Управление пользователями является важной частью безопасности системы. Неэффективные пользователи и управление привилегиями часто приводят множество систем к компрометации. Поэтому важно чтобы вы понимали как защитить ваш сервер с помощью простых и эффективных методик управления пользовательскими учетными записями.
Где суперпользователь?
Разработчики Ubuntu приняли сознательное решение заблокировать административную корневую учетную запись (root) по умолчанию во всех установках Ubuntu. Это не означает, что учетная запись root удалена или к ней нет доступа. Ей просто присвоен пароль, который не совпадает ни с одним возможным шифрованным значением, соответственно, ее невозможно использовать для входа напрямую.
Вместо этого поощряется применение пользователями инструмента с именем sudo для переноса административных обязанностей. Sudo позволяет авторизованным пользователям временно повышать их привилегии, используя их собственный пароль вместо знания пароля, присвоенного суперпользователю. Эта простая и к тому же эффективная методика обеспечивает ответственность для всех действий пользователей и дает административный раздельный контроль над тем, какие действия может выполнять пользователь с указанными привилегиями.
1. Если по какой-то причине вы хотите разрешить учетную запись суперпользователя, просто установите ей пароль:
Sudo passwd
Sudo запросит ваш пароль, а затем предложит установить новый пароль для root как показано ниже:
Password for username: (вводите свой собственный пароль) Enter new UNIX password: (вводите новый пароль суперпользователя) Retype new UNIX password: (повторяете новый пароль суперпользователя) passwd: password updated successfully
2. Для блокирования учетной записи root используйте следующий синтаксис passwd:
Sudo passwd -l root
Man sudo
По умолчанию изначальный пользователь, созданный установщиком Ubuntu является членом группы "admin", которая добавлена в файл /etc/sudoers как авторизованные sudo пользователи. Если вы желаете разрешить другой учетной записи полный доступ суперпользователя через sudo , просто добавьте ее в группу admin .
Добавление и удаление пользователей
Процесс управления локальными пользователями и группами простой и мало отличается от большинства других операционных систем GNU/Linux. Ubuntu и другие дистрибутивы на основе Debian поощряют использование пакета "adduser" для управления учетными записями.
1. Для добавления учетной записи пользователя используйте следующий синтаксис и следуйте подсказкам для указания пароля и опознавательных характеристик таких как полное имя, телефон и пр.:
Sudo adduser username
2. Для удаления пользователя и его первичной группы используйте следующий синтаксис:
Sudo deluser username
Удаление пользователя не удаляет связанный с ним домашний каталог. Оставлено на ваше усмотрение хотите ли вы удалить каталог вручную или оставите его в соответствии с вашими политиками хранения.
Помните, что любой пользователь, добавленный позднее с теми же UID/GID, как и предыдущий, получит доступ к этому каталогу если вы не предпримете необходимых мер предосторожности.
Вы можете захотеть изменить эти значения UID/GID каталога на что-то более подходящее, как, например, значения суперпользователя и, возможно, переместить каталог для предотвращения будущих конфликтов:
Sudo chown -R root:root /home/username/ sudo mkdir /home/archived_users/ sudo mv /home/username /home/archived_users/
3. Для временного блокирования или разблокирования используйте следующий синтаксис:
Sudo passwd -l username sudo passwd -u username
4. Для добавления или удаления персональной группы используйте, соответственно, следующий синтаксис:
Sudo addgroup groupname sudo delgroup groupname
5. Для добавления пользователя в группу, используйте:
Sudo adduser username groupname
Безопасность профиля пользователя
Когда создается новый пользователь, утилита adduser создает, соответственно, новый именной каталог /home/username . Профиль по умолчанию формируется по содержимому, находящемуся в каталоге /etc/skel, который включает все основы для формирования профилей.
Если ваш сервер является домашним для множества пользователей, вы должны уделять пристальное внимание правам доступа на пользовательские домашние каталоги для поддержания конфиденциальности. По умолчанию пользовательские домашние каталоги создаются с правами чтения/выполнения для всех. Это означает, что все пользователи просматривать и получать доступ к содержимому других домашних каталогов. Это может не подходить для вашего окружения.
