Добавляем пользователя в Sudoers в Debian 12

Sudo (superuser do) – это командная утилита, позволяющая доверенным пользователям запускать команды от имени root. Это необходимо для запуска программы, требующей root-доступа. Это могут делать только определенные пользователи из группы sudo / wheel. Если неавторизованный пользователь попытается выполнить команду, sudo уведомит администратора по электронной почте. По умолчанию это предупреждение сохраняется в учетной записи root. Любому пользователю, выполняющему команду, будет предложено ввести пароль. После аутентификации sudo создаст временную метку для этого пользователя. С этого момента пользователь может выполнять команды в течение пяти минут. По истечении пяти минут пользователю будет предложено ввести пароль. Если вам нужно перезаписать этот льготный период, вы можете сделать это, изменив настройки в файле /etc/sudoers. В этой статье мы покажем вам, как добавить пользователя в sudoers в Debian 12 в виде пошагового руководства.

Необходимые условия для добавления пользователя в Sudoers в Debian 12

• Debian 12
• ROOT-доступ по SSH или обычный системный пользователь с привилегиями sudo

Соглашения

# – данные команды должны выполняться с правами root либо непосредственно как пользователь root, либо с помощью команды sudo
$ – данные команды должны выполняться как обычный пользователь

Вход на сервер

Сначала войдите на свой сервер Debian 12 через SSH как пользователь root:

ssh root@IP_Address -p Port_number

Вы должны заменить ‘IP_Address‘ и ‘Port_number‘ на соответствующий IP-адрес вашего сервера и номер SSH-порта. Замените ‘root’ на другого пользователя вашей системы Debian 12 с правами sudo.

Вы можете проверить, установлена ли у вас на сервере соответствующая версия Debian, с помощью следующей команды:

# lsb_release -a

Вы должны получить следующий вывод:

No LSB modules are available.
Distributor ID: Debian
Description: Debian GNU/Linux 12 (bookworm)
Release: 12
Codename: bookworm

Добавить пользователя в файл Sudoers

Файл /etc/sudoers содержит набор правил, определяющих, какие пользователи или группы имеют права sudo. Этот файл позволяет предоставлять конкретный доступ к командам и устанавливать собственные политики безопасности. Вы можете настроить доступ пользователей, отредактировав файл sudoers или создав новый файл конфигурации в каталоге /etc/sudoers.d. Файл sudoers вызывает эти файлы в этом каталоге.

Всегда используйте команду visudo для редактирования файла /etc/sudoers; не редактируйте его напрямую в текстовом редакторе. При сохранении файла эта команда проверяет его на наличие синтаксических ошибок. Если есть ошибки, файл не сохраняется. Если вы редактируете файл в обычном текстовом редакторе, синтаксические ошибки могут привести к потере доступа sudo.

Visudo использует редактор, указанный в переменной среды EDITOR; по умолчанию используется Vim. Если вы хотите редактировать файл с помощью nano, измените переменную, выполнив:

# EDITOR=nano visudo

При добавлении новых пользователей или групп в файл sudoers важно указать имя пользователя или группы, хосты, пользователей, от имени которых они могут запускать команды, и команды для выполнения. Допустим, вы хотите разрешить пользователю запускать команды sudo без запроса пароля. Для достижения этой цели давайте откроем файл /etc/sudoers:

# visudo

Прокрутите вниз до конца файла и добавьте следующую строку:

username ALL=(ALL) NOPASSWD:ALL

Замените “имя пользователя” на существующего системного пользователя на вашем компьютере Debian 12. Затем сохраните файл и выйдите из редактора. Мы можем использовать тег NOPASSWD для выполнения определенных команд без запроса пароля пользователя, что может быть полезно для автоматизации, но может увеличить количество уязвимостей в системе безопасности.

Другой пример – разрешить пользователю запускать только определенные команды через sudo. Например, чтобы разрешить только команды mkdir и rmdir, вы могли бы использовать:

username ALL=(ALL) NOPASSWD:/bin/mkdir,/bin/rmdir

Вместо редактирования файла sudoers вы можете сделать то же самое, создав новый файл с правилами авторизации в каталоге /etc/sudoers.d. Добавьте те же правила, которые вы добавили в файл sudoers:

# echo "username ALL=(ALL) NOPASSWD:ALL" | sudo tee /etc/sudoers.d/username

Такой подход упрощает управление правами sudo. Имя файла не имеет значения, но обычной практикой является присвоение имени файлу в соответствии с именем пользователя.

Добавить пользователя в группу Sudo

Помимо использования команды visudo для добавления пользователей в sudoers, мы также можем использовать другой инструмент под названием “usermod”. Usermod – это команда, которая изменяет учетные записи пользователей в системе Linux. Чтобы добавить пользователя в группу sudo с помощью команды инструмента usermod, выполните следующее:

# usermod -aG sudo username

Объяснение:

• Команда «usermod» используется для изменения существующей учётной записи пользователя.
• Параметры «-aG» указывают на то, что команда должна добавить пользователя в указанную группу.
• Параметр «-a» позволяет добавить пользователя в группу без потери членства в текущих группах, а параметр «-G» указывает группу для добавления. Очень важно, чтобы эти два параметра всегда использовались вместе.
• Группа «sudo» включена в вышеупомянутые параметры; хотя здесь используется «sudo», её можно заменить любой другой группой.
• Термин «username» относится к учётной записи пользователя, которая должна быть добавлена в группу «sudo».

Итак, если у вас есть существующий системный пользователь с именем «master», вы можете добавить его в sudoers, выполнив эту команду:

# usermod -aG sudo master

Поздравляем! Вы узнали, как добавить пользователя в Sudoers в Debian 12

Вот и всё! Теперь вы можете войти на свой сервер как «главный пользователь» и запускать команды sudo.

Поздравляем! Вы узнали, как добавить пользователя в sudoers. Пожалуйста, обратите внимание, что важно и необходимо ограничить привилегии sudo, чтобы уменьшить потенциальные уязвимости в системе безопасности. Также важно назначать разрешения, которые строго необходимы для выполнения конкретных задач, и по возможности избегать широкого доступа. Используйте псевдонимы команд для определения разрешённых команд и псевдонимы пользователей для категоризации разрешений на основе ролей, а не отдельных пользователей, что способствует более масштабируемой и управляемой системе.

Конечно, если вы являетесь одним из наших клиентов, использующих хостинг Debian, вам не нужно добавлять пользователя в sudoers на вашем сервере Debian — просто обратитесь к нашим администраторам, расслабьтесь и отдыхайте. Наши администраторы помогут вам добавить пользователя в sudoer сразу же по запросу. Наши опытные системные администраторы доступны круглосуточно и без выходных и сразу же обработают ваш запрос. Вам нужно только отправить запрос.

Если вам понравилась эта статья о том, как добавить пользователя в sudoers в Debian 12, пожалуйста, поделитесь ею со своими друзьями в социальных сетях с помощью кнопок ниже или просто оставьте комментарий в разделе комментариев. Спасибо.

(1 оценок, среднее: 5,00 из 5)

Загрузка...