- Как добавить пользователя Sudo в AlmaLinux или Rocky Linux
- Создание нового пользователя sudo в AlmaLinux или Rocky Linux
- Добавление существующего пользователя в группу wheel
- Добавление существующего пользователя в файл sudoers
- Проверка доступа к sudo
- Заключение
- sudo
- Специфика ALT Linux
- Настройка
- Примечания
- Ссылки
- sudo
- Особенности sudo в дистрибутивах ALT Linux
- Настройка control для работы sudo
- Грубая настройка sudo
- Тонкая настройка sudo
- Примечания
- Ссылки
Как добавить пользователя Sudo в AlmaLinux или Rocky Linux
Rocky Linux и AlmaLinux являются лучшей заменой операционной системы для CentOS. Этот проект возник после того, как CentOS перешла от стабильной для предприятий, к ветви разработки RHEL.
Sudo расшифровывается как «замещающий пользователь» или «суперпользователь«. Это дает текущему пользователю возможность временно запускать программы с правами администратора, пользователя root. Файл sudoers находится по адресу /etc/sudoers, который содержит политику безопасности для пользователей и групп системы для определения привилегий sudo.
В этой статье мы покажем и расскажем, как добавить пользователя в sudo в AlmaLinux или Rocky Linux.
Создание нового пользователя sudo в AlmaLinux или Rocky Linux
Сначала требуется создать нового пользователя в вашей системе:
Теперь установите пароль для нового пользователя, делается это с помощью команды passwd:
В AlmaLinux или Rocky Linux все члены группы wheel имеют доступ к sudo. Используйте команду usermod, чтобы добавить пользователя setiwik в группу wheel:
Существует два способа добавления существующего пользователя в sudo: 1 добавление пользователя в группу wheel или 2 добавление пользователя в файл sudoers. Рассмотрим два этих способа.
Добавление существующего пользователя в группу wheel
Это самый простой способ предоставить доступ sudo любому существующему пользователю. Вам требуется всего лишь добавить пользователя в группу wheel.
Используйте следующую команду, чтобы добавить пользователя setiwik в группу wheel:
Замените setiwik на имя пользователя вашей системы.
Добавление существующего пользователя в файл sudoers
Файл /etc/sudoers обеспечивает индивидуальный доступ к пользователям и командам. Изменив этот файл предоставите пользователю доступ к sudo.
Вы можете отредактировать файл /etc/sudoers с помощью команды visudo. Эта команда помогает проверить любую синтаксическую ошибку перед сохранением, чтобы избежать каких-либо ошибок.
Сначала откройте файл /etc/sudoers:
Прокрутите до самого низа или нажмите Shift + G , а затем добавьте следующую строку в /etc/sudoers.
Замените setiwik на имя пользователя вашей системы. Установка параметра NOPASSWD отключает проверку подлинности по паролю при выполнении команды sudo.
Теперь вы можете сохранить и выйти из редактора.
Так же, вы можете создать файл в каталоге /etc/sudoers.d и добавить строку.
Еще вы настраиваете пользователя на выполнение определенных команд. Делается это следующим образом следующим образом:
Вы можете добавить группу в файл sudoers, добавив символ процента в начале строки.
Проверка доступа к sudo
Вы можете протестировать доступ к sudo несколькими различными способами.
Выполните команду whoami с префиксом sudo:
Если вывод отображается как «root«, то у пользователя есть доступ к sudo.
В качестве альтернативы попробуйте перечислить содержимое /root с помощью такой команды:
Если у пользователя есть привилегия sudo, вы получите сообщение об ошибке «User is not in the sudoers file» (Пользователя нет в файле sudoers). Журналы sudo хранятся в файле /var/log/secure.
Заключение
Из этой статьи вы узнали, как добавить пользователя в sudo в AlmaLinux или Rocky Linux. Спасибо за то что дочитали до конца. Если остались вопросы или замечания оставьте, воспользуйтесь разделом комментариев.
sudo
Команда sudo используется [1] для выполнения обычным * пользователем какой-либо другой команды с правами суперпользователя (root).
Специфика ALT Linux
В ALT Linux sudo использует фреймворк control и штатное состояние соответствует control sudo wheelonly ; поэтому может понадобиться:
- либо внесение требуемых пользователей в группу wheel (созданный при установке системы аккаунт добавляется в неё автоматически, иначе см. /etc/group ),
- либо при необходимости повыдавать какие-либо повышенные привилегии всем пользователям — выполнение команды control sudo public (не рекомендуется!).
Настройка
Для того, чтобы настроить работу sudo , необходимо с применением административных привилегий отредактировать файл /etc/sudoers при помощи специальной команды visudo [2] и внести туда записи о том, каким пользователям какие команды можно выполнять.
user ALL = (ALL) ALL aptu ALL = NOPASSWD: /usr/bin/apt-get update
Позволяет пользователю user запускать все приложения с правами суперпользователя (root), а пользователю aptu — только apt-get update притом пользователь user при выполнении команд должен будет вводить пароль от своей учётной записи, а у пользователя aptu пароль не будет спрашиваться при выполнении sudo apt-get update .