1. Для проверки прав доступа на домашние каталоги существующих пользователей используйте такой синтаксис:
Ls -ld /home/username
Следующий вывод показывает, что каталог /home/username имеет доступ на чтение для всех:
Drwxr-xr-x 2 username username 4096 2007-10-02 20:03 username
2. Вы можете удалить права чтения для всех, используя следующий синтаксис:
Sudo chmod 0750 /home/username
Некоторые склоняются к тенденции использовать опцию рекурсии (-R) без разбора, которая изменяет все дочерние каталоги и файлы, хотя это необязательно и может приводить к иным нежелательным последствиям. Родительский каталог сам по себе запретит неавторизованный доступ к любому своему содержимому.
Более эффективный подход к данному вопросу будет в изменении глобальных прав доступа по умолчанию для adduser при создании домашних каталогов. Просто отредактируйте файл /etc/adduser.conf, изменив переменную DIR_MODE на что-то более подходящее, после чего все новые домашние каталоги будут получать корректные права доступа.
DIR_MODE=0750
3. После исправления прав доступа к каталогам, используя любую из ранее упоминавшихся методик, проверьте результаты используя следующую команду:
Ls -ld /home/username
Результат ниже показывет, что права на чтение для всех удалены:
Drwxr-x--- 2 username username 4096 2007-10-02 20:03 username
Политика паролей
Строгая политика паролей - один из наиболее важных аспектов вашего подхода к безопасности. Много удачных прорывов безопасности использовали для атак простейший взлом (brute force) и подбор паролей по словарю против слабых паролей. Если вы намереваетесь использовать любую форму удаленного доступа с использованием вашей локальной системы паролей, убедитесь, что вы назначили адекватные минимальные требования к паролю, максимальное время жизни пароля и часто проверяете вашу систему аутентификации.
Минимальная длина пароля
По умолчанию Ubuntu требует минимальную длину пароля в 6 символов, также как и некоторые основные проверки на разброс значений. Эти параметры управляются файлом /etc/pam.d/common-password и приведены ниже:
Password pam_unix.so obscure sha512
Если вы хотите установить минимальную длину в 8 символов, измените соответствующую переменную на min=8. Изменения приведены ниже:
Password pam_unix.so obscure sha512 min=8
Базовые проверки на качество и минимальную длину пароля не применяются к администратору, использующего команды уровня sudo для настройки нового пользователя.
Время жизни пароля
При создании учетных записей пользователей вы должны создать политику минимального и максимального времени жизни пароля чтобы заставлять пользователей менять их пароли по истечении определенного времени.
1. Для простого просмотра текущего статуса учетной записи пользователя используйте следующий синтаксис:
Sudo chage -l username
Вывод, приведенный ниже, показывает интересные факты об учетной записи пользователя, а именно что нет никаких примененных политик:
Last password change: Jan 20, 2008 Password expires: never Password inactive: never Account expires: never Minimum number of days between password change: 0 Maximum number of days between password change: 99999 Number of days of warning before password expires: 7
2. Для установки этих значений просто используйте следующую команду и следуйте интерактивным подсказкам:
Sudo chage username
Далее также пример того, как можно вручную изменить явную дату истечения действия пароля (-E) на 01/31/2008 (американский вариант даты - прим. пер.), минимальный срок действия пароля (-m) на 5 дней, максимальный срок действия (-M) на 90 дней, период бездействия (-I) на 5 дней после истечения срока пароля и период предупреждений (-W) на 14 дней до истечения срока пароля.
Sudo chage -E 01/31/2011 -m 5 -M 90 -I 30 -W 14 username
3. Для проверки изменений используйте ту же команду, что и упоминалась выше:
Sudo chage -l username
Вывод команды ниже показывает новые политики, которые применяются к учетной записи:
Last password change: Jan 20, 2008 Password expires: Apr 19, 2008 Password inactive: May 19, 2008 Account expires: Jan 31, 2008 Minimum number of days between password change: 5 Maximum number of days between password change: 90 Number of days of warning before password expires: 14
Иные соображения безопасности
Многие приложения используют альтернативные механизмы аутентификации, которые могут быть запросто пропущены даже опытными системными администраторами. Поэтому важно понимать и контролировать как пользователи авторизуются и получают доступ к сервисам и приложениям на вашем сервере.
