Munurinn á su og sudo og hvernig á að stilla sudo í Linux

Linux kerfið er miklu öruggt en nokkur hliðstæða þess. Ein leiðin til að innleiða öryggi í Linux er notendastjórnunarstefnan og notendaheimildir og venjulegir notendur hafa ekki heimild til að framkvæma neinar kerfisaðgerðir.

Ef venjulegur notandi þarf að framkvæma kerfisbreytingar þarf hann að nota annað hvort 'su' eða 'sudo' skipunina.

ATHUGIÐ - Þessi grein á meira við um Ubuntu byggðar dreifingar, en á einnig við um flestar vinsælustu Linux dreifingarnar.

'su' neyðir þig til að deila rótarlykilorðinu þínu með öðrum notendum á meðan 'sudo' gerir það mögulegt að framkvæma kerfisskipanir án rótar lykilorðs. 'sudo' gerir þér kleift að nota þitt eigið lykilorð til að framkvæma kerfisskipanir, þ.e. felur kerfisábyrgð án rót lykilorðs.

'sudo' er rót tvöfaldur setuid, sem framkvæmir rót skipanir fyrir hönd viðurkenndra notenda og notendur þurfa að slá inn eigið lykilorð til að framkvæma kerfisskipun og síðan 'sudo'.

Við getum keyrt '/usr/sbin/visudo'til að bæta við/fjarlægja lista yfir notendur sem geta keyrt 'sudo'.

$ sudo /usr/sbin/visudo

Skjáskot af '/usr/sbin/visudo' skránni lítur eitthvað svona út:

Sudo listinn lítur út eins og strengurinn hér að neðan, sjálfgefið:

root ALL=(ALL) ALL

Athugið: Þú verður að vera rót til að breyta /usr/sbin/visudo skrá.

Í mörgum tilfellum finnur kerfisstjóri, sem er sérstaklega nýr á þessu sviði, strenginn „root ALL=(ALL) ALL“ sem sniðmát og veitir öðrum ótakmarkaðan aðgang sem gæti verið mjög skaðlegt.

Að breyta ‘/usr/sbin/visudo’ skránni í eitthvað eins og mynstrið hér að neðan getur í raun verið mjög hættulegt, nema þú trúir öllum notendum á listanum alveg.

root ALL=(ALL) ALL
adam ALL=(ALL) ALL
tom ALL=(ALL) ALL
mark ALL=(ALL) ALL

Rétt stillt „sudo“ er mjög sveigjanlegt og fjöldi skipana sem þarf að keyra gæti verið nákvæmlega stilltur.

Setningafræði stilltrar 'sudo' línu er:

User_name Machine_name=(Effective_user) command

Ofangreind setningafræði má skipta í fjóra hluta:

  1. User_name: Þetta er nafn „sudo“ notanda.
  2. Vélarnafn: Þetta er hýsilnafnið, þar sem 'sudo' skipunin er gild. Gagnlegt þegar þú ert með fullt af vélum.
  3. (Effective_user): „Árangursríkur notandi“ sem hefur leyfi til að framkvæma skipanirnar. Þessi dálkur gerir þér kleift að gera notendum kleift að framkvæma kerfisskipanir.
  4. Skýring: skipun eða sett af skipunum sem notandi getur keyrt.

Sumar aðstæðurnar og samsvarandi „sudo“ lína þeirra:

Q1. Þú ert með notandamerki sem er gagnagrunnsstjóri. Þú átt aðeins að veita honum allan aðgang á gagnagrunnsþjóninum (beta.database_server.com) en ekki á neinum hýsingaraðila.

Fyrir ofangreindar aðstæður má skrifa 'sudo' línuna sem:

mark beta.database_server.com=(ALL) ALL

Q2. Þú ert með notanda „tom“ sem á að framkvæma kerfisskipun sem notandi annan en rót á sama gagnagrunnsþjóni, hér að ofan útskýrt.

Fyrir ofangreindar aðstæður má skrifa 'sudo' línuna sem:

mark beta.database_server.com=(tom) ALL

Q3. Þú ert með sudo notanda 'cat' sem á aðeins að keyra skipunina 'dog'.

Til að útfæra ofangreindar aðstæður getum við skrifað „sudo“ sem:

mark beta.database_server.com=(cat) dog

Q4. Hvað ef það þarf að veita notandanum nokkrar skipanir?

Ef fjöldi skipana sem notandi á að keyra er undir 10, getum við sett allar skipanir við hliðina, með hvítu bili á milli þeirra, eins og sýnt er hér að neðan:

mark beta.database_server.com=(cat) /usr/bin/command1 /usr/sbin/command2 /usr/sbin/command3 ...

Ef þessi listi yfir skipanir er breytilegur eftir sviðum, þar sem það er bókstaflega ekki hægt að slá hverja skipun handvirkt, þurfum við að nota alias. Samheiti! Já, Linux tólið þar sem hægt er að vísa til langrar skipunar eða lista yfir skipanir sem lítið og auðvelt leitarorð.

Nokkur alias dæmi, sem hægt er að nota í stað færslu í „sudo“ stillingarskrá.

User_Alias ADMINS=tom,jerry,adam
user_Alias WEBMASTER=henry,mark
WEBMASTERS WEBSERVERS=(www) APACHE
Cmnd_Alias PROC=/bin/kill,/bin/killall, /usr/bin/top

Það er hægt að tilgreina kerfishópa, í stað notenda, sem tilheyra þeim hópi með því að bæta við „%“ eins og hér að neðan:

%apacheadmin WEBSERVERS=(www) APACHE

Q5. Hvað með að framkvæma ‘sudo‘ skipun án þess að slá inn lykilorð?

Við getum framkvæmt „sudo“ skipun án þess að slá inn lykilorð með því að nota „NOPASSWD“ fána.

adam ALL=(ALL) NOPASSWD: PROCS

Hér getur notandinn 'adam' framkvæmt allar skipanir undir nafninu PROCS, án þess að slá inn lykilorð.

\sudo veitir þér öflugt og öruggt umhverfi með miklum sveigjanleika miðað við 'su'. Þar að auki er sudo uppsetning auðveld. Sumar Linux dreifingar hafa sjálfgefið \sudo virkt á meðan flestar dreifingar nútímans þurfa að gera það virkt sem öryggisráðstöfun.

Til að bæta notanda (bob) við sudo skaltu bara keyra skipunina hér að neðan sem rót.

adduser bob sudo

Það er allt í bili. Ég kem hér aftur með aðra áhugaverða grein. Fylgstu með og tengdu við Tecmint þangað til. Ekki gleyma að veita okkur verðmæta endurgjöf þína í athugasemdahlutanum okkar.