Cách thêm người dùng vào tệp sudoers

[ad_1]

Sửa máy tính tại nhà TPHCM

fatmawati achmad zaenuri / Shutterstock.com

Nếu bạn đang được thông báo một người dùng “không có trong tệp sudoers”, bạn có thể cấp cho người dùng đầy đủ các đặc quyền sudo bằng lệnh usermod. Để kiểm soát những gì người dùng có thể làm với sudo, hãy chỉnh sửa tệp sudoers bằng visudo.

Những người có thể sử dụng Linux sudo chỉ huy là các thành viên của một câu lạc bộ nhỏ và được chọn lọc, đôi khi được gọi là danh sách “sudoers”. Mỗi thành viên có quyền hạn như root. Vậy bạn tham gia câu lạc bộ đó như thế nào? Chúng tôi sẽ hướng dẫn thêm một người vào sudoers cũng như chỉnh sửa tệp sudoers để giới hạn quyền.

sudo: Bản thân siêu năng lực của bạn

Trong các bản cài đặt Linux, người dùng root là người dùng có đặc quyền cao nhất. Họ có thể thực hiện bất kỳ tác vụ quản trị nào, truy cập bất kỳ tệp nào bất kể họ có thực sự sở hữu nó hay không và họ có thể tạo, thao tác và thậm chí xóa người dùng khác.

Mức độ quyền lực này là nguy hiểm. Nếu root phạm sai lầm, kết quả có thể rất thảm khốc. Chúng có khả năng gắn kết và ngắt kết nối các hệ thống tệp cũng như ghi đè chúng hoàn toàn. Một cách an toàn hơn nhiều để làm việc là không bao giờ đăng nhập bằng root.

Người dùng được đề cử có thể sử dụng sudo để tạm thời có được quyền hành chính, thực hiện hành động được yêu cầu và sau đó trở lại trạng thái bình thường, không có đặc quyền của họ. Điều này an toàn hơn bởi vì bạn có ý thức gọi những quyền lực cao hơn của mình khi bạn cần, và trong khi bạn tập trung làm bất cứ điều gì yêu cầu.

Các sudo là lệnh Linux tương đương với việc hét lên “Shazam”. Khi những thứ đáng sợ kết thúc, bạn từ bỏ cái tôi thay thế siêu cường của mình và quay trở lại bản ngã vui nhộn bình thường của bạn.

Đăng nhập với tư cách root được tắt theo mặc định trên hầu hết các bản phân phối hiện đại, nhưng nó có thể được khôi phục. Việc sử dụng tài khoản root cho công việc hàng ngày là điều không thể tránh khỏi. Những sai lầm thông thường sẽ ảnh hưởng đến một người dùng đơn lẻ hoặc sẽ bị chặn hoàn toàn do không đủ đặc quyền, có thể chạy mà không bị cản trở nếu root vấn đề chúng.

Tài trợ cho các bản phân phối Linux hiện đại sudo đặc quyền đối với tài khoản người dùng được tạo trong quá trình cài đặt hoặc các bước cấu hình sau cài đặt. Nếu ai khác cố gắng sử dụng sudo họ sẽ thấy một thông báo cảnh báo như sau:

mary is not in the sudoers file. This incident will be reported.

Điều đó có vẻ đủ rõ ràng. Người dùng của chúng tôi mary không thể sử dụng sudo bởi vì cô ấy không có “trong hồ sơ sudoers.” Vì vậy, hãy xem làm thế nào chúng tôi có thể thêm cô ấy.

CÓ LIÊN QUAN: Cách kiểm soát quyền truy cập sudo trên Linux

Tệp sudoers và visudo

Trước khi ai đó có thể sử dụng sudo lệnh chúng ta cần làm việc với sudoers tập tin. Điều này liệt kê các nhóm người dùng của những người dùng có thể sử dụng sudo. Nếu chúng tôi cần sửa đổi tệp, chúng tôi phải chỉnh sửa nó.

