Добавление локального контента в /etc/sudoers.d/ вместо прямой модификации файла sodoers через visudo

Question

Добавление локального контента в /etc/sudoers.d/ вместо прямой модификации файла sodoers через visudo

Можете ли вы привести меня к некоторым примерам и более подробным инструкциям на /etc/sudoers.d/

Я хотел бы дать группе разрешение на выполнение некоторых команд, но не создавать ненужные лазейки в модели безопасности Ubuntu на многопользовательской машине.

В древние времена я делал несколько простых настроек sudoers, но теперь, видимо, /etc/sudoers.d/ - более правильный способ, и я хотел бы лучше понять его.

40

permissions sudo security users user-management

Источник

Pawel Debski 30 июн '17 в 17:01

1 ответ

Решение

Другие вопросы по тегам permissions sudo security users user-management

Pawel Debski 02 июл '17 в 09:16 2017-07-02 09:16 · Accepted Answer · 2017-07-02 09:16

Похоже, никто не осмелился, поэтому я провел собственное исследование. Вот результаты.

Поскольку этот поток https://superuser.com/questions/869144/why-does-the-system-have-etc-sudoers-d-how-should-i-edit-it подчеркивает, что / etc / sudoers является общесистемной файл конфигурации, который изменяется при обновлении системы и является очень хрупким по отношению к неправильным изменениям. Т.е. вы можете потерять доступ к системе или перестать загружаться с неправильными изменениями.

$ sudo cat /etc/sudoers
#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#

(... some other content ...)

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d

Вопреки тому, что вы думаете, #includedir директива не комментируется. Это действительно и работает, чтобы включить все файлы в /etc/sudoers.d каталог.

Содержимое этого каталога выдерживает обновления системы, а также sudo строго по этому поводу:

Ошибки в файле не привели к сбою sudo.
Правила доступа кажутся менее строгими.

Поэтому менее вероятно, что вы сломаете систему своими ошибками.

$ ls -l /etc/sud*
-r--r----- 1 root root  755 sty 20 17:03 /etc/sudoers

/etc/sudoers.d:
total 7
-r--r----- 1 root root 958 mar 30  2016 README
$ sudo cat /etc/sudoers.d/README
#
# As of Debian version 1.7.2p1-1, the default /etc/sudoers file created on
# installation of the package now includes the directive:
# 
#   #includedir /etc/sudoers.d
# 
# This will cause sudo to read and parse any files in the /etc/sudoers.d 
# directory that do not end in '~' or contain a '.' character.
# 
# Note that there must be at least one file in the sudoers.d directory (this
# one will do), and all files in this directory should be mode 0440.
# 
# Note also, that because sudoers contents can vary widely, no attempt is 
# made to add this directive to existing sudoers files on upgrade.  Feel free
# to add the above directive to the end of your /etc/sudoers file to enable 
# this functionality for existing installations if you wish!
#
# Finally, please note that using the visudo command is the recommended way
# to update sudoers content, since it protects against many failure modes.
# See the man page for visudo for more information.
#

Обратите внимание, что файлы в этом каталоге должны быть отредактированы с visudoкоманда:

$ sudo visudo -f /etc/sudoers.d/veracrypt
  GNU nano 2.5.3        File: /etc/sudoers.d/veracrypt.tmp                      

# Users in the veracryptusers group are allowed to run veracrypt as root.
%veracryptusers ALL=(root) NOPASSWD:/usr/bin/veracrypt

Обратите внимание, что visudo могут использовать разные редакторы для фактической задачи, как описано здесь: https://help.ubuntu.com/community/Sudoers

Вот еще несколько ссылок, которые я нашел полезными: