Что правильно использовать: su или sudo?
С давних времен многих смущает разнообразие вариантов обеспечения безопасности при выполнении операций с максимальными привилегиями. Например, в официальной документации Ubuntu в качестве команды редактирования рекомендуется использовать что-то вроде sudo nano , а в многочисленных любительских мануалах (в стиле «5 фокусов в командной строке, которые удивят вашу бабушку») для получения root"ового шелла предлагается писать sudo su - . Попробую объяснить, почему такое положение вещей кажется мне неправильным.
И сторически единственным универсальным способом выполнить команду от имени другого пользователя в Unix была программа su. Запущенная без параметров, она запрашивала пароль суперпользователя и в случае успеха просто подменяла текущее имя пользователя на root, оставляя почти все переменные окружения от старого пользователя (кроме PATH, USER и еще пары-тройки, см. man su от своего дистрибутива). Более корректно было запускать ее как su - - в таком случае оболочка получала также и правильный environment. С параметром -c можно было выполнить команду: su -c "vim /etc/fstab" .
При этом доверенным пользователям приходилось помнить пароль root"а и у всех пользователей, перечисленных в группе «wheel» (т.е. в группе, члены которой могли выполнить команду su и стать суперпользователем), был одинаковый неограниченный доступ ко всей системе, что являлось серьёзной проблемой безопасности.
Затем появилась команда sudo, и это был прорыв. Теперь администратор мог указывать список разрешенных команд для каждого пользователя (или группы пользователей), файлы, доступные для редактирования, специальные переменные окружения и многое другое (все это великолепие управляется из /etc/sudoers , см. man sudoers от своего дистрибутива). При запуске sudo спрашивает у пользователя его собственный пароль, а не пароль root. Полноценный шелл можно получить с помощью " sudo -i "
Стоит особо упомянуть о специальной команде sudoedit , безопасно запускающей редактор, указанный в переменной окружения $EDITOR . При более традиционной схеме редактирование файлов производилось примерно так:
sudo vi /etc/fstab
Запускаемый таким образом vi наследовал оболочку с неограниченными правами и через :! пользователь мог запускать любую команду (если, конечно, админ не позаботился об этом заранее) и открыть любой файл.
sudoedit проверяет, можно ли этому пользователю изменять данный файл, затем копирует указанный файл во временный каталог, открывает его в редакторе (который наследует права пользователя, а не root"а), а после редактирования, если файл был изменён, с особыми предосторожностями копирует его обратно.
В Debian-based дистрибутивах пользователь root не имеет пароля, вместо этого все административные действия должны производиться через sudo или его графический аналог gksudo . Являясь полной заменой su , sudo должна бы быть единственной командой переключения между пользователями, однако, как было сказано вначале, в настоящий момент это не так и все зачем-то изобретают дикие последовательности из sudo, su, vi и черточек.
Поэтому предлагаю всем раз и навсегда запомнить:
После первой публикации этой заметки мне было задано несколько вопросов. Из ответов получилось сделать мини-FAQ.
Q: как с помощью sudo сделать su -c "echo 1 > /etc/privileged_file" ? sudo echo 1 /etc/privileged_file ругается на «permission denied»
A: Это происходит потому, что только команда echo выполняется в повышенными правами, а результат перенаправляется в файл уже с правами обычного пользователя. Чтобы добавить что-нибудь в privileged_file, нужно выполнить такую команду:
$ echo 1| sudo tee -a privileged_file >/dev/null
Или же временно стать рутом:
$ sudo -i
# echo 1 > privileged_file
# exit
Q: sudo -i длиннее, чем su -, а разницы между ними вроде как и никакой, зачем печатать больше?
A: У sudo есть несколько преимуществ, ради которых стоит потрудиться набрать несколько лишних символов:
Q: я единственный пользователь своей системы и привык к su, зачем мне sudo?
A: отвечу вопросом на вопрос: если есть правильный sudo, зачем использовать устаревший su?
Иногда, просто необходимо запустить команду от другого пользователя. И существует несколько способов, как это можно сделать. Я расскажу о них в своей статья «Запустить команду от другого пользователя в Unix/Linux».
И так, можно использовать утилиту SUDO. Рассмотрим пример:
$ sudo -H -u Your_another_user -c "ping сайт"
Пояснения:
Как-то так.
Можно использовать утилиту SU. И сейчас приведу несколько примеров.
