22Aug
Zoals de meeste dingen op Linux, is de opdracht sudo erg configureerbaar. U kunt sudo specifieke opdrachten laten uitvoeren zonder om een wachtwoord te vragen, specifieke gebruikers beperken tot alleen goedgekeurde opdrachten, logopdrachten die met sudo worden uitgevoerd en meer.
Het gedrag van de sudo-opdracht wordt beheerd door het sudoers-bestand /etc/ op uw systeem. Deze opdracht moet worden bewerkt met de opdracht visudo, die de syntaxis controleert om ervoor te zorgen dat u het bestand niet per ongeluk verbreekt.
Geef gebruikers met Sudo-rechten op
Het gebruikersaccount dat u maakt tijdens de installatie van Ubuntu wordt gemarkeerd als een beheerdersaccount, wat betekent dat het sudo kan gebruiken. Alle extra gebruikersaccounts die u na de installatie maakt, kunnen beheerders- of standaardgebruikersaccounts zijn - standaardgebruikersaccounts hebben geen sudo-rechten.
U kunt gebruikersaccounttypen grafisch beheren vanuit het hulpprogramma Gebruikersaccounts van Ubuntu. Om dit te openen, klikt u op uw gebruikersnaam in het paneel en selecteert u Gebruikersaccounts of zoekt u naar Gebruikersaccounts in het dashboard.
Make Sudo Forget Your Password
Standaard onthoudt sudo uw wachtwoord gedurende 15 minuten nadat u het hebt getypt. Dit is de reden waarom je maar één keer je wachtwoord hoeft te typen als je meerdere opdrachten met sudo snel achter elkaar uitvoert. Als u iemand anders uw computer laat gebruiken en u wilt dat sudo het wachtwoord vraagt wanneer het daarna wordt uitgevoerd, voert u de volgende opdracht uit en zal sudo uw wachtwoord vergeten:
sudo -k
Altijd een wachtwoord vragen
Als uer wordt steeds gevraagd wanneer je sudo gebruikt, bijvoorbeeld als andere mensen regelmatig toegang hebben tot je computer, dan kun je het gedrag dat het wachtwoord onthoud volledig uitschakelen.
Deze instelling bevindt zich, net als andere sudo-instellingen, in het sudoers-bestand /etc/.Voer de visudo-opdracht in een terminal uit om het te bewerken bestand te openen:
sudo visudo
Ondanks zijn naam staat dit commando standaard op de nieuw-gebruikersvriendelijke nano-editor in plaats van de traditionele vi-editor op Ubuntu.
Voeg de volgende regel toe onder de andere standaardinstellingen in het bestand:
Defaults timestamp_timeout = 0
Druk op Ctrl + O om het bestand op te slaan en druk vervolgens op Ctrl + X om Nano te sluiten. Sudo vraagt nu altijd om een wachtwoord.
De wachtwoord-time-out wijzigen
Om een andere time-out voor het wachtwoord in te stellen - een langere wachttijd zoals 30 minuten of een kortere tijd van 5 minuten - volgt u de bovenstaande stappen maar gebruikt u een andere waarde voor timestamp_timeout. Het nummer komt overeen met het aantal minuten dat sudo uw wachtwoord zal onthouden. Om sudo je wachtwoord 5 minuten te laten onthouden, voeg je de volgende regel toe:
Default timestamp_timeout = 5
Nooit vragen om een wachtwoord
Je kunt sudo ook nooit om een wachtwoord vragen - zolang je ingelogd bent, moet elke opdracht die jevoorvoegsel met sudo wordt uitgevoerd met hoofdmachtigingen. Hiertoe voegt u de volgende regel toe aan uw sudoers-bestand, waarbij uw gebruikersnaam uw gebruikersnaam is:
gebruikersnaam ALL =( ALL) NOPASSWD: ALL
U kunt ook de% sudo-regel wijzigen, dat wil zeggen, de regel waarmee alle gebruikers in desudo-groep( ook wel Administrator-gebruikers genoemd) om sudo te gebruiken - om alle beheerders-gebruikers geen wachtwoorden te laten gebruiken:
% sudo ALL =( ALL: ALL) NOPASSWD: ALL
Voer specifieke opdrachten uit zonder wachtwoord
U kunt ook specifieke opdrachten opgeven diezal nooit een wachtwoord vereisen wanneer het wordt uitgevoerd met sudo. In plaats van "ALLE" te gebruiken na NOPASSWD hierboven, geeft u de locatie van de opdrachten op. Met de volgende regel kan uw gebruikersaccount bijvoorbeeld de opdrachten apt-get en shutdown uitvoeren zonder wachtwoord.
gebruikersnaam ALL =( ALL) NOPASSWD: /usr/bin/ apt-get, /sbin/ shutdown
Dit kan bijzonder handig zijn bij het uitvoeren van specifieke opdrachten met sudo in een script.
Sta een gebruiker toe om alleen specifieke commando's uit te voeren
Hoewel je specifieke commando's kunt blacklisten en voorkomen dat gebruikers ze met sudo uitvoeren, is dit niet erg effectief. U zou bijvoorbeeld kunnen aangeven dat een gebruikersaccount de opdracht shutdown niet met sudo kan uitvoeren. Maar dat gebruikersaccount kan de cp-opdracht uitvoeren met sudo, een kopie van de afsluitopdracht maken en het systeem afsluiten met behulp van de kopie.
Een effectievere manier is om specifieke opdrachten op de witte lijst te plaatsen. U kunt bijvoorbeeld een standaardgebruikersaccount toestemming geven om de opdrachten apt-get en shutdown te gebruiken, maar niet meer. Hiertoe voegt u de volgende regel toe, waarbij standaardgebruiker de gebruikersnaam van de gebruiker is:
standaardgebruiker ALL = /usr/bin/ apt-get, /sbin/ shutdown
De volgende opdracht zal ons vertellen welke commando's de gebruiker kan uitvoeren met sudo:
sudo -U standarduser -l
Logboekregistratie Sudo Access
U kunt alle sudo-toegang registreren door de volgende regel toe te voegen. /var/log/ sudo is slechts een voorbeeld;u kunt elke gewenste logbestandslocatie gebruiken.
Defaults logfile = /var/log/ sudo
Bekijk de inhoud van het logbestand met een opdracht als deze:
sudo cat /var/log/ sudo
Houd er rekening mee dat, als een gebruiker onbeperkte sudo-toegang heeft, die gebruiker de mogelijkheid heeft om de sudo-kat te verwijderen of aan te passen.inhoud van dit bestand. Een gebruiker kan ook toegang krijgen tot een root-prompt met sudo en opdrachten uitvoeren die niet zouden worden vastgelegd. De logfunctie is vooral handig in combinatie met gebruikersaccounts die beperkte toegang hebben tot een subset van systeemopdrachten.