welinux.ru/Ubuntu — Настраиваем sudo или верните root'а назад

24.07.09 01:58 anjolio

Ubuntu — Настраиваем sudo или верните root'а назад

Уровень статьи: для начинающего пользователя

Введение

В ubuntu по умолчанию следующие настройки системы:

Пароль от суперпользователя (root'a) скрыт от пользователя. Поговаривают, что он меняется при каждом запуске системы.
Всё администрирование системы осуществляется от имени пользователя, аккаунт которого был заведён при установке (uid=1000).
Для выполнения каких-либо административных действий требуется ввести пароль первого пользователя (uid=1000).
Все административные действия в консоли выполняются с помощью команды sudo.
Зайти от имени root'а по команде su нельзя, т.к. пароль не установлен.
Зайти от имени root'а можно по команде sudo -s.
После ввода пароля пользователя на запрос sudo, этот пароль запоминается на 15 минут и в течении этого времени можно выполнять любые команды с помощью sudo - пароль не потребуется.

Что в этом мне не нравится? Я привык, что пользователь - это пользователь, а администратор - это администратор. И кислое с зелёным в одной кастрюле мешать не стоит. А получается, что первый пользователь имеет полные админские права к компу.
Я с этим просто категорически не согласен. Это получается как во всем известной ОС, а такой подход - одна из самых больших дыр в её безопасности. Я у себя такую дыру иметь не желаю, поэтому я решил поправить ситуацию, то есть вернуть всё на круги своя - сделать так, как оно есть в подавляющем большинстве NIX систем.

Средства

1
2
3
4
5 man sudo man sudoers man visudo

Решение

Первым делом делаем sudo -s, далее passwd и задаём пароль для суперпользователя. Теперь мы можем входить в систему под ним как из консоли, так и по команде su.
От рута даём команду visudo и приводим файл в соответствие с предпочтениями.

ВНИМАНИЕ! Крайне не рекомендуется открывать файл sudoers руками. Намного лучше сделать это командой visudo.
Описание синтаксиса есть в man sudoers. Не смотря на то, что я очень неплохо знаю английский, мне было тяжело читать этот мануал - как-то очень мудрёно он написан. Поэтому я читал перевод на Opennet'е.
Вот какой файл я сворганил себе пока:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33 # Переменные Defaults env_reset Defaults rootpw Defaults timestamp_timeout=0 Defaults editor=/usr/bin/vim # Host alias specification # User alias specification # Cmnd alias specification Cmnd_Alias DAEMON = /etc/init.d/* # User privilege specification root ALL=(ALL) ALL anjolio ALL = DAEMON, /bin/ls, /bin/cat

Разберём для понятности.

В секции Defaults:
env_reset - сброс переменных окружения, которые были у пользователя, который дал команду sudo (насколько я понял);
rootpw - будет спрашиваться пароль root'а, а не пользователя;
timestamp_timeout=0 - введённый пароль не будет храниться, при следующей команде опять попросят ввести пароль;
editor=/usr/bin/vim - текстовый редактор, в котором будет открываться файл sudoers по команде visudo.

Cmnd_Alias DAEMON = /etc/init.d/* - я группирую всех демонов в группу DAEMON.

root ALL=(ALL) ALL - root может делать всё.
anjolio ALL = DAEMON, /bin/ls, /bin/cat - anjolio может производить операции с демонами и запускать команды ls и cat.

Итог

Все описанные во введении проблемы решены благополучно.
Теперь anjolio - пользователь, который при знании пароля root'а может кое-что покрутить и не более.
Root - теперь глава всему, он царь и бог системы.
Изначально поставленная цель достигнута.

Похожие +6–

: anjolio 24.07.09 02:24 # +2–

Кстати, пост номер 1111=15 :)

Craftuser 24.07.09 02:34 # +1–

Хм, может только я разницы между пользователем и админом не вижу, кроме как в назначаемых правах? Грубо говоря "root" - это такой идеологизм, и к тому же нехилая такая уязвимость, т.к. любой "кулхацкер" сунется впервую очередь туда. В общем создавая себе рута, вы создали себе того же админа из оффтопа указанного выше, имхо. Поправьте, если что конечно.

cppmm 24.07.09 07:19 # ↑ +0–

Нет. root - это так называемый суперпользователь. Он может всё. Другое дело, что сидеть с правами root'а в иксах, запускать от его имени всякий подозрительный софт или открывать доступ по ssh для него и т.д. будет бо-ольшой ошибкой. И настрока, приведённая в этой статье определённо секурнее, чем стандартная в ubuntu. Автору респект. Правда, я бы запретил cat обычному пользователю, потому что cat кроме вывода файлов, умеет писать в них.