Логин в root юзера
Чтобы получить рута, выполните:
$ su - root
Запустить команду как root юзер
Вот пример команды:
# su - root -c "YOUR_COMMAND_HERE"
Su - -c "YOUR_COMMAND_HERE arg1"
Выполнить команду от другого пользователя с помощью su
И так, вот пример:
# su -c "/opt/solr/bin/solr create -c test_solr_core -n solrconfig.xml" -s /bin/sh solr Created new core "test_solr_core"
Рассмотрим другой пример:
$ su another_user -c "ping сайт"
$ su - YOUR_USER -c "YOUR_COMMAND_HERE"
Как-то так.
И так, можно использовать утилиту runuser. Команда runuser запускает оболочку с заменяющими идентификаторами пользователей и групп. Эта команда полезна только когда вы залогинены как пользователь root. Синтаксис выглядит следующим образом:
# runuser -l YOUR_USER -c "YOUR_COMMAND_HERE"
Как пример, я покажу следующую строку:
# runuser -l nginx -c "service nginx start"
PS: Для использования команды runuser пароль не требуется, и он должен запускаться только пользователем root.
Основные опции:
Вот и все, тема «Запустить команду от другого пользователя в Unix/Linux» завершена.
Sudo — это программа для Unix-подобных операционных систем, которая позволяет пользователям запускать программы с привилегиями безопасности другого пользователя, по умолчанию суперпользователя.
В отличие от связанной команды su , пользователи должны предоставить свой пароль для аутентификации. После аутентификации, если файл конфигурации, который обычно находится в /etc/sudoers , позволяет предоставить пользователю доступ, система выполняет требуемую команду. Файл конфигурации дает разрешение на доступ, в том числе позволяет выполнять команды вызывающиеся из терминала; позволяет запрашивать пароль для каждого пользователя или группы; позволяет требовать повторного ввода пароля каждый раз, или никогда не требовать ввода пароля вообще. Он также может быть настроен, чтобы разрешить передачу аргументов или нескольких команд.
Говоря простыми словами для того чтобы выполнить определенные действия в Linux
, нам потребуется либо ввод пароля, либо вход от имени суперпользователя (su)
.
Рассмотрим на простом примере, для того чтоб получить возможность удалять\копировать\заменять системные файлы в Ubuntu
, необходимо открыть файловый менеджер Nautilus
от имени суперпользователя.
Для этого вводим в терминале (ctrl+alt+T
). Будьте внимательны, терминал чувствителен к регистру.
Затем появится следующий текст:
password for user: /здесь вводите свой пароль, учтите что никакие символы отображаться не будут/Таким образом вы открыли файловый менеджер Nautilus от имени суперпользователя и теперь можете смело (или не очень) идти ковырять системные файлы ^^
Следующий пример. Например вам надо поковырять содержимое системного файла с помощью текстового редактора, но внести изменения вы в нем не можете. Открываете терминал и вводите:
sudo geditТаким образом вы открыли текстовый редактор с правами суперпользователя.
Еще один пример если, допустим, вы будете вы будете выполнять большое количество команд и каждый раз ввод пароля вас просто не устраивает. Вы можете открыть в терминале сеанс суперпользователя который избавит вас от этих неудобств.
Вводим в терминале:
Затем вводим свой пароль, сеанс суперпользователя открыт. Спасибо за внимание
Sudo - это программа позволяющая администраторам давать ограниченные root права пользователям и вести журнал root активности. Базовая философия заключается в том, чтобы дать так мало прав, как это возможно, но при этом позволить людям нормально выполнять свои задачи. Отличие от команды su в том, что пользователь вводит пароль от своей учетной записи, а не пароль пользователя root.
Sudo в Debian имеет пятнадцатиминутный (может быть ) таймаут после ввода пароля. Это значит, что когда вы первый раз ввели пароль рута, то у вас есть 15 минут в течение которых вы можете выполнить следующую команду без ввода пароля. Таймаут может быть немедленно сброшен с помощью команды sudo -k .
Во время установки создается конфигурационный файл /etc/sudoers и директория /etc/sudoers.d , о которых мы поговорим чуть позже.
-k
- позволяет сбросить таймаут до момента, когда необходимо будет снова вводить пароль. Если указать команду, которая может потребовать ввода пароля, то таймаут будет сброшен конкретно для этой команды.
-h
- будет выведена небольшая подсказка на стандартный выход.
