新しいユーザーを作成しましたが、adduser
彼のアカウントでsudoを試してみるとxxxx * is not in the sudoers file. This incident will be reported.
。
visudo
だから命令を操作し始めたのですが…
ルートアカウントに次の設定があることがわかりました。
root ALL=(ALL:ALL) ALL
しかし、新しいユーザーにこの言葉を繰り返したくありません...
sudoを使用しない限り、私のユーザーxxxxにrootアクセス権を持たないようにしたいと思います。。
sudoを使用すると、ユーザーxxxxに自分のパスワードではなくルートパスワードを求めるメッセージが表示されます。
ありがとう
Debian 10
VMの使用、SSHのみの使用
答え1
sudoを使用しない限り、私のユーザーxxxxにrootアクセス権を持たないようにしたいと思います。
sudo
これは実際には一般ユーザーの正常な状態です。許可されるコマンドを指定するために構成を除いて何もする必要はありません。
root ALL=(ALL:ALL) ALL
sudo
この行は、rootユーザーに切り替えた場合にのみ使用できるようにするために存在します。 root 以外のユーザーに権限を付与する重要な行は、次の行です。
# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL
(一部のLinuxディストリビューションでは、オペレーティングシステムのインストール中に作成された最初の一般ユーザーがこのグループのメンバーになり、sudo
自動的にrootアクセスを有効にできます。これは例外であり、すべてのユーザーのデフォルトではありません。)
sudoers ファイルの権限仕様の基本形式は次のとおりです。
<who> <where>=(<as_who>) <what>
<who>
この項目を使用できるユーザーを指定します。これは、ユーザー、グループ(%記号が前に付けられている)、または以前に定義されたUser_Alias(デフォルトではユーザーおよび/またはグループの長いリストの略称)、およびその他のいくつかの点です。<where>
ホスト名にすることができます。特定のシステムに制限されます。これは、集中管理された標準ファイルをすべてのホストに配置する企業環境で役立ちますが、通常、sudoers
ホスト名解決が機能しない場合、またはシステムが正しく構成されていない場合は、問題を回避するためにALLとして指定されます。(<as_who>)
コマンドを実行できるユーザーアカウントを定義します。デフォルトはrootですが、rootではない特定のアプリケーションアカウントでのみsudoを使用してコマンドを実行するなど、ユーザーを制限することもできます。<what>
許可されるコマンド(またはカンマで区切られたコマンド)。
さまざまなタブやオプションがありますが、簡単sudoers
に言えば、上記はファイルの重要な部分です。
sudoを使用するとき、ユーザーxxxxに自分のパスワードではなくルートパスワードを求めるメッセージを表示したいと思います。
可能で簡単です。ファイルに次の行を追加する場合sudoers
:
Defaults:xxxx rootpw,timestamp_timeout=0
xxxx ALL=(ALL:ALL) ALL
その後、ユーザーのためにxxxx
(そしてただ該当する場合)sudo
コマンドは root パスワードを要求します。毎回パスワードを再入力せずにコマンドを使用するために最大15分を許可するデフォルトの動作の代わりに、sudo
このコマンドを使用してください。sudo
ユーザーを監視し、ユーザーがrootパスワードを要求した場合に直接rootパスワードを入力したい場合は、これが重要です。このオプションを見逃すと、timestamp_timeout=0
ユーザーはまず正当な操作についてルートパスワードを要求し、続行する前に干渉を行うことができます。 。今後15分間お手伝いすることがsudo
できます。
しかし、参考にしてくださいユーザーにルートパスワードを知らせる場合は、su
次のコマンドで使用することもできます。、デフォルト以外の制限を適用しない限りsu
。制限する従来の(そしてしばしば唯一の)方法は、ユーザーが特定のグループのメンバーになることを要求することです。それ以外の場合、ユーザーはsu
まったく使用できません。su
この制限を適用するには、始めに/etc/pam.d/su
このセクションを編集して見つけます。
# Uncomment this to force users to be a member of group root
# before they can use `su'. You can also add "group=foo"
# to the end of this line if you want to use a group other
# than the default "root" (but this may have side effect of
# denying "root" user, unless she's a member of "foo" or explicitly
# permitted earlier by e.g. "sufficient pam_rootok.so").
# (Replaces the `SU_WHEEL_ONLY' option from login.defs)
# auth required pam_wheel.so
#
最後の行の先頭から削除すると、su
そのグループのメンバーだけがコマンドを使用できますroot
。