Получение прав администратора. Утилиты sudo, visudo и sudoedit. Все, что нужно для понимания sudo vs su в Ubuntu Linux Что такое sudo в линукс
С давних времен многих смущает разнообразие вариантов обеспечения безопасности при выполнении операций с максимальными привилегиями. Например, в официальной документации Ubuntu в качестве команды редактирования рекомендуется использовать что-то вроде sudo nano , а в многочисленных любительских мануалах (в стиле «5 фокусов в командной строке, которые удивят вашу бабушку») для получения root"ового шелла предлагается писать sudo su - . Попробую объяснить, почему такое положение вещей кажется мне неправильным.
Исторически единственным универсальным способом выполнить команду от имени другого пользователя в Unix была программа su. Запущенная без параметров, она запрашивала пароль суперпользователя и в случае успеха просто подменяла текущее имя пользователя на root, оставляя почти все переменные окружения от старого пользователя (кроме PATH, USER и еще пары-тройки, см. man su от своего дистрибутива). Более корректно было запускать ее как su - - в таком случае оболочка получала также и правильный environment. С параметром -c можно было выполнить команду: su -c "vim /etc/fstab" .
При этом доверенным пользователям приходилось помнить пароль root"а и у всех пользователей, перечисленных в группе «wheel» (т.е. в группе, члены которой могли выполнить команду su и стать суперпользователем), был одинаковый неограниченный доступ ко всей системе, что являлось серьёзной проблемой безопасности.
Затем появилась команда sudo, и это был прорыв. Теперь администратор мог указывать список разрешенных команд для каждого пользователя (или группы пользователей), файлы, доступные для редактирования, специальные переменные окружения и многое другое (все это великолепие управляется из /etc/sudoers , см. man sudoers от своего дистрибутива). При запуске sudo спрашивает у пользователя его собственный пароль, а не пароль root. Полноценный шелл можно получить с помощью " sudo -i "
Стоит особо упомянуть о специальной команде sudoedit , безопасно запускающей редактор, указанный в переменной окружения $EDITOR . При более традиционной схеме редактирование файлов производилось примерно так:
sudo vi /etc/fstab
Запускаемый таким образом vi наследовал оболочку с неограниченными правами и через:! пользователь мог запускать любую команду (если, конечно, админ не позаботился об этом заранее) и открыть любой файл.
Sudoedit проверяет, можно ли этому пользователю изменять данный файл, затем копирует указанный файл во временный каталог, открывает его в редакторе (который наследует права пользователя, а не root"а), а после редактирования, если файл был изменён, с особыми предосторожностями копирует его обратно.
В Debian-based дистрибутивах пользователь root не имеет пароля, вместо этого все административные действия должны производиться через sudo или его графический аналог gksudo . Являясь полной заменой su , sudo должна бы быть единственной командой переключения между пользователями, однако, как было сказано вначале, в настоящий момент это не так и все зачем-то изобретают дикие последовательности из sudo, su, vi и черточек.
Поэтому предлагаю всем раз и навсегда запомнить:
После первой публикации этой заметки мне было задано несколько вопросов. Из ответов получилось сделать мини-FAQ.
Q: как с помощью sudo сделать su -c "echo 1 > /etc/privileged_file" ? sudo echo 1 /etc/privileged_file ругается на «permission denied»
A: Это происходит потому, что только команда echo выполняется в повышенными правами, а результат перенаправляется в файл уже с правами обычного пользователя. Чтобы добавить что-нибудь в privileged_file, нужно выполнить такую команду:
$ echo 1| sudo tee -a privileged_file >/dev/null
Или же временно стать рутом:
$ sudo -i
# echo 1 > privileged_file
# exit
$
Q: sudo -i длиннее, чем su - , а разницы между ними вроде как и никакой, зачем печатать больше?
A: У sudo есть несколько преимуществ, ради которых стоит потрудиться набрать несколько лишних символов:
- по умолчанию sudo записывает всю пользовательскую активность в syslog-канал authpriv (как правило, результат кладется в файл /var/log/auth.log), а в su подобную фичу надо включать с помошью задания специального параметра в файле настроек, различающемся от дистрибутива к дистрибутиву (SULOG_FILE в /etc/login.defs в Ubuntu Linux, /etc/login.conf и /etc/pam.d/su в FreeBSD и т.д.)
