Виконати sudo без пароля?

Натхненний цим питанням ….

Я єдина людина, яка користується моєю системою з 12.04.
Кожен раз, коли я видаю sudoкоманду; система запитує пароль користувача (що добре по-своєму).
Однак я думав; без активації кореневого рахунку; як я можу виконувати команди sudo, які не запитують пароль користувача для автентифікації.

ПРИМІТКА: Я хочу виконати команду sudo без автентифікації через пароль; тільки тоді, коли вони виконуються через термінал.
Я не хочу видаляти цей додатковий рівень безпеки з інших функцій, наприклад, використовуючи "Центр програмного забезпечення Ubuntu" або виконуючи скрипт bash, перетягуючи файл something.sh до терміналу.

sudo -i це шлях, якщо ви не хочете вводити пароль кожні 10 хвилин, роблячи модифікації у вашій системі (або інших системах), і ви не хочете змінювати жодні системні файли.

Він переключить вас на root, використовуючи свій sudoпароль користувача, коли ви закриєте консоль або введете exitзнову до свого звичайного користувача.

Ви можете налаштувати так, sudoщоб ніколи не запитували пароль.

Відкрийте вікно терміналу та введіть:

sudo visudo

У нижній частині файлу додайте такий рядок:

$USER ALL=(ALL) NOPASSWD: ALL

Де $USERваше ім’я користувача у вашій системі. Збережіть і закрийте файл sudoers (якщо ви не змінили редактор терміналів за замовчуванням (знаєте, чи є), натисніть ctl + x, щоб вийти, nanoі він запропонує вам зберегти).

Станом на Ubuntu 19.04, файл тепер повинен виглядати приблизно так

#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults    env_reset
Defaults    mail_badpass
Defaults    secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin"

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root    ALL=(ALL:ALL) ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d

YOUR_USERNAME_HERE ALL=(ALL) NOPASSWD: ALL

Після цього ви можете ввести sudo <whatever you want>вікно терміналу, не вимагаючи пароля.

Це стосується лише використання sudoкоманди в терміналі. Вам буде запропоновано ввести пароль, якщо ви (наприклад) спробуєте встановити пакет із програмного центру

Тайм-аути з кореневими судо - це найпростіший і безпечний спосіб зробити це. Я викладу всі приклади, але попередити, що це дуже ризиковано, якщо це зробити, хоча цей спосіб набагато безпечніший:

sudo visudo

Це відкриває редактор і вказує його на файл sudoers - Ubuntu за замовчуванням нано, інші системи використовують Vi. Тепер ви супер користувач, який редагує один з найважливіших файлів у вашій системі. Без стресу!

(Vi специфічні вказівки, зазначені в (vi!) . Ігноруйте їх, якщо ви використовуєте нано.)

Використовуйте клавіші зі стрілками для переміщення до кінця Defaultsрядка.

(vi!) натисніть клавішу A (з великої літери "а") для переміщення в кінці поточного рядка та переходу в режим редагування (додавання після останнього символу рядка).

Тепер введіть:

,timestamp_timeout=X

де X - закінчення закінчення часу в хвилинах. Якщо ви вкажете 0, вам завжди буде запропоновано пароль. Якщо вказати негативне значення, час очікування ніколи не закінчиться. Напр Defaults env_reset,timestamp_timeout=5.

(vi!) натисніть Escape, щоб повернутися до командного режиму. Тепер, якщо ви задоволені редагуванням, введіть, :w Enterщоб написати файл та :q Enterвийти з vi. Якщо ви помилилися, можливо, найпростішим способом є повторне завантаження з початку, вихід без збереження (натисніть, Escapeщоб увійти в режим команд), а потім введіть: q! Enter.

Натисніть Ctrl+ X, а Yпотім, Enterщоб зберегти файл і вийти з nano.

Для додаткової інформації ви можете прочитати сторінки керівництва sudoers та vi.

man sudoers
man vi

Скинути значення тайм-ауту за допомогою:

sudo -k

Ці інструкції полягають у видаленні запиту на введення пароля при використанні команди sudo. Команду sudo все ще потрібно використовувати для доступу до кореня.

Відредагуйте файл судорів

Відкрийте вікно терміналу. Введіть sudo visudo. Додайте наступний рядок до кінця файлу (якщо його немає в кінці, його можна анулювати наступними записами):

<username> ALL=NOPASSWD: ALL

Замініть <username>своїм іменем користувача (без поля <>). Це припускаючи, що Ubuntu створив групу з тим же ім’ям, що і ваше ім’я користувача, що є типовим. Ви можете по черзі використовувати користувачів групи або будь-яку іншу таку групу, в якій ви перебуваєте. Просто переконайтеся, що ви в цій групі. Це можна перевірити, перейшовши до Система -> Адміністрація -> Користувачі та групи.

