Το προφίλ μας στο Google Plus
0

Αλλάξτε τη συμπεριφορά του sudo για το password του root

Αλλαγή της συμπεριφοράς του sudo σε σχέση με το password του root

Σε πολλές σύγχρονες διανομές Linux, κατά την εγκατάστασή τους παροτρυνόμαστε να φτιάξουμε έναν λογαριασμό απλού χρήστη και για λόγους ασφαλείας να δουλεύουμε κυρίως μέσα από αυτόν. Ο χρήστης μας θα έχει τη δυνατότητα εκτέλεσης εργασιών που απαιτούν δικαιώματα root, απλά τρέχοντας το sudo. Αναλυτικότερα, γράφοντας σε ένα τερματικό “sudo something” μάς ζητείται το password του root κι αφού το πληκτρολογήσουμε (σωστά) τότε εκτελείται το “something” με αναβαθμισμένα δικαιώματα. Για το ίδιο session, το sudo δεν ζητά password πριν περάσει συγκεκριμένος χρόνος. Στο openSUSE, για παράδειγμα, ο χρόνος αυτός είναι τα 5 λεπτά. Έτσι, για ένα δεδομένο session το sudo δεν ζητά password αν δεν έχουν περάσει *τουλάχιστον* 5 λεπτά. Ίσως θέλουμε να αυξήσουμε ή γενικά να μεταβάλλουμε αυτό το timeout. Έχουμε επίσης τη δυνατότητα να απενεργοποιήσουμε εντελώς, για το λογαριασμό ενός συγκεκριμένου χρήστη, την εισαγωγή του root password κατά το sudo. Σε μια τέτοια περίπτωση ο χρήστης μας θα μπορεί να γράφει στο τερματικό “sudo something” και το “something” θα εκτελείται αμέσως, χωρίς να πληκτρολογούμε *ποτέ* το password του root.

Ανεξαρτήτως της αλλαγής που σκεφτόμαστε να κάνουμε, θα επέμβουμε στο αρχείο /etc/sudoers με δικαιώματα root και μάλιστα με χρήση του εργαλείου visudo:

cvar@holmavik:~> sudo visudo

Το visudo ανοίγει το /etc/sudoers μέσα στο προκαθορισμένο text editor. Η διαφορά της χρήσης του visudo αντί της απευθείας χρήσης κάποιου editor, είναι ότι στην πρώτη περίπτωση οι όποιες τροποποιήσεις κάνουμε λαμβάνονται υπόψη αμέσως μετά την αποθήκευσή τους.

Προκειμένου ν’ αλλάξουμε το timeout για την εκ νέου πληκτρολόγηση password, εντοπίζουμε τη γραμμή

Defaults        env_reset

και την αλλάζουμε ώστε να μοιάζει με την επόμενη:

Defaults        env_reset,passwd_timeout=15

Στο παράδειγμα, φροντίσαμε ώστε το sudo να μη ζητά για password αν δεν έχει περάσει τουλάχιστον ένα τέταρτο.

Αν τώρα θέλουμε να απενεργοποιήσουμε εντελώς την εισαγωγή password για το sudo και για *συγκεκριμένο* λογαριασμό χρήστη, τότε στο τέλος του αρχείου /etc/sudoers προσθέτουμε μία γραμμή σαν αυτή:

cvar    ALL = (ALL) NOPASSWD:ALL

Βεβαίως, στη θέση του “cvar” εσείς θα βάλετε το username του δικού σας χρήστη.

Leave a Reply

You must be logged in to post a comment.

Σύνδεση

Αρχείο δημοσιεύσεων