Если вам говорят, что пользователя «нет в файле sudoers», вы можете добавить пользователя sudo с помощью команды usermod. Чтобы контролировать, что пользователь может делать с помощью sudo, отредактируйте файл sudoers с помощью visudo.
Если при выполнении команды sudo в Linux вы получаете сообщение, что пользователь «отсутствует в файле sudoers», вам нужно попасть в список «sudoers». Мы рассмотрим добавление пользователя в sudoers в Ubuntu и других дистрибутивах Linux, а также редактирование файла sudoers.
Почему я должен быть добавлен в файл sudoers?
В установках Linux пользователь root является самым высокопривилегированным пользователем. Они могут выполнять любые административные задачи, получать доступ к любому файлу, независимо от того, кому он принадлежит, а также создавать, манипулировать и даже удалять других пользователей.
Такой уровень власти опасен. Если root допустит ошибку, результаты могут быть катастрофическими. У них есть возможность монтировать и размонтировать файловые системы, а также полностью перезаписывать их. Гораздо более безопасный способ работы — никогда не входить в систему под именем root.
Назначенные пользователи могут использовать sudo, чтобы временно получить административные полномочия, выполнить необходимое действие, а затем вернуться в свое обычное, непривилегированное состояние. Это безопаснее, поскольку вы сознательно вызываете свои высшие полномочия, когда они вам нужны, и в то время, когда вы сосредоточены на выполнении того, что их требует.
Команда sudo — это эквивалент Linux, когда вы кричите «Shazam». Когда страшные вещи закончатся, вы оставите свое сверхмощное альтер-эго и вернетесь к своей обычной обыденной жизни.
Вход в систему под именем root отключен по умолчанию в большинстве современных дистрибутивов, но его можно восстановить. Использование учетной записи root для повседневной работы нежелательно. Ошибки, которые обычно влияют на одного пользователя или которые вообще были бы заблокированы из-за недостаточных привилегий, могут выполняться беспрепятственно, если их совершает root.
Современные дистрибутивы Linux предоставляют привилегии sudo учетной записи пользователя, которая создается во время установки или на этапе настройки после установки. Если кто-либо другой попытается использовать sudo, он увидит предупреждение, подобное этому:
mary is not in the sudoers file. Об этом инциденте будет сообщено.
Это кажется достаточно простым. Наш пользователь Мэри не может использовать sudo, потому что ее нет «в файле sudoers». Поэтому давайте посмотрим, как мы можем добавить ее, сделав пользователем sudo.
Как открыть файл sudoers
Прежде чем мы сможем добавить пользователя sudo, нам нужно поработать с файлом sudoers. В нем перечислены группы пользователей, которые могут использовать sudo. Если нам нужно внести изменения в этот файл, мы должны его отредактировать.
Файл sudoers должен быть открыт с помощью команды visudo. Это блокирует файл sudoers и предотвращает одновременную попытку внесения изменений двумя людьми. Она также выполняет некоторые проверки на вменяемость перед сохранением ваших правок, гарантируя, что они правильно разобраны и
o .
Добавление пользователя sudo в Ubuntu и других дистрибутивах Linux
У нас есть два пользователя, которым необходим доступ к привилегиям root для выполнения своих должностных обязанностей, поэтому мы добавим их в sudoers. Это Том и Мэри. Мэри нужно иметь доступ ко всему, что может делать root. Тому нужно только устанавливать приложения.
Давайте сначала добавим Мэри в группу sudoers. Мы можем сделать это на Ubuntu и большинстве других дистрибутивов Linux тем же способом, запустив visudo .
sudo visudo
Прокрутите вниз в редакторе, пока не увидите раздел «Спецификация привилегий пользователя». Найдите комментарий, в котором написано что-то вроде «Разрешить членам этой группы выполнять любую команду».
Нам говорят, что члены группы sudo могут выполнять любую команду. Все, что нам нужно знать в случае с Мэри, - это имя этой группы. Это не всегда sudo это может быть wheel или что-то другое. Теперь, когда мы знаем имя группы, мы можем закрыть редактор и добавить Мэри в эту группу.