Доступ по SSH заблокированными пользователями
Обычное отключение/блокирование не исключает удаленного подключения пользователя к серверу, если ему предварительно была установлена аутентификация по открытому ключу RSA. Такие пользователи будут получать доступ к консольной оболочке (shell) на сервере без необходимости ввода какого-либо пароля. Не забывайте проверять пользовательские домашние каталоги на файлы, которые позволяют подобный тип авторизации по SSH , например, /home/username/.ssh/authorized_keys.
Удаление или переименование каталога.ssh/ в домашнем каталоге пользователя предотвратит дальнейшую способность аутентификации по SSH .
Убедитесь что проверили любые установленные SSH соединения заблокированных пользователей, поскольку могут остаться входящие или исходящие соединения. Убейте все, которые найдете.
Ограничьте SSH доступ только для учетных записей пользователей, которым они требуются. Например, вы можете создать группу с названием "sshlogin" и добавить имя группы в качестве значения для переменной AllowGroups, находящейся в файле /etc/ssh/sshd_config.
AllowGroups sshlogin
Затем добавьте ваших пользователей, которым разрешен SSH доступ, в группу "sshlogin" и перестартуйте SSH сервис.
Sudo adduser username sshlogin sudo service ssh restart
Аутентификация по внешней базе данных
Большинство корпоративных сетей требуют централизованной аутентификации и контроля доступа для всех системных ресурсов. Если вы настроили свой сервер для аутентификации пользователей по внешней базе данных, убедитесь, что вы отключаете учетные записи как внешние, так и локальные, таким образом вы будете уверены что откат на локальную аутентификацию невозможен.
Май 3, 2016 12:20 пп 27 946 views | Комментариев нетУправление пользователями – один из важнейших навыков системного администратора окружения Linux. Как правило, в новой системе по умолчанию существует только один пользователь – root.
Аккаунт root имеет широкие привилегии, и он очень гибок, однако работать с сервером как root на постоянной основе крайне не рекомендуется. Дело в том, что, обладая абсолютными правами, пользователь root может случайно нанести непоправимый вред системе и серверу. Потому для повседневной работы нужно создать дополнительного пользователя с обычными привилегиями, а затем передать ему права суперпользователя. Также можно создать дополнительные аккаунты для других пользователей, которые должны иметь доступ к серверу.
Данное руководство научит создавать аккаунты новых пользователей, передавать права sudo и удалять пользователей.
Добавление пользователя
Чтобы добавить нового пользователя в сессии root, введите:
Находясь в сессии не- root пользователя с доступом sudo, можно добавить нового пользователя с помощью команды:
sudo adduser newuser
Команда предложит:
- Установить и подтвердить пароль.
- Ввести дополнительные данные о пользователе. Это опционально; чтобы принять информацию по умолчанию, просто нажмите Enter.
- Подтвердить правильность предоставленной информации (нажмите Enter).
Новый пользователь готов! Теперь можно подключиться к серверу с его помощью.
Настройка прав доступа sudo
Чтобы иметь возможность использовать новый аккаунт для выполнения задач администратора, нужно разрешить пользователю доступ к команде sudo. Это можно сделать двумя способами:
- Добавить пользователя в группу sudo
- Отредактировать настройки sudo в файле /etc/sudoers
Добавление пользователя в группу sudo
В системе Ubuntu 16.04 все пользователи, входящие в группу sudo, по умолчанию имеют доступ к команде sudo.
Чтобы узнать, в какие группы входит новый пользователь, введите:
Команда вернёт:
newuser: newuser
По умолчанию каждый новый пользователь системы входит только в одноименную группу. Чтобы добавить пользователя в группу, введите:
usermod -aG sudo newuser
Флаг –aG добавляет пользователя в перечисленные группы.
Тестирование настройки
Теперь нужно убедиться, что новый пользователь имеет доступ к команде sudo.
