Linux sistēmā visspēcīgākais lietotājs ir “sakne”. Saknei ir tiesības veikt visu veidu uzdevumus, tostarp piekļuvi pat visdziļākajiem sistēmas iestatījumiem. Tā spēka dēļ tā jāpārvalda smalki. Pretējā gadījumā iespēja tikt ieskrūvētam ir gandrīz 100%.  Arch Linux gadījumā tas neatšķiras. Saknei ir galvenā kontrole pār Arch sistēmu.

Lai atvieglotu root piekļuves pārvaldību, ir pieejama programma “sudo” (superlietotājs dara). Tas patiesībā nav pati sakne. Tā vietā tas paaugstina saistīto komandu saknes līmenī. Tas nozīmē, ka “root” piekļuves pārvaldīšana faktiski nozīmē to lietotāju pārvaldību, kuri var piekļūt “sudo”. Pats Sudo var izmantot dažādos veidos.

Uzzināsim vairāk par root un sudo Arch Linux.

Uzmanību: Tā kā sakne ir visvarena, spēlēšanās ar to var izraisīt neparedzētus zaudējumus. Pēc uzbūves Unix līdzīgās sistēmas pieņem, ka sistēmas administrators precīzi zina, ko viņš / viņa dara. Tātad sistēma ļaus veikt pat visdrošākās darbības bez papildu vaicāšanas.

Tāpēc sistēmas administratoriem jābūt piesardzīgākajiem no visiem, strādājot ar “root” piekļuvi. Kamēr jūs izmantojat “root” piekļuvi, lai veiktu noteiktu uzdevumu, esiet piesardzīgs un atbildīgs par rezultātu.

Sudo par Arch Linux

Sudo nav tikai programma. Drīzāk tas ir regulējums, kas regulē “root” piekļuvi. Kad sudo atrodas sistēmā, ir arī noteiktas lietotāju grupas, kurām ir piekļuve “root”. Grupēšana ļauj vieglāk kontrolēt lietotāju atļaujas.

Sāksim ar sudo!

Sudo instalēšana

Instalējot Arch Linux, tam pēc noklusējuma vajadzētu būt instalētam sudo. Tomēr palaidiet šo komandu, lai pārliecinātos, ka sudo patiešām atrodas sistēmā.

pacmans -S sudo

Komandas palaišana ar root privilēģiju

Sudo ievēro šādu komandu struktūru.

sudo

Piemēram, izmantojiet sudo, lai pacmanam teiktu, ka jāatjaunina visa sistēma.

sudo pacman -Syyu

Pašreizējie sudo iestatījumi

Sudo var pielāgot, lai apmierinātu situācijas vajadzības. Lai pārbaudītu pašreizējos iestatījumus, izmantojiet šādas komandas.

sudo -ll

Ja vēlaties pārbaudīt konkrēta lietotāja konfigurāciju, izmantojiet šo komandu.

sudo -lU

Sudoeru pārvaldīšana

Instalējot sudo, tas arī izveido konfigurācijas failu ar nosaukumu “sudoers”. Tajā ir konfigurācija dažādām lietotāju grupām, piemēram, ritenis, sudo un citi iestatījumi. Sudoeriem VIENMĒR vajadzētu piekļūt, izmantojot komandu “visudo”. Tas ir drošāks veids nekā faila tieša rediģēšana. Tas bloķē sudoers failu, saglabā rediģēto failu pagaidu failā un pārbauda gramatiku, pirms tā ir neatgriezeniski ierakstīta mapē “/ etc / sudoers”.

Apskatīsim sudoers.

sudo visudo

Šī komanda sāks sudoers faila rediģēšanas režīmu. Pēc noklusējuma redaktors būs vim. Ja jūs interesē kā redaktora izmantošana kaut kas cits, izmantojiet šādu komandu struktūru.

sudo redaktors = visudo

Visudo redaktoru var neatgriezeniski mainīt, faila beigās pievienojot šādu rindu.

