Debian droits de superutilisateur (sudo, visudo)

In Ubuntu OS, sudo est activé par défaut, et dans Debian, si le package correspondant n'a pas été sélectionné lors du processus d'installation, l'image suivante sera très probablement :

Vous devez donc installer le package manquant. Mettez à jour les informations du référentiel et installez sudo :

Nous attendons la fin du processus :

Après une installation réussie, vous devrez configurer sudo pour déterminer quels utilisateurs ou groupes pourront utiliser l'élévation de privilèges et dans quelle mesure. Tous ces paramètres sont stockés dans le fichier de configuration / etc / sudoers, cependant, il est fortement déconseillé d'y apporter directement des modifications. À ces fins, une commande spéciale est utilisée :

En conséquence, nous avons deux façons principales d'accorder au compte d'utilisateur le droit d'utiliser sudo:

Ajoutez un compte utilisateur (par exemple user) au groupe sudo sur le serveur :

Après avoir modifié l'appartenance au groupe, vous devrez vous reconnecter à ce compte pour appliquer la nouvelle configuration. Cette méthode est recommandée dans les cas où l'utilisateur doit disposer de tous les droits.

Créez une nouvelle entrée dans le fichier, par exemple, pour le compte d'utilisateur. Nous ajoutons une ligne similaire à root :

Vous pouvez maintenant vérifier le bon fonctionnement :

Ainsi, un utilisateur ordinaire peut exécuter des commandes avec les droits du compte root sans connaître son mot de passe. C'est très pratique, mais cela peut être dangereux - est-il possible de limiter la plage de commandes pouvant être exécutées à l'aide de sudo ? Oui, et le même fichier de configuration nous y aidera. Nous redémarrons visudo et nous comprenons mieux. Nous nous intéressons aux paramètres spécifiés après le nom d'utilisateur :

Nous allons les analyser plus en détail :

• TOUTES= (ALL: ALL) ALL - le premier paramètre détermine à quel hôte la configuration est appliquée. Lorsque vous utilisez un serveur dédié, le paramètre peut rester inchangé ;
• TOUS=(TOUS : TOUS)ALL - les paramètres entre parenthèses déterminent l'autorité de l'utilisateur (premier paramètre) et/ou du groupe (second paramètre) sur lequel la commande sera exécutée. Par défaut, sudo exécute la commande en tant que root, mais lors du démarrage avec le commutateur –u, vous pouvez spécifier un compte différent, et avec le commutateur –g, vous pouvez spécifier un autre groupe dont les privilèges seront utilisés au démarrage ;
• TOUT=(TOUT : TOUT)TOUTES- le troisième paramètre détermine à quels fichiers et commandes appartiennent ces paramètres.

Sur la base de ce qui précède, si nécessaire, déterminez la liste des commandes autorisées, remplacez le dernier paramètre TOUTES avec ce dont nous avons besoin, en listant les commandes séparées par des virgules. Par exemple, la ligne :

donne à l'utilisateur le droit d'utiliser sudo pour redémarrer le serveur avec sudo /sbin/shutdown –r et afficher les fichiers avec sudo /bin/cat. Les autres commandes via sudo ne seront pas exécutées. Par exemple, lorsque vous essayez d'arrêter le serveur avec la commande sudo /sbin/shutdown –h, nous obtenons la réponse :

Vous pouvez voir la liste des privilèges en exécutant sudo –l (la liste de l'utilisateur actuel s'affichera) ou sudo –l –U user (la liste des privilèges de l'utilisateur s'affichera) :

La composition de sudo inclut la commande sudoedit, qui lance immédiatement un éditeur de texte avec le fichier spécifié avec des privilèges élevés, c'est-à-dire au lieu de la commande :

peut courir:

Si vous devez travailler en mode privilège élevé pendant une longue période et qu'il n'est pas pratique d'entrer sudo pour chaque commande, vous pouvez exécuter une instance de l'interpréteur de commandes via sudo :

et continuez à y travailler - toutes les équipes seront lancées avec des droits élevés. Une fois terminé, quittez l'interpréteur avec la commande exit.