Ero sivun ”Sudoers” versioiden välillä
Pb (keskustelu | muokkaukset) p (Luokka:Käyttäjät ja ryhmät) |
Pb (keskustelu | muokkaukset) (kysyttävän salasanan valinta, aikaleiman vanhentuminen) |
||
| Rivi 1: | Rivi 1: | ||
'''/etc/sudoers'''-[[asetustiedosto]]ssa määritetään asetukset ja komennot, joita tavallinen käyttäjä voi suorittaa toisen käyttäjän (yleensä pääkäyttäjän) oikeuksilla käyttäen [[sudo]]-ohjelmaa. Jotta tiedoston muokkaus on turvallista tulee sitä muokata [[visudo]] -ohjelmalla, joka muunmuassa tarkastaa syötteiden oikeellisuuden. Perussyntaksi oikeuksien määrittämiseen sudoers-tiedostossa on: | '''/etc/sudoers'''-[[asetustiedosto]]ssa määritetään asetukset ja komennot, joita tavallinen käyttäjä voi suorittaa toisen käyttäjän (yleensä pääkäyttäjän) oikeuksilla käyttäen [[sudo]]-ohjelmaa. Jotta tiedoston muokkaus on turvallista tulee sitä muokata [[visudo]] -ohjelmalla, joka muunmuassa tarkastaa syötteiden oikeellisuuden. | ||
==Peruskäyttö== | |||
Perussyntaksi oikeuksien määrittämiseen sudoers-tiedostossa on: | |||
tunnus työasema=(käyttäjä jona komento ajetaan) komento(t) | tunnus työasema=(käyttäjä jona komento ajetaan) komento(t) | ||
| Rivi 8: | Rivi 11: | ||
sudo shutdown -r now | sudo shutdown -r now | ||
Jos halutaan, että eskon ei tarvitse syöttää | Jos halutaan, että eskon ei tarvitse syöttää [[salasana]]a komennon yhteydessä, lisätään riville NOPASSWD-optio: | ||
esko ALL=(root) NOPASSWD: /sbin/shutdown | esko ALL=(root) NOPASSWD: /sbin/shutdown | ||
| Rivi 17: | Rivi 20: | ||
%admin ALL=(root) ALL | %admin ALL=(root) ALL | ||
== Käyttäjäaliakset == | |||
Käyttäjät voidaan ryhmittää myös aliaksien avulla sudoers-tiedostossa: | Käyttäjät voidaan ryhmittää myös aliaksien avulla sudoers-tiedostossa: | ||
| Rivi 28: | Rivi 30: | ||
GURUT ALL=(root)ALL | GURUT ALL=(root)ALL | ||
== Komentoaliakset == | |||
Jos halutaan määritää useampia komentoja joita käyttäjä(t) voivat käyttäää. Voidaan nämä komennot myös ryhmittää | Jos halutaan määritää useampia komentoja joita käyttäjä(t) voivat käyttäää. Voidaan nämä komennot myös ryhmittää | ||
aliaksen avulla: | aliaksen avulla: | ||
| Rivi 39: | Rivi 40: | ||
GURUT=(root) NOPASSWD: MOUNTS | GURUT=(root) NOPASSWD: MOUNTS | ||
== Kysyttävän salasanan valinta == | |||
Sudo kysyy oletuksena komennon suorittavan käyttäjän omaa salasanaa. Sen voi kuitenkin saada kysymään myös kohdekäyttäjän (yleensä root) salasanaa lisäämällä asetustiedostoon rivin | |||
Defaults targetpw | |||
Mikäli yhdessä tämän rivin kanssa lisätään rivi | |||
ALL ALL=(ALL) ALL | |||
mikä sallii kaikkien komentojen suorittamisen kaikkina käyttäjinä kaikille käyttäjille, käyttäytyy sudo käytännössä samoin kuin [[su]]. | |||
Asetuksella | |||
Defaults rootpw | |||
voidaan sudo saada kysymään kaikissa tapauksissa rootin salasanaa, riippumatta siitä minä käyttäjänä ([[valitsin]] <tt>-u</tt>) komentoa ollaan ajamassa. | |||
==Aikaleiman vanhentuminen== | |||
Oletuksena käyttäjän aikaleima vanhentuu viidessä minuutissa, eli käyttäjä voi suorittaa komentoja viiden minuutin ajan ilman tarvetta salasanan uudelleensyöttämiseen. Aikaleiman vanhentumisaikaa on mahdollista muuttaa asetuksella | |||
Defaults timestamp_timeout=minuuttimäärä | |||
Asettamalla minuuttimäärän nollaksi salasanaa kysytään joka komennon yhteydessä. Negatiivinen minuuttimäärä tarkoittaa, ettei salasanaa ensimmäisen kerran jälkeen koskaan kysytä uudestaan. | |||
== Katso myös == | == Katso myös == | ||
Versio 24. heinäkuuta 2009 kello 14.47
/etc/sudoers-asetustiedostossa määritetään asetukset ja komennot, joita tavallinen käyttäjä voi suorittaa toisen käyttäjän (yleensä pääkäyttäjän) oikeuksilla käyttäen sudo-ohjelmaa. Jotta tiedoston muokkaus on turvallista tulee sitä muokata visudo -ohjelmalla, joka muunmuassa tarkastaa syötteiden oikeellisuuden.