По умолчанию команды в сессии нового пользователя запускаются так:
Чтобы выполнить команду с правами администратора, добавьте sudo в начало команды:
sudo some_command
При этом система запросит пароль текущего пользователя.
Редактирование файла /etc/sudoers
Альтернативный способ расширить привилегии пользователя – отредактировать файл sudoers. Для этого используется команда visudo которая позволяет открыть файл /etc/sudoers в редакторе и явно указать привилегии каждого системного пользователя.
Редактировать файл sudoers рекомендуется исключительно при помощи visudo, поскольку эта команда блокирует внесение нескольких одновременных правок и выполняет проверку содержания перед перезаписью файла. Это предотвращает ошибки в настройке sudo, которые могут повлечь за собой потерю привилегий.
Если вы находитесь в сессии root, введите:
В сессии не-root пользователя с доступом к sudo введите:
Как правило, visudo открывает /etc/sudoers в редакторе vi, который может показаться сложным для новичков. По умолчанию в новых установках Ubuntu visudo использует более знакомый редактор nano. Для перемещения курсора используйте клавиши со стрелками. Найдите строку:
root ALL=(ALL:ALL) ALL
Скопируйте эту строку и вставьте её ниже, заменив root именем пользователя, которому нужно передать права суперпользователя.
root ALL=(ALL:ALL) ALL
newuser ALL=(ALL:ALL) ALL
Добавьте такую строку для каждого пользователя, которому нужны расширенные привилегии. Сохраните и закройте файл.
Удаление пользователей
Ненужные аккаунты можно удалить.
Чтобы удалить пользователя, оставив его файлы, введите:
как root
deluser newuser
как обычный пользователь с расширенными привилегиями:
sudo deluser newuser
Чтобы удалить пользователя вместе с его домашним каталогом, используйте:
в сессии пользователя root
deluser --remove-home newuser
в сессии пользователя с расширенными привилегиями:
sudo deluser --remove-home newuser
Если удалённый пользователь обладал правами суперпользователя, необходимо отнять эти права, отредактировав файл:
visudo
Или
sudo visudo
root ALL=(ALL:ALL) ALL
newuser ALL=(ALL:ALL) ALL # удалите эту строку
Если бы строка осталась в файле, а в системе появился одноименный пользователь, он получил бы расширенные привилегии автоматически. Теперь этого не случится.
Заключение
Управление пользователями – необходимый навык при администрировании сервера Ubuntu 16.04. Он позволит отделить пользователей и дать им только необходимый для работы доступ.
Для получения дополнительных сведений о настройке sudo, ознакомьтесь с нашим .
Tags: ,Приветствую Всех!
В этой статье я расскажу как добавить нового пользователя, изменить его права или сменить пароль пользователя в Linux Ubuntu. А также как сделать «Учетные записи» при помощи графической утилиты или из командной строки.
Рассмотрим первый способ добавить новую учетную запись.
Через панель быстрого запуска открываем «Параметры системы» и выбираем «Учетные записи».
Теперь необходимо получить дополнительные привилегии. Для этого нажимаем кнопку «Разблокировать».
Вводим свой пароль и нажимаем кнопку «Аутентифицировать»
Чтобы добавить нового пользователя нажимаем на знак «+»
В открывшейся форме выбираем тип учетной записи. В этой штатной утилите можно создать пользователей двух типов:
- Обычный
- Администратор
В большинстве случаев достаточно «Обычного» типа учетной записи. Но если в дальнейшем выяснится, что этому пользователю нужны дополнительные привилегии, то достаточно будет вернуться в утилиту «Учетные записи» и сменить тип учетной записи.
Выбираем «Обычный» тип учетной записи, добавляем имя пользователя и нажимаем кнопку «Добавить».
У нас появилась наша новая учетная запись, но она не активирована пока не будет задан пароль.
Включаем новую учетную запись, нажав в пункте «Пароль»:
Пользуясь подсказкой придумываем «Стойкий» пароль, после чего повторно вводим его в поле «Подтвердить пароль». Активируем новую учетную запись нажав кнопку «Изменить».
Чтобы удалить ненужную учетную запись, ее необходимо выделить и нажать знак «-»
Откроется окно выбора способа удаления.
