Как добавить пользователя в файл sudoers в Linux

Опубликовано: 2022-11-02
Ноутбук Linux с приглашением bash
Фатмавати Ачмад Заэнури/Shutterstock.com
Если вам говорят, что пользователь «не находится в файле sudoers», вы можете предоставить пользователю полные привилегии sudo с помощью команды usermod. Чтобы контролировать, что пользователь может делать с помощью sudo, отредактируйте файл sudoers с помощью visudo.

Люди, которые могут использовать команду Linux sudo , являются членами небольшого и избранного клуба, иногда называемого списком «sudoers». Каждый участник имеет те же полномочия, что и root . Так как же вступить в этот клуб? Мы рассмотрим добавление человека в sudoers, а также редактирование файла sudoers для ограничения разрешений.

Оглавление

sudo: ваше сверхмощное альтер-эго
Файл sudoers и visudo
Добавить нового пользователя sudo в Ubuntu и других дистрибутивах Linux
Ограничьте привилегии sudo, отредактировав файл sudoers
Тот, кто держит эту команду

sudo: ваше сверхмощное альтер-эго

В установках Linux пользователь root является пользователем с самыми высокими привилегиями. Они могут выполнять любые административные задачи, получать доступ к любому файлу независимо от того, кто им фактически владеет, а также могут создавать, манипулировать и даже удалять других пользователей.

Этот уровень силы опасен. Если root сделает ошибку, результаты могут быть катастрофическими. У них есть возможность монтировать и размонтировать файловые системы, а также полностью перезаписывать их. Гораздо более безопасный способ работы — никогда не входить в систему как root .

8 способов настроить и настроить Sudo в Ubuntu
СВЯЗАННЫЕ 8 способов настройки и настройки Sudo в Ubuntu

Назначенные пользователи могут использовать sudo , чтобы временно получить административные полномочия, выполнить требуемое действие, а затем вернуться в свое обычное, непривилегированное состояние. Это безопаснее, потому что вы сознательно взываете к своим высшим силам, когда они вам нужны, и пока вы сосредоточены на том, что вам нужно.

Команда sudo — это Linux-эквивалент крика «Shazam». Когда страшные вещи заканчиваются, вы отказываетесь от своего сверхмощного альтер-эго и возвращаетесь к своему обычному скучному «я».

Вход в систему с root отключен по умолчанию в большинстве современных дистрибутивов, но его можно восстановить. Использование учетной записи root для повседневной работы нецелесообразно. Ошибки, которые обычно влияют на одного пользователя или которые будут полностью заблокированы из-за недостаточных привилегий, могут выполняться беспрепятственно, если их выдает root .

Современные дистрибутивы Linux предоставляют привилегии sudo учетной записи пользователя, созданной на этапах установки или настройки после установки. Если кто-то еще попытается использовать sudo , он увидит предупреждающее сообщение, подобное этому:

 mary нет в файле sudoers. Об этом инциденте будет сообщено.

Это кажется достаточно простым. Наш пользователь mary не может использовать sudo , потому что ее нет «в файле sudoers». Итак, давайте посмотрим, как мы можем добавить ее.

СВЯЗАННЫЕ С: Как контролировать доступ sudo в Linux

Файл sudoers и visudo

Прежде чем кто-то сможет использовать команду sudo , нам нужно поработать с файлом sudoers . Здесь перечислены группы пользователей, которые могут использовать sudo . Если нам нужно внести изменения в файл, мы должны его отредактировать.

Файл sudoers должен быть открыт с помощью команды visudo . Это блокирует файл sudoers и предотвращает одновременную попытку внесения изменений двумя людьми. Он также выполняет некоторые проверки работоспособности перед сохранением ваших правок, гарантируя, что они будут правильно проанализированы и синтаксически правильны.

Обратите внимание, что visudo не является редактором, он запускает один из доступных редакторов. В Ubuntu 22.04, Fedora 37 и Manjaro 21 visudo запустила nano. Это может быть не так на вашем компьютере.

Если мы хотим предоставить кому-то доступ к полным привилегиям sudo , нам нужно только сослаться на некоторую информацию из файла sudoers . Если мы хотим быть более детализированными и предоставить нашему пользователю некоторые возможности root , нам нужно отредактировать файл и сохранить изменения.

В любом случае, нам нужно использовать visudo .

СВЯЗАННЫЕ С: Как выйти из редактора Vi или Vim

Добавить нового пользователя sudo в Ubuntu и других дистрибутивах Linux

У нас есть два пользователя, которым нужен доступ к привилегиям root для выполнения своих рабочих ролей. Это Том и Мэри. Мэри должен иметь доступ ко всему, что может сделать root . Тому нужно только устанавливать приложения.

Давайте сначала добавим Мэри в группу sudoers. Нам нужно запустить visudo .

