Както повечето неща на Linux, командата sudo е много конфигурируема. Можете да изпълнявате специфични команди без да поискате парола, да ограничите конкретни потребители само до одобрени команди, команди в дневника, изпълнявани със sudo и др.
Поведението на sudo командата се контролира от файла / etc / sudoers на вашата система. Тази команда трябва да бъде редактирана с командата visudo, която извършва проверка на синтаксиса, за да сте сигурни, че не случайно прекъсвате файла.
Потребителският акаунт, който създавате по време на инсталирането на Ubuntu, е означен като администраторски акаунт, което означава, че той може да използва sudo. Всички допълнителни потребителски профили, които създавате след инсталирането, могат да бъдат администраторски или стандартни потребителски профили. Стандартните потребителски профили нямат разрешения за sudo.
Можете да контролирате типовете потребителски акаунти графично от инструмента за потребителски акаунти на Ubuntu. За да го отворите, кликнете върху потребителското име в панела и изберете Потребителски акаунти или потърсете потребителски акаунти в тирето.
По подразбиране sudo си спомня паролата ви за 15 минути, след като я въведете. Ето защо трябва само да въведете паролата си веднъж, когато изпълнявате няколко команди със sudo в бърза последователност. Ако възнамерявате да позволите на някой друг да използва компютъра ви и искате sudo да поиска паролата, когато тя се изпълнява, изпълнете следната команда и sudo ще забрави паролата ви:
sudo -k
Ако предпочитате да бъдете подканени всеки път, когато използвате sudo - например, ако други хора редовно имат достъп до компютъра ви - можете изцяло да деактивирате поведението за запомняне на паролата.
Тази настройка, както и другите настройки на sudo, се съдържа в файла / etc / sudoers. Стартирайте командата visudo в терминал, за да отворите файла за редактиране:
sudo visudo
Независимо от името си, тази команда е по подразбиране за новия потребителски нано редактор, вместо за традиционния редактор за вируси в Ubuntu.
Добавете следния ред под другите редове по подразбиране във файла:
По подразбиране timestamp_timeout = 0
Натиснете Ctrl + O, за да запазите файла, след което натиснете Ctrl + X, за да затворите Nano. Судо ще ви подканя за парола.
За да зададете различно време за изчакване на паролата - по-дълъг като 30 минути или по-кратък като 5 минути - следвайте стъпките по-горе, но използвайте различна стойност за timestamp_timeout. Номерът съответства на броя минути, които sudo ще запомни за паролата ви. За да запазите sudo паролата си за 5 минути, добавете следния ред:
По подразбиране timestamp_timeout = 5
Можете също да имате sudo никога да не поискате парола - докато сте влезли в системата, всяка команда, която предупреждавате със sudo, ще се изпълнява с коренни разрешения. За да направите това, добавете следния ред към файла sudoers, където потребителското ви име е вашето потребителско име:
потребителско име ALL = (ALL) NOPASSWD: ALL
Можете да промените и реда% sudo - т.е. линията, която позволява на всички потребители в групата sudo (известни също като потребители на администратори) да използват sudo - за да не изискват всички администратори да изискват пароли:
% sudo ALL = (ВСИЧКИ: ВСИЧКИ) NOPASSWD: ВСИЧКИ
Можете също така да зададете конкретни команди, които никога няма да изискват парола, когато се изпълняват със sudo. Вместо да използвате "ALL" след NOPASSWD по-горе, посочете местоположението на командите. Например, следният ред ще позволи на вашия потребителски акаунт да стартира командите apt-get и shutdown без парола.
потребителско име ALL = (ALL) NOPASSWD: / usr / bin / apt-get, / sbin / shutdown
Това може да бъде особено полезно, когато стартирате конкретни команди със sudo в скрипт.
Докато можете да черните списъци на конкретни команди и да се предотврати използването на потребители с sudo, това не е много ефективно. Например, можете да укажете, че потребителският акаунт няма да може да изпълнява командата за изключване с sudo. Но този потребителски акаунт може да стартира командата cp с sudo, да създаде копие на командата за изключване и да изключи системата чрез копиране.
По-ефективен начин е бял списък на конкретни команди. Например можете да дадете на стандартния потребителски акаунт разрешение да използвате командите на apt-get и shutdown, но не повече. За да направите това, добавете следния ред, където standarduser е потребителското име на потребителя:
standarduser ALL = / usr / bin / apt-get, / sbin / shutdown
Следващата команда ще ни каже кои команди може да изпълни с sudo:
sudo -U standarduser -l
Можете да регистрирате целия достъп до sudo, като добавите следния ред. / var / log / sudo е само пример; можете да използвате всяко местоположение на лог файл, което ви харесва.
Фабричните настройки са: logfile = / var / log / sudo
Преглеждайте съдържанието на журналния файл с команда като тази:
sudo котка / var / log / sudo
Имайте предвид, че ако потребителят има неограничен достъп до sudo, този потребител има възможността да изтрие или модифицира съдържанието на този файл. Потребител може също така да осъществи достъп до root команда със sudo и да изпълни команди, които няма да бъдат записани. Функцията за регистриране е най-полезна, когато е свързана с потребителски акаунти, които имат ограничен достъп до подмножество системни команди.