Есть два варианта:
- c удалением домашнего каталога
- либо с его сохранением.
Если файлы этого пользователя больше не нужны, то нажимаем «Удалить файлы»./p>
Учетная запись и все файлы домашнего каталога удалены.
А теперь рассмотрим второй способ добавить нового пользователя.
Откроем терминал и запустим следующую команду.
sudo adduser newusers
Для получения дополнительных привилегий необходимо ввести пароль пользователя и нажать на клавиатуре клавишу «Enter».
Повторно вводим пароль и нажимаем на клавиатуре клавишу «Enter».
Добавляем необходимую информацию и если все указали правильно, то подтверждаем это набрав «Y» и нажимаем на клавиатуре клавишу «Enter».
Но если нам нужен пользователь с правами «Администратора», то необходимо выполнить еще одну команду и добавить пользователя в необходимые группы (adm,cdrom,sudo,dip,plugdev,lpadmin,sambashare).
sudo usermod -a -G adm,cdrom,sudo,dip,plugdev,lpadmin,sambashare newusers
Чтобы посмотреть в какие группы входит пользователь выполним следующую команду.
sudo id newusers
Также очень просто сменить пароль любого пользователя. Набираем команду passwd и логин пользователя.
sudo passwd newusers
Вводим пароль нового пользователя и нажимаем на клавиатуре клавишу «Enter».
Далее повторно вводим пароль и нажимаем на клавиатуре клавишу «Enter». Если все сделали правильно, то должны увидеть запись «пароль успешно обновлен». И теперь для входа в эту учетную запись необходимо вводить новый пароль.
Удалить ненужного пользователя и его домашнюю папку тоже очень просто. Для этого набираем
sudo userdel -r newusers
К сожалению, вышеуказанная команда не отображает результатов своей работы. Но для того чтобы проверить остался ли у нас в системе пользователь newusers, мы можем воспользоваться другой командой.
sudo id newusers
По результатам ее выполнения, мы видим, что такого пользователя нет в системе.
Мы рассмотрели как можно добавить нового пользователя, сменить пароль, изменить его права, добавив в группы, а также как удалить пользователя. И если остались непонятные вопросы по данной теме и есть предложения, то прошу их писать в комментариях. Всем пока!
Теперь немного поговорим о разграничении прав доступа к различным элементам. Описанный в этой статье механизм является основополагающим в Linux и соответственно в Ubuntu, так что читайте внимательно.
Пользователи и группы
Linux в целом и Ubuntu в частности - системы многопользовательские, т.е. на одном компьютере может быть несколько различных пользователей, каждый со своими собственными настройками, данными и правами доступа к различным системным функциям.
Кроме пользователей в Linux для разграничения прав существуют группы. Каждая группа так же как и отдельный пользователь обладает неким набором прав доступа к различным компонентам системы и каждый пользователь-член этой группы автоматически получает все права группы. То есть группы нужны для группировки пользователей по принципу одинаковых полномочий на какие-либо действия, вот такая тавтология. Каждый пользователь может состоять в неограниченном количестве групп и в каждой группе может быть сколько угодно пользователей .
Например, в Ubuntu есть одна очень полезная группа: admin . Любой член этой группы получает неограниченные административные привилегии. Я уже рассказывал про роль администратора в Ubuntu, так что если вы уже успели забыть кто это, можете освежить свои знания. Создаваемый при установке Ubuntu пользователь автоматически становится членом группы admin .
Управлять пользователями и группами можно с помощью специального инструмента, находящегося в меню Система→Администрирование→Пользователи и группы .
Вообще основной областью применения механизма пользователей и групп является не совсем разграничение доступа к различным функциям системы, а скорей разграничение доступа к файлам на винчестере . Вот об этом я и постараюсь рассказать дальше.
Права доступа в Linux
Любой файл и каталог в Linux имеет пользователя-владельца и группу-владельца. То есть любой файл и каталог принадлежит какому-то пользователю системы и какой-то группе. Кроме того, у любого файла и каталога есть три группы прав доступа: одна для пользователя-владельца, одна для членов группы-владельца и одна для всех остальных пользователей системы. Каждая группа состоит из прав на чтение, запись и запуск файла на исполнение. Для каталогов право на исполнение и право на чтение всегда идут вместе и означают одно и то же.