Noklusējuma redaktors = / usr / bin / nano, !env_editor

Neaizmirstiet pārbaudīt rezultātu.

sudo visudo

Grupas

“Sudoers” lietotājiem un grupām vienlaikus diktē “sudo” atļauju. Piemēram, riteņu grupai pēc noklusējuma ir iespēja izpildīt komandas ar root tiesībām. Tajā pašā nolūkā ir arī cita sudo grupa.

Pārbaudiet, kādas lietotāju grupas pašlaik atrodas sistēmā.

grupas

Pārbaudiet sudoers, kurām grupām ir piekļuve root privilēģijām.

sudo visudo

Kā redzat, “root” kontam ir piekļuve pilnai root privilēģijai.

• Vispirms “ALL” norāda, ka noteikums attiecas uz visiem resursdatoriem
• Otrais “ALL” norāda, ka lietotājs pirmajā kolonnā spēj izpildīt jebkuru komandu ar jebkura lietotāja privilēģiju
• Trešais “ALL” nozīmē, ka jebkura komanda ir pieejama

Tas pats attiecas uz riteņu grupu.

Ja vēlaties pievienot jebkuru citu lietotāju grupu, jums jāizmanto šāda struktūra

% VISI = (VISI) VISI

Normālam lietotājam struktūra būtu

VISI = (VISI) VISI

Ļauj lietotājam ar sudo piekļuvi

To var veikt divos veidos - pievienojot lietotāju ritenis vai, pieminot lietotāju sudoers.

Pievienošana riteņu grupai

Izmantot usermod lai pievienotu esošu lietotāju ritenis grupa.

sudo usermod -aG ritenis

Pievienojot sudoers

Uzsākt sudoers.

sudo visudo

Tagad pievienojiet lietotāju ar saistīto root atļauju.

VISI = (VISI) VISI

Ja vēlaties noņemt lietotāju no sudo piekļuves, noņemiet lietotāja ierakstu no sudoers vai izmantojiet šo komandu.

sudo gpasswd -d

Failu atļaujas

“Sudoers” īpašniekam un grupai IR jābūt 0 ar faila atļauju 0440. Šīs ir noklusējuma vērtības. Tomēr, ja mēģinājāt mainīt, atiestatiet tos uz noklusējuma vērtībām.

chown -c sakne: root / etc / sudoers
chmod -c 0440 / etc / sudoers

Vides mainīgo nodošana

Ikreiz, kad palaižat komandu kā root, pašreizējie vides mainīgie netiek nodoti root lietotājam. Tas ir diezgan sāpīgi, ja jūsu darbplūsma ir ļoti atkarīga no vides mainīgajiem vai, ja starpniekservera iestatījumus nododat “eksportēt http_proxy =” ... ”, jums jāpievieno karogs“ -E ”ar sudo.

sudo -E

Faila rediģēšana

Instalējot sudo, ir pieejams arī papildu rīks ar nosaukumu “sudoedit”. Tas ļaus rediģēt noteiktu failu kā root lietotāju.

Tas ir labāks un drošāks veids, kā atļaut konkrētam lietotājam vai grupai rediģēt noteiktu failu, kam nepieciešama root privilēģija. Izmantojot sudoedit, lietotājam nav jābūt piekļuvei sudo.

To var arī veikt, sudoers failā pievienojot jaunu grupas ierakstu.

% newsudo VISI = / ceļš / uz / failu

Tomēr iepriekš minētajā scenārijā lietotājs tiek labots tikai ar konkrēto redaktoru. Sudoedit ļauj elastīgi izmantot jebkuru redaktoru pēc lietotāja izvēles, lai veiktu darbu.

% newsudo ALL = sudoedit / path / to / file

Izmēģiniet rediģēt failu, kuram nepieciešama sudo piekļuve.

sudoedit / etc / sudoers

Piezīme: Sudoedit ir ekvivalents komandai “sudo -e”. Tomēr tas ir labāks ceļš, jo tam nav nepieciešama piekļuve sudo.

Pēdējās domas

viņa īsajā ceļvedī ir tikai neliela daļa no tā, ko jūs varat darīt ar sudo. Es ļoti iesaku apskatīt sudo rokasgrāmatu.

cilvēks sudo

Priekā!