[Explained] Jak dodać użytkowników do Sudoers w Ubuntu

przez

Zanim nauczymy się dodawać użytkowników jako sudoerów w Ubuntu, musimy zrozumieć, w jaki sposób prawdopodobnie tu dotrzemy. Na przykład, jeśli chcesz zarządzać usługami lub instalować lub aktualizować oprogramowanie w systemie Ubuntu. Czy kiedykolwiek próbowałeś wykonać polecenie, aby wypróbować któreś z powyższych rozwiązań i w odpowiedzi otrzymałeś komunikat „Odmowa dostępu”?

Takie przypadki będą wymagały uruchomienia poleceń jako root lub superużytkownik. Jednak takie podejście nie jest zalecane ze względów bezpieczeństwa. Uruchamianie poleceń jako root może powodować problemy z systemem, jeśli użytkownik pomyli się z niektórymi ustawieniami.

Ubuntu, jedna z najczęściej używanych dystrybucji Linuksa, ma funkcję znaną jako sudo, która pozwala użytkownikowi uruchamiać polecenia z zaawansowanymi uprawnieniami zamiast logować się jako root.

W tym artykule wyjaśnimy, kim są sudoerzy, dlaczego możesz ich potrzebować i jak dodać ich do systemu operacyjnego Ubuntu.

Co to jest Sudo/Sudoers?

Ale dlaczego nie użyć polecenia su lub przełączyć użytkownika? Polecenie switch user pozwala zalogować się jako root. Po uruchomieniu system poprosi Cię o hasło roota i będziesz mógł robić swoje. Możesz dodać nowe pliki/oprogramowanie i wprowadzić wszystkie zmiany. Możesz jednak zapomnieć o wylogowaniu się jako root, a jedna prosta literówka może spowodować usunięcie ważnych plików lub całego dysku twardego.

Sudo to skrót od „superuser do”. Tacy użytkownicy wykonują polecenia z podwyższonymi uprawnieniami, mogą instalować i aktualizować oprogramowanie, a nawet zmieniać ustawienia systemu. Sudoer to użytkownik posiadający takie uprawnienia. Użytkownicy Sudo muszą zawsze użyć słowa kluczowego „sudo” przed wykonaniem dowolnego polecenia w systemie Ubuntu. Nie musisz się jednak wylogowywać po wykonaniu poleceń.

Jeśli w systemie Ubuntu masz kilku użytkowników, nie wszyscy będą mieli uprawnienia sudo. Jednak podczas instalacji pierwszy utworzony użytkownik będzie miał domyślnie uprawnienia sudo. Tylko użytkownicy pliku lub grupy sudoers mogą wykonywać polecenia sudo.

  • Plik sudoers – plik konfiguracyjny określający, którzy użytkownicy mogą korzystać z sudo i w jaki sposób.
  • Grupa Sudoers – specjalna grupa użytkowników z uprawnieniami sudo.

Scenariusze, w których konieczne jest przyznanie użytkownikom dostępu Sudo

Możesz zezwolić określonym użytkownikom na uruchamianie poleceń sudo na komputerze osobistym lub biurowym. Możesz na nie pozwolić, jeśli:

  • Masz zespół administratorów lub programistów, którzy muszą wykonywać zadania wymagające dostępu do konta root. Na przykład może być konieczne zainstalowanie oprogramowania lub aktualizacja systemu.
  • Chcesz ograniczyć dostęp użytkowników do niektórych plików lub katalogów w systemie, ale nie dajesz im pełnego dostępu.
  • Masz użytkownika-gościa do jednorazowego zadania wymagającego uprawnień roota. Na przykład potrzebujesz kogoś, kto zainstaluje i skonfiguruje specjalistyczne oprogramowanie lub zaktualizuje system.

Znaczenie przyznawania uprawnień sudo użytkownikom

  • Popraw bezpieczeństwo swojego systemu: nie musisz zezwalać użytkownikom na logowanie się do systemu jako użytkownicy root, co może narazić system na potencjalne zagrożenia i błędy. Nadanie uprawnień sudo pozwala im mieć dostęp tylko do tego, czego potrzebują.
  • Możesz dostosować uprawnienia: Dodanie użytkowników sudo pozwala określić, które polecenia mogą uruchamiać i kiedy mogą je uruchamiać. Możesz także określić, czy ci użytkownicy potrzebują hasła, aby uruchamiać takie polecenia.
  • Ułatwia to monitorowanie użytkowników: możesz sprawdzić plik /var/log/auth.log, aby zobaczyć wszystkie polecenia uruchamiane przez sudo w twoim systemie.