То есть изменяя владельцев того или иного файла и различные группы прав доступа к нему можно гибко управлять доступом к этому файлу. Например, сделав себя владельцем некоего файла и полностью запретив к нему доступ всем, кроме пользователя-владельца, можно скрыть содержимое и запретить изменение этого файла для всех других пользователей. Такая же штука проходит и с каталогами. Можно, например, запретить записывать файлы в каталог, или вообще скрыть его содержимое от посторонних глаз.
В данный момент нас интересует одно крайне важное следствие из подобной организации прав доступа в системе. Конкретному пользователю Ubuntu принадлежит только его домашний каталог и все его содержимое. В системе этот каталог находится по адресу /home/имя_пользователя. Все остальные файлы системы, включая все приложения, системные настройки и т.д., располагающиеся вне /home , принадлежат преимущественно root . Помните, я говорил, что root - это пользователь с неограниченными привилегиями, непосредственное использование которого в Ubuntu запрещено. Так вот, все системные файлы и каталоги принадлежат root недаром, им всем выставлены права на изменение только для пользователя-владельца, таким образом никто, кроме root , не может вмешаться в работу системы и что-то поменять в системных файлах.
Это конечно очень хорошо для безопасности, но что же делать, если вам нужно изменить какие-нибудь системные файлы? Тут есть два пути : во-первых, большинство необходимых пользователю системных настроек можно изменить обладая правами администратора из графических конфигураторов, это самый предпочтительный способ. Ну а во-вторых можно временно повысить свои права до root и делать вообще всё, что угодно.
Делается это с помощью утилиты sudo и её производных. sudo - это консольная утилита. Она позволяет «прикинуться» рутом при выполнении конкретной команды, таким образом, получив неограниченные права. Например, команда
Sudo aptitude update
обновит данные о доступных вам приложениях (зачем это нужно я объясню в статье про управление программами). Сама по себе команда
Aptitude update
работает, только если её запускает root . Однако запуская её с помощью sudo вы выдаёте себя за рута, рутом при этом не являясь. Естественно, для использования sudo вы должны обладать правами администратора . При этом при запуске команды через sudo система спросит у вас ваш пароль, однако в целях безопасности при его вводе вам не будет ничего показываться, ни звёздочек, ни чёрточек, ни птичек, ничего. Не пугайтесь, так и надо, просто вводите до конца и нажимайте Enter . Если вы являетесь администратором и правильно ввели пароль, то указанная после sudo команда исполнится от имени root .
Через терминал можно сделать всё, что угодно, так что имея возможность стать рутом вы можете выполнить все необходимые вам настройки. Однако иногда удобно использовать графические приложения, при этом обладая правами рута. Например, если вам надо скопировать файлы в системные каталоги. Для запуска графических приложений от имени root откройте диалог запуска GNOME сочетанием клавиш Alt + F2 и введите
Gksudo имя_приложения
Например, для запуска файлового менеджера Nautlus надо ввести
Gksudo nautilus
Через запущенный таким образом Nautilus вы сможете как угодно изменять любые файлы на компьютере.
Будьте предельно внимательны при использовании Nautilus с правами root ! Вы сможете безо всяких предупреждений безвозвратно удалить любой системный файл, что спокойно может привести к неработоспособности всей системы.
Редактирование конфигурационных файлов
Важнейшим примером применения вышеописанной технологии «прикидывания» рутом является редактирование конфигурационных файлов системы. Я уже говорил, что все настройки системы и всех приложений в Linux хранятся в виде текстовых файлов. Так вот, редактировать вы можете только файлы, принадлежащие вам, то есть только настройки, касающиеся вашего пользователя. А для редактирования системных параметров вам понадобятся права администратора.
Многие файлы вы сможете открыть, но не сможете что-либо в них изменить, вам просто не будет доступна операция сохранения:
Конечно, можно открывать конфигурационные файлы с правами root через диалог запуска приложений командой
Gksudo gedit /путь/до/файла
Gedit - это стандартный текстовый редактор Ubuntu.
