Trong Tiêu chuẩn phân cấp hệ thống tệp được sử dụng bởi hệ điều hành Linux, tất cả các tệp và thư mục xuất hiện trong thư mục gốc “/” nhưng quyền truy cập vào nó thường bị hạn chế vì lý do bảo mật. Trong các bản phân phối Linux như Debian, bạn có thể có toàn quyền truy cập từ SSH bằng cách sử dụng “ sudo " yêu cầu. Hướng dẫn này giải thích cách thêm người dùng vào Sudoers để người dùng được phép chạy sudo lệnh.
Đăng nhập với tư cách là người dùng cấp cao hoặc người dùng gốc cho phép bạn thực hiện các sửa đổi trên toàn hệ thống. “Sudo” cũng có thể được sử dụng để đăng nhập với tư cách người dùng khác - điều này đôi khi cần thiết cho quản trị viên hệ thống và kỹ thuật viên.
Danh sách người dùng (và nhóm người dùng) được phép thực hiện các lệnh khác nhau được lưu trữ trong tệp “/ etc / sudoers”, vì vậy, quản trị viên hệ thống cần biết cách cấp cho người dùng mới đặc quyền đăng nhập root bằng cách thêm tên của họ vào tệp này . Có hai cách để làm điều này. Một là chỉnh sửa tệp theo cách thủ công. Khi bạn làm điều này, bạn cũng có thể chỉ định một tập hợp con các đặc quyền mà họ được phép thực thi khi họ sử dụng thông tin đăng nhập gốc của họ. Một giải pháp thay thế nhanh hơn là chỉ cần thêm họ vào nhóm người dùng “sudo” từ dòng lệnh.
Thêm người dùng vào nhóm sudo
Đương nhiên, bạn sẽ cần phải đăng nhập với tư cách là superuser trước khi có thể thêm người khác vào nhóm sudo. Để đăng nhập vào máy chủ Debian với tư cách là người dùng gốc -
ssh admin@wsxdn.com
Giả sử người dùng bạn muốn thêm đã tồn tại trên hệ thống, thì bạn có thể chạy lệnh bên dưới;
Tên người dùngusermod -aG sudo username
Để kiểm tra kỹ xem bạn đã thêm họ vào nhóm thành công hay chưa, hãy nhập thông tin sau và cung cấp mật khẩu của người dùng;
sudo whoami
Nếu họ thực sự có quyền truy cập sudo, đầu ra sẽ in “root”. Nếu họ không nhập hoặc bạn đã nhập chi tiết không chính xác, bạn sẽ nhận được thông báo lỗi cho bạn biết rằng “ người dùng không có trong tệp sudoers “.
Để tạo một người dùng hoàn toàn mới, bạn có thể sử dụng Linux “ adduser ”Lệnh;
adduser newusername
Sau đó, bạn sẽ được yêu cầu cung cấp một số chi tiết bổ sung về chúng, bao gồm cả việc gán mật khẩu cho chúng. Khi bạn hoàn thành, thông tin của người dùng mới sẽ được ghi vào tệp sudoers.
Nếu bạn muốn chỉ định một người dùng mới cho nhóm người dùng sudo từ dòng lệnh, bạn có thể sử dụng “ usermod ”Hoặc“ gpasswd “. Ví dụ -
usermod -aG sudo newusername
Thêm người dùng vào tệp sudoers theo cách thủ công
Đây là tùy chọn tốt hơn khi bạn muốn thiết lập các chính sách bảo mật tùy chỉnh cho siêu người dùng mới. Bạn có thể chỉnh sửa trực tiếp tệp sudoers hoặc bạn có thể tạo tệp cấu hình mới trong /etc/sudoers.d danh mục. Bất kỳ tệp nào nằm trong thư mục đó đều được nối hiệu quả với tệp sudoers trong thời gian chạy.
Sử dụng visudo:
Để chỉnh sửa tệp sudoers luôn sử dụng lệnh “visudo”. Việc mời một trình chỉnh sửa thông qua visudo đảm bảo rằng visudo sẽ kiểm tra cẩn thận cú pháp tệp trước khi nó được lưu. Nếu bạn chỉnh sửa tệp mà không sử dụng visudo thì sẽ không - và đây là tệp hệ thống quan trọng! Bạn vẫn có thể sử dụng visudo để chỉnh sửa các tệp mà bạn lưu vào / etc/sudoers.d , nhưng bạn có thể cần gọi –f để chỉ định vị trí của tệp bạn muốn chỉnh sửa.
Trình chỉnh sửa thực tế mà visudo sử dụng được chỉ định bởi biến môi trường EDITOR. Theo mặc định, điều đó được đặt thành vim. Nếu bạn muốn thay đổi trình chỉnh sửa mặc định thành một trình thay thế, chẳng hạn như viduso , bạn có thể thay thế mặc định như thế này -
EDITOR=nano visudo
Chỉ định đặc quyền:
Ở đâu đó trong tệp sudoers, bạn có thể thấy một dòng như thế này -
root ALL=(ALL) ALL
Điều này thể hiện cú pháp bạn sử dụng để chỉ định các đặc quyền của người dùng. Trong trường hợp này, ý nghĩa là người dùng root có thể thực thi từ TẤT CẢ (bất kỳ) thiết bị đầu cuối, hoạt động như TẤT CẢ (bất kỳ) người dùng và chạy TẤT CẢ (bất kỳ) lệnh nào.
Để dễ dàng áp dụng các nhóm đặc quyền cho các tên trong tệp sudoers, các bí danh thường được định nghĩa. Bạn có thể tạo bí danh cho các nhóm người dùng, một loạt các thiết bị đầu cuối hoặc để truy cập vào các nhóm lệnh. Ví dụ:ở đầu tệp sudoers của bạn, bạn có thể nhập một cái gì đó như thế này;
User_Alias OPERATORS = amy, ben, chris Runas_Alias OP = root, operator Host_Alias NETWORK = 192.168.0.0/255.255.255.0 Cmnd_Alias PRINTING_CMDS = /usr/sbin/lpc, /usr/sbin/lprm
Sau đó, bạn có thể gọi các phím tắt này khi bạn cấp quyền truy cập cho người dùng. Ví dụ;
ben ALL = PRINTING_CMDS
Điều này cho phép ben để sử dụng bất kỳ thiết bị đầu cuối nào trong phạm vi địa chỉ IP đã xác định và thực hiện các hướng dẫn máy in lpc và lprm (có trong / usr / sbin / ).
Đặc quyền root trong Debian rất mạnh mẽ. Điều đó có nghĩa là có nhiều cơ hội để làm hỏng các điều khiển truy cập của bạn, làm hỏng máy chủ hoặc phá hủy dữ liệu. Vì lý do đó, hãy tránh cấp cho mọi người dùng quyền truy cập root đầy đủ và tránh thói quen đăng nhập với tư cách người dùng cấp cao khi bạn không cần.