: anjolio 24.07.09 07:34 # ↑ +-1–

Спасибо!
В любом случае этот конфиг дальше моего домашнего компьютера у меня не уедет, поэтому здесь я готов пожертвовать и оставить cat.
Не думаю, что малолетние кулхацкеры в локальной сетке смогут сломать систему cat'ом :)

: anjolio 24.07.09 07:40 # ↑ +-1–

Ну для сервера такой подход, скорее всего, оправдан. А меня комп никуда не смотрит, ничего не раздаёт, поэтому на него особо не зайдёшь удалённо.

Brun 25.07.09 14:34 # +-2–

>> Пароль от суперпользователя (root'a) скрыт от пользователя. Поговаривают, что он меняется при каждом запуске системы.

Бред, какого я ещё не слышал.
Ето не статья, а зноска каковото неразумного малыша.

Пользователь root в системе без пароля сделан умеренно, чтобы не навредить самим себе. А утверждать, что пароли меяются - тупее ничего придумать.
Если Вы считаете себя профи, то ставте пароль root`у и работайте. Возможность такую никто не забирал.
Рекомендую перед написанием "этого" или ему подобного - почитайте про архитектуру OS.

: anjolio 25.07.09 15:27 # ↑ +1–

пруфлинк

: cppmm 25.07.09 17:48 # ↑ +-1–

Итак, мы видим, что человек совершенно не умеет писать по-русски. Отсюда вывод, что человек мало читает и скорее всего плохо учится в школе(либо ещё не дошёл до старших классов). Ну, это не важно, в принципе. Всякое бывает.
Но аргументы! Аргументы-то какие!
"Пароль сделан намеренно, из-за того, что утверждать другое - тупо".
"Если вы считаете себя профессионалом, то никто вам не мешает".
"Почитайте архитектуру".

Товарищи, поздравляю всех! Наш ресурс действительно стал популярным. К нам пришёл первый настоящий толстенький тролль. :)

—

dementiy — « Talks! / Представьте, что вы молодой, но суровый "челябинский" IT-спец, и вы...» Talks! — «Почему я считаю, что LUG - это плохо» ( -1 ) booley — « welinux / Собираем вопросы и ответы для FAQ» ZogG — « Talks! / Username у нас в гостях» derfenix — « Есть вопрос! / Вопрос по wget» ( 1 ) Midler — « Talks! / Представьте, что вы молодой, но суровый "челябинский" IT-спец, и вы...» Perpetuum_Mobile — « Есть вопрос! / Торрент качалка на сервере» Perpetuum_Mobile — « Есть вопрос! / Торрент качалка на сервере» ZogG — « Новичку / Чем отличается WM от DE, зачем они вообще нужны» ( 1 ) Anrock — « Talks! / Представьте, что вы молодой, но суровый "челябинский" IT-спец, и вы...» philosoft — « Новичку / Чем отличается WM от DE, зачем они вообще нужны» Shihad — « Talks! / Представьте, что вы молодой, но суровый "челябинский" IT-спец, и вы...» Shihad — « Talks! / Представьте, что вы молодой, но суровый "челябинский" IT-спец, и вы...» ( 1 ) h31 — « Новичку / Чем отличается WM от DE, зачем они вообще нужны» ( 1 ) h31 — « Новичку / Чем отличается WM от DE, зачем они вообще нужны» greatperson — « Новичку / Чем отличается WM от DE, зачем они вообще нужны»
Последние посты
Последние комментарии
Изменения
Черновики (все)
Избранное (всё)

Лучшие блоги (все 154) Tips & tricks (36) Есть вопрос! (26) How-to`s (26) Archlinux (26) Vim (23) Мой рабочий стол. (19) KDE (18) Скрипты (18) Linux Games (17) Я рекомендую. (17)
Элита (все 3083 из 227 городов) muhas (260.2) Shtsh (174.8) ZogG (149.95) cppmm (146.1) Aesdana (132.1) h0rr0rr_drag0n (125.2) digiwhite (123.9) dr_magnus (100.9) Minoru (99.15) wiz (95.5)

В сети: philosoft, betruger72, cppmm, Midler, dementiy, nvbn, Shtsh, shidoh, predator, Vzlom, mhspace, melksoft, knicefire, x0x01, LeXuS, ite, zhevak, elveel, booley

Новенькие: Simplex, olex1984, Perpetuum_Mobile, sozinho, Whiter