Приклад:

michael ALL=NOPASSWD: ALL

Введіть ^ X ( Ctrl+ X) для виходу. Це має запропонувати можливість зберегти файл, введіть Y для збереження.

Вийдіть, а потім увійдіть в систему. Тепер це повинно дозволяти виконувати команду sudo, не вимагаючи введення пароля.

Кореневий рахунок

Увімкнення кореневого облікового запису

Увімкнення кореневого облікового запису рідко необхідно. Практично все, що потрібно зробити як адміністратор системи Ubuntu, можна зробити через sudo або gksudo. Якщо вам дійсно потрібен постійний кореневий логін, найкращою альтернативою є моделювання оболонки кореневого входу за допомогою наступної команди:

sudo -i

Однак якщо вам потрібно ввімкнути кореневі логіни, ви можете це зробити так:

sudo passwd root

Повторне відключення вашого кореневого облікового запису

Якщо з якоїсь причини ви ввімкнули свій кореневий обліковий запис і хочете його знову відключити, використовуйте таку команду в терміналі:

sudo passwd -dl root

Загальносистемне групове судо

root$ echo "%sudo ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers

Вийдіть, а потім знову ввійдіть.

Скинути тайм-аут sudo

Ви можете переконатися, що sudo запитує пароль наступного разу, запустивши:

sudo -k

Кращим способом надання індивідуальних (або групових) дозволів буде додавання файлів під /etc/sudoers.d

Це відокремлює локальні зміни від політики за замовчуванням та економить час у разі зміни файлу sudoers розповсюдження.

Щоб зробити поточно зареєстрованого користувача aa sudoer і sudoне запропонувати їм ввести пароль, використовуйте

echo "$USER ALL=(ALL:ALL) NOPASSWD: ALL" | sudo tee /etc/sudoers.d/$USER

це створить файл під назвою /etc/sudoers.d/$USER(де $USERім'я користувача, до якого ви ввійшли, як при запуску цієї команди), і зрозуміти, яким користувачам надано дозвіл.

Якщо ви хочете зробити це для іншого користувача, просто замініть обидва екземпляри на $USERякесь інше ім’я користувача у наведеній вище команді.

echo "otheruser ALL=(ALL:ALL) NOPASSWD: ALL" | sudo tee /etc/sudoers.d/otheruser

Аналогічно один файл можна використовувати для управління кількома директивами:

echo "username ALL=(ALL:ALL) NOPASSWD: ALL" | sudo tee -a /etc/sudoers.d/local

Див. /etc/sudoers.d/READMEТа man sudoersдля отримання додаткової інформації.

Приємний однолінійний інструмент для видалення запитів sudo для поточного користувача

sudo bash -c 'echo "$(logname) ALL=(ALL:ALL) NOPASSWD: ALL" | (EDITOR="tee -a" visudo)'

Звичайно, те, що ви хочете зробити, не рекомендується. Через деякий час, хоча введення sudoстає настільки автоматичним, що його корисність зменшується.

Інший підхід - залишити свій файл sudoers таким, яким він є, і, роблячи щось складне для ваших непересічних сотень серверів, увійдіть sudo bash. Це дасть вам оболонку, яка буде автентифікована як root, поки ви не вийдете з неї.

Від Super User приходить хороша відповідь:

Використовуйте перемикач -S, який читає пароль із STDIN:

echo <password> | sudo -S <command>

Замініть <password>своїм паролем.

Один лайнер

sudo sed -i /etc/sudoers -re 's/^%sudo.*/%sudo ALL=(ALL:ALL) NOPASSWD: ALL/g'

Це однорядне рішення, яке також змінює дозволи файлів, як зазначено в /etc/sudoer.d/README:

sudo sh -c 'echo "$(logname) ALL=(ALL:ALL) NOPASSWD: ALL" > /etc/sudoers.d/$(logname)' & sudo chmod 440 /etc/sudoers.d/$(logname)

• Розширення на ідею @upteryx.

• Ось як я реалізував некорінного користувача, що не використовує паролів, в ефемерному зображенні Docker для використання в конвеєрі CICD:

RUN \
    groupadd -g 999 foo && useradd -u 999 -g foo -G sudo -m -s /bin/bash foo && \
    sed -i /etc/sudoers -re 's/^%sudo.*/%sudo ALL=(ALL:ALL) NOPASSWD: ALL/g' && \
    sed -i /etc/sudoers -re 's/^root.*/root ALL=(ALL:ALL) NOPASSWD: ALL/g' && \
    sed -i /etc/sudoers -re 's/^#includedir.*/## **Removed the include directive** ##"/g' && \
    echo "foo ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers && \
    echo "Customized the sudoers file for passwordless access to the foo user!" && \
    echo "foo user:";  su - foo -c id