31 Aug 2020

So verwenden Sie Sudo und die Sudoers-Datei

von | Veröffentlicht in: Articles | 0

Mit dem Befehl sudo können Nicht-Root-Benutzer Befehle ausführen, für die normalerweise Superbenutzerrechte erforderlich sind, während die sudoers-Datei das System anweist, mit dem sudo-Befehl umzugehen. In diesem Tutorial zeigen wir Ihnen alle Grundlagen des sudo-Befehls und wie Sie die sudoers-Datei bearbeiten.

Sudo verstehen

Um zu zeigen, wie sudo funktioniert, greifen Sie zuerst über SSH auf Ihr VPS zu. Wenn Sie Probleme haben, schauen Sie sich das Kitt-Tutorial an.

Standardmäßig muss der Root-Benutzer das sudo-Präfix nicht verwenden. Sie haben bereits alle möglichen Privilegien., Wenn ein Nicht-Root-Benutzer einen anderen Benutzer hinzufügen möchte, muss er dem Befehl useradd das sudo-Präfix wie folgt hinzufügen:

sudo useradd edward

Wenn der Benutzer das sudo-Präfix nicht verwendet, wird die Ausgabe mit der Berechtigung verweigert.

Die Sudoers-Datei

Der Befehl sudo wird über eine Datei in /etc/ namens sudoers konfiguriert.

Über den Befehl sudo stellen Sie regulären Benutzern Administratorrechte zur Verfügung. Normalerweise hat der erste Benutzer, den Sie während der Installation von Ubuntu erstellen, Sudo-Rechte. In einer VPS-Umgebung, die der Standard-Root-Benutzer ist., Sie können andere Benutzer so konfigurieren, dass Sie auch den Befehl sudo ausführen können. Dies kann durch Bearbeiten von Sudoers erfolgen.

Wichtig: Vorsicht! Das Bearbeiten der Sudoers-Datei mit Fehlern oder fehlerhafter Syntax kann dazu führen, dass alle Benutzer in Ihrer Distribution gesperrt werden.

Sudoers Dateisyntax

Sie können die Datei mit Ihrem bevorzugten Texteditor öffnen., Wir verwenden vi:

vi /etc/sudoers

Unsere VPS – Datei sieht folgendermaßen aus:

Schauen wir uns einige der Formate und Regeln an, die beim Bearbeiten von Sudoern zu befolgen sind:

  • Alle Zeilen, die mit # beginnen, sind Kommentare
  • root ALL=(ALL:ALL) ALL – Diese Zeile bedeutet, dass der Root-Benutzer unbegrenzte Berechtigungen hat und jeden Befehl auf dem System ausführen kann
  • %admin ALL=(ALL) ALL-Das % – Zeichen gibt eine Gruppe an., Jeder in der Admin-Gruppe hat die gleichen Berechtigungen wie der Root-Benutzer
  • %sudo ALL=(ALL:ALL) ALL – alle Benutzer in der sudo-Gruppe haben die Berechtigungen, einen beliebigen Befehl

auszuführen Eine andere Zeile von Interesse ist #includedir /etc/sudoers.d, dies bedeutet, dass wir den Dateisudoern Konfigurationen hinzufügen können.d und verknüpfen Sie es hier.

Bearbeiten der Sudoers-Datei

Um die /etc/sudoers-Datei zu bearbeiten, verwenden Sie den folgenden Befehl:

sudo visudo -f /etc/sudoers

Es wird empfohlen, visudo zum Bearbeiten der sudoers-Datei zu verwenden. Visudo stellt sicher, dass sudoers von jeweils einem Benutzer bearbeitet wird, und stellt die erforderlichen Syntaxprüfungen bereit.,

Um zu sehen, welche Benutzer sich in der sudo-Gruppe befinden, können wir einen grep-Befehl verwenden:

grep ‘sudo’ /etc/group

Dies gibt eine Liste von Benutzernamen aus.

Um der sudo-Gruppe einen Benutzer namens bill hinzuzufügen, verwenden wir den Befehl adduser in der Befehlszeile wie folgt:

adduser bill sudo

Wenn wir den Befehl grep verwenden, um zu überprüfen, wer sich in der Gruppe befindet, wird die Rechnung für den Benutzernamen angezeigt.

Wenn Sie jemandem Root-Rechte geben möchten, fügen Sie sie einfach zu sudo hinzu.

Um einen Benutzer aus sudo zu entfernen:

deluser bill sudo

Der Befehl deluser entfernt ihn aus der sudo-Gruppe.,

Jetzt kann die Benutzerrechnung keine Aktionen mehr ausführen, für die Sudo-Berechtigungen erforderlich sind.

Verwenden Sie die Sudoers-Datei, um bestimmte Berechtigungen zu erteilen

Was ist, wenn wir möchten, dass bill nur bestimmte Arten von Befehlen mit sudo-Berechtigungen ausführen kann, z. B. Netzwerke?

Dazu erstellen wir eine Konfigurationsdatei in /etc / sudoers.d / genannt Vernetzung.

Verwenden Sie den folgenden Befehl, um die Datei zu erstellen:

sudo visudo -f /etc/sudoers.d/networking

Fügen Sie folgenden Text in die Datei ein:

Was wir in der obigen Datei getan haben, ist eine netadmin-Gruppe erstellen., Benutzer in der netadmin-Gruppe können Befehle ausführen, die in NETALL angegeben sind. NETALL wiederum enthält alle Befehle unter CAPTURE-und SERVER-Aliase. Der Befehl tcpdump befindet sich unter dem Alias / usr/sbin / tcpdump.

Als nächstes fügen wir der netadmin-Gruppe eine Benutzerrechnung hinzu:

sudo adduser bill netadmin

Jetzt kann die Benutzerrechnung den Befehl tcpdump zusammen mit anderen netzwerkbezogenen Befehlen ausführen.

Einpacken

Wenn Sie mit mehreren Benutzern arbeiten, ist das Verständnis des Befehls sudo und der Datei sudoers ein absolutes Muss., In diesem Tutorial haben Sie alle Grundlagen gelernt, um die Kontrolle über die Berechtigungen Ihres Systems zu übernehmen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.