Sekojiet zdnet: Pievienojiet mūs kā vēlamo avotu Google.
ZDNET galvenie pārņemšana
- Sudo ir jaudīgs, bet nepilnīgs Linux rīks.
- Šie padomi var palīdzēt padarīt sudo lietošanu vieglāku un drošāku.
- Vienmēr izmantojiet piesardzību, pērtiķoties ar sudo.
Es sāku lietot Linux pirms sudo parādīšanās. Toreiz, jebkurā laikā, kad man vajadzēja vadīt administratora uzdevumus, man vispirms bija jādara sufunkcionārs Saknes lietotājam palaidiet uzdevumu un pēc tam izejiet no saknes lietotāja. Tā kā sakne bija iespējota, daži lietotāji vienkārši piesakās kā sakne un pavisam atteikties no standarta lietotāja konta. Tas ir drošības risks, ko nevienam nevajadzētu uzņemties.
Un tad nāca sudo komanda.
Arī: 7 visvairāk Windows līdzīgo Linux Distros – ja esat gatavs grāvim Microsoft
Sudo ir rīks, kas īslaicīgi paaugstina standarta lietotājus administrēšanas privilēģijām, lai viņi varētu palaist tādas komandas kā APT-GET UWNADE bez nepieciešamības atsaukties uz saknes lietotāju. Faktiski sudo ļauj atspējot saknes kontu, kas ir labs drošībai.
Bet sudo nav ideāls. Šeit ir pieci veidi, kā uzlabot sudo un padarīt jūsu Linux dzīvi mazliet vieglāku.
1. Izmantojiet Visudo, lai rediģētu sudo konfigurācijas failu
Sudo ir konfigurācijas fails, kas ir /etc /sudoers. Šeit jūs varat konfigurēt sudo tādām lietām kā ierobežota piekļuve, lietotāja vai grupas piekļuvei un daudz ko citu. Lieta ir tāda, ka jūs nevēlaties rediģēt sudoers failu, izmantojot standarta teksta redaktoru (piemēram, Nano). Iemesls tam ir tas, ka, ja jūs fubar fubar sudoers failu, jūs varētu pārtraukt, nespējot veikt paaugstinātu uzdevumu (piemēram, rediģēt sudoers failu, lai novērstu problēmu). Lai no tā izvairītos, izmantojiet Visudo (sudo Visudo). Visudo rīks vienmēr pārbauda visas jūsu veiktās izmaiņas. Ja rodas kādas problēmas, Visudo paziņos jums un neļaus jums saglabāt nepareizi veidotu failu.
2. Novērsiet neierobežotu piekļuvi lietotājiem
Jūs, iespējams, nevēlaties, lai visiem jūsu lietotājiem būtu piekļuve katrai administratora komandai. Piemēram, jūs varētu vēlēties neļaut lietotājiem noņemt ar administratoru aizsargātiem failiem (piemēram, tiem, kas atrodas /utt.), Lai saglabātu jūsu sistēmas stabilitāti (ti, lietotājiem neļauj to salauzt). Lai to izdarītu, jūs konfigurējat lietotājus vai grupas sudoers failā ar! raksturs. Piemēram, ja vēlaties bloķēt konkrētu lietotāju no komandas palaišanas, jūs pievienotu tādu līniju kā šī:
Lietotājvārds All = (visi)!/Usr/bin/rm
Kur lietotājvārds ir lietotāja vārds.
Arī: Vai vēlaties iemācīties Linux? Šīs 5 spēles padara to jautru – un tās ir bezmaksas
To var izmantot arī grupām.
3. Grant sudo piekļuve grupām, nevis lietotājiem
Runājot par grupām, vienmēr ir vieglāk pārvaldīt privilēģijas un piekļuvi grupām, nevis garu lietotāju sarakstu. Apsveriet to: jums ir pieci ģimenes locekļi, kuri piekļūst vienai Linux mašīnai, un jūs vēlaties tos visus bloķēt no rm komanda. Jūs varētu izveidot grupas normu (bez RM), pievienot šai grupai visus piecus lietotājus un pēc tam piešķirt piekļuvi šai grupai tādā pašā veidā, kā jūs to darījāt iepriekš (lietotājvārda vietā tikai izmantojot grupas nosaukumu).