- в случае с su администратор системы не может ограничить команды, выполняемые пользователями, а в sudo - может
- если пользователь должен быть лишен права администрирования, в случае с su после удаления его из группы wheel он должен забыть пароль root"а; если используется sudo, достаточно вынести его из соответствующей группы (например, wheel или admin) и/или файла sudoers, если он был дополнительно настроен.
A: отвечу вопросом на вопрос: если есть правильный sudo, зачем использовать устаревший su?
Иногда для решения какой-либо задачи необходимо открыть терминал и выполнить команды от суперпользователя (sudo или su), называемый также ROOT. Хотя некоторые из них можно осуществить с помощью графического интерфейса.
Для чего в Unix системах нужен и используется Root, вы можете узнать из , а мы далее будем обсуждать, как применяется sudo или su в Linux системах.
Предположим, что нужно выполнить нестандартную задачу, где графические инструменты нам не помогут. К тому же командная строка является очень гибким инструментом, здесь можно увидеть вывод команд и понять, что происходит не так как нужно. А самое главное, команды в терминале являются стандартными для всех дистрибутивов Linux.
Итак, существует два основных способа получить права суперпользователя (Root) это - sudo или su
Команда sudo используется в Debian - подобных системах или более популярных Ubuntu, «su» используется почти во всех остальных дистрибутивах Linux.
Ввод sudo в операционной системе Ubuntu требует ввода пароля Root и далее после успешного ввода, дает права суперпользователя на время выполнения одной лишь команды. Перед всеми последующими командами, которые требуют прав Root в Debian - подобных системах, необходимо снова вводить «sudo». А в остальных дистрибутивах Linux, где используется команда «su», предоставляет полный доступ Root, после ввода пароля, пока вы не введете «logout» или не закроете терминал.
В Debian - подобных (Ubuntu) системах есть одна хитрость, которая может предоставить полный доступ к Root, пока вы не закроете терминал. Это нужно в том случае если вы будете выполнять много команд от имени Root, и вам не придется перед каждой командой вводить «sudo». Для этого скомандуйте:
Например, нам необходимо найти всех имеющихся пользователей в системе, увидеть их каталоги и присвоить права нужного каталога одного пользователя другому. Для этого если бы я использовал Ubuntu, то команда в терминале была бы следующей:
Sudo du -sch /home/*
После этого последовал бы пароль от Root:
16K /home/lost+found 27G /home/pavel 34G /home/pavelubuntu 50G /home/pavelzen 110G итого
Я знаю, что я являюсь пользователем каталога /home/pavelzen , но мне необходимо еще стать и владельцем каталога /home/pavelubuntu. Для этого мне вновь необходимо перед командой ввести «sudo».
А для других систем: сначала я скомандовал бы
пароль, а потом
Du -sch /home/*
Chown -R pavelzen: /home/pavelubuntu
Вот так в системах Linux проявляются терминалы и суперпользователи.
Sudo — это программа для Unix-подобных операционных систем, которая позволяет пользователям запускать программы с привилегиями безопасности другого пользователя, по умолчанию суперпользователя.
В отличие от связанной команды su , пользователи должны предоставить свой пароль для аутентификации. После аутентификации, если файл конфигурации, который обычно находится в /etc/sudoers , позволяет предоставить пользователю доступ, система выполняет требуемую команду. Файл конфигурации дает разрешение на доступ, в том числе позволяет выполнять команды вызывающиеся из терминала; позволяет запрашивать пароль для каждого пользователя или группы; позволяет требовать повторного ввода пароля каждый раз, или никогда не требовать ввода пароля вообще. Он также может быть настроен, чтобы разрешить передачу аргументов или нескольких команд.
Говоря простыми словами для того чтобы выполнить определенные действия в Linux
, нам потребуется либо ввод пароля, либо вход от имени суперпользователя (su)
.
