Файл Sudoers, увімкніть NOPASSWD для користувача всі команди

Передмова

Це досить складне питання, пов’язане з файлом Sudoers та командою sudo загалом.

ПРИМІТКА. Ці зміни я внесла на спеціалізовану машину під управлінням Ubuntu Desktop 13.04, яку я використовую виключно для навчальних цілей. Я розумію, що для включення NOPASSWD sudo величезний ризик для безпеки.

Питання

Спочатку мою зміну у файлі sudoers (/ etc / sudoers) складав один рядок, специфікація користувача, яка мала б дати можливість nicholsonjf запускати всі команди з sudo без необхідності введення пароля (див. Рядок, що починається з 'nicholsonjf '):

# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults        env_reset
Defaults        mail_badpass
Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root    ALL=(ALL:ALL) ALL
nicholsonjf    ALL=NOPASSWD: ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d

Однак це не спрацювало, і мені все одно запитували свій пароль щоразу, коли я виконував команду як "nicholsonjf". Мені вдалося почати запускати команди sudo як "nicholsonjf", тільки коли я видалив "nicholsonjf" із груп sudo та admin.

Хтось може пояснити, чому це спрацювало?

Це тому, що користувач "nicholsonjf" успадковував права sudo з двох специфікацій групи "admin" і "sudo" (див. Нижче у файлі sudoers), які переосмислювали специфікацію користувача "nicholsonjf", оскільки вони були подалі вниз конфігураційний файл?

Рядок, який ви додали, був замінений Від man sudoers:

Коли для користувача кілька записів збігаються, вони застосовуються в порядку. Там, де є кілька матчів, використовується останній збіг (який не обов'язково є найбільш конкретним).

У вашому випадку nicholsonjfбув членом групи, sudoтому до нього застосували цей рядок:

%sudo   ALL=(ALL:ALL) ALL

Якщо ви хочете змінити записи, /etc/sudoersпросто поставте нові записи після них.

Новий запис повинен виглядати так

myuser ALL=(ALL) NOPASSWD: ALL для одного користувача, або

%sudo ALL=(ALL) NOPASSWD: ALL для групи.

Для одного користувача додайте цей рядок в кінці sudoersфайлу, використовуючиsudo visudo

superuser ALL=(ALL) NOPASSWD: ALL

Для групи

%supergroup  ALL=(ALL) NOPASSWD: ALL

Щоб ніколи не підкажете поточного користувача пароль при тому , що користувач використовує sudoзробити

echo "$USER ALL=(ALL:ALL) NOPASSWD: ALL" | sudo tee /etc/sudoers.d/dont-prompt-$USER-for-password

це створить файл, який називається, /etc/sudoers.d/dont-prompt-<YOUR USERNAME>-for-sudo-passwordі буде означати, що користувачеві, якому ви запустили цю команду, не буде запропоновано ввести пароль під час виконання sudoкоманди. Вам все одно буде запропоновано ввести пароль в інших контекстах, наприклад, встановити речі з графічного додатка Ubuntu Software .

Переваги цього зробити перед додаванням рядка в echoкоманді до /etc/sudoersвикористання sudo visudo(як це запропоновано іншими відповідями)

1. /etc/sudoersіноді модифікована оновлень системи, в той час як файли в /etc/sudoers.dНЕ
2. sudo visudoметод схильний до помилок ( про що свідчить цей самий питання), в той час як копіювати / вставити команду набагато складніше зіпсувати

Відповідно до sudo cat /etc/sudoers.d/READMEцієї функції (введення додаткових файлів sudoer /etc/sudoers.d) було включено за замовчуванням з Debian 1.7.2p1-1, який вийшов наприкінці 1990-х (Ubuntu заснований на Debian ).

Як Вінс вже згадувалося в коментарях , ви можете використовувати цей рядок:

%sudo ALL=NOPASSWD: ALL

(Це відрізняється від рядків, показаних у цих відповідях , і це вирішило для мене проблему.)