Главная » Linux

Linux sudo выполнить команду от другого пользователя

Содержание
  1. Все, что вы хотели бы знать о команде SUDO
  2. Инсталляция SUDO
  3. Добавление пользователей в файл Sudoers
  4. Как пользоваться sudo
  5. Время ожидания пароля
  6. Запуск команды sudo от имени пользователя, отличного от пользователя root
  7. Как выполнять перенаправление с помощью sudo
  8. Урок 16. Права sudo пользователя — команды sudo, su

Все, что вы хотели бы знать о команде SUDO

Оригинал: Todo lo que quisiste saber del comando SUDO
Автор: maslinux
Дата публикации: 17 июня 2019 г.
Перевод: В.Костромин
Дата перевода: 19 июня 2019 г.

Команда sudo позволяет нам запускать программы от имени другого пользователя, по умолчанию с правами суперпользователя root. Если вы проводите много времени в командной строке, sudo — это команда, которую вы будете использовать довольно часто.

Используйте sudo вместо того, чтобы запускать сессию суперпользователя, так как это безопаснее, потому что вы можете предоставить ограниченные административные привилегии отдельным пользователям, которые не знают пароля root.

В этом коротком руководстве мы расскажем, как использовать команду sudo.

Инсталляция SUDO

Пакет sudo установлен по умолчанию в подавляющем большинстве дистрибутивов GNU/Linux, но не во всех. Есть и такие, где он установлен, но вам об этом не сообщается. Мы расскажем, как его увидеть.

Чтобы проверить, установлен ли пакет sudo в вашей системе, откройте консоль, введите sudo и нажмите Enter. Если пакет sudo у вас установлен, система покажет краткое справочное сообщение, в противном случае вы увидите что-то вроде sudo command not found.
Если sudo не установлен, вы можете легко установить его, используя менеджер пакетов вашего дистрибутива.

Добавление пользователей в файл Sudoers

По умолчанию в большинстве дистрибутивов GNU / Linux для того, чтобы предоставить пользователю доступ к sudo, достаточно добавить этого пользователя в группу sudo, определенную в файле sudoers в каталоге /etc. Члены этой группы могут выполнять любую команду от имени root. Название группы может варьироваться от одного дистрибутива к другому. В дистрибутивах, основанных на RedHat, таких как CentOS и Fedora, имя группы sudo — wheel. Чтобы добавить пользователя к эту группу, можно выполнить команду:

В Debian, Ubuntu и их производных, выполнять команду sudo могут члены группы sudo:

В Ubuntu учетная запись пользователя root по умолчанию отключена из соображений безопасности, и пользователям рекомендуется выполнять административные задачи системы с помощью sudo. Первоначальный пользователь, созданный установщиком Ubuntu, уже является членом группы sudo, поэтому если вы работаете в Ubuntu, вполне вероятно, что пользователь, с которым вы вошли в систему, уже имеет привилегии sudo.

Если вы хотите разрешить конкретному пользователю запускать через sudo только определенные программы, вместо добавления пользователя в группу sudo, добавьте пользователей в файл sudoers.

Например, чтобы позволить пользователю alumno выполнять от имени sudo только команду mkdir, вызовите специальную версию редактора vim:

и добавьте следующую строку:

В большинстве систем команда visudo открывает файл /etc/sudoers в текстовом редакторе vim. Если у вас нет опыта работы с vim, используйте nano.

Вы также можете разрешить пользователям выполнять команды sudo без аутентификации:

alumno ALL=(ALL) NOPASSWD: ALL

Как пользоваться sudo

Команда sudo имеет много опций, которые управляют ее поведением, но обычно она используется в самой простой форме, без опций.

Читайте также:  Err connection reset windows 10 как исправить

Чтобы воспользоваться sudo, просто введите нужную вам команду с префиксом sudo:

где comando — это та команда, для выполнения которой вам нужно использовать sudo.

Sudo прочитает файл /etc/sudoers и проверит, предоставлен ли вызывающему её пользователю доступ к sudo. При первом использовании sudo в сеансе вам будет предложено ввести ваш пароль пользователя (не пароль root), и команда будет выполнена от имени пользователя root.

Например, для отображения всех файлов в каталоге /root можно использовать команду:

Время ожидания пароля

По умолчанию, если в течение пяти минут команда sudo не использовалась, вам придется ввести пароль повторно. Вы можете изменить время ожидания по умолчанию, отредактировав файл sudoers. Откройте файл с помощью nano:

Установите время ожидания по умолчанию, добавив следующую строку, где 15 — время ожидания, указанное в минутах:

Если вы хотите изменить время только для конкретного пользователя, добавьте следующую строку, где user_name — это рассматриваемый пользователь.