Các sudoers tập tin phải được mở bằng cách sử dụng visudo yêu cầu. Điều này khóa sudoers và ngăn hai người cố gắng thực hiện thay đổi cùng một lúc. Nó cũng thực hiện một số kiểm tra độ tỉnh táo trước khi lưu các chỉnh sửa của bạn, đảm bảo chúng phân tích cú pháp chính xác và đúng cú pháp.

Lưu ý rằng visudo không phải là trình chỉnh sửa, nó khởi chạy một trong những trình chỉnh sửa có sẵn của bạn. Trên Ubuntu 22.04, Fedora 37 và Manjaro 21, visudo đưa ra nano. Đó có thể không phải là trường hợp trên máy tính của bạn.

Nếu chúng tôi muốn cấp cho ai đó quyền truy cập đầy đủ sudo đặc quyền, chúng tôi chỉ cần tham khảo một số thông tin từ sudoers tập tin. Nếu chúng tôi muốn chi tiết hơn và cung cấp cho người dùng một số khả năng của rootchúng tôi cần chỉnh sửa tệp và lưu các thay đổi.

Dù bằng cách nào, chúng ta cần sử dụng visudo.

CÓ LIÊN QUAN: Cách thoát Vi hoặc Vim Editor

Thêm người dùng sudo mới trong Ubuntu và các phân phối Linux khác

Chúng tôi có hai người dùng cần quyền truy cập vào đặc quyền root để thực hiện vai trò công việc của họ. Họ là Tom và Mary. Mary cần có quyền truy cập vào mọi thứ root có thể làm được. Tom chỉ cần cài đặt các ứng dụng.

Trước tiên, hãy thêm Mary vào nhóm sudoers. Chúng ta cần bắt đầu visudo.

sudo visudo

Khởi chạy visudo trên Ubuntu Linux

Cuộn xuống trong trình chỉnh sửa cho đến khi bạn thấy phần “Đặc quyền người dùng”. Tìm nhận xét có nội dung tương tự như “Cho phép các thành viên của nhóm này thực hiện bất kỳ lệnh nào”.

Tệp sudoers mở trong trình chỉnh sửa nano

Chúng tôi được thông báo rằng các thành viên của sudo nhóm có thể thực hiện bất kỳ lệnh nào. Tất cả những gì chúng ta cần biết trong trường hợp của Mary là tên của nhóm đó. Nó không phải luôn luôn sudo ; có thể là wheel hoặc một cái gì đó khác. Bây giờ chúng ta đã biết tên của nhóm, chúng ta có thể đóng trình chỉnh sửa và thêm Mary vào nhóm đó.

Chúng tôi đang sử dụng usermod lệnh với -a (nối) và -G (tên nhóm) tùy chọn. Các -G cho phép chúng tôi đặt tên cho nhóm mà chúng tôi muốn thêm người dùng vào và -a tùy chọn cho biết usermod để thêm nhóm mới vào danh sách các nhóm hiện có mà người dùng này đã tham gia.

Nếu bạn không sử dụng -a tùy chọn, nhóm duy nhất mà người dùng của bạn sẽ tham gia là nhóm mới được thêm vào. Kiểm tra kỹ và đảm bảo rằng bạn đã bao gồm -a quyền mua.

sudo usermod -aG sudo mary

Sử dụng usermod để thêm người dùng mary vào nhóm sudo

Lần tiếp theo Mary đăng nhập, cô ấy sẽ có quyền truy cập vào sudo. Chúng tôi đã đăng nhập cho cô ấy và chúng tôi đang cố gắng chỉnh sửa tệp bảng hệ thống tệp, “/ etc / fstab.” Đây là một tệp nằm ngoài giới hạn đối với mọi người nhưng root.

sudo nano /etc/fstab

Sử dụng usermod để thêm người dùng mary vào nhóm sudo

Trình chỉnh sửa nano mở ra với tệp “/ etc / fstab” được tải.

người dùng mary chỉnh sửa tệp / etc / fstab bằng cách sử dụng sudo

Không có sudo đặc quyền, bạn chỉ có thể mở tệp này dưới dạng tệp chỉ đọc. Mary không còn những hạn chế đó nữa. Cô ấy có thể lưu bất kỳ thay đổi nào cô ấy thực hiện.

