Sudo - это программа позволяющая администраторам давать ограниченные root права пользователям и вести журнал root активности. Базовая философия заключается в том, чтобы дать так мало прав, как это возможно, но при этом позволить людям нормально выполнять свои задачи. Отличие от команды su в том, что пользователь вводит пароль от своей учетной записи, а не пароль пользователя root.

Sudo в Debian имеет пятнадцатиминутный (может быть ) таймаут после ввода пароля. Это значит, что когда вы первый раз ввели пароль рута, то у вас есть 15 минут в течение которых вы можете выполнить следующую команду без ввода пароля. Таймаут может быть немедленно сброшен с помощью команды sudo -k .

Установка sudo в Debian 7

Во время установки создается конфигурационный файл /etc/sudoers и директория /etc/sudoers.d , о которых мы поговорим чуть позже.

Параметры команды sudo

-k - позволяет сбросить таймаут до момента, когда необходимо будет снова вводить пароль. Если указать команду, которая может потребовать ввода пароля, то таймаут будет сброшен конкретно для этой команды.
-h - будет выведена небольшая подсказка на стандартный выход.
-V - отобразиться версия sudo и плагинов. Если запустить от root, то будут выведены все настройки.
-g group - позволяет задать от какой группы будет запущена команда.
-H - задает директорию, которая будет указана в переменной окружения HOME.
-i - симулирует начальный вход. Если команда не указана, то будет произведен вход в систему, таким образом можно сделаться рутом вместо использования sudo su.
-l[l] - если команда не указана, то будет выведен список доступных команд для вызвавшего пользователя (или пользователя указанного с параметром -U). Если указана команда и она доступна, то будет выведен полный путь до команды и доступные параметры. Если команда не доступна, то sudo закроется со статусом 1. Если использовать параметр -ll или указать -l два раза, то будет использован более подробный формат вывода.
-s - будет запущена оболочка указанная в переменной окружения SHELL. Если указана команда, то она будет передана на исполнения запущенной оболочке.
-U user - совместно с параметром -l позволяет отобразить привилегии определенного пользователя. Доступ спискам привилегий по умолчанию есть у root и пользователей со всеми привилегиями (ALL).
-u user - указанная команда будет запущена от имени указанного пользователя, а не от root.
-v - позволяет продлить таймаут на 15 минут или на тот, который указан в sudoers), но не выполнять каких-либо команд.

Здесь указана большая часть доступных параметров, но не все. Чтобы посмотреть полный список используйте команду man sudo .

Настройка sudo в Debian 7

Рекомендуется все пользовательские настройки задавать в файлах в директории /etc/sudoers.d , а не в основном файле /etc/sudoers . То есть можно создать файл с любым названием в директории /etc/sudoers.d и уже в нем перечислить необходимые настройки.

Файл /etc/sudoers рекомендуется править с помощью утилиты visudo , так как она блокирует файл и осуществляет проверку правильности написания директив при закрытии. visudo использует текстовый редактор по умолчанию, который можно переопределить в sudoers директивой вида:

С давних времен многих смущает разнообразие вариантов обеспечения безопасности при выполнении операций с максимальными привилегиями. Например, в официальной документации Ubuntu в качестве команды редактирования рекомендуется использовать что-то вроде sudo nano , а в многочисленных любительских мануалах (в стиле «5 фокусов в командной строке, которые удивят вашу бабушку») для получения root"ового шелла предлагается писать sudo su - . Попробую объяснить, почему такое положение вещей кажется мне неправильным.

Исторически единственным универсальным способом выполнить команду от имени другого пользователя в Unix была программа su. Запущенная без параметров, она запрашивала пароль суперпользователя и в случае успеха просто подменяла текущее имя пользователя на root, оставляя почти все переменные окружения от старого пользователя (кроме PATH, USER и еще пары-тройки, см. man su от своего дистрибутива). Более корректно было запускать ее как su - - в таком случае оболочка получала также и правильный environment. С параметром -c можно было выполнить команду: su -c "vim /etc/fstab" .

При этом доверенным пользователям приходилось помнить пароль root"а и у всех пользователей, перечисленных в группе «wheel» (т.е. в группе, члены которой могли выполнить команду su и стать суперпользователем), был одинаковый неограниченный доступ ко всей системе, что являлось серьёзной проблемой безопасности.

