Zoals de meeste dingen op Linux, is het sudo-commandozeer configureerbaar. U kunt sudo specifieke opdrachten laten uitvoeren zonder om een wachtwoord te vragen, specifieke gebruikers beperken tot alleen goedgekeurde opdrachten, logopdrachten laten uitvoeren met sudo en meer.
Het gedrag van de sudo-opdracht wordt bepaald door de/ etc / sudoers-bestand op uw systeem. Deze opdracht moet worden bewerkt met de visudo-opdracht, die de syntaxis controleert om ervoor te zorgen dat u het bestand niet per ongeluk breekt.
Specificeer gebruikers met Sudo-machtigingen
Het gebruikersaccount dat u tijdens het installeren aanmaaktUbuntu is gemarkeerd als een beheerdersaccount, wat betekent dat het sudo kan gebruiken. Alle extra gebruikersaccounts die u na de installatie aanmaakt, kunnen beheerders- of standaardgebruikersaccounts zijn - standaardgebruikersaccounts hebben geen sudo-machtigingen.
U kunt typen gebruikersaccounts grafisch beheren via de tool Gebruikersaccounts van Ubuntu. Om het te openen, klikt u op uw gebruikersnaam in het paneel en selecteert u Gebruikersaccounts of zoekt u naar Gebruikersaccounts in het streepje.
Laat Sudo uw wachtwoord vergeten
Standaard onthoudt sudo uw wachtwoord voor 15minuten nadat je het hebt getypt. Dit is de reden waarom u uw wachtwoord maar één keer hoeft in te voeren wanneer u meerdere opdrachten snel achter elkaar uitvoert met sudo. Als u op het punt staat iemand anders uw computer te laten gebruiken en u wilt dat sudo om het wachtwoord vraagt wanneer het de volgende keer wordt uitgevoerd, voert u de volgende opdracht uit en sudo zal uw wachtwoord vergeten:
sudo –k
Vraag altijd om een wachtwoord
Als u liever elke keer dat u sudo gebruikt hierom wordt gevraagd, bijvoorbeeld als andere mensen regelmatig toegang tot uw computer hebben, kunt u het gedrag voor het onthouden van wachtwoorden volledig uitschakelen.
Deze instelling is, net als andere sudo-instellingen, opgenomen in het bestand / etc / sudoers. Voer de visudo-opdracht uit in een terminal om het bestand te openen voor bewerking:
sudo visudo
Ondanks zijn naam is dit commando standaard ingesteld op de nieuwe gebruiksvriendelijke nano-editor in plaats van de traditionele vi-editor op Ubuntu.
Voeg de volgende regel toe onder de andere Defaults-regels in het bestand:
Standaard timestamp_timeout = 0
Druk op Ctrl + O om het bestand op te slaan en druk vervolgens op Ctrl + X om Nano te sluiten. Sudo zal u nu altijd om een wachtwoord vragen.
Wijzig de time-out voor het wachtwoord
Om een andere time-out voor het wachtwoord in te stellen: aeen langere zoals 30 minuten of een kortere zoals 5 minuten - volg de bovenstaande stappen maar gebruik een andere waarde voor timestamp_timeout. Het nummer komt overeen met het aantal minuten dat sudo uw wachtwoord onthoudt. Om sudo uw wachtwoord 5 minuten te laten onthouden, voegt u de volgende regel toe:
Standaard timestamp_timeout = 5
Vraag nooit om een wachtwoord
Je kunt sudo ook nooit om een wachtwoord vragen -zolang u bent aangemeld, wordt elke opdracht die u voorvoegsel met sudo gebruikt, uitgevoerd met rootrechten. Om dit te doen, voegt u de volgende regel toe aan uw sudoers-bestand, waarbij gebruikersnaam uw gebruikersnaam is:
gebruikersnaam ALL = (ALL) NOPASSWD: ALL
U kunt ook de regel% sudo wijzigen - dat wil zeggen de regel waarmee alle gebruikers in de sudo-groep (ook bekend als Administrator-gebruikers) sudo kunnen gebruiken - zodat alle Administrator-gebruikers geen wachtwoorden nodig hebben:
% sudo ALL = (ALL: ALL) NOPASSWD: ALL
Voer specifieke opdrachten uit zonder wachtwoord
U kunt ook specifieke opdrachten specificeren die zullenvereist nooit een wachtwoord bij het uitvoeren met sudo. In plaats van “ALL” te gebruiken na NOPASSWD hierboven, specificeert u de locatie van de commando's. Met de volgende regel kan uw gebruikersaccount bijvoorbeeld de opdrachten apt-get en shutdown uitvoeren zonder wachtwoord.
gebruikersnaam ALL = (ALL) NOPASSWD: / usr / bin / apt-get, / sbin / shutdown
Dit kan met name handig zijn bij het uitvoeren van specifieke opdrachten met sudo in een script.
Sta een gebruiker toe om alleen specifieke opdrachten uit te voeren
Terwijl u specifieke opdrachten envoorkomen dat gebruikers ze met sudo uitvoeren, dit is niet erg effectief. U kunt bijvoorbeeld specificeren dat een gebruikersaccount de afsluitopdracht niet kan uitvoeren met sudo. Maar dat gebruikersaccount zou de cp-opdracht met sudo kunnen uitvoeren, een kopie van de afsluitopdracht kunnen maken en het systeem kunnen afsluiten met behulp van de kopie.
Een effectievere manier is om specifiekecommando's. U kunt bijvoorbeeld een standaardgebruikersaccount toestemming geven om de opdrachten apt-get en shutdown te gebruiken, maar niet meer. Voeg hiervoor de volgende regel toe, waarbij standarduser de gebruikersnaam van de gebruiker is:
standarduser ALL = / usr / bin / apt-get, / sbin / shutdown
De volgende opdracht vertelt ons welke opdrachten de gebruiker kan uitvoeren met sudo:
sudo -U standaardgebruiker –l
Sudo Access loggen
U kunt alle sudo-toegang loggen door de volgende regel toe te voegen. / var / log / sudo is slechts een voorbeeld; u kunt elke gewenste logbestandslocatie gebruiken.
Standaard logfile = / var / log / sudo
Bekijk de inhoud van het logbestand met een commando als dit:
sudo cat / var / log / sudo
Houd er rekening mee dat als een gebruiker geen beperkingen heeftsudo access, heeft die gebruiker de mogelijkheid om de inhoud van dit bestand te verwijderen of te wijzigen. Een gebruiker kan ook toegang krijgen tot een root-prompt met sudo en opdrachten uitvoeren die niet worden geregistreerd. De logging-functie is vooral handig in combinatie met gebruikersaccounts die beperkte toegang hebben tot een subset van systeemopdrachten.
