Команда sudo предлагает механизм предоставления доверенным пользователям административного доступа к системе без совместного использования пароля пользователя root.
Sudoer (обычный пользователь, добавленный в sudoers) после аутентификации, может выполнять административные команды, как если бы они были запущены пользователем root.
В этом уроке мы приводим два примера:
- Как добавить обычного пользователя в группу wheel и дать группе wheel неограниченный доступ к root
- Как добавить конкретного пользователя в sudoers
Как добавить обычного пользователя в группу wheel и предоставить группе wheel неограниченный доступ?
1. Войдите в систему как пользователь root
[root@server ~]#
2. Создайте обычного пользователя
[root@server ~]# useradd tuxfixer
3. Задайте пароль для нового пользователя.
[root@server ~]# passwd tuxfixer
Changing password for user tuxfixer.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
4. Отредактируйте файл sudoers
Измените файл /etc/sudoers с помощью команды visudo:
[root@server ~]# visudo
Раскомментируйте wheel, удалив отметку # (позволяет пользователям группы wheel выполнять команды как root после проверки пароля):
## Allows people in group wheel to run all commands
wheel ALL=(ALL) ALL
Примечание: никогда не редактируйте файл sudoers с помощью различных инструментов, кроме visudo, который безопасно редактирует файл sudoers – он блокирует файл sudoers при наличии нескольких одновременных изменений, обеспечивает основные проверки работоспособности и проверяет ошибки синтаксиса.
5. Добавьте обычного пользователя в дополнительную группу wheel:
[root@server ~]# usermod -aG wheel tuxfixer
Проверьте дополнительную группу для пользователя:
root@server ~]# id tuxfixer
uid=1001(tuxfixer) gid=1001(tuxfixer) groups=1001(tuxfixer),10(wheel)
6. Проверьте конфигурацию sudo для обычного пользователя.
Выйдите из системы как пользователь root и войти в качестве вновь созданного обычного пользователя:
[tuxfixer@server ~]#
Попробуйте выполнить некоторую административную команду (обычно для которой требуется аутентификация root), но обычный пользователь использует sudo:
[tuxfixer@server ~]$ sudo systemctl stop libvirtd
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.
[sudo] password for tuxfixer:
Как добавить конкретного пользователя в sudoers?
1. Войдите в систему как пользователь root
[root@server ~]#
2. Создайте обычного пользователя
[root@server ~]# useradd tuxfixer
3. Задайте пароль для нового пользователя.
[root@server ~]# passwd tuxfixer
Changing password for user tuxfixer.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
4. Отредактируйте файл sudoers
Измените файл /etc/sudoers с помощью команды visudo:
[root@server ~]# visudo
Добавьте следующие строки (позволяет пользователю tuxfixer выполнять команды root после проверки пароля):
## Allows tuxfixer to run all commands
tuxfixer ALL=(ALL) ALL
5. Проверьте конфигурацию sudo для конкретного пользователя.
Залогитьтесь под новым пользователем:
[tuxfixer@server ~]#
Выполните административную команду (обычно это требует проверки подлинности root) как sudoer с использованием sudo:
[tuxfixer@server ~]$ sudo systemctl disable libvirtd
[sudo] password for tuxfixer: