додавання локального вмісту в /etc/sudoers.d/ замість того, щоб безпосередньо змінювати файл sodoers через visudo

32

Чи можете ви, будь ласка, направити мене на деякі приклади та більш детальну інструкцію на /etc/sudoers.d/

Я хотів би дати груповий дозвіл на судо деякі команди, але належним чином не створювати зайвих лазівки в моделі безпеки Ubuntu на багатокористувацькій машині.

У стародавні часи я робив кілька простих налаштувань судерів, але, мабуть, зараз /etc/sudoers.d/ є більш правильним способом, і я хотів би краще зрозуміти це.

permissions  sudo  security  users  user-management 
Павло Дебскі
джерело

Відповіді:

43

Як зазначено в цьому питанні , /etc/sudoersце системний файл конфігурації, який може бути автоматично змінений оновленнями системи і є дуже крихким до неналежних змін. Ви можете потенційно втратити доступ або зробити систему незавантаженою через неналежну зміну.

$ sudo cat /etc/sudoers
#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#

(... some other content ...)

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d

Всупереч тому, що ви могли очікувати, #includedirдиректива не є коментарем . Це може спричинити sudoтакож читання та аналіз будь-яких файлів у /etc/sudoers.dкаталозі (які не закінчуються символом '~' або містять символ '.').

$ ls -l /etc/sud*
-r--r----- 1 root root  755 sty 20 17:03 /etc/sudoers

/etc/sudoers.d:
total 7
-r--r----- 1 root root 958 mar 30  2016 README
$ sudo cat /etc/sudoers.d/README
#
# As of Debian version 1.7.2p1-1, the default /etc/sudoers file created on
# installation of the package now includes the directive:
# 
#   #includedir /etc/sudoers.d
# 
# This will cause sudo to read and parse any files in the /etc/sudoers.d 
# directory that do not end in '~' or contain a '.' character.
# 
# Note that there must be at least one file in the sudoers.d directory (this
# one will do), and all files in this directory should be mode 0440.
# 
# Note also, that because sudoers contents can vary widely, no attempt is 
# made to add this directive to existing sudoers files on upgrade.  Feel free
# to add the above directive to the end of your /etc/sudoers file to enable 
# this functionality for existing installations if you wish!
#
# Finally, please note that using the visudo command is the recommended way
# to update sudoers content, since it protects against many failure modes.
# See the man page for visudo for more information.
#

На відміну /etc/sudoersвід вмісту /etc/sudoers.dоновлених системних оновлень, тому бажано створити там файл, ніж змінювати /etc/sudoers.

Ви можете відредагувати файли в цьому каталозі за допомогою visudoкоманди:

$ sudo visudo -f /etc/sudoers.d/veracrypt
  GNU nano 2.5.3        File: /etc/sudoers.d/veracrypt.tmp                      

# Users in the veracryptusers group are allowed to run veracrypt as root.
%veracryptusers ALL=(root) NOPASSWD:/usr/bin/veracrypt

Зверніть увагу, що visudoможе використовуватися інший редактор замість nanoописаного на https://help.ubuntu.com/community/Sudoers

Ось ще кілька посилань, які мені здаються корисними:

Павло Дебскі
джерело
4
Неправда, що помилки у файлах у /etc/sudoers.dне можуть збити sudo. Ці файли об'єднані в /etc/sudoers. Ті ж правила застосовуються і до цих файлів.
tobltobs
2
Це правильно, що ви МОЖЕТЕ збити систему неправильним файлом, як це менше МІЖ. #includedir - це не просто проста дурна конкатенація - хоча в тому числі проводяться певні перевірки, щоб виявити найочевидніші помилки та їх можна легко відновити. Однак будьте обережні - ви завжди можете поранити себе гострим ножем, тому поводьтеся з цим обережно ;-)
Pawel Debski
4
@RichardRiley дивіться unix.stackexchange.com/questions/244064/…
Xunnamius
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.