Peruskäyttö
Perussyntaksi oikeuksien määrittämiseen sudoers-tiedostossa on:
tunnus työasema=(käyttäjä jona komento ajetaan) komento(t)
Esimerkiksi annettaan käyttäjälle esko oikeus sammuttaa kone:
esko ALL=(root) /sbin/shutdown
Joten esko voi esimerkiksi tämän jälkeen käynnistää koneen uudelleen komennolla:
sudo shutdown -r now
Jos halutaan, että eskon ei tarvitse syöttää salasanaa komennon yhteydessä, lisätään riville NOPASSWD-optio:
esko ALL=(root) NOPASSWD: /sbin/shutdown
Eskolle voidaan antaa oikeudet ajaa kaikkia komentoja pääkäyttäjänä rivillä
esko ALL=(root) ALL
Vastaavasti sama oikeus voitaisiin antaa kaikille "admin"-käyttäjäryhmään kuuluville käyttäjille rivillä
%admin ALL=(root) ALL
Käyttäjäaliakset
Käyttäjät voidaan ryhmittää myös aliaksien avulla sudoers-tiedostossa:
# User alias specification User_Alias GURUT = esko, petteri, kameli
Tämän jälkeen aliasta voidaan käyttää tunnuksen asemesta.
GURUT ALL=(root)ALL
Komentoaliakset
Jos halutaan määritää useampia komentoja joita käyttäjä(t) voivat käyttäää. Voidaan nämä komennot myös ryhmittää aliaksen avulla:
# Cmnd alias specification Cmnd_Alias MOUNTS = /bin/mount,/sbin/mount.cifs,/bin/umount,/sbin/umount.cifs
MOUNTS aliakseen on määritetty liitoskomennot jotka voidaan myöntää käyttäjille:
GURUT=(root) NOPASSWD: MOUNTS
Kysyttävän salasanan valinta
Sudo kysyy oletuksena komennon suorittavan käyttäjän omaa salasanaa. Sen voi kuitenkin saada kysymään myös kohdekäyttäjän (yleensä root) salasanaa lisäämällä asetustiedostoon rivin
Defaults targetpw
Mikäli yhdessä tämän rivin kanssa lisätään rivi
ALL ALL=(ALL) ALL
mikä sallii kaikkien komentojen suorittamisen kaikkina käyttäjinä kaikille käyttäjille, käyttäytyy sudo käytännössä samoin kuin su.
Asetuksella
Defaults rootpw
voidaan sudo saada kysymään kaikissa tapauksissa rootin salasanaa, riippumatta siitä minä käyttäjänä (valitsin -u) komentoa ollaan ajamassa.
Aikaleiman vanhentuminen
Oletuksena käyttäjän aikaleima vanhentuu viidessä minuutissa, eli käyttäjä voi suorittaa komentoja viiden minuutin ajan ilman tarvetta salasanan uudelleensyöttämiseen. Aikaleiman vanhentumisaikaa on mahdollista muuttaa asetuksella
Defaults timestamp_timeout=minuuttimäärä
Asettamalla minuuttimäärän nollaksi salasanaa kysytään joka komennon yhteydessä. Negatiivinen minuuttimäärä tarkoittaa, ettei salasanaa ensimmäisen kerran jälkeen koskaan kysytä uudestaan.