-V
- отобразиться версия sudo и плагинов. Если запустить от root, то будут выведены все настройки.
-g
group - позволяет задать от какой группы будет запущена команда.
-H
- задает директорию, которая будет указана в переменной окружения HOME.
-i
- симулирует начальный вход. Если команда не указана, то будет произведен вход в систему, таким образом можно сделаться рутом вместо использования sudo su.
-l[l]
- если команда не указана, то будет выведен список доступных команд для вызвавшего пользователя (или пользователя указанного с параметром -U). Если указана команда и она доступна, то будет выведен полный путь до команды и доступные параметры. Если команда не доступна, то sudo закроется со статусом 1. Если использовать параметр -ll или указать -l два раза, то будет использован более подробный формат вывода.
-s
- будет запущена оболочка указанная в переменной окружения SHELL. Если указана команда, то она будет передана на исполнения запущенной оболочке.
-U user
- совместно с параметром -l позволяет отобразить привилегии определенного пользователя. Доступ спискам привилегий по умолчанию есть у root и пользователей со всеми привилегиями (ALL).
-u user
- указанная команда будет запущена от имени указанного пользователя, а не от root.
-v
- позволяет продлить таймаут на 15 минут или на тот, который указан в sudoers), но не выполнять каких-либо команд.
Здесь указана большая часть доступных параметров, но не все. Чтобы посмотреть полный список используйте команду man sudo .
Рекомендуется все пользовательские настройки задавать в файлах в директории /etc/sudoers.d , а не в основном файле /etc/sudoers . То есть можно создать файл с любым названием в директории /etc/sudoers.d и уже в нем перечислить необходимые настройки.
Файл /etc/sudoers рекомендуется править с помощью утилиты visudo , так как она блокирует файл и осуществляет проверку правильности написания директив при закрытии. visudo использует текстовый редактор по умолчанию, который можно переопределить в sudoers директивой вида:
Каждый владелец серверной машины знает, что не стоит доверять полный доступ (root) всем подряд.
Последствия некоторых таковых моментов мы знаем. И, для упрощения жизни, в Unix-ядро
внедрена команда sudo
.
Инструмент который дает права пользователям выполнять команды с привилегиями суперпользователя. Например разрешает младшим администраторам использовать те или иные команды, для выполнения задач в рамках компетенции.
Суперпользователь root - администраторский аккаунт в Unix (а так-же Unix-подобных OC) с идентификатором 0, которому позволено выполнить все команды без исключения.
Устанавливается из репозиториев при помощи пакетного менеджера: apt-get install sudo или yum install sudo .
Конфигурация sudo
разрешает указать пользователя, группу пользователей, хосты и запрос или отсутствие запроса пароля при выполнении.
Например выполнение команды от имени другого пользователя.
Запустить Midnight Commander с правами суперпользователя
Открыть в текстовом редакторе nano файл nginx.config от пользователя Anton .
Sudo -u anton nano /etc/nginx/nginx.config
Файл конфигурации
sudoers
расположен в директории /etc/
.
Для редактирования файла конфигурации используется команда visudo
.
Изменять файл /etc/sudoers текстовым редактором не стоит, т.к. при сохранение синтаксис не проверяется, как в случае с visudo .
Шаблон прав пользователей в конфигурационном файле /etc/sudoers
Пользователь/%группа ALL/название_хоста/+группа_машин = ALL/перечисление_команд_через_запятую (дополнительные параметры):
Разрешает пользователю anton выполнять все команды на всех хостах (с запросом пароля)
Anton ALL=(ALL) ALL
Разрешает группе admins выполнять все команды на машине Alpha (без ввода пароль)
%admins Alpha = ALL NOPASSWD: ALL
По умолчанию при выполнение команд через sudo требуется авторизоваться по паролю. Отключить авторизацию можно с помощью параметра NOPASSWD )
Предусмотрена в sudo и объединением групп команд в псевдонимы.
Объединение команд для работы с сетью в одну сущность NETWORKING
Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool
Использовать их можно например для ограничение прав пользователя или группы на выполнение команд затрагивающих сервис.
Разрешить использовать все команды пользователю Egor и группе devops, кроме тех, что в группе NETWORKING
Egor ALL = ALL, !NETWORKING %devops ALL = ALL, !NETWORKING
Мы рассмотрели часть функционала sudo для детального ознакомления используйте man pages из поставки вашего дистрибутива.
