Как добавить пользователя в файл sudoers в Linux
Если вам говорят, что пользователь «не находится в файле sudoers», вы можете предоставить пользователю полные привилегии sudo с помощью команды usermod. Чтобы контролировать, что пользователь может делать с помощью sudo, отредактируйте файл sudoers с помощью visudo.
Люди, которые могут использовать команду Linux sudo, являются членами небольшого и избранного клуба, иногда называемого списком «sudoers». Каждый участник имеет те же полномочия, что и root. Так как же вступить в этот клуб? Мы рассмотрим добавление человека в sudoers, а также редактирование файла sudoers для ограничения разрешений.
sudo: ваше сверхмощное альтер-эго
Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)
В установках Linux пользователь root является пользователем с самыми высокими привилегиями. Они могут выполнять любые административные задачи, получать доступ к любому файлу, независимо от того, кто им фактически владеет, а также могут создавать, манипулировать и даже удалять других пользователей.
Этот уровень силы опасен. Если root сделает ошибку, результаты могут быть катастрофическими. У них есть возможность монтировать и размонтировать файловые системы, а также полностью перезаписывать их. Гораздо более безопасный способ работы — никогда не входить в систему как пользователь root.
Назначенные пользователи могут использовать sudo, чтобы временно получить административные полномочия, выполнить требуемое действие, а затем вернуться в свое обычное, непривилегированное состояние. Это безопаснее, потому что вы сознательно взываете к своим высшим силам, когда они вам нужны, и пока вы сосредоточены на выполнении того, что требует их.
Команда sudo — это Linux-эквивалент крика «Shazam». Когда страшные вещи заканчиваются, вы отказываетесь от своего сверхмощного альтер-эго и возвращаетесь к своему обычному скучному «я».
Вход в систему с правами root отключен по умолчанию в большинстве современных дистрибутивов, но его можно восстановить. Использование учетной записи root для повседневной работы нецелесообразно. Ошибки, которые обычно влияют на одного пользователя или которые будут полностью заблокированы из-за недостаточных привилегий, могут выполняться беспрепятственно, если их допускает root.
Современные дистрибутивы Linux предоставляют привилегии sudo учетной записи пользователя, созданной на этапах установки или настройки после установки. Если кто-то еще попытается использовать sudo , он увидит предупреждающее сообщение, подобное этому:
mary нет в файле sudoers. Об этом инциденте будет сообщено.
Это кажется достаточно простым. Наш пользователь mary не может использовать sudo, потому что ее нет «в файле sudoers». Итак, давайте посмотрим, как мы можем добавить ее.
Файл sudoers и visudo
Прежде чем кто-то сможет использовать команду sudo, нам нужно поработать с файлом sudoers. Здесь перечислены группы пользователей, которые могут использовать sudo. Если нам нужно внести изменения в файл, мы должны его отредактировать.
Файл sudoers должен открыть с помощью команды visudo. Это блокирует файл sudoers и предотвращает одновременную попытку внесения изменений двумя людьми. Он также выполняет некоторые проверки работоспособности перед сохранением ваших правок, гарантируя, что они будут правильно проанализированы и синтаксически правильны.
Обратите внимание, что visudo не является редактором, он запускает один из доступных редакторов. В Ubuntu 22.04, Fedora 37 и Manjaro 21 visudo запустила nano. Это может быть не так на вашем компьютере.
Если мы хотим предоставить кому-то доступ к полным привилегиям sudo, нам нужно только сослаться на некоторую информацию из файла sudoers. Если мы хотим быть более детализированными и предоставить нашему пользователю некоторые возможности root, нам нужно отредактировать файл и сохранить изменения.
В любом случае, нам нужно использовать visudo.
Добавить нового пользователя sudo в Ubuntu и других дистрибутивах Linux
У нас есть два пользователя, которым нужен доступ к привилегиям root для выполнения своих рабочих ролей. Это Том и Мэри. Мэри должен иметь доступ ко всему, что может сделать root. Тому нужно только устанавливать приложения.
Давайте сначала добавим Мэри в группу sudoers. Нам нужно запустить visudo.