Запуск команды sudo от имени пользователя, отличного от пользователя root

Существует неправильное представление о том, что sudo используется только для предоставления полномочий root обычному пользователю. На самом деле, вы можете использовать sudo для выполнения команд от имени любого другого пользователя.

Опция -u позволяет вам выполнить команду от имени конкретного пользователя.

В следующем примере мы используем sudo для выполнения команды whoami от пользователя “alumno”:

Команда whoami напечатает имя пользователя, который выполняет эту команду:

Как выполнять перенаправление с помощью sudo

Если вы попытаетесь перенаправить вывод команды в файл, к которому у вашего пользователя нет прав на запись, вы получите сообщение об ошибке «Отказано в доступе».

Это происходит потому, что перенаправление вывода «>» выполняется с правами пользователя, под которым вы вошли в систему, а не под пользователем, указанным в sudo. Перенаправление происходит до вызова команды sudo.

Одним из решений является вызов новой оболочки с правами root с помощью sudo sh -c:

Еще один способ — направить вывод команды, выполняемой обычным пользователем, в команду, выполняемую через sudo, как показано ниже:

Sudo — очень мощная команда, но при обращении с ней нужно быть очень осторожным.

Источник

Урок 16. Права sudo пользователя — команды sudo, su

Как быть обычным пользователям, которым необходимо изменить некоторые настройки или установить программы, не имея при этом соответствующих прав?

Не обращаться же им каждый раз за помощью к администратору?

Нет. Для этого они могут стать временно другими пользователями с более высокими привилегиями либо выполнить необходимые действие от имени суперпользователя.

Чтобы временно стать другим пользователем выполним команду su [-] имя_пользователя

Система запросит пароль этого пользователя и можно продолжать работать. Одновременно изменится текущий каталог, то есть перейдет в домашний каталог данного пользователя. Например, так:

Причем сеанс работы, запущенный от изначального имени все еще будет активен. Для возврата к нему выполним Ctrl + D или наберем команду exit . В работе команды su есть пара нюансов. Если ввести просто su без аргументов и опций, то вход будет осуществлен от имени суперпользователя root. Причем текущий каталог не изменится:

Читайте также:  Ассистент обновления windows 10 32 bit

Этого лучше не делать, так как в процессе выполнения определенных команд некоторые файлы могут быть записаны в домашнем каталоге текущего пользователя и в дальнейшем это может привести к некоторым сложностям.

А можно войти в систему от имени другого пользователя и остаться в своем домашнем каталоге?

Да, для этого введем команду su имя_пользователя :

Однако, если ввести su — , то система перейдет в домашний каталог суперпользователя:

При выполнении команды su необходимо знать пароль другого пользователя и в этом и заключается проблема. Так как обычно люди паролями не делятся, а если и поделятся, то это может привести к нежелательным последствиям. Поэтому существует другой способ временно получить права пользователя с расширенными привилегиями. Для этого достаточно выполнить sudo [опции] команда

Система запросит пароль текущего пользователя (а не пароль указанного в команде пользователя). После этого будет выполнена запрошенная команда. Система не будет переключаться на аккаунт указанного пользователя, текущий каталог останется прежним. Если просто выполнить команду без аргументов sudo команда , то выполнение команды будет осуществлено от имени суперпользователя.

Но тогда какое отличие sudo от su ? В обоих случая можно выполнять любые действия.

Отличия есть. Во-первых, пароли суперпользователя и других администраторов скрыты от обычных пользователей. Во-вторых, не каждый пользователь может выполнять команду sudo .

В некоторых системах Linux уже по умолчанию существует специальная группа sudo , которая наделена расширенными привилегиями. Пользователи, которые состоят в данной группе могут выполнять команду sudo .

То есть, если добавить обычного пользователя в группу sudo , то с помощью команды sudo он сможет выполнять абсолютно любые команды, как и суперпользователь?

И да и нет. Данную команду можно гибко настроить под любые нужды. Можно ограничить привилегии определенным пользователями, а можно наоборот предоставить полную свободу действий.

И как это сделать?

Существует специальный файл настроек команды sudo , который находится в /etc/sudoers . Когда запускается sudo она проверяет файл sudoers , и если там имеется необходимая запись, то выполняется запрошенная пользователем команда. В противном случае выдается сообщение об отсутствии прав доступа. Вот как выглядит файл sudoers:

Теперь попробуем разобраться по порядку, что в нем указано.