Затем появилась команда sudo, и это был прорыв. Теперь администратор мог указывать список разрешенных команд для каждого пользователя (или группы пользователей), файлы, доступные для редактирования, специальные переменные окружения и многое другое (все это великолепие управляется из /etc/sudoers , см. man sudoers от своего дистрибутива). При запуске sudo спрашивает у пользователя его собственный пароль, а не пароль root. Полноценный шелл можно получить с помощью " sudo -i "

Стоит особо упомянуть о специальной команде sudoedit , безопасно запускающей редактор, указанный в переменной окружения $EDITOR . При более традиционной схеме редактирование файлов производилось примерно так:
sudo vi /etc/fstab

Запускаемый таким образом vi наследовал оболочку с неограниченными правами и через:! пользователь мог запускать любую команду (если, конечно, админ не позаботился об этом заранее) и открыть любой файл.

Sudoedit проверяет, можно ли этому пользователю изменять данный файл, затем копирует указанный файл во временный каталог, открывает его в редакторе (который наследует права пользователя, а не root"а), а после редактирования, если файл был изменён, с особыми предосторожностями копирует его обратно.

В Debian-based дистрибутивах пользователь root не имеет пароля, вместо этого все административные действия должны производиться через sudo или его графический аналог gksudo . Являясь полной заменой su , sudo должна бы быть единственной командой переключения между пользователями, однако, как было сказано вначале, в настоящий момент это не так и все зачем-то изобретают дикие последовательности из sudo, su, vi и черточек.

Поэтому предлагаю всем раз и навсегда запомнить:

После первой публикации этой заметки мне было задано несколько вопросов. Из ответов получилось сделать мини-FAQ.

Q: как с помощью sudo сделать su -c "echo 1 > /etc/privileged_file" ? sudo echo 1 /etc/privileged_file ругается на «permission denied»
A: Это происходит потому, что только команда echo выполняется в повышенными правами, а результат перенаправляется в файл уже с правами обычного пользователя. Чтобы добавить что-нибудь в privileged_file, нужно выполнить такую команду:
$ echo 1| sudo tee -a privileged_file >/dev/null
Или же временно стать рутом:
$ sudo -i # echo 1 > privileged_file # exit $
Q: sudo -i длиннее, чем su - , а разницы между ними вроде как и никакой, зачем печатать больше?
A: У sudo есть несколько преимуществ, ради которых стоит потрудиться набрать несколько лишних символов:

• по умолчанию sudo записывает всю пользовательскую активность в syslog-канал authpriv (как правило, результат кладется в файл /var/log/auth.log), а в su подобную фичу надо включать с помошью задания специального параметра в файле настроек, различающемся от дистрибутива к дистрибутиву (SULOG_FILE в /etc/login.defs в Ubuntu Linux, /etc/login.conf и /etc/pam.d/su в FreeBSD и т.д.)
• в случае с su администратор системы не может ограничить команды, выполняемые пользователями, а в sudo - может
• если пользователь должен быть лишен права администрирования, в случае с su после удаления его из группы wheel он должен забыть пароль root"а; если используется sudo, достаточно вынести его из соответствующей группы (например, wheel или admin) и/или файла sudoers, если он был дополнительно настроен.

С давних времен многих смущает разнообразие вариантов обеспечения безопасности при выполнении операций с максимальными привилегиями. Например, в официальной документации Ubuntu в качестве команды редактирования рекомендуется использовать что-то вроде sudo nano , а в многочисленных любительских мануалах (в стиле «5 фокусов в командной строке, которые удивят вашу бабушку») для получения root"ового шелла предлагается писать sudo su - . Попробую объяснить, почему такое положение вещей кажется мне неправильным.

Исторически единственным универсальным способом выполнить команду от имени другого пользователя в Unix была программа su. Запущенная без параметров, она запрашивала пароль суперпользователя и в случае успеха просто подменяла текущее имя пользователя на root, оставляя почти все переменные окружения от старого пользователя (кроме PATH, USER и еще пары-тройки, см. man su от своего дистрибутива). Более корректно было запускать ее как su - - в таком случае оболочка получала также и правильный environment. С параметром -c можно было выполнить команду: su -c "vim /etc/fstab" .

При этом доверенным пользователям приходилось помнить пароль root"а и у всех пользователей, перечисленных в группе «wheel» (т.е. в группе, члены которой могли выполнить команду su и стать суперпользователем), был одинаковый неограниченный доступ ко всей системе, что являлось серьёзной проблемой безопасности.