Warunki wstępne dodania użytkownika do pliku sudoers

  • Konto użytkownika z uprawnieniami sudo: Musisz dodać użytkownika do sudoers po zalogowaniu się na konto z uprawnieniami sudo.
  • Nazwa użytkownika: Jeśli w systemie masz kilku użytkowników, musisz znać nazwę użytkownika, którego chcesz dodać do pliku lub grupy sudoers.
  • Edytor tekstu: Ubuntu używa Nano jako domyślnego edytora. Można jednak zmienić na inne.

Dodaj użytkownika do pliku sudoers

Istnieje kilka sposobów dodawania użytkowników do pliku sudoers. Jednak wcześniej musimy utworzyć nowego użytkownika.

Chcę utworzyć nowego użytkownika o nazwie „titus”. Możesz śledzić dalej:

  • Zaloguj się na konto użytkownika z uprawnieniami sudo i uruchom to polecenie: sudo adduser titus. Możesz zastąpić „titus” nazwą użytkownika, którego chcesz utworzyć.

  • Wprowadź hasło. Wiersz poleceń wyświetli monit o podanie hasła.
  • Ustaw nowe hasło, a następnie potwierdź

  • Postępuj zgodnie z instrukcjami (możesz wybrać ustawienia domyślne) i kliknij „Y”, aby potwierdzić wszystkie szczegóły.

Masz teraz nowego użytkownika.

Istnieją dwa podejścia do dodawania sudoers w Ubuntu

#1: Dodaj użytkownika do grupy sudo

Możemy teraz dodać utworzonego przez nas użytkownika do grupy sudo. Uruchom to polecenie po zalogowaniu się jako inny użytkownik sudo lub użytkownik root. 

sudo usermod -aG sudo username

Zamień „nazwę użytkownika” na użytkownika, którego chcesz utworzyć sudoer. W moim przypadku polecenie będzie brzmieć;

sudo usermod -aG sudo titus

Dodałeś teraz nowego użytkownika do grupy sudo.

#2: Dodaj użytkownika do pliku Sudoers

Widzieliśmy już, że typowy system Linux, taki jak Ubuntu, ma różnych użytkowników. Takim użytkownikom można przyznać różne uprawnienia do plików i katalogów w systemie Linux. Na przykład możesz zezwolić użytkownikom na „odczyt”, „zapis” lub „wykonywanie” plików w systemie Unix.

Możemy określić, którzy użytkownicy mogą korzystać z sudo i w jaki sposób, definiując to w pliku sudoers. Używamy tej ścieżki /etc/sudoers, aby zlokalizować plik sudoers.

Zakładając, że masz już użytkownika bez uprawnień sudo, wykonaj następujące kroki:

  • Otwórz terminal
  • Użyj tego polecenia, aby otworzyć plik
sudo visudo

Zostaniesz poproszony o podanie hasła.

  • Edytuj plik. Po uruchomieniu polecenia będziesz miał coś takiego;

Mam użytkownika o imieniu „kamunya”, któremu chcę nadać wszystkie uprawnienia Sudo.

Znajdź sekcję wyglądającą tak:

# User privilege specification

root    ALL=(ALL:ALL) ALL

Mogę teraz dodać linię, która zezwala „kamunya” na wszystkie prawa sudo w następujący sposób:

kamunya    ALL=(ALL:ALL) ALL
  • Zapisz i wyjdź. Możesz użyć tych skrótów: Ctrl+O, aby zapisać zmiany i Ctrl+X, aby wyjść.