Мы используем команду usermod с опциям и-a (append) и-G (group name) для добавления пользователей в sudoers. Опци я-G позволяет нам назвать группу, в которую мы хотим добавить пользователя, а опци я-a указывает usermod добавить новую группу к списку существующих групп, в которых уже состоит этот пользователь.
Если вы не используете опци ю-a, единственной группой, в которой будет находиться ваш пользователь, будет недавно добавленная группа. Дважды проверьте и убедитесь, что вы включили опци ю-a.
sudo usermo d-aG sudo mary
В следующий раз, когда Мэри войдет в систему, она получит доступ к sudo . Мы вошли в систему и пытаемся отредактировать файл таблицы файловой системы «/etc/fstab». Это файл, который недоступен для всех, кроме root.
sudo nano /etc/fstab
Откроется редактор nano с загруженным файлом «/etc/fstab».
Без привилегий sudo вы сможете открыть этот файл только для чтения. У Мэри больше нет таких ограничений. Она может сохранять любые внесенные изменения.
Закройте редактор и не сохраняйте изменения, которые вы могли сделать.
Ограничение привилегий sudo путем редактирования файла sudoers
Другой наш пользователь, Том, получит разрешение на установку программного обеспечения, но он не получит всех привилегий, которые были предоставлены Мэри. Мы можем сделать Тома пользователем sudo, не предоставляя ему всех привилегий.
Для этого нам нужно отредактировать файл sudoers.
sudo visudo
Прокрутите вниз в редакторе, пока не увидите раздел «Спецификация привилегий пользователя». Найдите комментарий, который звучит примерно так: «Разрешить членам этой группы выполнять любую команду». Это то же самое место в файле, где мы нашли имя группы, в которую нам нужно было добавить Мэри.
Нам говорят, что члены группы sudo могут выполнять любую команду. Все, что нам нужно знать в случае с Мэри, - это имя этой группы. Это не всегда sudo это может быть wheel или что-то другое. Теперь, когда мы знаем имя группы, мы можем закрыть редактор и добавить Мэри в эту группу.
# пользователь tom может устанавливать программы tom ALL=(root) /usr/bin/apt
Первая строка — это простой комментарий. Обратите внимание, что между именем пользователя «tom» и словом «All» стоит Tab.
Вот что означают элементы в этой строке.
tom : Имя группы пользователя по умолчанию. Обычно это имя совпадает с именем учетной записи пользователя.
ALL= : Это правило применяется ко всем хостам в этой сети.
- (root) : Члены группы «tom», то есть пользователь Tom, могут получить привилегии root для выполнения перечисленных команд.
- /usr/bin/apt : Это единственная команда, которую пользователь Tom может выполнить от имени root.
- Мы указали здесь менеджер пакетов apt, потому что на этом компьютере используется Ubuntu Linux. Вам нужно будет заменить эту команду на соответствующую, если вы используете другой дистрибутив.
- Давайте войдем в систему и посмотрим, получим ли мы ожидаемое поведение. Попробуем отредактировать файл «/etc/fstab».
sudo nano /etc/fstab
Эта команда отклонена, и нам сообщается, что «пользователю tom не разрешено выполнять ‘/usr/bin/nano /etc/fstab’ от имени root…».
Без привилегий sudo вы сможете открыть этот файл только для чтения. У Мэри больше нет таких ограничений. Она может сохранять любые внесенные изменения.
sudo apt install neofetch
Команда успешно выполнена для Тома.
Тот, кто владеет этой командой
Если все ваши пользователи смогут использовать sudo, у вас на руках будет хаос. Но стоит включить других пользователей в список sudoers, чтобы они могли разделить ваше административное бремя. Только убедитесь, что они достойны, и следите за ними.
Даже если вы единственный пользователь на своем компьютере, стоит подумать о создании еще одной учетной записи и добавлении ее в список sudo. Таким образом, если вы вдруг окажетесь заблокированы от основной учетной записи, у вас будет другая учетная запись, с которой вы сможете войти в систему, чтобы попытаться исправить ситуацию.