Затем появилась команда sudo, и это был прорыв. Теперь администратор мог указывать список разрешенных команд для каждого пользователя (или группы пользователей), файлы, доступные для редактирования, специальные переменные окружения и многое другое (все это великолепие управляется из /etc/sudoers , см. man sudoers от своего дистрибутива). При запуске sudo спрашивает у пользователя его собственный пароль, а не пароль root. Полноценный шелл можно получить с помощью " sudo -i "

Стоит особо упомянуть о специальной команде sudoedit , безопасно запускающей редактор, указанный в переменной окружения $EDITOR . При более традиционной схеме редактирование файлов производилось примерно так:
sudo vi /etc/fstab

Запускаемый таким образом vi наследовал оболочку с неограниченными правами и через:! пользователь мог запускать любую команду (если, конечно, админ не позаботился об этом заранее) и открыть любой файл.

Sudoedit проверяет, можно ли этому пользователю изменять данный файл, затем копирует указанный файл во временный каталог, открывает его в редакторе (который наследует права пользователя, а не root"а), а после редактирования, если файл был изменён, с особыми предосторожностями копирует его обратно.

В Debian-based дистрибутивах пользователь root не имеет пароля, вместо этого все административные действия должны производиться через sudo или его графический аналог gksudo . Являясь полной заменой su , sudo должна бы быть единственной командой переключения между пользователями, однако, как было сказано вначале, в настоящий момент это не так и все зачем-то изобретают дикие последовательности из sudo, su, vi и черточек.

Поэтому предлагаю всем раз и навсегда запомнить:

После первой публикации этой заметки мне было задано несколько вопросов. Из ответов получилось сделать мини-FAQ.

Q: как с помощью sudo сделать su -c "echo 1 > /etc/privileged_file" ? sudo echo 1 /etc/privileged_file ругается на «permission denied»
A: Это происходит потому, что только команда echo выполняется в повышенными правами, а результат перенаправляется в файл уже с правами обычного пользователя. Чтобы добавить что-нибудь в privileged_file, нужно выполнить такую команду:
$ echo 1| sudo tee -a privileged_file >/dev/null
Или же временно стать рутом:
$ sudo -i # echo 1 > privileged_file # exit $
Q: sudo -i длиннее, чем su - , а разницы между ними вроде как и никакой, зачем печатать больше?
A: У sudo есть несколько преимуществ, ради которых стоит потрудиться набрать несколько лишних символов:

• по умолчанию sudo записывает всю пользовательскую активность в syslog-канал authpriv (как правило, результат кладется в файл /var/log/auth.log), а в su подобную фичу надо включать с помошью задания специального параметра в файле настроек, различающемся от дистрибутива к дистрибутиву (SULOG_FILE в /etc/login.defs в Ubuntu Linux, /etc/login.conf и /etc/pam.d/su в FreeBSD и т.д.)
• в случае с su администратор системы не может ограничить команды, выполняемые пользователями, а в sudo - может
• если пользователь должен быть лишен права администрирования, в случае с su после удаления его из группы wheel он должен забыть пароль root"а; если используется sudo, достаточно вынести его из соответствующей группы (например, wheel или admin) и/или файла sudoers, если он был дополнительно настроен.

Иногда для решения какой-либо задачи необходимо открыть терминал и выполнить команды от суперпользователя (sudo или su), называемый также ROOT. Хотя некоторые из них можно осуществить с помощью графического интерфейса.

Для чего в Unix системах нужен и используется Root, вы можете узнать из , а мы далее будем обсуждать, как применяется sudo или su в Linux системах.

Предположим, что нужно выполнить нестандартную задачу, где графические инструменты нам не помогут. К тому же командная строка является очень гибким инструментом, здесь можно увидеть вывод команд и понять, что происходит не так как нужно. А самое главное, команды в терминале являются стандартными для всех дистрибутивов Linux.

Итак, существует два основных способа получить права суперпользователя (Root) это - sudo или su

Команда sudo используется в Debian - подобных системах или более популярных Ubuntu, «su» используется почти во всех остальных дистрибутивах Linux.

Ввод sudo в операционной системе Ubuntu требует ввода пароля Root и далее после успешного ввода, дает права суперпользователя на время выполнения одной лишь команды. Перед всеми последующими командами, которые требуют прав Root в Debian - подобных системах, необходимо снова вводить «sudo». А в остальных дистрибутивах Linux, где используется команда «su», предоставляет полный доступ Root, после ввода пароля, пока вы не введете «logout» или не закроете терминал.