Полная документация по формату конфигурационного файла находится в man-странице sudoers, начинать читать может быть проще с секции EXAMPLES.
Примечания
- ↑ Существует рекомендация известного эксперта в области ИТ-безопасности Александра Песляка (Solar Designer) не использовать sudo
- ↑ Любителям mcedit : всё-таки базовое знание vi весьма полезно, но если очень хочется — переопределите переменную окружения EDITOR
Ссылки
sudo
Команда sudo может использоваться [1] для выполнения пользователем какой-либо команды, требующей права суперпользователя (root), то есть получение прав root для выполнения какой-либо команды на время её выполнения.
Перед выполнением команды sudo запрашивает пароль пользователя, а не пароль root, как у команды su — .
После выполнения sudo существует временной отрезок, в течение которого повторное выполнение команды sudo не требует пароль (что удобно для взлома вашего компьютера со стороны rootkits и хакерских атак).
С другой стороны, команда sudo удобна для распределения прав между несколькими администраторами компьютера (например, кому можно обновлять и устанавливать программы, а кому настраивать работу аппаратуры компьютера), не предоставляя прав root на все другие действия и не выдавая пользователю пароля root.
Особенности sudo в дистрибутивах ALT Linux
Штатным способом временного получения прав root в большинстве дистрибутивах ALT Linux, является команда su -. Команда sudo в большинстве дистрибутивов ALT Linux требует предварительной настройки, так как в /etc/sudoers не описан ни один пользователь, включая root. Исключением является дистрибутив Simply, где sudo уже настроена для первого пользователя. В дополнение к /etc/sudoers могут использоваться отдельные файлы из каталога /etc/sudoers.d/ .
Для ограничения прав на выполнение самой команды sudo используется особый механизм control .
Настройка control для работы sudo
В ALT Linux sudo используется фреймворк control, который задаёт права на выполнение команды sudo .
С его помощью можно дать или отнять права на использование команды sudo .
Возможные значения control sudo можно посмотреть командой control sudo help :
На текущий момент существуют следующие политики у команды sudo :
public — любой пользователь может получить доступ к команде /usr/bin/sudo wheelonly — только пользователи из группы wheel имеют право получить доступ к команде /usr/bin/sudo restricted — только root имеет право выполнять команду /usr/bin/sudo
Штатное состояние политики:
Означает что пользователь из группы wheel имеет право запускать саму команду sudo , но не означает, что он через sudo может выполнить какую-то команду с правами root.
Для разрешения получения прав на выполнение конкретных команд с правами root надо отредактировать настройки правил /etc/sudoers [2] при помощи специальной команды visudo (которая не портит права на файлы):
Грубая настройка sudo
Раскомментировать (убрать ‘#’ в начале строки) в /etc/sudoers строчку, дав права выполнять через sudo любую команду с любого компьютера (например через ssh), пользователям входящим в группу wheel, запрашивая их пароль:
С точки зрения безопасности правильнее давать права на выполнение sudo не всей группе wheel, а конкретному пользователю, например petya, входящего в группу localhost:
и не на все команды , а на те, которые ему необходимы для быстрого получения прав root:
petya localhost=(ALL) /usr/bin/apt-get,/usr/bin/rpm,/sbin/fdisk
Это особенно важно потому, что после выполнения команды sudo с запросом пароля есть определённый временный отрезок, в течение которого sudo выполняет следующие команды, не запрашивая повторно пароль пользователя.
Также может понадобиться добавление требуемых пользователей в группу wheel (созданный при установке системы аккаунт добавляется в неё автоматически, можно посмотреть в /etc/group ):
# gpasswd -a имя_пользователя wheel
Примечание: Для быстрого разрешения запуска произвольной программы пользователям группы wheel можно выполнить под правами суперпользователя:
# control sudowheel enabled
Тонкая настройка sudo
Для того, чтобы настроить работу sudo, необходимо с применением административных привилегий отредактировать файл /etc/sudoers при помощи специальной команды visudo (подробности смотри выше) и внести туда записи о том, каким пользователям какие команды можно выполнять.
user1 ALL = (ALL) ALL user1 ALL = NOPASSWD: /usr/bin/apt-get update
Позволяет пользователю user1 запускать все приложения через sudo с правами суперпользователя (root) с запросом пароля, а при выполнении команды sudo apt-get update пароль не будет спрашиваться.
Полная документация по формату конфигурационного файла находится в man-странице sudoers, начинать читать может быть проще с секции EXAMPLES.
Примечания
- ↑ Существует рекомендация известного эксперта в области ИТ-безопасности Александра Песляка (Solar Designer) не использовать sudo
- ↑ Здесь используется редактор mcedit, по умолчанию используется vi , но базовый навык работы с vi весьма полезен, для его получения установите и запустите команду vimtutor