User_Alias — синоним пользователей. С помощью синонима (Alias) определяют группу пользователей. Например, на рисунке уже указаны некоторые синонимы:

где синоним ADMINS обозначает перечисленных пользователей vasya, petya, admin .

Что нам это дает?

Когда определенным пользователям нужно ограничить/расширить доступ, то всегда легче это сделать, объединив их всех в одну группу, особенно когда этих пользователей очень много. Так будет проще администрировать и в этом мы убедимся позже.

Runas_Alias — синоним пользователей, от имени которых будут запускаться определенные команды. Смысл их такой же, как User_Alias :

Host_Alias — синоним компьютеров (хостов). Каждый компьютер имеет свое имя. Пользователи могут подключаться к удаленной системе (серверу) через свои или чужие компьютеру. Чтобы ограничить доступ к серверу с определенных компьютеров создается список этих компьютеров, которые объединяются в одну группу:

Cmnd_Alias — синоним команд. Объединяет в группу список команд, которые можно или нельзя выполнять:

В данном синониме необходимо указывать полный путь (не относительный) к командам, иначе ничего работать не будет. Все синонимы принято писать заглавными буквами. В описании я упомянул, что синоним по сути является группой. Однако не следует путать синоним со стандартной группой самих пользователей, которые уже имеются или могут быть созданы в Linux.

Читайте также:  Как сделать скриншот рабочего стола windows 10 ноутбук

Теперь подходим к самому интересному. Чтобы ограничить или разрешить определенные действия определенным пользователям используется следующая запись:

Пользователь Компьютер = (Целевой пользователь) Команда

Что же означает эта запись. Для примера рассмотрим такую запись: vasya pc = (admin) /sbin/shutdown

Она означает следующее: пользователь vasya с компьютера pc от имени пользователя admin может выполнять только команду /sbin/shutdown , то есть выключать систему. Иными словами пользователь vasya работает на компьютере pc . Чтобы выключить систему он набирает команду sudo -u admin shutdown.

А можно просто набрать sudo shutdown?

Нет. так как в данном случае выполнение идет от имени root , что является запрещенным действием для данного пользователя. Здесь мы указали только одного пользователя. Однако, когда у нас их больше, то здесь пригодятся синонимы (alias), рассмотренные выше.

Например, ADMINS SECURITY = (root) ALL означает, что пользователи, входящие в синоним ADMINS ( petya, vasya ) с компьютеров, входящих в синоним SECURITY ( server1, server2, server3 ) могут выполнять от имени пользователя root абсолютно любые ( ALL ) команды.

Когда данные пользователи выполняют команду sudo , то система запросит их личный пароль и продолжит выполнять запрошенные действия.

Немного поменяем запись в sudoers : ADMINS SECURITY = (root) NOPASSWD: ALL

С этой записью данным пользователям вообще не нужно вводить пароль.

Рассмотрим еще пару примеров, чтобы лучше понять принцип работы.

ALL ALL = (ALL) ALL — все пользователи на любых компьютерах от имени любых пользователей могут выполнять любые команды.

ALL localhost = /sbin/shutdown -h now — все пользователям разрешается на локальном компьютере выполнять команду shutdown , то есть выключать компьютер локально.

%student ALL = !/sbin/ — пользователям, входящие в группу student (перед группой всегда стоит знак % ), запрещено выполнять все команды из каталога /sbin . Знак ! здесь означает обратное действие (отрицание не).

Чтобы подробнее ознакомиться со всеми параметрами рекомендую ознакомится с описанием man sudoers .

А как можно редактировать файл sudoers ?

Для редактирования нужно обладать правами root , само редактирование выполняется командой visudo . Она позволяет безопасно отредактировать файл и сообщит об ошибках. Поэтому крайне не рекомендуется использовать обычные редакторы вроде nano, vim, emacs и так далее.

А как узнать может ли пользователь выполнять sudo или нет?

Для этого введем команду sudo -ll . Иногда может потребоваться ввести пароль и система отобразит можно ли запускать sudo или нет:

Список команд, которые мы изучили:

su — имя_пользователя — вход в систему от имени пользователя

su — — вход в систему от имени суперпользователя

sudo команда — выполнение команды от имени суперпользователя

sudo -u имя_пользователя команда — выполнение команды от имени пользователя

visudo — запуск редактора файла sudoers

sudo -l — список разрешенных команд для sudo у текущего пользователя

sudo -ll — подробный список разрешенных команд для sudo у текущего пользователя

Источник

Оцените статью
© 2024 Советы по настройке компьютера