В Debian - подобных (Ubuntu) системах есть одна хитрость, которая может предоставить полный доступ к Root, пока вы не закроете терминал. Это нужно в том случае если вы будете выполнять много команд от имени Root, и вам не придется перед каждой командой вводить «sudo». Для этого скомандуйте:

Например, нам необходимо найти всех имеющихся пользователей в системе, увидеть их каталоги и присвоить права нужного каталога одного пользователя другому. Для этого если бы я использовал Ubuntu, то команда в терминале была бы следующей:

Sudo du -sch /home/*

После этого последовал бы пароль от Root:

16K /home/lost+found 27G /home/pavel 34G /home/pavelubuntu 50G /home/pavelzen 110G итого

Я знаю, что я являюсь пользователем каталога /home/pavelzen , но мне необходимо еще стать и владельцем каталога /home/pavelubuntu. Для этого мне вновь необходимо перед командой ввести «sudo».

А для других систем: сначала я скомандовал бы

пароль, а потом

Du -sch /home/*

Chown -R pavelzen: /home/pavelubuntu

Вот так в системах Linux проявляются терминалы и суперпользователи.

Будучи Linux администратором, я всегда использовал и sudo , и su . И системному администратору очень важно, чтобы вы знали разницу между ними. Для тех, кто не имеет общего представления о разнице между этими двумя или всегда путает их - вот список из 12 Q&A (вопросов и ответов), которые направлены, чтобы помочь вам разобраться в тонкостях sudo и su.

ПРИМЕЧАНИЕ - Эта статья является специфичной только для Ubuntu. Хотя некоторые сведения могут быть применимы к большинству популярных дистрибутивов.

Sudo vs Su

Эта серия вопросов и ответов должна прояснить некоторые особенности sudo vs su для многих пользователей Ubuntu.

Q1 . Как используются sudo и su? В чем разница между ними?

Ответ .Sudo используется для запуска той или иной команды с разрешением корня. Интересно то, что когда вы используете sudo для определенной команды, система запросит у вас пароль текущего пользователя. После ввода пароля, команда запускается с привилегиями суперпользователя.

Вот пример:

$ apt-get install skype E: Could not open lock file /var/lib/dpkg/lock - open (13: Permission denied) E: Unable to lock the administration directory (/var/lib/dpkg/), are you root? $ sudo apt-get install skype password for mylinuxbook: Reading package lists... Done Building dependency tree Reading state information... Done ... ...

Как вы видите, сначала я попытался установить Skype, используя команду apt-get , но я получил permission denied error . Тогда я использовал sudo вместе с такой же системой команд и системой пароля для пользователя mylinuxbook. После ввода правильного пароля, команда выполнена успешно.

С другой стороны, su используется для переключения любого пользователя. Установленный пароль соответствующего пользователя включен. Если su используется без опций, происходит переход к корневой учетной записи пользователя. В этом случае, система запрашивает пароль суперпользователя.

Вот пример:

$ su mylinuxbook Password: mylinuxbook@mylinuxbook-Inspiron-1525:~$

В приведенном выше примере, я использовал su для переключения на учетную запись пользователя mylinuxbook и после ввода пароля для mylinuxbook, я смог сделать это.

Вот еще один пример:

$ su Password: su: Authentication failure

В приведенном выше примере, я выполнил на su, чтобы включить кореневые права аккаунт обычному пользователю, но он не мог, потому что у меня ненастроен пароль суперпользователя. В дистрибутивах, таких как Ubuntu, пароли для суперпользователя не настроены по умолчанию. Как только его настроят, вы сможете использовать этот пароль.

Q2 . Что делать, если я не хочу настраивать пароль администратора в моей Ubuntu, но все же ​​хочу переключиться на суперпользователя?

Ответ. В этом случае вы можете попробовать команду "sudo su ". Вот пример:

$ sudo su password for mylinuxbook: root@mylinuxbook-Inspiron-1525:/home/mylinuxbook#

Как только sudo был использован для запуска su, система запрашивает на ввод пароль текущего пользователя, а не пароль суперпользователя. Как только это было введено, текущий аакаунт был переведен в учетную запись.

Q3. Что делать, если я хочу использовать su для перехода к другим учетным записям пользователей, но не хочу помнить каждого и каждый пароль пользователя?

Ответ . Ну, в таком случае, просто используйте команду su, введите пароль администратора и переключитесь на учетную запись. Отсюда, использовав su, можно переключиться на любую учетную запись пользователя без использования паролей.

