Connect with us

Wie man

8 Möglichkeiten, Sudo unter Ubuntu zu optimieren und zu konfigurieren

8 Möglichkeiten, Sudo unter Ubuntu zu optimieren und zu konfigurieren

Wie die meisten Dinge unter Linux ist der Befehl sudo sehr konfigurierbar. Sie können sudo bestimmte Befehle ausführen lassen, ohne nach einem Kennwort zu fragen, bestimmte Benutzer auf nur genehmigte Befehle beschränken, mit sudo ausgeführte Protokollbefehle und mehr.

Das Verhalten des Befehls sudo wird von der Datei / etc / sudoers auf Ihrem System gesteuert. Dieser Befehl muss mit dem Befehl visudo bearbeitet werden, der eine Syntaxprüfung durchführt, um sicherzustellen, dass Sie die Datei nicht versehentlich beschädigen.

Geben Sie Benutzer mit Sudo-Berechtigungen an

Das Benutzerkonto, das Sie während der Installation von Ubuntu erstellen, ist als Administratorkonto gekennzeichnet. Dies bedeutet, dass sudo verwendet werden kann. Alle zusätzlichen Benutzerkonten, die Sie nach der Installation erstellen, können entweder Administrator- oder Standardbenutzerkonten sein. Standardbenutzerkonten verfügen nicht über Sudo-Berechtigungen.

Sie können Benutzerkontotypen grafisch über das Benutzerkontotool von Ubuntu steuern. Klicken Sie zum Öffnen auf Ihren Benutzernamen im Bedienfeld und wählen Sie Benutzerkonten aus oder suchen Sie im Bindestrich nach Benutzerkonten.

Lassen Sie Sudo Ihr Passwort vergessen

Standardmäßig merkt sich sudo Ihr Passwort 15 Minuten lang, nachdem Sie es eingegeben haben. Aus diesem Grund müssen Sie Ihr Kennwort nur einmal eingeben, wenn Sie mehrere Befehle mit sudo schnell hintereinander ausführen. Wenn Sie möchten, dass jemand anderes Ihren Computer verwendet und sudo bei der nächsten Ausführung nach dem Kennwort fragt, führen Sie den folgenden Befehl aus, und sudo vergisst Ihr Kennwort:

sudo –k

Fragen Sie immer nach einem Passwort

Wenn Sie bei jeder Verwendung von sudo lieber dazu aufgefordert werden möchten, z. B. wenn andere Personen regelmäßig Zugriff auf Ihren Computer haben, können Sie das Verhalten zum Speichern von Kennwörtern vollständig deaktivieren.

Diese Einstellung ist wie andere Sudo-Einstellungen in der Datei / etc / sudoers enthalten. Führen Sie den Befehl visudo in einem Terminal aus, um die Datei zum Bearbeiten zu öffnen:

sudo visudo

Trotz seines Namens verwendet dieser Befehl standardmäßig den neuen benutzerfreundlichen Nano-Editor anstelle des traditionellen vi-Editors unter Ubuntu.

Fügen Sie die folgende Zeile unter den anderen Standardzeilen in der Datei hinzu:

Standardmäßig ist timestamp_timeout = 0

Drücken Sie Strg + O, um die Datei zu speichern, und drücken Sie dann Strg + X, um Nano zu schließen. Sudo fordert Sie jetzt immer zur Eingabe eines Passworts auf.

Ändern Sie das Kennwort-Timeout

Führen Sie die obigen Schritte aus, um ein anderes Kennwort-Timeout festzulegen – entweder ein längeres wie 30 Minuten oder ein kürzeres wie 5 Minuten. Verwenden Sie jedoch einen anderen Wert für timestamp_timeout. Die Nummer entspricht der Anzahl der Minuten, für die sich sudo Ihr Passwort merkt. Fügen Sie die folgende Zeile hinzu, damit sich sudo 5 Minuten lang an Ihr Passwort erinnert:

Standardmäßig ist timestamp_timeout = 5

Fragen Sie niemals nach einem Passwort

Sie können auch festlegen, dass sudo niemals nach einem Kennwort fragt. Solange Sie angemeldet sind, wird jeder Befehl, dem Sie sudo voranstellen, mit Root-Berechtigungen ausgeführt. Fügen Sie dazu Ihrer sudoers-Datei die folgende Zeile hinzu, wobei Benutzername Ihr Benutzername ist:

Benutzername ALL = (ALL) NOPASSWD: ALL

Sie können auch die% sudo-Zeile ändern, dh die Zeile, in der alle Benutzer in der sudo-Gruppe (auch als Administratorbenutzer bezeichnet) sudo verwenden können, damit alle Administratorbenutzer keine Kennwörter benötigen:

% sudo ALL = (ALL: ALL) NOPASSWD: ALL

Führen Sie bestimmte Befehle ohne Kennwort aus

Sie können auch bestimmte Befehle angeben, für die bei Ausführung mit sudo kein Kennwort erforderlich ist. Anstatt nach NOPASSWD oben „ALL“ zu verwenden, geben Sie die Position der Befehle an. In der folgenden Zeile kann Ihr Benutzerkonto beispielsweise die Befehle apt-get und shutdown ohne Kennwort ausführen.

Benutzername ALL = (ALL) NOPASSWD: / usr / bin / apt-get, / sbin / shutdown

Dies kann besonders nützlich sein, wenn bestimmte Befehle mit sudo in einem Skript ausgeführt werden.

Erlauben Sie einem Benutzer, nur bestimmte Befehle auszuführen

Sie können zwar bestimmte Befehle auf die schwarze Liste setzen und verhindern, dass Benutzer sie mit sudo ausführen, dies ist jedoch nicht sehr effektiv. Sie können beispielsweise angeben, dass ein Benutzerkonto den Befehl shutdown nicht mit sudo ausführen kann. Dieses Benutzerkonto kann jedoch den Befehl cp mit sudo ausführen, eine Kopie des Befehls shutdown erstellen und das System mithilfe der Kopie herunterfahren.

Eine effektivere Möglichkeit besteht darin, bestimmte Befehle auf die Whitelist zu setzen. Beispielsweise könnten Sie einem Standardbenutzerkonto die Berechtigung erteilen, die Befehle apt-get und shutdown zu verwenden, jedoch nicht mehr. Fügen Sie dazu die folgende Zeile hinzu, in der standarduser der Benutzername des Benutzers ist:

standarduser ALL = / usr / bin / apt-get, / sbin / shutdown

Der folgende Befehl gibt an, welche Befehle der Benutzer mit sudo ausführen kann:

sudo -U standarduser –l

Protokollierung des Sudo-Zugriffs

Sie können den gesamten Sudo-Zugriff protokollieren, indem Sie die folgende Zeile hinzufügen. / var / log / sudo ist nur ein Beispiel; Sie können einen beliebigen Speicherort für Protokolldateien verwenden.

Standardmäßig logfile = / var / log / sudo

Zeigen Sie den Inhalt der Protokolldatei mit einem Befehl wie dem folgenden an:

sudo cat / var / log / sudo

Beachten Sie, dass ein Benutzer, der uneingeschränkten Sudo-Zugriff hat, den Inhalt dieser Datei löschen oder ändern kann. Ein Benutzer kann auch mit sudo auf eine Root-Eingabeaufforderung zugreifen und Befehle ausführen, die nicht protokolliert werden. Die Protokollierungsfunktion ist am nützlichsten, wenn sie mit Benutzerkonten gekoppelt ist, die nur eingeschränkten Zugriff auf eine Teilmenge von Systembefehlen haben.

Continue Reading
Click to comment

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Tendencia