройки с правами рута в каталоге пользователя, что в дальнейшем может вызвать проблемы.

Чтобы избежать этого, следует использовать su — . В этом режиме su запустит командный интерпретатор в качестве login shell (подробнее см. man bash /INVOCATION ), и он будет вести себя в точности так, как если бы в систему залогинился root.

Для раздачи ограниченных прав суперпользователя применяется утилита sudo .

Ввиду наличия псевдонима работает также

Ограничения запуска

При попытке переключиться в администратора в терминале появляется следующая ошибка:

$ su - bash: /bin/su: Отказано в доступе

Штатно пользователю для этого нужно быть в группе wheel (что автоматически выполняется для первого пользователя, заведённого при установке, и настраивается в Центре управления системой). Другие режимы регулируются командой control:

$ /usr/sbin/control su wheelonly $ ls -l `which su` -rws--x--- 1 root wheel 22316 авг 25 2012 /bin/su $ groups | grep wheel cas wheel uucp proc cdrom floppy cdwriter audio radio sambashare vboxusers camera xgrp scanner $ su - Password: # 

Также можно разрешить для всех:

(залогиниться первым пользователем или в консоли Ctrl + ALT + F2 самим root.

Ошибки, возникающие при неправильном использовании su

Чаще всего пользователь, который неправильно запускал su сталкивается с некорректной работой различных программ — не сохраняются конфигурационные файлы, не работают настройки, происходят произвольные сообщения об ошибках записи. Рекомендуется проверить домашний каталог на наличие файлов, принадлежащих пользователю root командой:

если ваша система исправна, то список файлов будет пустой.

Ссылки

Источник

sudo

Команда sudo может использоваться [1] для выполнения пользователем какой-либо команды, требующей права суперпользователя (root), то есть получение прав root для выполнения какой-либо команды на время её выполнения.

Перед выполнением команды sudo запрашивает пароль пользователя, а не пароль root, как у команды su — .

После выполнения sudo существует временной отрезок, в течение которого повторное выполнение команды sudo не требует пароль (что удобно для взлома вашего компьютера со стороны rootkits и хакерских атак).

С другой стороны, команда sudo удобна для распределения прав между несколькими администраторами компьютера (например, кому можно обновлять и устанавливать программы, а кому настраивать работу аппаратуры компьютера), не предоставляя прав root на все другие действия и не выдавая пользователю пароля root.

Особенности sudo в дистрибутивах ALT Linux

Штатным способом временного получения прав root в большинстве дистрибутивах ALT Linux, является команда su -. Команда sudo в большинстве дистрибутивов ALT Linux требует предварительной настройки, так как в /etc/sudoers не описан ни один пользователь, включая root. Исключением является дистрибутив Simply, где sudo уже настроена для первого пользователя. В дополнение к /etc/sudoers могут использоваться отдельные файлы из каталога /etc/sudoers.d/ .

Для ограничения прав на выполнение самой команды sudo используется особый механизм control .

Настройка control для работы sudo

В ALT Linux sudo используется фреймворк control, который задаёт права на выполнение команды sudo .

С его помощью можно дать или отнять права на использование команды sudo .

Возможные значения control sudo можно посмотреть командой control sudo help :

На текущий момент существуют следующие политики у команды sudo :

public — любой пользователь может получить доступ к команде /usr/bin/sudo wheelonly — только пользователи из группы wheel имеют право получить доступ к команде /usr/bin/sudo restricted — только root имеет право выполнять команду /usr/bin/sudo

Штатное состояние политики:

Означает что пользователь из группы wheel имеет право запускать саму команду sudo , но не означает, что он через sudo может выполнить какую-то команду с правами root.

Для разрешения получения прав на выполнение конкретных команд с правами root надо отредактировать настройки правил /etc/sudoers [2] при помощи специальной команды visudo (которая не портит права на файлы):

Грубая настройка sudo

Раскомментировать (убрать ‘#’ в начале строки) в /etc/sudoers строчку, дав права выполнять через sudo любую команду с любого компьютера (например через ssh), пользователям входящим в группу wheel, запрашивая их пароль:

С точки зрения безопасности правильнее давать права на выполнение sudo не всей группе wheel, а конкретному пользователю, например petya, входящего в группу localhost:

и не на все команды , а на те, которые ему необходимы для быстрого получения прав root:

petya localhost=(ALL) /usr/bin/apt-get,/usr/bin/rpm,/sbin/fdisk

Это особенно важно потому, что после выполнения команды sudo с запросом пароля есть определённый временный отрезок, в течение которого sudo выполняет следующие команды, не запрашивая повторно пароль пользователя.

Также может понадобиться добавление требуемых пользователей в группу wheel (созданный при установке системы аккаунт добавляется в неё автоматически, можно посмотреть в /etc/group ):

# gpasswd -a имя_пользователя wheel 

Примечание: Для быстрого разрешения запуска произвольной программы пользователям группы wheel можно выполнить под правами суперпользователя:

# control sudowheel enabled 

Тонкая настройка sudo

Для того, чтобы настроить работу sudo, необходимо с применением административных привилегий отредактировать файл /etc/sudoers при помощи специальной команды visudo (подробности смотри выше) и внести туда записи о том, каким пользователям какие команды можно выполнять.

user1 ALL = (ALL) ALL user1 ALL = NOPASSWD: /usr/bin/apt-get update

Позволяет пользователю user1 запускать все приложения через sudo с правами суперпользователя (root) с запросом пароля, а при выполнении команды sudo apt-get update пароль не будет спрашиваться.

Полная документация по формату конфигурационного файла находится в man-странице sudoers, начинать читать может быть проще с секции EXAMPLES.

Примечания

1. ↑ Существует рекомендация известного эксперта в области ИТ-безопасности Александра Песляка (Solar Designer) не использовать sudo
2. ↑ Здесь используется редактор mcedit, по умолчанию используется vi , но базовый навык работы с vi весьма полезен, для его получения установите и запустите команду vimtutor

Ссылки

Источник