sudoが現在のユーザーの代わりにrootパスワードを要求するLinuxユーザーを作成する方法

sudoが現在のユーザーの代わりにrootパスワードを要求するLinuxユーザーを作成する方法

新しいユーザーを作成しましたが、adduser彼のアカウントでsudoを試してみるとxxxx * is not in the sudoers file. This incident will be reported.

visudoだから命令を操作し始めたのですが…

ルートアカウントに次の設定があることがわかりました。

root    ALL=(ALL:ALL) ALL

しかし、新しいユーザーにこの言葉を繰り返したくありません...


sudoを使用しない限り、私のユーザーxxxxにrootアクセス権を持たないようにしたいと思います。
sudoを使用すると、ユーザーxxxxに自分のパスワードではなくルートパスワードを求めるメッセージが表示されます。

ありがとう


Debian 10
VMの使用、SSHのみの使用

答え1

sudoを使用しない限り、私のユーザーxxxxにrootアクセス権を持たないようにしたいと思います。

sudoこれは実際には一般ユーザーの正常な状態です。許可されるコマンドを指定するために構成を除いて何もする必要はありません。

root    ALL=(ALL:ALL) ALL

sudoこの行は、rootユーザーに切り替えた場合にのみ使用できるようにするために存在します。 root 以外のユーザーに権限を付与する重要な行は、次の行です。

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

(一部のLinuxディストリビューションでは、オペレーティングシステムのインストール中に作成された最初の一般ユーザーがこのグループのメンバーになり、sudo自動的にrootアクセスを有効にできます。これは例外であり、すべてのユーザーのデフォルトではありません。)

sudoers ファイルの権限仕様の基本形式は次のとおりです。

<who>  <where>=(<as_who>) <what>
  • <who>この項目を使用できるユーザーを指定します。これは、ユーザー、グループ(%記号が前に付けられている)、または以前に定義されたUser_Alias(デフォルトではユーザーおよび/またはグループの長いリストの略称)、およびその他のいくつかの点です。

  • <where>ホスト名にすることができます。特定のシステムに制限されます。これは、集中管理された標準ファイルをすべてのホストに配置する企業環境で役立ちますが、通常、sudoersホスト名解決が機能しない場合、またはシステムが正しく構成されていない場合は、問題を回避するためにALLとして指定されます。

  • (<as_who>)コマンドを実行できるユーザーアカウントを定義します。デフォルトはrootですが、rootではない特定のアプリケーションアカウントでのみsudoを使用してコマンドを実行するなど、ユーザーを制限することもできます。

  • <what>許可されるコマンド(またはカンマで区切られたコマンド)。

さまざまなタブやオプションがありますが、簡単sudoersに言えば、上記はファイルの重要な部分です。

sudoを使用するとき、ユーザーxxxxに自分のパスワードではなくルートパスワードを求めるメッセージを表示したいと思います。

可能で簡単です。ファイルに次の行を追加する場合sudoers:

Defaults:xxxx rootpw,timestamp_timeout=0
xxxx    ALL=(ALL:ALL) ALL

その後、ユーザーのためにxxxx(そしてただ該当する場合)sudoコマンドは root パスワードを要求します。毎回パスワードを再入力せずにコマンドを使用するために最大15分を許可するデフォルトの動作の代わりに、sudoこのコマンドを使用してください。sudo

ユーザーを監視し、ユーザーがrootパスワードを要求した場合に直接rootパスワードを入力したい場合は、これが重要です。このオプションを見逃すと、timestamp_timeout=0ユーザーはまず正当な操作についてルートパスワードを要求し、続行する前に干渉を行うことができます。 。今後15分間お手伝いすることがsudoできます。

しかし、参考にしてくださいユーザーにルートパスワードを知らせる場合は、su次のコマンドで使用することもできます。、デフォルト以外の制限を適用しない限りsu。制限する従来の(そしてしばしば唯一の)方法は、ユーザーが特定のグループのメンバーになることを要求することです。それ以外の場合、ユーザーはsuまったく使用できません。suこの制限を適用するには、始めに/etc/pam.d/suこのセクションを編集して見つけます。

# Uncomment this to force users to be a member of group root
# before they can use `su'. You can also add "group=foo"
# to the end of this line if you want to use a group other
# than the default "root" (but this may have side effect of
# denying "root" user, unless she's a member of "foo" or explicitly
# permitted earlier by e.g. "sufficient pam_rootok.so").
# (Replaces the `SU_WHEEL_ONLY' option from login.defs)
# auth       required   pam_wheel.so

#最後の行の先頭から削除すると、suそのグループのメンバーだけがコマンドを使用できますroot

関連情報