Рассмотрим на простом примере, для того чтоб получить возможность удалять\копировать\заменять системные файлы в Ubuntu
, необходимо открыть файловый менеджер Nautilus
от имени суперпользователя.
Для этого вводим в терминале (ctrl+alt+T
). Будьте внимательны, терминал чувствителен к регистру.
Затем появится следующий текст:
password for user: /здесь вводите свой пароль, учтите что никакие символы отображаться не будут/Таким образом вы открыли файловый менеджер Nautilus от имени суперпользователя и теперь можете смело (или не очень) идти ковырять системные файлы ^^
Следующий пример. Например вам надо поковырять содержимое системного файла с помощью текстового редактора, но внести изменения вы в нем не можете. Открываете терминал и вводите:
sudo geditТаким образом вы открыли текстовый редактор с правами суперпользователя.
Еще один пример если, допустим, вы будете вы будете выполнять большое количество команд и каждый раз ввод пароля вас просто не устраивает. Вы можете открыть в терминале сеанс суперпользователя который избавит вас от этих неудобств.
Вводим в терминале:
Затем вводим свой пароль, сеанс суперпользователя открыт. Спасибо за внимание
Каждый владелец серверной машины знает, что не стоит доверять полный доступ (root) всем подряд.
Последствия некоторых таковых моментов мы знаем. И, для упрощения жизни, в Unix-ядро
внедрена команда sudo
.
Инструмент который дает права пользователям выполнять команды с привилегиями суперпользователя. Например разрешает младшим администраторам использовать те или иные команды, для выполнения задач в рамках компетенции.
Суперпользователь root - администраторский аккаунт в Unix (а так-же Unix-подобных OC) с идентификатором 0, которому позволено выполнить все команды без исключения.
Устанавливается из репозиториев при помощи пакетного менеджера: apt-get install sudo или yum install sudo .
Конфигурация sudo
разрешает указать пользователя, группу пользователей, хосты и запрос или отсутствие запроса пароля при выполнении.
Например выполнение команды от имени другого пользователя.
Запустить Midnight Commander с правами суперпользователя
Открыть в текстовом редакторе nano файл nginx.config от пользователя Anton .
Sudo -u anton nano /etc/nginx/nginx.config
Файл конфигурации
sudoers
расположен в директории /etc/
.
Для редактирования файла конфигурации используется команда visudo
.
Изменять файл /etc/sudoers текстовым редактором не стоит, т.к. при сохранение синтаксис не проверяется, как в случае с visudo .
Шаблон прав пользователей в конфигурационном файле /etc/sudoers
Пользователь/%группа ALL/название_хоста/+группа_машин = ALL/перечисление_команд_через_запятую (дополнительные параметры):
Разрешает пользователю anton выполнять все команды на всех хостах (с запросом пароля)
Anton ALL=(ALL) ALL
Разрешает группе admins выполнять все команды на машине Alpha (без ввода пароль)
%admins Alpha = ALL NOPASSWD: ALL
По умолчанию при выполнение команд через sudo требуется авторизоваться по паролю. Отключить авторизацию можно с помощью параметра NOPASSWD )
Предусмотрена в sudo и объединением групп команд в псевдонимы.
Объединение команд для работы с сетью в одну сущность NETWORKING
Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool
Использовать их можно например для ограничение прав пользователя или группы на выполнение команд затрагивающих сервис.
Разрешить использовать все команды пользователю Egor и группе devops, кроме тех, что в группе NETWORKING
Egor ALL = ALL, !NETWORKING %devops ALL = ALL, !NETWORKING
Мы рассмотрели часть функционала sudo для детального ознакомления используйте man pages из поставки вашего дистрибутива.
С давних времен многих смущает разнообразие вариантов обеспечения безопасности при выполнении операций с максимальными привилегиями. Например, в официальной документации Ubuntu в качестве команды редактирования рекомендуется использовать что-то вроде sudo nano , а в многочисленных любительских мануалах (в стиле «5 фокусов в командной строке, которые удивят вашу бабушку») для получения root"ового шелла предлагается писать sudo su - . Попробую объяснить, почему такое положение вещей кажется мне неправильным.
