imatge

Com la majoria de les coses de Linux, l'ordre sudo és molt configurable. Podeu tenir comandes específiques per a executar sudo sense demanar contrasenya, restringir els usuaris específics només a les comandes aprovades, les ordres de registre que s’executen amb sudo i molt més.

El comportament del comandament sudo està controlat pel fitxer / etc / sudoers del vostre sistema. Aquesta ordre s'ha d'editar amb la comanda visudo, que realitza la verificació de sintaxi per assegurar-vos que no trenqueu el fitxer accidentalment.

Especifiqueu els usuaris amb permisos Sudo

El compte d’usuari que creeu mentre s’instal·la Ubuntu es marca com a compte d’administrador, cosa que significa que pot utilitzar sudo. Tots els comptes d’usuari addicionals que creeu després de la instal·lació poden ser comptes d’administrador o estàndard: els comptes d’usuari estàndard no tenen permís sudo.

Podeu controlar gràficament els tipus de compte d’usuari des de l’eina Comptes d’usuari d’Ubuntu. Per obrir-lo, feu clic al vostre nom d’usuari al tauler i seleccioneu Comptes d’usuari o cerqueu Comptes d’usuari al traç.

imatge

Feu que Sudo oblideu la vostra contrasenya

De manera predeterminada, sudo recorda la vostra contrasenya durant 15 minuts després d’escriure-la. Per això, només heu d'escriure la vostra contrasenya una vegada en executar diverses ordres amb sudo de manera ràpida. Si esteu a punt de deixar que algú altre utilitzi el vostre ordinador i voleu que sudo sol·liciti la contrasenya quan s’execute al següent, executeu la següent comanda i sudo oblidarà la vostra contrasenya:

sudo –k
imatge

Sempre demana una contrasenya

Si voleu demanar-vos cada cop que feu servir sudo (per exemple, si altres persones tenen accés regularment al vostre ordinador), podeu desactivar completament el comportament que recordi la contrasenya.

Aquesta configuració, igual que altres paràmetres sudo, es troba al fitxer / etc / sudoers. Executeu l'ordre visudo en un terminal per obrir el fitxer per a l'edició:

sudo visudo

Malgrat el seu nom, aquest comandament es fa per defecte al nou nano editor fàcil d'utilitzar en lloc del tradicional vi editor a Ubuntu.

Afegiu la línia següent a sota de les altres línies predeterminades del fitxer:

Per defecte, timestamp_timeout = 0
imatge

Premeu Ctrl + O per desar el fitxer i, a continuació, premeu Ctrl + X per tancar Nano. Sudo us demanarà sempre una contrasenya.

Canviar el temps d'espera de la contrasenya

Per definir un temps d'espera diferent de la contrasenya (un de més llarg com 30 minuts o un de més curt com 5 minuts), seguiu els passos anteriors però utilitzeu un valor diferent per a timestamp_timeout. El número correspon al nombre de minuts que sudo recordarà la vostra contrasenya. Per recordar la vostra contrasenya durant 5 minuts, afegiu la línia següent:

Per defecte, timestamp_timeout = 5
imatge

Mai no sol·liciteu cap contrasenya

També podeu tenir sudo que no sol·liciteu mai una contrasenya, sempre que tingueu la sessió iniciada, cada comanda que prefixeu amb sudo s'executaran amb permisos de root. Per fer-ho, afegiu la següent línia al fitxer sudoers, on el nom d'usuari sigui el vostre nom d'usuari:

nom d'usuari ALL = (ALL) NOPASSWD: ALL
imatge

També podeu canviar la línia% sudo (és a dir, la línia que permet que tots els usuaris del grup sudo (també coneguts com a usuaris administradors) utilitzin sudo - perquè tots els usuaris administradors no requereixin contrasenyes:

% sudo ALL = (TOT: TOT) NOPASSWD: ALL

Executeu ordres específiques sense contrasenya

També podeu especificar ordres específiques que mai no necessitaran cap contrasenya quan s'execute amb sudo. En lloc d'utilitzar "ALL" després de NOPASSWD anterior, especifiqueu la ubicació de les ordres. Per exemple, la línia següent permetrà al vostre compte d’usuari executar les ordres apt-get i shutdown sense contrasenya.

nom d'usuari ALL = (ALL) NOPASSWD: / usr / bin / apt-get, / sbin / shutdown

Això pot ser especialment útil quan s'executen ordres específiques amb sudo en un script.

imatge

Permet a un usuari executar només ordres específiques

Tot i que podeu llistar ordres específiques i evitar que els usuaris puguin executar-les amb sudo, això no és molt efectiu. Per exemple, podeu especificar que un compte d’usuari no podrà executar l’ordre shutdown amb sudo. Però aquest compte d'usuari podria executar l'ordre cp amb sudo, crear una còpia de l'ordre shutdown i apagar el sistema mitjançant la còpia.

Una forma més eficaç és fer llista de llistes de comandes específiques. Per exemple, podeu donar permís a un compte d’usuari estàndard per utilitzar les ordres apt-get i shutdown, però no més. Per fer-ho, afegiu la línia següent, on standarduser sigui el nom d'usuari de l'usuari:

standarduser ALL = / usr / bin / apt-get, / sbin / shutdown
imatge

La següent comanda ens indicarà quines ordres pot executar l'usuari amb sudo:

sudo -U standarduser –l
imatge

Accés al sudo de registre

Podeu registrar tot l'accés sudo afegint la línia següent. / var / log / sudo és només un exemple; podeu utilitzar qualsevol ubicació del fitxer de registre que us agradi.

Defaults fitxer log = / var / log / sudo
imatge

Consulteu el contingut del fitxer de registre amb una ordre com aquesta:

sudo cat / var / log / sudo
imatge

Tingueu en compte que, si un usuari té accés sudo sense restriccions, aquest usuari pot suprimir o modificar el contingut d’aquest fitxer. Un usuari també podria accedir a un símbol d'arrel amb comandes sudo i executar que no es registrarien. La funció de registre és més útil quan s’acoblen amb comptes d’usuari que han restringit l’accés a un subconjunt d’ordres del sistema.