4. Nepiešķiriet visas saknes privilēģijas
Lielākā daļa lietotāju neapzinās, ka tā varētu būt drošības problēma, lai visiem lietotājiem piešķirtu visas saknes privilēģijas. Kas notiek, ja ne’er-do-Well iegūst piekļuvi lietotāja kontam jūsu sistēmā? Ja šis iebrucējs zina lietotāja paroli, viņi var palaist jebkuru komandu, kurai nepieciešama sudo piekļuve. Visu sakņu privilēģiju piešķiršana lietotājam izskatās šādi sudoers failā:
Lietotājvārds visi = (visi: visi) visi
Kur lietotājvārds ir attiecīgā lietotāja nosaukums.
Arī: jauns Linux? 5 galddatoru vide, es iesaku izmēģināt vispirms – un kāpēc
Tā vietā piešķiriet piekļuvi konkrētiem direktorijiem, kas nav /sbinkas satur daudzus administratora uzdevumu izpildāmo bināros binārus. Tā vietā jūs varētu vēlēties ierobežot šo lietotāju ar/usr/sbin/,/usr/bin un/opt/kā tā:
Lietotājs visi = (visi) passwd:/usr/sbin/,/usr/bin/,/opt/
Ņemiet vērā katra direktorija, kas ir nepieciešama katram direktorijam, kas ir nepieciešams.
5. Iespējot zvaigznītes, ierakstot sudo paroles
Šis ietilpst kategorijā “Make Sudo vieglāk”. Dažreiz, ierakstot savu lietotāja paroli, es nezinu, vai man tas ir pareizi. Ja es zinu, cik rakstzīmes es ierakstīju, vismaz es varu izteikt izglītotu minējumu par to, vai esmu ierakstījis pareizo rakstzīmju skaitu. Tajā pašā laikā es varētu trāpīt uz atslēgas uz tastatūras tādā veidā, ka tā nereģistrējas. Ja rakstīšanas laikā iespējoju zvaigznītes, es zinu, ka atslēga ir reģistrēta.
Lai ierakstītu sudo paroles, iespējot zvaigznītes, atveriet sudo config failu (sudo Visudo) un nomainiet šādu rindu:
Noklusējuma env_reset
Uz:
Noklusējuma env_reset, pwfeedback
Tagad, ierakstot savu sudo paroli, jūs redzēsit zvaigznīti, kas parādās katram drukātajam rakstzīmei.
6. Palieliniet paroles noildzi
Ierakstot sudo paroli, jums tas nebūs jāievada vēlreiz uz iestatīto laika periodu. Katram sadalījumam varētu būt atšķirīgs priekšstats par to, kādai vajadzētu būt tai, bet jūs, iespējams, nedomājat, ka tas ir pietiekami ilgs. Ja jūs esat vienīgais, kurš izmanto jūsu Linux mašīnu un bieži palaižat administratora komandas, iespējams, vēlēsities pagarināt šo taimautu, teiksim, 30 minūtes. Lai to izdarītu, palaidiet sudo Visudo komandu un atgriezties pie Noklusējuma env_reset līnija. Mainiet šo līniju, lai izskatās:
Noklusējuma env_reset, timestamp_timeout = xx
Kur xx ir laiks dažu minūšu laikā. Piemēram, lai mainītu šo laiku uz 30 minūtēm, līnija izskatās šādi:
Noklusējuma env_reset, timestamp_timeout = 30
7. Iespējot apvainojumus par nepareiziem paroles mēģinājumiem
Šis ir tikai izklaides dēļ. Ja jūs nepareizi ierakstāt savu sudo paroli, varat to iespējot tā, lai tas jūs apvainotu, kad jūs to darīsit. Visi apvainojumi ir ļoti jautri, tāpēc jums nav jāuztraucas, ka sudo zinās, kādas pogas spiest, lai jūs spirāle. Lai pievienotu šo funkciju, dodieties atpakaļ uz sudoers failu un noklusējumiem. Mainiet šo līniju, lai izskatās šādi:
Noklusējuma env_reset, apvainojumi
Arī: cik daudz RAM jūsu Linux PC patiešām ir nepieciešams 2025. gadā? Es izdarīju matemātiku
Ja esat nolēmis pievienot citas funkcijas, šī līnija varētu izskatīties šādi:
Noklusējumi Env_reset, pwfeedback, timestamp_timeout = 30, apvainojumi
Tagad Sudo ar jums būs mazliet jautri.