Однако в диалоге запуска не работает автодополнение, следовательно путь до файла вам придётся набирать вручную, что не всегда удобно. Поэтому можно для запуска текстового редактора от имени суперпользователя использовать терминал, например:
Учтите, что sudo - это чисто консольная утилита, поэтому использовать её в диалоге запуска приложений нельзя, хотя из терминала через неё можно запускать графические приложения. А gksudo наоборот, утилита графическая, поэтому её не стоит использовать в терминале, хотя это и не запрещено.
В итоге откроется редактор с возможностью сохранения изменений.
Предположим, что я новый пользователь Ubuntu Linux 16.04.xx LTS. У меня сразу может возникнуть ряд вопросов. Как создать нового пользователя sudo на моем сервере? Как добавить нового пользователя в файл sudoer с помощью параметра командной строки на Ubuntu?
В Linux (и Unix вообще) существует суперпользователь с именем root. Корневой пользователь может делать все и вся, и, таким образом, обычное использование системы может стать очень опасным. Вы можете ввести команду неправильно и уничтожить систему. Команда sudo позволяет разрешенному пользователю запускать команду в качестве суперпользователя (пользователя root) или другого пользователя, как указано в политике безопасности. Часто sudo используется на серверах для предоставления прав администратора и привилегий для обычных пользователей. В этом кратком руководстве вы узнаете, как создать пользователя sudo на Ubuntu.
Несколько шагов, которые необходимо сделать для того, чтобы создать пользователя sudo на Ubuntu
Подробнее о группе администратора и группе sudo на сервере Ubuntu
Члены административной группы могут получать привилегии root. Все члены группы sudo запускают любую команду на сервере Ubuntu. Поэтому просто добавьте пользователя в группу sudo на сервере Ubuntu. Возможности группы admin были значительно урезаны, начиная с версии Ubuntu 12.04 и выше. Следовательно, admin группы больше не существует или она просто используется в версии Ubuntu 12.04 или выше. Причина, по которой это работает:
# grep -B1 -i "^%sudo" /etc/sudoers
$ sudo grep -B1 -i "^%sudo" /etc/sudoers
# Allow members of group sudo to execute any command %sudo ALL=(ALL:ALL) ALL
Давайте посмотрим на некоторые практические примеры.
Как добавить нового пользователя с именем vivek в sudo с помощью командной строки?
Откройте терминал или войдите на свой удаленный сервер:
$ ssh root@server-name-IP-here $ ssh [email protected] { root@server:/root} #
# adduser vivek$ sudo adduser vivek
Рисунок 01: Как добавить нового пользователя на Ubuntu
Примеры возможных выводов данных:
Как создать пользователя sudo в Ubuntu для учетной записи vivek
Введите следующую команду:
# adduser vivek sudo
ИЛИ используйте команду usermod для того, чтобы добавить пользователя в группу на Linux:
# usermod -aG sudo vivek
$ sudo usermod -aG sudo vivek
$ sudo adduser vivek sudo
Примеры возможных выводов данных:
Рисунок 02: Добавить пользователя vivek в sudo, чтобы получить права администратора
Подтвердите нового пользователя и члена группы с помощью :
$ id vivek
Примеры возможных выводов данных:
Рисунок 03: Показать информацию о пользователе и группе
Теперь пользователь vivek может войти в систему с помощью команды ssh следующим образом:
$ ssh [email protected]
Убедитесь, что vivek может использовать команду sudo:
$ sudo cat /etc/sudoers
При первом использовании команды sudo вам будет предложено ввести пароль учетной записи vivek. Поэтому введите пароль vivek для получения доступа root . Любой тип команды с sudo должен запускаться с привилегиями root для учетной записи vivek . Чтобы получить корневую оболочку, введите:
$ sudo –s
Примеры возможных выводов данных:
Рисунок 03: Тестирование доступа sudo для учетной записи пользователя vivek
И вот вы справились. Теперь вы можете разрешать другим пользователям запускать sudo на сервере Ubuntu и предоставлять пользователям права администратора.
Эмуляторы