Судо Визудо
Прокрутите редактор вниз, пока не увидите раздел «Спецификация привилегий пользователя». Ищите комментарий, который говорит что-то вроде «Разрешить членам этой группы выполнять любую команду».
Нам сказали, что члены группы sudo могут выполнять любую команду. Все, что нам нужно знать в случае Мэри, это название этой группы. Это не всегда sudo ; это может быть колесо или что-то еще. Теперь, когда мы знаем название группы, мы можем закрыть редактор и добавить Мэри в эту группу.
Мы используем команду usermod с параметрами -a (добавлять) и -G (имя группы). Опция -G позволяет нам назвать группу, в которую мы хотим добавить пользователя, а опция -a указывает usermod добавить новую группу в список существующих групп, в которых уже состоит этот пользователь.
Если вы не используете параметр -a, единственная группа, в которой будет находиться ваш пользователь, — это только что добавленная группа. Перепроверьте и убедитесь, что вы включили опцию -a.
sudo usermod -aG sudo mary
В следующий раз, когда Мэри войдет в систему, у нее будет доступ к sudo. Мы вошли в систему и пытаемся отредактировать файл таблицы файловой системы «/etc/fstab». Это файл, доступ к которому закрыт для всех, кроме root.
судо нано /etc/fstab
Редактор nano открывается с загруженным файлом «/etc/fstab».
Без привилегий sudo вы сможете открыть это только как файл только для чтения. У Мэри больше нет этих ограничений. Она может сохранить любые сделанные ею изменения.
Закройте редактор и не сохраните любые изменения, которые вы, возможно, сделали.
Ограничьте привилегии sudo, отредактировав файл sudoers
Другому нашему пользователю, Тому, будет предоставлено разрешение на установку программного обеспечения, но он не получит всех привилегий, которые были предоставлены Мэри.
Нам нужно отредактировать файл sudoers.
Судо Визудо
Прокрутите редактор вниз, пока не увидите раздел «Спецификация привилегий пользователя». Ищите комментарий, который говорит что-то вроде «Разрешить членам этой группы выполнять любую команду». Это то самое место в файле, где мы нашли название группы, в которую нужно было добавить Марию.
Добавьте эти строки ниже этого раздела.
# пользователь tom может устанавливать программное обеспечение tom ALL=(root) /usr/bin/apt
Первая строка представляет собой простой комментарий. Обратите внимание, что между именем пользователя «tom» и словом «All» есть вкладка.
Вот что означают элементы в строке.
- tom: имя пользователя группа по умолчанию. Обычно это то же самое, что и имя их учетной записи пользователя.
- ALL=: Это правило применяется ко всем хостам в этой сети.
- (root): Члены группы «tom», то есть пользователь Tom, могут получить привилегии root для перечисленных команд.
- /usr/bin/apt: это единственная команда, которую пользователь Том может запускать от имени пользователя root.
Мы указали менеджер пакетов apt здесь, потому что на этом компьютере используется Ubuntu Linux. Вам нужно будет заменить это соответствующей командой, если вы используете другой дистрибутив.
Давайте зарегистрируем Тома и посмотрим, получим ли мы ожидаемое поведение. Попробуем отредактировать файл «/etc/fstab».
судо нано /etc/fstab
Эта команда отклонена, и нам говорят, что «пользователю tom не разрешено выполнять «/usr/bin/nano /etc/fstab» от имени пользователя root…»
Это то, что мы хотели. Предполагается, что пользователь Том может использовать менеджер пакетов apt. Давайте удостоверимся, что они могут это сделать.
sudo apt установить neofetch
Команда успешно выполнена для Тома.
Тот, кто держит эту команду
Если все ваши пользователи смогут использовать sudo, у вас будет хаос. Но стоит продвигать других пользователей, чтобы они могли разделить вашу административную нагрузку. Просто убедитесь, что они достойны, и следите за ними.
Даже если вы единственный пользователь на своем компьютере, стоит рассмотреть возможность создания еще одной учетной записи пользователя и предоставления ей полного доступа к sudo. Таким образом, если вы когда-нибудь обнаружите, что ваша основная учетная запись заблокирована, у вас будет другая учетная запись, с которой вы можете войти, чтобы попытаться исправить ситуацию.
Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)