Masz teraz nowego użytkownika sudo, którego dodałeś za pomocą pliku sudoers. Gdybym chciał nadać mojemu użytkownikowi (kamunya) określone uprawnienia, takie jak aktualizacja oprogramowania bez konieczności podawania hasła, mógłbym wykonać te same kroki, ale dodałbym ten wiersz:

kamunya ALL=(ALL:ALL) NOPASSWD: /usr/bin/apt-get update, /usr/bin/apt-get upgrade

Jak sprawdzić, czy użytkownik ma uprawnienia sudo

Być może wykonałeś wszystkie te kroki, ale nadal nie masz pewności, czy użytkownicy w Twoim systemie są sudoerami. Możesz użyć tych metod, aby sprawdzić:

Użyj polecenia sudo

Sprawdzę, czy użytkownik o nazwie „titus” jest sudoerem. Polecenie będzie następujące:

sudo -l -U titus

Możesz zastąpić „titus” nazwą użytkownika, którego chcesz sprawdzić.

Jeśli użytkownik jest sudoerem, otrzymasz coś zbliżonego do tego;

Jeśli użytkownik nie ma uprawnień sudo, prawdopodobnie pojawi się ten błąd. Użytkownik „nazwa użytkownika” nie może uruchamiać sudo na „nazwie twojego komputera”.

Sprawdź grupy sudo

Kiedy tworzysz użytkownika sudo, system automatycznie przypisuje go do grupy o wybranej nazwie użytkownika. Na przykład mam użytkownika Sudo o nazwie „tk”. Za pomocą tego polecenia mogę sprawdzić, czy ten użytkownik należy do grupy;

groups tk

Możesz zastąpić „tk” swoją nazwą użytkownika.

Otrzymasz coś podobnego do tego;

Jak usunąć użytkownika sudo

Istnieje kilka przypadków, w których możesz chcieć usunąć użytkownika sudo. Na przykład pomyliłeś się podczas konfiguracji profilu lub utworzony przez Ciebie użytkownik miał wykonać jednorazowe zadanie.

Możesz użyć GUI lub wiersza poleceń, aby usunąć użytkownika z systemu Ubuntu. Oto jak możesz usunąć użytkownika za pomocą wiersza poleceń:

  • Uruchom to polecenie sudo deluser nazwa użytkownika, w którym zastąp „nazwę użytkownika” profilem, który chcesz usunąć. To podejście spowoduje usunięcie użytkownika, ale pliki użytkownika pozostaną.

Usunąłem jednego z moich użytkowników (kamunya)

Jeśli chcesz usunąć pliki użytkownika, uruchom następujące polecenie;

sudo deluser --remove-home username

W moim przypadku będzie to:

sudo deluser --remove-home kamunya

Najlepsze praktyki dotyczące zarządzania użytkownikami w pliku sudoers

  • Użyj polecenia visudo: Jeśli zdecydujesz się dodać sudoers, dodając je do pliku sudoer, zawsze używaj polecenia visudo. Po zakończeniu sprawdź, czy nie ma literówek, zapisz i wyjdź z edytora.
  • Używaj grup: zamiast dodawać pojedyncze osoby jako użytkowników sudo, za każdym razem, gdy chcesz dodać nowych użytkowników, możesz dodać ich do grupy. Możesz mieć różne grupy, takie jak „administratorzy” i „programiści”, z różnymi uprawnieniami.
  • Dostęp do dokumentów: Rejestruj, komu nadałeś uprawnienia sudo i co ta osoba może zrobić. Takie podejście ułatwia nowym pracownikom wybór w przypadku zmian.
  • Monitoruj dostęp: Zawsze monitoruj, jakich różnych użytkowników dodanych przez Ciebie sudoers loguje się do systemu. Częste przeglądy umożliwiają także usuwanie użytkowników lub zmianę uprawnień w miarę zmieniających się potrzeb.

Wniosek

Ubuntu to jeden z najczęściej używanych systemów operacyjnych przez administratorów i programistów. Należy jednak upewnić się, że podczas uzyskiwania dostępu do systemu nadawane są właściwym użytkownikom odpowiednie uprawnienia.

Teraz rozumiesz, kim są sudoerzy i jakie są różne podejścia do dodawania ich do Ubuntu. Tacy użytkownicy nie muszą już logować się do Twojego systemu z pełnym dostępem, ale z ograniczonymi możliwościami, które pomogą Ci w pracy.

Jako administrator systemu możesz także zapoznać się z niektórymi poleceniami wydajnościowymi systemu Linux.