Исторически единственным универсальным способом выполнить команду от имени другого пользователя в Unix была программа su. Запущенная без параметров, она запрашивала пароль суперпользователя и в случае успеха просто подменяла текущее имя пользователя на root, оставляя почти все переменные окружения от старого пользователя (кроме PATH, USER и еще пары-тройки, см. man su от своего дистрибутива). Более корректно было запускать ее как su - - в таком случае оболочка получала также и правильный environment. С параметром -c можно было выполнить команду: su -c "vim /etc/fstab" .
При этом доверенным пользователям приходилось помнить пароль root"а и у всех пользователей, перечисленных в группе «wheel» (т.е. в группе, члены которой могли выполнить команду su и стать суперпользователем), был одинаковый неограниченный доступ ко всей системе, что являлось серьёзной проблемой безопасности.
Затем появилась команда sudo, и это был прорыв. Теперь администратор мог указывать список разрешенных команд для каждого пользователя (или группы пользователей), файлы, доступные для редактирования, специальные переменные окружения и многое другое (все это великолепие управляется из /etc/sudoers , см. man sudoers от своего дистрибутива). При запуске sudo спрашивает у пользователя его собственный пароль, а не пароль root. Полноценный шелл можно получить с помощью " sudo -i "
Стоит особо упомянуть о специальной команде sudoedit , безопасно запускающей редактор, указанный в переменной окружения $EDITOR . При более традиционной схеме редактирование файлов производилось примерно так:
sudo vi /etc/fstab
Запускаемый таким образом vi наследовал оболочку с неограниченными правами и через:! пользователь мог запускать любую команду (если, конечно, админ не позаботился об этом заранее) и открыть любой файл.
Sudoedit проверяет, можно ли этому пользователю изменять данный файл, затем копирует указанный файл во временный каталог, открывает его в редакторе (который наследует права пользователя, а не root"а), а после редактирования, если файл был изменён, с особыми предосторожностями копирует его обратно.
В Debian-based дистрибутивах пользователь root не имеет пароля, вместо этого все административные действия должны производиться через sudo или его графический аналог gksudo . Являясь полной заменой su , sudo должна бы быть единственной командой переключения между пользователями, однако, как было сказано вначале, в настоящий момент это не так и все зачем-то изобретают дикие последовательности из sudo, su, vi и черточек.
Поэтому предлагаю всем раз и навсегда запомнить:
После первой публикации этой заметки мне было задано несколько вопросов. Из ответов получилось сделать мини-FAQ.
Q: как с помощью sudo сделать su -c "echo 1 > /etc/privileged_file" ? sudo echo 1 /etc/privileged_file ругается на «permission denied»
A: Это происходит потому, что только команда echo выполняется в повышенными правами, а результат перенаправляется в файл уже с правами обычного пользователя. Чтобы добавить что-нибудь в privileged_file, нужно выполнить такую команду:
$ echo 1| sudo tee -a privileged_file >/dev/null
Или же временно стать рутом:
$ sudo -i
# echo 1 > privileged_file
# exit
$
Q: sudo -i длиннее, чем su - , а разницы между ними вроде как и никакой, зачем печатать больше?
A: У sudo есть несколько преимуществ, ради которых стоит потрудиться набрать несколько лишних символов:
- по умолчанию sudo записывает всю пользовательскую активность в syslog-канал authpriv (как правило, результат кладется в файл /var/log/auth.log), а в su подобную фичу надо включать с помошью задания специального параметра в файле настроек, различающемся от дистрибутива к дистрибутиву (SULOG_FILE в /etc/login.defs в Ubuntu Linux, /etc/login.conf и /etc/pam.d/su в FreeBSD и т.д.)
- в случае с su администратор системы не может ограничить команды, выполняемые пользователями, а в sudo - может
- если пользователь должен быть лишен права администрирования, в случае с su после удаления его из группы wheel он должен забыть пароль root"а; если используется sudo, достаточно вынести его из соответствующей группы (например, wheel или admin) и/или файла sudoers, если он был дополнительно настроен.
A: отвечу вопросом на вопрос: если есть правильный sudo, зачем использовать устаревший su?