Đóng trình chỉnh sửa và đừng lưu bất kỳ thay đổi nào bạn có thể đã thực hiện.

Giới hạn Đặc quyền sudo bằng cách Chỉnh sửa Tệp sudoers

Người dùng khác của chúng tôi, Tom, sẽ được cấp quyền cài đặt phần mềm, nhưng anh ta sẽ không nhận được tất cả các đặc quyền đã được trao cho Mary.

Chúng tôi cần chỉnh sửa sudoers tập tin.

sudo visudo

Khởi chạy visudo trên Ubuntu Linux

Cuộn xuống trong trình chỉnh sửa cho đến khi bạn thấy phần “Đặc quyền người dùng”. Tìm nhận xét có nội dung tương tự như “Cho phép các thành viên của nhóm này thực hiện bất kỳ lệnh nào”. Đó là điểm giống nhau trong tệp nơi chúng tôi tìm thấy tên của nhóm mà chúng tôi cần thêm Mary vào.

Thêm những dòng này bên dưới phần đó.

# user tom can install software
tom     ALL=(root) /usr/bin/apt

Thêm mục nhập mới vào tệp sudoers

Dòng đầu tiên là một nhận xét đơn giản. Lưu ý rằng có một Tab giữa tên người dùng “tom” và từ “Tất cả”.

Đây là ý nghĩa của các mục trên dòng.

  • tom: Tên của người dùng nhóm mặc định. Thông thường điều này giống với tên của tài khoản người dùng của họ.
  • TẤT CẢ =: Quy tắc này áp dụng cho tất cả các máy chủ trên mạng này.
  • (nguồn gốc): Các thành viên của nhóm “tom” — tức là người dùng Tom — có thể giả định root đặc quyền, đối với các lệnh được liệt kê.
  • / usr / bin / apt: Đây là lệnh duy nhất mà người dùng Tom có ​​thể chạy dưới dạng root.

Chúng tôi đã chỉ định apt trình quản lý gói ở đây vì máy tính này sử dụng Ubuntu Linux. Bạn cần phải thay thế lệnh này bằng lệnh thích hợp nếu bạn đang sử dụng một bản phân phối khác.

Hãy đăng nhập Tom và xem liệu chúng ta có nhận được hành vi mong đợi hay không. Chúng tôi sẽ cố gắng chỉnh sửa tệp “/ etc / fstab”.

sudo nano /etc/fstab

Đang cố gắng chỉnh sửa tệp / etc / fstab mà không có đặc quyền sudo

Lệnh đó bị từ chối và chúng tôi được thông báo rằng “user tom không được phép thực thi ‘/ usr / bin / nano / etc / fstab’ với tư cách là root…”

Đó là những gì chúng tôi muốn. Người dùng Tom chỉ được cho là có thể sử dụng apt quản lý gói hàng. Hãy đảm bảo rằng họ có thể làm được điều đó.

sudo apt install neofetch

Người dùng Tom sử dụng lệnh apt với sudo

Lệnh được thực hiện thành công cho Tom.

Bất kỳ ai nắm giữ Lệnh này

Nếu tất cả người dùng của bạn có thể sử dụng sudo, bạn sẽ có sự hỗn loạn trên tay của bạn. Nhưng rất đáng để thúc đẩy những người dùng khác để họ có thể chia sẻ gánh nặng quản trị của bạn. Chỉ cần đảm bảo rằng chúng xứng đáng và để mắt đến chúng.

Ngay cả khi bạn là người dùng duy nhất trên máy tính của mình, bạn cũng nên cân nhắc việc tạo một tài khoản người dùng khác và cấp cho nó toàn quyền truy cập sudo. Bằng cách đó, nếu bạn từng thấy mình bị khóa tài khoản chính, bạn có một tài khoản khác có thể đăng nhập để cố gắng khắc phục tình hình.

CÓ LIÊN QUAN: Cách xem lại cách sử dụng lệnh sudo trên Linux

dịch vụ cài win online từ xa

[ad_2]