Q4. Если sudo используется, чтобы выполнить что-то с привилегиями суперпользователя, тогда почему нужен пароль текущего пользователя, а не пароль суперпользователя?

Ответ. Ну, это н есовсем то, чтобы любой нормальный пользователь может сделать sudo и выполнять команды, которые требуют привилегий суперпользователя. Вы, как пользователь, должны быть sudoer тоже. Это означает, что вы должны иметь привилегии для использования sudo. Если вы являетесь действительным sudoer, система запрашивает пароль только для того чтобы убедиться, что вы понимаете, что вы делаете некоторые работы, которые требуют привилегий суперпользователя, и вы должны все перепроверить, прежде чем на самом деле сделать это.

Теперь возникает вопрос о sudoers. Как стать пользователем sudoer ? Пользователь может стать sudoer, если его добавили в группу sudo. Вот пример:

$ sudo adduser sudo

Просто замените фактическим именем пользователя для учетной записи. Обратите внимание, что ранее (до Ubuntu 12.04) группа должна была называться admin , но сейчас это не обязательно.

Вы можете использовать команду "group ", чтобы проверить все группы, в которых есть этот пользователь. Вот пример:

$ groups mylinuxbook mylinuxbook: mylinuxbook adm cdrom sudo dip plugdev lpadmin sambashare

Таким образом, вы видите, что пользователь "mylinuxbook " входит в состав всех этих групп, включая группы sudo, и, следовательно, sudoer.

Q5. Я заметил, что как только я использовал sudo, у меня длительное время сохраняются кореневые права, хотя через некоторое время все приходит в норму. Что это?

Ответ . Ubuntu помнит пароль для sudo около 15 минут. Это означает, что как только вы использовали sudo для выполнения команды, система не будет запрашивать пароль, если вы запускаете другие команды, которые требуют привилегий суперпользователя для запуска. Хотя вам придется использовать "sudo " перед каждой командой.

Q6. Какие преимущества sudo над su?

Ответ. Sudo имеет много преимуществ по сравнению с su.

Вот список:

Q7. Любой пользователь может выполнять операции sudo?

Ответ. Нет, только доверенные пользователи или sudoers могут выполнять операции sudo. Вот официальная страница , которая описывает, как и что может делать пользователь-sudoer.

Q8. Я интересуюсь su. Как я могу настроить использование su таким образом, чтобы достичь функциональность, аналогичную suda?

Ответ . Если вы работаете с su, это означает, что у вас уже есть настроенный пароль суперпользователя. Для достижения функциональности, аналогичной sudo, т.е. для запуска только одной команды с привилегиями суперпользователя использованием su, все что вам нужно использовать опцию -c от команды su.

Вот пример:

$ su -c "apt-get install skype" Password:

Просто введите пароль, и только эта команда будет работать с привилегиями суперпользователя. Хотя это так же, как sudo, но с той лишь разницей, что вам нужно ввести пароль суперпользователя вместо пароля текущего пользователя.

Q9. Я работаю с sudо. Как я могу настроить использование sudo таким образом, чтобы достичь своей функциональности аналогичное su?

Ответ. Для достижения функциональности su через sudo, попробуйте опцию -i команды sudo.

Вот пример:

$ sudo -i password for mylinuxbook: root@mylinuxbook-Inspiron-1525:~#

Вы видите, что с помощью "sudo -i ", был выполнен переход на корневую учетную запись, хотя пароль, введенный для текущего пользователя (mylinuxbook в данном случае).

Q10. Кореневой пароль моей учетной записи еще не активирован. Могу ли я использовать sudo, чтобы активировать пароль суперпользователя?

Ответ. Для активации пароля для суперпользователя, вы можете использовать команду passwd следующим образом:

$ sudo passwd root

Эта команда требует права суперпользователя, так что вам придется использовать sudo.

Q12. Могу ли я использовать sudo, чтобы предоставить особые права пользователям?

Ответ. Конфигурационный файл для sudo - /etc/sudoers . Его нельзя редактировать вручную с помощью редактора. Для этой цели рекомендуется использовать команду visudo .

Вот точная команда:

$sudo visudo

и вот что вы получите:

Эта команда откроет временный файл /etc/sudoers.tmp в нано редакторе для редактирования. Visudo убеждается, что нет никакого конфликта, когда несколько экземпляров одного файла получается отредактировать.

Чтобы понять, как предоставить ограниченные права, понять дизайн этого файла конфигурации, .