 Судо Визудо

Запуск visudo в Ubuntu Linux

Прокрутите редактор вниз, пока не увидите раздел «Спецификация привилегий пользователя». Ищите комментарий, который говорит что-то вроде «Разрешить членам этой группы выполнять любую команду».

Файл sudoers открывается в редакторе nano.

Нам сказали, что члены группы sudo могут выполнять любую команду. Все, что нам нужно знать в случае Мэри, это название этой группы. Это не всегда sudo ; это может быть wheel или что-то еще. Теперь, когда мы знаем название группы, мы можем закрыть редактор и добавить Мэри в эту группу.

Как изменить данные пользователя с помощью chfn и usermod в Linux
СВЯЗАННЫЕ С : Как изменить данные пользователя с помощью chfn и usermod в Linux

Мы используем команду usermod с параметрами -a (добавлять) и -G (имя группы). Параметр -G позволяет нам назвать группу, в которую мы хотим добавить пользователя, а параметр -a указывает usermod добавить новую группу в список существующих групп, в которых этот пользователь уже состоит.

Если вы не используете параметр -a , единственная группа, в которой будет находиться ваш пользователь, — это только что добавленная группа. Перепроверьте и убедитесь, что вы включили опцию -a .

 sudo usermod -aG sudo mary

Использование usermod для добавления пользователя mary в группу sudo

В следующий раз, когда Мэри войдет в систему, у нее будет доступ к sudo . Мы вошли в систему и пытаемся отредактировать файл таблицы файловой системы «/etc/fstab». Это файл, доступ к которому закрыт для всех, кроме root .

 судо нано /etc/fstab

Использование usermod для добавления пользователя mary в группу sudo

Редактор nano открывается с загруженным файлом «/etc/fstab».

пользователь mary редактирует файл /etc/fstab с помощью sudo

Без привилегий sudo вы сможете открыть это только как файл только для чтения. У Мэри больше нет этих ограничений. Она может сохранить любые сделанные ею изменения.

Закройте редактор и не сохраняйте внесенные вами изменения.

Ограничьте привилегии sudo, отредактировав файл sudoers

Другому нашему пользователю, Тому, будет предоставлено разрешение на установку программного обеспечения, но он не получит всех привилегий, которые были предоставлены Мэри.

Нам нужно отредактировать файл sudoers .

 Судо Визудо

Запуск visudo в Ubuntu Linux

Прокрутите редактор вниз, пока не увидите раздел «Спецификация привилегий пользователя». Ищите комментарий, который говорит что-то вроде «Разрешить членам этой группы выполнять любую команду». Это то самое место в файле, где мы нашли название группы, в которую нужно было добавить Марию.

Добавьте эти строки ниже этого раздела.

 # пользователь tom может устанавливать программы
tom ALL=(корень) /usr/bin/apt

Добавление новых записей в файл sudoers

Первая строка представляет собой простой комментарий. Обратите внимание, что между именем пользователя «tom» и словом «All» есть вкладка.

Вот что означают элементы в строке.

  • tom : имя группы пользователя по умолчанию . Обычно это то же самое, что и имя их учетной записи пользователя.
  • ALL= : Это правило применяется ко всем хостам в этой сети.
  • (root) : Члены группы «tom», то есть пользователь Tom, могут получить привилегии root для перечисленных команд.
  • /usr/bin/apt : это единственная команда, которую пользователь Том может запускать от имени пользователя root .

Мы указали менеджер пакетов apt здесь, потому что на этом компьютере используется Ubuntu Linux. Вам нужно будет заменить это соответствующей командой, если вы используете другой дистрибутив.

Давайте зарегистрируем Тома и посмотрим, получим ли мы ожидаемое поведение. Попробуем отредактировать файл «/etc/fstab».

 судо нано /etc/fstab

Попытка отредактировать файл /etc/fstab без привилегий sudo

Эта команда отклонена, и нам говорят, что «пользователю tom не разрешено выполнять «/usr/bin/nano /etc/fstab» от имени пользователя root…»

Это то, что мы хотели. Предполагается, что пользователь Том может использовать менеджер пакетов apt . Давайте удостоверимся, что они могут это сделать.

 sudo apt установить neofetch

Пользователь Том использует команду apt с помощью sudo

Команда успешно выполнена для Тома.

Тот, кто держит эту команду

Если все ваши пользователи могут использовать sudo , у вас будет хаос. Но стоит продвигать других пользователей, чтобы они могли разделить вашу административную нагрузку. Просто убедитесь, что они достойны, и следите за ними.

Даже если вы единственный пользователь на своем компьютере, стоит рассмотреть возможность создания еще одной учетной записи пользователя и предоставления ей полного доступа к sudo . Таким образом, если вы когда-нибудь обнаружите, что ваша основная учетная запись заблокирована, у вас будет другая учетная запись, с которой вы можете войти, чтобы попытаться исправить ситуацию.

СВЯЗАННЫЕ С: Как просмотреть использование команды sudo в Linux